Securizando el SSH: Claves públicas/privadas

sshPara los técnicos de sistemas opensource puede resultar muy habitual utilizar el protocolo ssh como vía de acceso a una elevada cantidad de máquinas.
El acceso a cada máquina conlleva una contraseña que puede ser difícil de recordar o incluso puede resultar pesado estar introduciéndola continuamente, sobre todo cuando hablamos de contraseñas seguras donde es habitual el uso de caracteres no alfabéticos o el uso aleatorio de los mismos, a fin de construir contraseñes robustas aunque difícilmente son recordables en un entorno cualquiera.

Por ello, y a fin de mantener la seguridad en nuestros entornos sin dejar de lado la facilidad de acceso a los diferentes entornos, a través del propio protocolo ssh, y mediante una serie de comandos asociados a él, podemos generar pares de claves públicas/privadas que permiten la conexión segura y conocida entre cliente/servidor.

Con el comando ssh-keygen creamos nuestro par de claves pública/privada. Por defecto las crea con una clave RSA de 2048 bits, aunque podemos especificar otra longitud o tipo de clave mediante atributos del propio comando.

Una vez creado este par de claves, solamente nos queda ejecutar el comando ssh-copy-id especificando la IP del servidor o servidores (“ssh-copy-id usuario@IP”). El servidor requerirá la contraseña de acceso, siendo esta la última vez que lo hagamos.
Mediante este comando podemos enviar nuestra clave a cuantos servidores queramos tener como “conocidos”.

La información de las claves se almacena en “nombre_usuario/.ssh”. Dentro de este directorio podemos crear un fichero llamado “config”, donde especificaremos, mediante la siguiente sintaxis, los datos de los servidores que ya tienen nuestra clave. Por ejemplo:

“Host servidor1
Hostname IP-servidor
User usuario”

De modo que si ejecutamos “ssh servidor1″ entraremos automáticamente en ese servidor sin necesidad de introducir ninguna contraseña.

Este método también puede servir para securizar aun más el o los servidores, puesto que podemos, en el fichero sshd_config, deshabilitar la entrada por ssh por el método habitual o estándar.

Deja un comentario