En el artículo anterior de la serie se hablaba de que era el comienzo de todo lo que este protocolo ofrece. Hoy seguiremos configurando y descubriendo nuevas directivas que harán que el servicio SSH sea más seguro.
AllowGroups
Esta opción si se encuentra en el fichero de configuración, sshd_config, especificará el nombre de los grupos a los que pertenecen los usuarios que pueden iniciar sesión de manera remota mediante SSH. En una empresa puede ser interesante a la hora de decidir que departamentos enteros pueden iniciar de forma remota o no. Configuración rápida, por ejemplo, grupoSSH, y habilitamos la directiva solo con ese grupo, entonces solo los usuarios que pertenezcan a ese grupo podrán iniciar sesión de manera remota mediante SSH.
AllowUsers
Esta directiva es similar a la anterior, se puede especificar en el fichero de configuración seguida de una lista de usuarios que pueden iniciar sesión mediante SSH. Se puede usar los metacaracteres *, ? para la construcción de patrones. Si el patrón sigue la forma usuario@host, entonces se comprueba por separado tanto el usuario y el host, de este modo se consigue el acceso restringido a determinados usuarios de determinados equipos.
Ciphers
Especifica que cifrados admitirá la versión 2 del protocolo. Si se especifican varios cifrados, hay que separarlos por comas. El valor por defecto es 'aes128-cbc,3des-cbc,blowfish-cbs,cast128-cbc,arcfour'.
ClientAliveInterval
Si el servidor no recibe datos del cliente en un tiempo X que especifica esta directiva, el servidor enviará un mensaje a través del canal cifrado solicitando respuesta al cliente. Esta directiva indica el intervalo de tiempo en segundos para este tipo de mensajes. El valor por defecto es 0, es decir, no se envía este mensaje. Sólo es válido en la versión 2 del protocolo SSH.
ClientAliveCountMax
Esta directiva está directamente relacionada con la anterior, especificará el número de mensajes que el servidor puede enviar al cliente solicitando respuesta para después de no encontrar respuesta desconectar la sesión. Entonces se tiene que con la directiva anterior se especifica cada cuanto se envía este tipo de mensajes y con la presente directiva se especifica el número máximo de mensajes sin respuesta.
Hay que especificar que estas dos directivas utilizan un canal cifrado por lo que no serán interceptadas o los usuarios malintencionados no podrán saben si la conexión se acabó o no.
KeepAlive
Esta directiva especifica si el sistema debe enviar mensajes al otro extremo. Esta directiva envía los mensajes por un canal no cifrado por lo que alguien podría interceptarlos y averiguar cuando la conexión están apunto de terminar o no responden. Sin embargo, si no se envían estos mensajes las sesiones pueden colgarse indefinidamente en el servidor, dejando usuarios fantasmas y consumiendo recursos del sistema. El valor predeterminado es 'yes', es decir, habilitada.
DenyGroups
Esta directiva es similar a la de AllowGroups pero con el enfoque de denegación, es decir, todo grupo que se encuentre asociado a dicha directiva no podrá iniciar sesión.
DenyUsers
Similar a la anterior, todo usuario que se encuentre asociado a esta directiva no podrá iniciar sesión de manera remota mediante SSH.
LogLevel
Directiva interesante para debuggear. Los valores posibles son QUIET, FATAL, ERROR, INFO, VERBOSE y DEBUG. El predeterminado es INFO. Tened cuidado con DEBUG ya que viola la privacidad de los usuarios, no es recomendable.
Volvemos a insistir quedan cosas muy interesantes en las siguientes partes de la configuración de SSH. Más directivas, securizando keys, autenticación mediante clave pública-privada en siguientes artículos.
=================================================- Configuración Servidor SSH en GNU/Linux (Parte I)- Configuración Servidor SSH en GNU/Linux (Parte II)- Configuración Servidor SSH en GNU/Linux (Parte III)- Configuración Servidor SSH en GNU/Linux (Parte IV)- Configuración Servidor SSH en GNU/Linux (Parte V)- Configuración Servidor SSH en GNU/Linux (Parte VI)=================================================
Nunca viene mal recordar y aprender nuevas directivasde SSH.Gracias (=
ResponderEliminar