[opensuse-es] Acceso Seguro a consola del Servidor
Buenas tardes, Apelo a la basta experiencia de los integrantes de la lista para resolver mi necesidad Necesito asegurar de la mejor manera posible el acceso Remoto a la consola de mi linux. Cuando digo mejor manera posible me refiero a la forma que me asegure que no se conectaran usuarios no autorizados ni sera hackeado el ingreso si se abre un puerto hacia internet. He pensado en lo mas tradicional que es un SSH daemon pero por ahi lei que podria no ser lo suficientemente seguro. No obstante es lo que tenia pensado utiilzar. Resumiendo mi pedido Necesito un metodo de conexion al server en modo consola desde internet que me ofrezca la seguridad de que no se colaran usuario no autorizados o se pudieran aprovechar la apertura de ese puerto de alguna forma que pudiera poner en riesgo mi servidor. Tambien saber si en la opinion de los mas expertos es seguro utilizar SSH para ese fin.(este seria mi metodo preferido) Desde ya muchas gracias! -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 28/10/2018 22.44, Mauricio Pellegrini wrote:
Buenas tardes, Apelo a la basta experiencia de los integrantes de la lista para resolver mi necesidad Necesito asegurar de la mejor manera posible el acceso Remoto a la consola de mi linux.
Cuando digo mejor manera posible me refiero a la forma que me asegure que no se conectaran usuarios no autorizados ni sera hackeado el ingreso si se abre un puerto hacia internet.
He pensado en lo mas tradicional que es un SSH daemon pero por ahi lei que podria no ser lo suficientemente seguro.
¡JUAS! X'-) ¿Y que sugieren por ahí? Porque mejor que eso no lo vas a encontrar, en mi opinión.
No obstante es lo que tenia pensado utiilzar.
Resumiendo mi pedido Necesito un metodo de conexion al server en modo consola desde internet que me ofrezca la seguridad de que no se colaran usuario no autorizados o se pudieran aprovechar la apertura de ese puerto de alguna forma que pudiera poner en riesgo mi servidor.
Tambien saber si en la opinion de los mas expertos es seguro utilizar SSH para ese fin.(este seria mi metodo preferido)
Desde ya muchas gracias!
ssh en puerto alto y con contraseñas desactivadas, sólo acceso por intercambio de llaves. Si quieres subir la paranoia, pues permitir el acceso desde una IP determinada. O que no sea posible conectar al servidor, sino que el servidor se conecte hacia tí en una IP determinada y sólo cuando suceda algo concreto mediante desafío-respuesta. O que no sea posible conectar por internet, sino sólo por teléfono desde un número concreto. O que sólo sea posible conectar por SSH después que le hayas enviado por SMS encriptado el ordinal de la clave del día, y el acceso tenga que ocurrir en el minuto siguiente. O que la clave de acceso sea rotativa mediante un dispositivo hardware. Lo venden, por cierto, es un sistema comercial. Los demás me los acabo de inventar. ¿Te valen? X'-) -- Cheers / Saludos, Carlos E. R. (from 42.3 x86_64 "Malachite" at Telcontar)
Hola :)
On Mon, Oct 29, 2018 at 4:24 AM Carlos E. R.
On 28/10/2018 22.44, Mauricio Pellegrini wrote:
Buenas tardes, Apelo a la basta experiencia de los integrantes de la lista para resolver mi necesidad Necesito asegurar de la mejor manera posible el acceso Remoto a la consola de mi linux.
Cuando digo mejor manera posible me refiero a la forma que me asegure que no se conectaran usuarios no autorizados ni sera hackeado el ingreso si se abre un puerto hacia internet.
He pensado en lo mas tradicional que es un SSH daemon pero por ahi lei que podria no ser lo suficientemente seguro.
¡JUAS! X'-)
¿Y que sugieren por ahí? Porque mejor que eso no lo vas a encontrar, en mi opinión.
No obstante es lo que tenia pensado utiilzar.
Resumiendo mi pedido Necesito un metodo de conexion al server en modo consola desde internet que me ofrezca la seguridad de que no se colaran usuario no autorizados o se pudieran aprovechar la apertura de ese puerto de alguna forma que pudiera poner en riesgo mi servidor.
Tambien saber si en la opinion de los mas expertos es seguro utilizar SSH para ese fin.(este seria mi metodo preferido)
Desde ya muchas gracias!
ssh en puerto alto y con contraseñas desactivadas, sólo acceso por intercambio de llaves.
Si quieres subir la paranoia, pues permitir el acceso desde una IP determinada.
O que no sea posible conectar al servidor, sino que el servidor se conecte hacia tí en una IP determinada y sólo cuando suceda algo concreto mediante desafío-respuesta.
O que no sea posible conectar por internet, sino sólo por teléfono desde un número concreto.
O que sólo sea posible conectar por SSH después que le hayas enviado por SMS encriptado el ordinal de la clave del día, y el acceso tenga que ocurrir en el minuto siguiente.
O que la clave de acceso sea rotativa mediante un dispositivo hardware. Lo venden, por cierto, es un sistema comercial. Los demás me los acabo de inventar.
¿Te valen? X'-)
Yo te recomendaría: - VPN con 2FA (2 Factor Authorization), - SSH con 2FA (2 Factor Authorization), que lo comenta Carlos más arriba - revisar la documentación de openSSH e implementar los consejos que te dan - desinstalar software que NO NECESITES: instala lo IMPRESCINDIBLE para reducir la superficie de ataque. Si no puedes desinstalar el SW porque es una dependencia, pero no lo usas, desactiva su arranque (si funciona como servicio o daemon) - sistema de logs correctamente instalado y configurado con alertas, por si pasa algo - firewall bien configurado: lo que no está estrictamente permitido está estrictamente prohibido (IOW: abre sólo aquellos puertos imprescindibles) - no ser paranoico - backups en condiciones: si pasa algo ... hay que reinstalar de algo fiable - auditar con aide, ... de vez en cuando - usar sudo con logging para cuando alguien haga algo indebido - separar sistemas de ficheros en diferentes particiones y con opciones de montaje adecuados: noexec, nosuid, nodev, ... para /var o para /home o para /tmp (por ejemplo) Esto es lo que se me ocurre añadir a lo que comenta Carlos (alguna repetida 0:) ). HTH Rafa -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 29/10/2018 08.59, Rafa Griman wrote:
Hola :) On Mon, Oct 29, 2018 at 4:24 AM Carlos E. R. <> wrote:
...
Yo te recomendaría: - VPN con 2FA (2 Factor Authorization), - SSH con 2FA (2 Factor Authorization), que lo comenta Carlos más arriba - revisar la documentación de openSSH e implementar los consejos que te dan - desinstalar software que NO NECESITES: instala lo IMPRESCINDIBLE para reducir la superficie de ataque. Si no puedes desinstalar el SW porque es una dependencia, pero no lo usas, desactiva su arranque (si funciona como servicio o daemon)
Pero esto es para que, una vez que entran, puedan hacer poco daño. No evita que entren - salvo que sean servicios que estén abiertos al exterior.
- sistema de logs correctamente instalado y configurado con alertas, por si pasa algo
Y quizás enviar los logs a otra máquina más adentro, por si el hacker intenta borrar las trazas.
- firewall bien configurado: lo que no está estrictamente permitido está estrictamente prohibido (IOW: abre sólo aquellos puertos imprescindibles) - no ser paranoico - backups en condiciones: si pasa algo ... hay que reinstalar de algo fiable - auditar con aide, ... de vez en cuando - usar sudo con logging para cuando alguien haga algo indebido - separar sistemas de ficheros en diferentes particiones y con opciones de montaje adecuados: noexec, nosuid, nodev, ... para /var o para /home o para /tmp (por ejemplo)
Aunque eso podría hacer saltar bugs por ahí, quizás.
Esto es lo que se me ocurre añadir a lo que comenta Carlos (alguna repetida 0:) ).
:-) -- Cheers / Saludos, Carlos E. R. (from openSUSE 15.0 (Legolas))
On Mon, Oct 29, 2018 at 4:59 AM Rafa Griman
Hola
Yo te recomendaría:
[...]
- sistema de logs correctamente instalado y configurado con alertas, por si pasa algo
Servidor de logs externo.. si te entran al servidor, te pueden borrar/alterar los logs. salu2 -- -- Victor Hugo dos Santos http://www.vhsantos.net Linux Counter #224399 -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (4)
-
Carlos E. R.
-
Mauricio Pellegrini
-
Rafa Griman
-
Victor Hugo dos Santos