Este documento describe cómo configurar el acceso SSH seguro entre varios servidores utilizando claves públicas y privadas. Explica cómo generar las claves, pasar las claves públicas a los servidores y comprobar el acceso SSH entre los servidores y clientes utilizando las claves privadas. También muestra capturas de pantalla verificando los permisos de archivos, cambiando puertos SSH y restringiendo el acceso SSH a usuarios específicos.
1. Utilizando ssh con seguridad y
conociciendo sus opciones y
comandos
APERLLIDOS ,NOMBRE: MARTIN RIVERO , JAVIER
1. Tendreís que generar un par de llave privada/pública (conocido con el nombre
de cifrado asimétrico) desde cualquier ubuntu que tengais (Desktop, Server, etc.)
y colocar la llave pública en todos los servidores (openldap, cabinadisco, ipcop) y
la llave privada en todos los clientes ssh.Capturas donde se observe que el par de
llaves se pasa mediante scp a los servidores cabinadisco e ipcop. Capturas de
que se puede entrar a todos ellos tanto desde Tunnelier como desde modo
comando desde cualquiera de los tres ordenadores (openldap, cabinadisco, ipcop
- en este caso instalarlo vía addons) a los otros tres servidores vía ssh.
PASAR LAS LLAVES A LOS SERVIDORES
Pasamos la llaves desde openldap a cabinadiscos atraves del comando scp
Luego hacemos la misma operación pero hacia el ipcop, teniendo en cuenta que el puerto de ssh del
ipcop es el 8022.
ACCESO CON LLAVE A LOS DISTINTOS SERVIDORES
2. Comprobamos que desde openldap puede acceder a si mismo mediante llave.
Despues accedemos de openldap a cabina de discos mediante la llave.
Por ultimo desde openldadp a ipcop con llave, teniendo en cuenta que tenemos que indicarle el
puerto 8022.
3. Ahora desde cabina de discos accedemos a localhost mediante llave privada.
Luego de cabina de disco a openldap mediante llave privada.
Y por ultimo desde cabina de disco a ipcop,mediante llave privada,indicando el puerto y 8022 y el
usuario root.
Desde ipcop accedemos a nosotros a localhost con llave privada.
4. Luego desde ipcop a openldad con llave privada.
Por ultimo desde ipcop a cabina de disco mediante llave privada
Tunnelier
5. Acceso desde tunnelier mediante llave a ipcop, indicandole el puerto 8022.
Acceso a openldap a traves de la llave.
6. Acceso a cabina de disco mediante la llave.
2. Mostrar imagenes donde se observe los permisos del servidor y del cliente en
relación a los directorios y fichero usados.
Permisos mediante un ls -alh, de los archivos utilizados en openldadp
Los permisos de los archivos utilizados en cabina de discos.
7. Los permisos de los archivos utilizados en ipcop.
3-Entrar desde cualquier cliente ssh (1 de windows y otro de linux) a los tres servidores y subir
capturas que no deje mediante usuario-contraseña.
Entramos desde xp via ssh por tunnelier por contraseña al ipcop y observamos que no es posible
porque solo podemos entrar con llave.
8. Luego comprobamos acceder via ssh al openldap via contraseña y nos dice que no puede entrar
porque solo podemos entrar con llave.
Por ultimo intentamos acceder via cabina discos y nos dice que no puede entrar, solo mediante
llave.
9. Desde un cliente ubuntu
Accedemos al ipcop y no nos deja, nos pide la llave.
Ahora hacemos lo mismo y accedemos a openldap y tampoco nos deja, nos pide la llave.
Y por ultimo accedemos a openldap y tampoco nos deja acceder con contraseña nos pide la llave.
4- Captura donde se observe que habeis cambiado el puerto de conexión. Me
interesa ver el mensaje que sale. Conexión con ssh y scp.
Cambiamos el puerto ssh del ipcop del 8022 al 22.
Comprobamos con el comando scp si el puerto esta cambiado, intentamos copiar archivos al
directorio root de nuestro ipcop con el puerto 8022 y no nos deja, por que hemos cambiado el
puerto, en cambio probamos con el puerto 22 y si nos deja.
10. Y por utlimo probamos el acceso a nosotros mismo desde el ipcop, con el comando ssh,
demostrando que no podemos entrar por el puerto 8022 y si por el puerto 22.
5-Captura donde se observe el banner.
Habilitando el banner en el archivo de configuracion de ssh y editando el archivo /etc/issue.net para
añadir el contenido que queremos en el banner podemos comprobar en la anterior captura que
accediendo a nosotros mismos mediante ssh, antes de conectarnos nos sale el banner avisandonos
que nos hemos conectado.
6-Captura donde se observe la opción AllowUsers (que funcione y otro que no)
en OpenLDAP. Me interesa ver el mensaje que sale. Tendréis que crear otro
usuario que se llame prueba y que se observe que es posible entrar con uno y no
con el otro.
Creamos con un usuario llamado prueba con el comando adduser.
11. Añadimos en el archivo de configuracion los usuarios que queremos que puedan entrar via ssh
como observamos pueden entrar tanto el usuario martinrivero como prueba con dicha
configuracion.
Entramos mediante llave-contraseña con prueba y nos deja entrar con el usuario prueba.
12. Ahora cambiamos para que solo pueda entrar martinrivero y el usuario prueba.
Como observamos en la anterior captura si nos deja entrar con el usuario martinrivero
Pero no con el usuario prueba.