Administración de Servidores y Seguridad SSH

Resumen

En el mundo dinámico de la administración de servidores web y la informática en la nube, es esencial conocer las herramientas de control y gestión de recursos digitales. En este artículo exploraremos cómo podemos manipular de manera eficiente nuestro droplet utilizando el panel de control de DigitalOcean, haciendo hincapié en la importancia del manejo de la consola web en situaciones de emergencia y el cambio de puertos como medida de seguridad.

¿Qué es el proyecto dentro del panel de control de DigitalOcean?

Cuando ingresamos al panel de control de DigitalOcean, una de las primeras opciones que encontramos es "Proyecto". Como aprendimos en clases previas, un proyecto es la forma de agrupar nuestros recursos digitales. Para crear un nuevo proyecto, solamente necesitamos proporcionar un nombre, una descripción y el propósito que tendrá. En este caso, trabajaremos con el proyecto existente "Planche".

¿Cómo acceder a la consola web para administrar nuestro droplet?

La opción "Access" en nuestro droplet es crucial cuando nos enfrentamos a situaciones como: olvidar la contraseña, problemas con nuestra llave SSH, o simplemente necesitar acceso de emergencia desde otro computador. Este acceso nos permite restablecer la contraseña root, la cual se enviará a nuestro correo electrónico. Después de esperar que DigitalOcean procese la solicitud, busca en tu correo la nueva contraseña.

¿Cuándo y cómo cambiar la contraseña de root en la consola web?

Al acceder a la consola web con la contraseña nueva, el sistema operativo nos pedirá que generemos una contraseña que recordemos. Aquí deberás crear una nueva contraseña. Esta será tu llave para acceder en caso de que necesites hacerlo mediante la consola web en un escenario de emergencia.

¿Qué hacer si sospechamos un ataque a nuestro servidor?

Si detectas un intento de intrusión a tu servidor, una reacción eficiente es cambiar el puerto estándar, que por defecto es el 22, por otro no estándar. Esto ayuda a disminuir la probabilidad de ataques automatizados. En el directorio /etc/ssh, mediante el editor nano, puedes modificar la configuración para cambiar el puerto. Por ejemplo, podrías usar el puerto 45554.

¿Cómo reiniciamos el servicio SSH tras cambiar el puerto?

Después de cambiar el puerto en la configuración, es necesario reiniciar el servicio ssh para que los cambios tengan efecto. Este proceso se realiza ejecutando el comando service ssh reload. Una vez hecho esto, debes verificar el acceso desde tu consola local utilizando el nuevo puerto.

El conocimiento del panel de control de DigitalOcean y sus funciones es un pilar para la administración eficiente de tus recursos en la nube. En particular, saber cómo acceder a la consola web y manejar situaciones de emergencia, junto con prácticas como el cambio de puertos para la seguridad, son habilidades valiosas en la gestión de servidores modernos. Recuerda explorar y aprender continuamente sobre las demás opciones del panel para sacar el máximo provecho a tu infraestructura digital.

Alejandro Jimenez

student•

Ok, cómo te puedes dar cuenta que quieren hacer login en tu cuenta desde el puerto 22? para qué más sirve cambiar el puerto? Es buena idea cambiar de manera regular el puerto?

Santiago Bernal

teacher•

A tu primera pregunta, revisando el archivo auth.log, más info

 egrep "Failed|Failure" /var/log/auth.log```

2. Cambiar el puerto sirve para evitar que Scanners de red automatizados (como Shodan.io) puedan encontrar fácilmente tu servicio SSH

3. No es necesario cambiarlo regularmente, es útil si lo cambias una vez, y bloqueas el acceso a IPs que no estén autorizadas en tu listado en */etc/host.allow*

Japheth Calzada López

student•

Hola una pregunta, recuerdo que puse una opción para que no me pidiera la llave ssh para accesar, se que no es lo recomendable, pero tengo ahorita otra cuenta con Digital Ocean y no encuentro dicha opción y me la pidio mi compañera con la que realizo el proyecto, alguien sabría ????

Santiago Bernal

teacher•

Hola Japheth, en estos enlaces están los pasos para agregar tu llave SSH a tu proyecto (cuenta) y también a tu droplet una vez esté creado: https://www.digitalocean.com/docs/droplets/how-to/add-ssh-keys/ https://www.digitalocean.com/docs/droplets/how-to/add-ssh-keys/to-account/

Alexander Silvera

student•

Como se que están intentando hacer un ataque a mi servidor??

Kevin Morales

student•

Mucho de esto se enseña en el curso de Seguridad Informática y en la carrera en general.

Juan Rodrigo de la Cruz García García Briseño

student•

Tienes que estar monitoreando tu sitio, hay una herramienta de monitoreo que activas en tu droplet... pero imagino que serían muchos factores como incremento de tráfico de forma absurda , serie de registros logs raros de no acceso y demás

Melany Ventura

student•

wow!

Angel Hernandez

student•

service ssh restart

Miguel Ángel Bocanegra

student•

Sebastián Deantonio

student•

Ayuda: Intento conectarme desde terminal y me arroja Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password). Ya tengo configurado la autenticación por root en yes y con password con yes.

Sebastián Deantonio

student•

Cuando reinicio con systemctl reload sshd arroja: job for sshd.service invalid Ayuda!! Tengo la página caída y no puedo ingresar desde la terminal

José Eduardo Ormeño Meneses

student•

Al abrir la consola de digital ocean solo me permite hacer systemctl reload ssh porque si ingreso "sshd" me marca error, A que se debe?

Edgar A. Orozco

student•

En el contexto de la clase, se utilizó un ejemplo de ataque como una medida para ilustrar la importancia de la seguridad en la administración de servidores. Los ataques a través del puerto 22 son comunes, ya que es el puerto predeterminado para SSH, lo que lo convierte en un objetivo frecuente para los hackers. Cambiar el puerto a uno no estándar es una de las prácticas recomendadas para fortalecer la seguridad de un servidor. Esto ayuda a mitigar riesgos y a proteger los recursos administrados en plataformas como DigitalOcean.

Noé Muñoz Pérez

student•

Hice el cambio del puerto ssh conforme a la clase, pero no sólo no me permitía conectarme desde mi terminal, sino que además no me dejaba conectarme desde la terminal web. Al final logré reestablecer la configuración del puerto en el droplet desde la recovery ISO. Esto sin eliminar el droplen, por supuesto; destruir el droplet era mi última opción. Por cierto, me denegaba el acceso aún habiendo cambiado el puerto de acceso en el firewall.

Daniel Eduardo Rojas Pulido

student•

me pasó igual, decidí dejar todo como estaba antes

Daniel Eduardo Rojas Pulido

student•

A mi no me funcionó:

root@miPrimerDroplet:/etc/ssh# systemctl reload sshd

Failed to reload sshd.service: Unit sshd.service not found.

Mario Nestor Barrios Ruiz

student•

Para los que les dio algun error y ya no pudieron acceder a la droplet por cambiar el puerto. Pueden dar clic en "Launch Recovery Console" y si crearon la droplet con contraseña podrán acceder y comentar de nuevo la línea para dejarlo como estaba y luego reiniciar el servicio sshd

Mario Nestor Barrios Ruiz

student•

Al cambiar de puerto ya no pude entrar a mi droplet 😫

Juan Manuel Hincapié

student•

Podemos hacer cosas como solicitar nuevas contraseñas al correo electrónico en caso de perder las llaves o requerir acceder al sistema de caracter urgente, además en caso de estar recibiendo un ataque por el puerto 22 lo que puedo hacer es:

Ir a la carpeta

$ cd /etc/ssh

Editar el archivo

$ vim sshd_config

Cambiamos el puerto
Reiniciamos el servicio ssh

$ systemctl reload sshd

Erik Cardenas Vicente

student•

Cambio de puerto del servicio SSH

Gonzalo Amador Hernández

student•

Cambiar el puerto es una gran estrategia, en caso de emergencias. tambien pueden combinar esta estrategia con limitar el rango de direcciones ip.

una estrategia aun mas hard core es una llamada Port knocking que consiste en abrir un puerto hasta que ayas hecho la secuencia correcta de toque de puertos. pueden leer mas en:

Dennis David Arango Mandieta

student•

excelente clase.

Dilan Bocanegra

student•

Me gusta la interfaz para manejar Digital Ocean

José Manuel Espinoza Castro

student•

Hay un bucle en el minuto 2:33...

 egrep "Failed|Failure" /var/log/auth.log```

2. Cambiar el puerto sirve para evitar que Scanners de red automatizados (como Shodan.io) puedan encontrar fácilmente tu servicio SSH

3. No es necesario cambiarlo regularmente, es útil si lo cambias una vez, y bloqueas el acceso a IPs que no estén autorizadas en tu listado en */etc/host.allow*

Administración de Servidores y Seguridad SSH

Introducción a Digital Ocean y las IaaS

Implementación de Aplicaciones Web en la Nube con DigitalOcean

Opciones de Hosting para Aplicaciones Web

Creación de Cuenta y Proyecto en Digital Users Paso a Paso

Creación y Configuración de Droplets en DigitalOcean

Opciones de Almacenamiento en Digital Ocean: Volúmenes y Espacios

Despliegue rápido de aplicaciones con Market Place de DigitalOcean

Configuraciones de un Droplet

Autenticación de Doble Factor en Panel de Control Digital

Administración de Servidores y Seguridad SSH

Gestión de Volúmenes en Unix: Creación y Montaje de Particiones

Escalamiento Vertical de Recursos en Servidores Virtuales

Configuración de Redes Privadas y Públicas en Servidores Europeos

Copias de Seguridad y Restauración en Servidores Linux

Importancia del Kernel en sistemas Linux y su gestión en Digital Ocean

Historial y eliminación de recursos en Git History

Gestión de Etiquetas, Recuperación y Gráficas en Panel de Control

API de Digital Ocean

Uso de APIs para autenticación y gestión de datos

Creación de API para Automatización de Tareas

Automatización de Tareas con API de Digital Ocean y Postman

Despliegue de un servidor web

Instalación de WordPress con Nginx y PHP en Ubuntu

Configuración de Subdominios en Digital Ocean para WordPress

Instalación de PHP en Servidor Linux paso a paso

Instalación y Configuración de Servidor MySQL en Ubuntu

Instalación de WordPress en Servidores DigitalOcean

Despliegue de un servidor VPN

Creación y Configuración de un Servidor VPN con OpenVPN

Conexión a Servidor VPN en Windows, Linux y MacOS

Conclusiones

Gestión de Servidores Virtuales y Automatización en la Nube