Oscar's Blog

Blog de Oscar Valenzuela - GNU con Linux, Free Software, Android, Hacking

CenTOS: Endureciendo (Hardening) SSHD

12 Mar 2013


La idea general, es “endurecer” la seguridad de nuestra configuración SSH, por lo que seré muy breve, pero la idea es en general seguir los pasos y tendremos un SSH configurado aún más seguro:

Paso 1: Primero que todo, debes crear un usuario regular (no root), ya que se deshabilitará el acceso como root. En este caso creamos el usuario admin:

adduser admin && passwd admin

Paso 2: Respalda tu actual configuración sshd_config:

mv /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

Paso 3: Crea un nuevo archivo de configuración para sshd:

nano -w /etc/ssh/sshd_config

Paso 3.1: Pega el siguiente contenido directamente en tu archivo:

## Cambia este puerto, por ejemplo 8022 (muy recomendable)
Port 22
## Configura la dirección donde escuchará el demonio ssh. por defecto=0.0.0.0
#ListenAddress 192.168.0.1
## Acepta solo ssh versión 2
Protocol 2
## Deshabilita el acceso como root, en adelante necesitarás ingresar como un usuario normal y desde esa sesión ingresar “su -” para convertirse en root:
PermitRootLogin no
##
UsePrivilegeSeparation yes
##
AllowTcpForwarding no
## Disables X11Forwarding
X11Forwarding no
## Verifica los usuarios y sus directorios personales, que no sean editables por cualquier usuario:
StrictModes yes
## Esta opción especifica que el archivo rhost o shosts no será utilizado para autenticación:
IgnoreRhosts yes
##
HostbasedAuthentication no
## Esta opción especifica si sshd puede utilizar rhost para autenticación:
RhostsRSAAuthentication no
## Le agrega un mensaje al usuario, una especie de banner:
Banner /etc/motd
## Habilita o desactiva el servidor sftp
#Subsystem      sftp    /usr/libexec/openssh/sftp-server
## Agregamos los usuarios que pueden ingresar por ssh (ver paso 1)
AllowUsers admin
Control + X para guardar

Paso 4: Verificamos las configuraciones que se han realizado en el nuevo archivo:
nano -w /etc/ssh/sshd_config
RECUERDA QUE SE RECOMIENDA CAMBIAR EL PUERTO. ( Ejemplo Puerto 8022 )

Paso 5: Agregamos un texto pulento al archivo MOTD (/etc/motd)
echo “Private system, please log off.” > /etc/motd

Paso 6: Reiniciamos el demonio SSHD

service sshd restart

Paso 7: Iniciamos un NUEVO CLIENTE, y probamos conectarnos. (OJO!!! NO CIERRES EL ACTUAL EN CASO DE PROBLEMAS)

ssh 192.168.0.1 -ladmin -P8022 # o el puerto que hayas elegido

Si todo fue bien, entonces ya puedes usar ssh 😉

Publicado originalmente por Oscar Valenzuela en http://ovalenzuela.xpertians.com – Puede ser compartido y copiado libremente, mientras mantenga esta nota.