Try   HackMD
tags: ASO-GISI Sistemas Operativos

SSH

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Introducción a SSH

La orden telnet se utiliza para la comunicación interactiva con otro ordenador utilizando el protocolo TELNET. Sin embargo telnet es poco utilizado en la actualidad dado que por defecto no encripta la información que intercambia (incluidas las contraseñas) y otros problemas de seguridad. En su lugar, se utiliza la orden ssh, que utiliza el protocolo SSH (de Secure Shell) para crear un canal de comunicación seguro (utilizando técnicas criptográficas) entre dos equipos que no depende de la seguridad de la red subyacente. SSH permite realizar login a máquinas remotas de forma segura, ejecución remota de programas, intercambio de ficheros, etc.

Encriptación y cifrado

La encriptación se basa en el cifrado con una clave de un mensaje cuyo contenido se quiere proteger. SSH utiliza tanto el cifrado simétrico como el cifrado asimétrico.

Cifrado simétrico

En el cifrado simétrico se utiliza la misma clave tanto para el cifrado como el descifrado. Esto significa que la clave debe ser secreta (conocida solo por el emisor y el receptor). El mayor problema de este cifrado es cómo puede hacer llegar el emisor al receptor la clave de forma segura.

Cifrado asimétrico

En el cifrado asimétrico se utilizan dos claves relacionadas entre sí: una privada (secreta) y otra pública. Las claves tienen la propiedad de que un mensaje cifrado por una determinada clave pública solo puede ser desencriptado utilizando la correspondiente clave privada (y si es encriptado con la clave privada, solo puede desencriptarse con la pública).

Esto permite que el emisor pueda utilizar la clave pública del receptor para encriptar el mensaje y solo éste pueda desencriptarlo. Por otro lado, si el propietario de la clave privada la utiliza para cifrar un mensaje, el destinatario (si la puede desencriptar con la clave pública del emisor) está identificando y autenticando al remitente.

Aunque el cifrado asimétrico soluciona el intercambio de claves entre los participantes en la comunicación, tiene varios problemas en comparación con el cifrado simétrico, como un mayor tamaño de los mensajes codificados y necesidad de un mayor tiempo de proceso.

Protocolo SSH

El protocolo SSH determina la secuencia de eventos para lograr una comunicación segura entre dos host. Resumidamente esta consiste en:

  • Handsake encriptado (usando cifrado asimétrico) para que el cliente pueda verificar que se está comunicando con el servidor.
  • La capa de transporte de conexión entre el cliente y la máquina remota se encripta mediante un código simétrico que se establece algorítmicamente sin necesidad de ser explícitamente intercambiado, lo cual aumenta la seguridad.
  • El cliente se autentica ante el servidor.
  • El cliente interactúa con la máquina remota sobre la conexión encriptada.

El servidor se identifica ante el cliente con una llave (o clave) de host única. La primera vez que se conecta el cliente la llave no existirá y será necesario que la valide el cliente (este es un paso crítico y debería asegurarse, quizás por otros medios, que la llave es correcta). Esta llave se guarda en el cliente y en sucesivas ocasiones vale para comprobar la identidad del servidor. En ciertos casos (por ejemplo, reinstalación de la máquina servidora o que se sospecha que la clave ha sido comprometida y se ha generado otra) puede variar esta llave y es necesario eliminar la guardada para aceptar la nueva.
Para más información ver, por ejemplo: https://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/s1-ssh-conn.html

Claves del servidor

En el servidor, las claves de host se encuentran en el directorio /etc/ssh y su nombre comienza por ssh_host_. Al instalar los paquetes openssh-server y openssh-client automáticamente se generarán las llaves del host. Ej.:

$ ls -l /etc/ssh/ssh_host_*
-rw------- 1 root root  505 nov 17 23:13 /etc/ssh/ssh_host_ecdsa_key
-rw-r--r-- 1 root root  173 nov 17 23:13 /etc/ssh/ssh_host_ecdsa_key.pub
-rw------- 1 root root  399 nov 17 23:13 /etc/ssh/ssh_host_ed25519_key
-rw-r--r-- 1 root root   93 nov 17 23:13 /etc/ssh/ssh_host_ed25519_key.pub
-rw------- 1 root root 2602 nov 17 23:13 /etc/ssh/ssh_host_rsa_key
-rw-r--r-- 1 root root  565 nov 17 23:13 /etc/ssh/ssh_host_rsa_key.pub

Como se puede comprobar, tras ssh_host_ viene una palabra que indica el algoritmo de cifrado de la llave (ecdsa, ed25519, rsa) y luego _key para indicar que es una llave. Con estas condiciones aparecen dos ficheros, diferenciándose uno de otro porque uno termina en .pub (el que contiene la llave pública) y el otro no (el que contiene la llave privada). Nótese también que los permisos del fichero de la llave privada son más restringidos que los de la pública y es además de más tamaño.

Por ejemplo, los contenidos de los ficheros podrían ser:

$ cat /etc/ssh/ssh_host_ed25519_key
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAA[muchas más "letras"]bnR1AQI=
-----END OPENSSH PRIVATE KEY-----
$ cat /etc/ssh/ssh_host_ed25519_key.pub
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIKtFjC0t/wx30kIWyXsoyMVY2wL68k2k29KdelcgKzum root@ubuntu

Si ejecutamos lo siguiente, obtendremos el host fingerprint, que sirve para "validar" que la llave pública que nuestro cliente ssh recibe en la primera conexión es la "real" (también se puede copiar la clave pública del host e instalarla en nuestro cliente, con lo cual nos aseguramos de que es la válida):

$ cat /etc/ssh/ssh_host_ed25519_key.pub |cut -d" " -f2|base64 -d|md5sum
7a7ccf278a5cacfe3402a80907963ce6  -

Conexión por ssh sin contraseña

Es posible conectar por ssh a un host (y usar otras instrucciones basadas en SSH) sin necesitar de introducir una contraseña. Para identificarnos se usa, de nuevo, el sistema de llaves.
El proceso de configuración consiste básicamente en:

  • Generar en el cliente (donde vamos a ejecutar ssh) una llave (se puede hacer en Windows/puTTY con la utilidad puTTYgen.exe y en Linux con ssh-keygen).
  • Configurar el cliente ssh para que utilice la clave privada.
    Con puTTY, en el menú SSH->Auth se especificaría en el campo "Private key file for authentification" el fichero con la clave privada (se puede grabar la configuración de la conexión para que se cargue automáticamente cada vez que necesitamos conectarnos al host).
    Con Linux, desde el usuario desde el que nos conectaríamos ejecutaríamos lo siguiente:
$ mkdir ~/.ssh  #si no existe
$ chmod 700 ~/.shh #si los permisos no fueran correctos
$ vi ~/.ssh/config

y en ~/.ssh/config añadiríamos unas entrada similares a:

Host nombre
Hostname ip
User usuarioHostDestino
IdentityFile ~/.ssh/id_rsa

  • Configurar el host (servidor) para que utilice la clave pública. Para ello se ejecutaría en el host, con el usuario al que nos fuéramos a conectar con ssh, lo siguiente:
$ mkdir ~/.ssh  #si no existe
$ chmod 700 ~/.shh #si los permisos no fueran correctos
$ vi ~/.ssh/authorized_keys #añadir aquí el contenido del fichero de clave pública del cliente
$ chmod 644 ~/.ssh/authorized_keys #si los permisos no fueran correctos

Con esto, nos podríamos conectar de forma segura sin especificar la contraseña mediante ssh.

Seguridad de SSH

Nótese que la seguridad del sistema radica en:
1º Obtener de forma fiable por primera vez la llave pública del host al que nos vamos a conectar.
2º Tener a buen recaudo la llave privada.

Por otro lado, el aumento de la potencia de los ordenadores hace que los ataques de "fuerza bruta" puedan romper las llaves, razón por la cual se van "reforzando" periódicamente (por ejemplo, aumentando el número de bits de las mismas o utilizando nuevos y mejores algoritmos).

Last changed by 
Elena Campo-Montalvo
0
351

Read more

Administración de servicios de aplicación

Funciones del administrador de sistemas El administrador de sistemas es el responsable de que el sistema informático sea fiable, seguro y funcione eficientemente. Para ello, combina conocimientos de sistemas operativos, arquitectura de computadores, redes, programación y seguridad. Su rol es muy importante en una empresa y se trata de una o varias personas de confianza dentro de la organización. Las principales tareas de un administrador de sistemas son: Operaciones diarias: Algunas de estas tareas pueden automatizarse.Administración de usuarios: altas o bajas, modificar sus características o privilegios. Monitorizar el sistema:Uso de recursos: CPU, memoria, discos, etc.

Nov 20, 2024
La *bash*

Introducción La bash es una shell de UNIX/Linux. Una shell es una aplicación que facilita la interacción del usuario con el sistema operativo. Los ordenadores de propósito general y servidores se utilizan y administran generalmente a través de la shell. Bash está basada en la shell sh (de hecho su nombre procede de “Bourne-Again SHell”, en referencia a Stephen Bourne que fue el creador de sh). Se trata de una shell textual (las hay también de tipo gráfico, como la Windows shell), utilizada por defecto, de muchos tipos de Linux y, hasta hace unos años, era la shell textual de MacOS. Además de bash y sh, existen otras shell para UNIX/Linux como ksh, dash, tsch, zsh, etc. La bash se ejecuta desde un terminal. Un terminal es un dispositivo, virtual o físico que permite a un operador humano enviar mensajes de texto (generalmente desde un teclado) y recibir información textual de regreso (generalmente por una pantalla; puede incluir también pitidos de “alarma”). Desde Ubuntu, para abrir una terminal virtual desde la shell gráfica (que por defecto es Gnome Shell) se puede pulsar el icono Terminal o la combinación de teclas CTRL+ ALT+T. Se pueden abrir varios terminales a la vez según sean necesarios, identificándose cada terminal como un dispositivo (virtual) distinto. Por ejemplo:

Oct 30, 2024
Vectores (arrays) y funciones en la Bash

Arrays El uso de arrays puede resultar muy útil, en particular en scripts. Los arrays en bash tienen limitaciones (por ejemplo son de una sola dimensión, esto es, son vectores), pero también disponen de alguna caracteristica más avanzada, como los arrays asociativos. En cualquier caso, en la asignatura solo vamos a ver los arrays indexados. Declaración de un array En los arrays indexados el índice es un número entero mayor o igual a 0. Hay varias formas de declarar un array indexado, la primera explícita y las siguientes implícitas: Con la orden declare -a. Nótese que no se indica el número de elementos, ya que el tamaño de los arrays en bash varía dinámicamente. Ej.: declare -a vector

Apr 5, 2023
Programación de shell scripts para la Bash

Introducción La shell es 1)una potente interfaz con el sistema operativo basada en línea de comandos y 2)un interprete de scripts. Un shell script es un programa realizado en el lenguaje de la shell. Dicho de una forma sencilla y generalizando, un shell script es un fichero de texto que contiene órdenes que también podrían ser ejecutadas desde la línea de comandos. Los shell script son muy usados en la administración de los sistemas ya que permiten, con una sola orden, ejecutar múltiples comandos. Los scripts se utilizan frecuentemente para automatizar tareas. Ejemplos de tareas automatizables son la realización de copias de seguridad, la comprobación del espacio libre, la rotación de ficheros de log, etc. Cuando estas tareas se realizan de forma periódica su ejecución además se suele programar utilizando cron (lo veremos en el próximo Laboratorio). La shell Hay múltiples implementaciones de shell: Bourne shell (sh), Bourne-Again shell (bash), Debian Almquist shell (dash), C shell (csh), Z shell (zsh), etc. En Ubuntu, sh era la shell por defecto para el arranque del sistema, aunque desde hace años esa labor ha pasado a manos de dash (para minimizar los cambios, ahora en Ubuntu /bin/sh es un enlace simbólico a dash). Para los usuarios, la shell por defecto es bash (la shell de inicio de un usuario concreto se encuentra en /etc/passwd y se puede establecer en el momento en que se crea un usuario, con posibilidad de modificarla posteriormente). Para saber qué shell se está usando (ya sea en un terminal, ya sea en un script) se recomienda utilizar la orden:

Jan 12, 2023
Read more from Elena Campo-Montalvo
Published on HackMD