SSH. Un poco de seguridad Parte 5

En esta ocasión generaremos un par de claves (publica/privada) para conectarnos a nuestra maquina sin necesidad de introducir nuestra contraseña, aunque esto también tiene sus riesgos,  por eso daremos unos consejos para una utilización segura de este sistema de acceso.

Primero generamos un par de claves de protocolo 2 con ssh-keygen -t RSA , donde RSA puede ser sustituido por RSA1 para el protocolo 1, o DSA  para el protocolo 2,  también las podemos generar indicando el numero de bits (-b 1024,-b 2048,-b 4096)

mrpako@ecorp$ ssh-keygen -t RSA
Generating public/private rsa key pair.
Enter file in which to save the key (/home/mrpako/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):***************************
Enter same passphrase again:***************************
Your identification has been saved in /home/mrpako/.ssh/id_rsa.
Your public key has been saved in /home/mrpako/.ssh/id_rsa.pub.

Esto crea dos archivos, id.rsa (clave privada) e id.rsa.pub (clave publica) este ultimo debemos incluirlo en el archivo /home/mrpako/.ssh/authorized_keys.

mrpako@ecorp$ echo `cat ~/id.rsa.pub` >> ~/.ssh/authorized_keys
Y después procedemos a su eliminación.
mrpako@ecorp$ rm /home/mrpako/id.rsa.pub

Y para finalizar configuramos el archivo /etc/ssh/sshd_config , deshabilitaremos  el acceso como root, según se indica en la parte 1 de esta serie, y podemos añadir algo mas de seguridad siguiendo las indicaciones de la parte  2.

Ahora debemos proteger y distribuir por un canal seguro la clave privada y reiniciar el servicio con service sshd restart, y ya podemos proceder a conectarnos desde cualquier otra ubicación que disponga de la llave con israelgmo@umbrellacorp$ ssh -i id.rsa mrpako@192.251.68.254

 

Una respuesta a “SSH. Un poco de seguridad Parte 5”

  1. Hola,

    Podríais haber comentado que lo mejor para las keys de ssh es crear una llave RSA con 2048 bits. Con el parámetro -b 2048

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *