Menú
Artículo

Cómo proteger un servidor SSH en Linux

Jose Antonio Pino

• 6 min de lectura
Cómo proteger un servidor SSH en Linux

Secure Shell (SSH) es un protocolo criptográfico de red que permite a los usuarios acceder y gestionar sistemas remotos de forma segura sobre una red no segura. Es una herramienta esencial para administradores de sistemas, desarrolladores y cualquiera que necesite interactuar con servidores remotos de manera segura.

Sin embargo, con el aumento de las amenazas cibernéticas, asegurar tu servidor SSH es más crítico que nunca. Aquí está el porqué:

  • Los servidores SSH son objetivos principales para los atacantes debido a su acceso directo a los sistemas.
  • Un SSH sin asegurar puede llevar a accesos no autorizados, filtraciones de datos y compromisos del sistema.
  • Implementar medidas de seguridad robustas es crucial para proteger tu infraestructura y datos.

Entendiendo SSH

¿Qué es SSH?

SSH, o Secure Shell, es un protocolo que proporciona un canal seguro sobre una red no segura. Se utiliza principalmente para:

  • Acceso remoto a la línea de comandos
  • Ejecución de comandos remotos
  • Transferencias de archivos seguras

SSH fue creado en 1995 por Tatu Ylönen como reemplazo de protocolos inseguros como Telnet y RSH. Desde entonces, se ha convertido en el estándar para el acceso remoto seguro en sistemas tipo Unix.

Cómo funciona SSH

SSH opera con un modelo cliente-servidor, utilizando cifrado fuerte para asegurar la comunicación. Aquí tienes un desglose simplificado del proceso:

  1. El cliente inicia una conexión al servidor SSH.
  2. El servidor envía su clave pública al cliente.
  3. El cliente verifica la identidad del servidor.
  4. Se establece un canal seguro y cifrado.
  5. Se realiza la autenticación del usuario (contraseña, clave pública, etc.).
  6. Tras la autenticación exitosa, comienza la sesión.

Componentes clave de SSH

ComponenteDescripción
Servidor SSHEl programa que se ejecuta en la máquina remota y escucha conexiones SSH entrantes
Cliente SSHEl programa que se utiliza para conectarse a un servidor SSH
CifradoAlgoritmos utilizados para asegurar el canal de comunicación

Por qué la seguridad de SSH es crucial

Aunque SSH es inherentemente más seguro que sus predecesores, no está libre de amenazas. Los riesgos comunes incluyen:

  • Ataques de fuerza bruta
  • Ataques de intermediario
  • Acceso no autorizado basado en claves
  • Explotación de vulnerabilidades en implementaciones de SSH

Las consecuencias de un servidor SSH comprometido pueden ser graves:

  • Acceso no autorizado a sistemas y datos sensibles
  • Movimiento lateral potencial dentro de una red
  • Robo o manipulación de datos
  • Instalación de malware o puertas traseras
  • Daño reputacional y pérdidas financieras

Dado estos riesgos, está claro que implementar medidas de seguridad robustas para tu servidor SSH no solo es recomendable, sino esencial. En las siguientes secciones, exploraremos diversas estrategias y mejores prácticas para mejorar la seguridad de tu servidor SSH y proteger tus sistemas de posibles amenazas.

Medidas Básicas de Seguridad para Servidor SSH

Asegurar tu servidor SSH es crucial para proteger tu sistema Linux del acceso no autorizado. Aquí tienes algunas medidas fundamentales que puedes implementar:

Usa Contraseñas Fuertes

Las contraseñas fuertes son tu primera línea de defensa contra posibles intrusos. Aquí te explico por qué son importantes y cómo crearlas:

Importancia de contraseñas complejas:

  • Resisten ataques de fuerza bruta
  • Previenen accesos no autorizados
  • Protegen datos sensibles

Consejos para crear y gestionar contraseñas fuertes:

  • Usa una mezcla de letras mayúsculas y minúsculas, números y caracteres especiales
  • Asegúrate de que tengan una longitud mínima de 12 caracteres
  • Evita usar información personal o palabras comunes
  • Utiliza un gestor de contraseñas para generar y almacenar contraseñas complejas de forma segura

Desactiva el Acceso Root

Permitir el acceso root directo vía SSH es un riesgo de seguridad significativo. Aquí te explico por qué y cómo desactivarlo:

Riesgos asociados con el acceso root:

  • Acceso ilimitado a todo el sistema
  • Mayor vulnerabilidad a ataques de fuerza bruta
  • Falta de responsabilidad para acciones de usuarios individuales

Pasos para desactivar el acceso root en la configuración de SSH:

  1. Abre el archivo de configuración SSH: sudo nano /etc/ssh/sshd_config
  2. Encuentra la línea PermitRootLogin yes
  3. Cámbiala a PermitRootLogin no
  4. Guarda el archivo y reinicia el servicio SSH: sudo systemctl restart sshd

Cambia el Puerto SSH Predeterminado

Modificar el puerto SSH predeterminado puede ayudar a reducir ataques automatizados. Aquí te explico por qué y cómo hacerlo:

Razones para cambiar el puerto predeterminado:

  • Evitar escaneos automatizados que apuntan al puerto predeterminado (22)
  • Reducir el desorden en los registros de intentos de conexión aleatorios
  • Añadir una capa extra de seguridad mediante la ofuscación

Cómo modificar el puerto SSH en los archivos de configuración:

  1. Abre el archivo de configuración SSH: sudo nano /etc/ssh/sshd_config
  2. Encuentra la línea #Port 22
  3. Descoméntala y cambia el número al puerto deseado (ejemplo: Port 2222)
  4. Guarda el archivo y reinicia el servicio SSH: sudo systemctl restart sshd
💡
Nota: ¡Recuerda actualizar las reglas de tu firewall para permitir conexiones en el nuevo puerto!

Implementa la Autenticación Basada en Claves

La autenticación basada en claves ofrece varias ventajas sobre los métodos tradicionales basados en contraseñas:

Beneficios de la autenticación basada en claves:

  • Seguridad más fuerte que las contraseñas
  • Resistencia a ataques de fuerza bruta
  • Conveniente para procesos y scripts automatizados

Proceso de generación e implementación de claves SSH:

PasoAcción
1Genera un par de claves en tu máquina local: ssh-keygen -t rsa -b 4096
2Copia la clave pública al servidor: ssh-copy-id user@server_ip
3Prueba el inicio de sesión basado en claves: ssh user@server_ip
4(Opcional) Desactiva la autenticación por contraseña en /etc/ssh/sshd_config

Al implementar estas medidas básicas de seguridad, mejorarás significativamente la seguridad de tu servidor SSH. Recuerda, la seguridad es un proceso continuo, así que mantente informado sobre las mejores prácticas y actualiza regularmente tu sistema.

Técnicas Avanzadas de Seguridad para Servidor SSH

Limita el Acceso de Usuarios

Restringir el acceso de usuarios es un paso crucial para mejorar la seguridad de tu servidor SSH. Al implementar controles de acceso estrictos, puedes reducir significativamente el riesgo de acceso no autorizado y posibles brechas de seguridad.

Configurar SSH para permitir solo usuarios específicos

Una de las formas más efectivas de limitar el acceso de usuarios es configurando SSH para permitir solo usuarios específicos. Este enfoque asegura que solo las personas autorizadas puedan conectarse a tu servidor vía SSH. Aquí te explico cómo implementarlo:

  1. Abre el archivo de configuración SSH: sudo nano /etc/ssh/sshd_config
  2. Busca o añade las siguientes directivas:
    • AllowUsers: Especifica qué usuarios tienen permitido conectarse
    • DenyUsers: Especifica qué usuarios tienen acceso denegado explícitamente

Utiliza estas directivas para controlar el acceso:

AllowUsers user1 user2 user3
DenyUsers baduser suspicioususer
  1. Guarda el archivo y reinicia el servicio SSH: sudo systemctl restart sshd

Usando las Directivas AllowUsers y DenyUsers

Las directivas AllowUsers y DenyUsers son herramientas potentes para gestionar el acceso SSH. Aquí te explico cómo usarlas de manera efectiva:

DirectivaPropósitoEjemplo
AllowUsersEspecifica los usuarios permitidos para conectarse vía SSHAllowUsers alice bob carol
DenyUsersEspecifica los usuarios a quienes se les niega el acceso SSHDenyUsers eve mallory

Puntos clave a recordar:

  • Si usas AllowUsers, solo los usuarios listados podrán conectarse; todos los demás serán denegados por defecto.
  • DenyUsers tiene prioridad sobre AllowUsers si un usuario está listado en ambas.
  • Puedes usar comodines, como AllowUsers admin* support*, para permitir a todos los usuarios cuyos nombres comiencen con “admin” o “support”.
  • Es más seguro usar AllowUsers y listar explícitamente a los usuarios permitidos, en lugar de intentar negar usuarios específicos con DenyUsers.

Implementar estas medidas de control de acceso mejorará significativamente la seguridad de tu servidor SSH. Recuerda probar tu configuración después de realizar cambios para asegurarte de que los usuarios legítimos aún puedan acceder al sistema según sea necesario.

Implementa la Autenticación de Dos Factores (2FA)

La autenticación de dos factores (2FA) añade una capa extra de seguridad a tu servidor SSH, haciendo mucho más difícil el acceso no autorizado. Veamos los beneficios de la 2FA y cómo configurarla para el acceso SSH.

Beneficios de la 2FA para SSH:

  • Seguridad mejorada: Requiere un paso adicional de verificación además de la contraseña.
  • Protección contra credenciales robadas: Incluso si se compromete una contraseña, el atacante aún necesita el segundo factor.
  • Reducción del riesgo de ataques de fuerza bruta: Hace que los intentos de inicio de sesión automatizados sean mucho menos efectivos.
  • Cumplimiento: Ayuda a cumplir con los requisitos de seguridad para diversos estándares de la industria.
  • Responsabilidad del usuario: Proporciona un rastro de auditoría claro sobre quién accedió al sistema y cuándo.

Pasos para configurar 2FA para el acceso SSH:

  1. Instala los paquetes necesarios:
sudo apt-get update
sudo apt-get install libpam-google-authenticator

2. Configura PAM (Módulos de Autenticación Pluggables): Edita el archivo de configuración PAM para SSH:

sudo nano /etc/pam.d/sshd

Añade la siguiente línea al final del archivo:

auth required pam_google_authenticator.so

3. Actualiza la configuración de SSH: Edita el archivo de configuración del demonio SSH:

sudo nano /etc/ssh/sshd_config

Modifica o añade las siguientes líneas:

ChallengeResponseAuthentication yes
UsePAM yes

4. Reinicia el servicio SSH:

sudo systemctl restart sshd

5. Configura Google Authenticator para cada usuario: Ejecuta el siguiente comando como el usuario que necesita 2FA:

google-authenticator

Sigue las instrucciones para configurar el autenticador.

6. Prueba la configuración de 2FA: Intenta iniciar sesión vía SSH. Ahora deberías ser solicitado tanto por tu contraseña como por un código de verificación.

Tabla de referencia rápida para el proceso de configuración de 2FA:

PasoAcción
1Instalar paquetes requeridos
2Configurar PAM
3Actualizar configuración de SSH
4Reiniciar el servicio SSH
5Configurar Google Authenticator para los usuarios
6Probar la configuración de 2FA

Recuerda, aunque la 2FA mejora significativamente la seguridad de tu SSH, es solo una parte de una estrategia de seguridad integral. Combínala con otras mejores prácticas como contraseñas fuertes, actualizaciones regulares y una correcta configuración del firewall para una protección óptima.

¡Siguiendo estos pasos, añadirás una capa extra de seguridad a tu servidor SSH, haciéndolo mucho más resistente contra intentos de acceso no autorizado! ¡Feliz aseguramiento!

Compartir