Autenticación de clientes y servidores sobre SSH

Clase 21 de 47 • Curso de Administración de Servidores Linux

Contenido del curso

Bases del sistema operativo

Instalación y manejo de software en Linux

Administración de usuarios

Servicios en el sistema operativo

Bash scripting

Asegurando tu servidor

Proyecto

Bonus: Linux en Azure

Conclusiones

47
Lo que aprendiste sobre servidores linux
00:59 min

Tomar examen

Resumen

SSH es un protocolo que nos ayuda a conectarnos a nuestros servidores desde nuestras máquinas para administrarlos de forma remota. No es muy recomendado usar otros protocolos como Telnet, ya que son inseguros y están deprecados.

Con el comando ssh-keygen podemos generar llaves públicas y privadas en nuestros sistemas, de esta forma podremos conectarnos a servidores remotos o, si es el caso, permitir que otras personas se conecten a nuestra máquina.

Para conectarnos desde nuestra máquina a un servidor remoto debemos:

Ejecutar el comando ssh-copy-id -i ubicación-llave-pública nombre-usuario@dirección-IP-servidor-remoto y escribir nuestra contraseña para enviar nuestra llave pública al servidor.
Usar el comando ssh nombre-usuario@dirección-IP-servidor-remoto para conectarnos al servidor sin necesidad de escribir contraseñas.

También podemos usar el comando ssh -v ... para ver la información o los errores de nuestra conexión con el servidor. Puedes usar la letra v hasta 4 veces (-vvvv) para leer más información.

Las configuraciones de SSH se encuentran en el archivo /etc/ssh/sshd_config.

Comentarios

Facundo Nicolás García Martoni

teacher•

++RESUMEN DE LA CLASE++ | ++Autenticación de clientes y servidores sobre SSH++ | | SSH: Secure Shell, es un protocolo que permite conectar dos computadoras de forma remota sin necesidad de un password, únicamente con la interacción de una llave pública y una llave privada (aunque podemos colocar una contraseña sobre las llaves) | | ++Configuración++ |

En el servidor, abrir el archivo /etc/ssh/sshd_config con algún editor. Leer el archivo y configurar a gusto.
En la consola de la máquina cliente abrir ssh-keygen para generar las llaves
Elegir ubicación para guardar la llave privada
Ejecutar ssh-copy-id -i directorio_de_llave/id_rsa.pub nombre_usuario@direccion_ip_del_servidor para copiar la llave pública al servidor
Ejecutar ssh nombre_usuario@direccion_ip_del_servidor en la máquina cliente para conectarnos exitosamente de forma remota

| | ++Tips++ |

En lugar de descargar Putty en Windows podemos utilizar el emulador de consola Unix llamado Cmder para ejecutar los comandos vistos en clase. Incluso si esto falla, lo que personalmente recomiendo es instalar un subsistema de linux si tenemos Windows 10. Platzi tiene incluso un artículo sobre como hacer eso: https://platzi.com/clases/1378-python-practico/19200-importante-instalando-ubuntu-bash-en-windows-para-/
Si la conexión falla, podemos usar el modificador -v (verbose) en el comando ssh para poder ver la información que envían las máquinas que intentan conectarse. La "v" puede repetirse hasta cuatro veces, quedando el comando, por ejemplo, como: ssh -vvvv nombre_usuario@direccion_ip_del_servidor. A mas "v" pongamos, más información se mostrará | | ++BONUS++ | Reto: Restringir el acceso al usuario root por ssh, y permitir solo un usuario determinado conectado | Solución: |

Colocar en el archivo /etc/ssh/sshd_config del servidor las siguientes líneas:

PermitRootLogin no
AllowUsers nombre_usuario

Ejecutar el siguiente comando para reiniciar el servicio de ssh:

sudo service sshd restart

Danilo Hernandez

student•

Gracias Facundo.

Leonardo Ramos Soto

student•

gracias por el aporte

Manuel David Franco Gómez

student•

Con Windows Solucionado Sino te funciona porque estas usando Windows aquí la solución:

*Descargamos git para windows, que es una terminal de donde podemos usar comandos de linux *Abrimos Git Bash lo instalamos en el paso anterior *Ejecutamos lo siguiente para generar la llave ssh-keygen -b 4096 -t rsa *Tendremos que presionar 3 veces "Enter" para dejarlo predeterminado. *Listo ya generamos la llave, ahora enviamos la llave publica a nuestro servidor *Ejecutamos en la misma terminal ssh-copy-id platzi@192.168.75.130 La IP de tu servidor puede ser distinta Puedes verla dando ifconfig del lado del servidor. *Ingresamos la contraseña de platzi *Listo ya tendríamos que poder conectarnos por SSH sin contraseña *Damos exit para salir de la terminal *Ahora nos conectamos de nuevo al servidor *ssh platzi@192.168.75.130 *Listo, no tendría que pedirte la contraseña

Pablo nicolas Valenzuela caceres

student•

Gracias compañero

Fernando José Trasvent Acuña

student•

Excelente aporte, muchas gracias.

Marino Checo

student•

Bueno... es verdad que nos deben dar una orientación de como hacer algo... **pero que nos digan que ya lo tengo hecho no lo voy hacer... creo que esta mal... **... Aquí en este tema falto muchos otros aspectos por abordar....

Marino Checo

student•

Aquí explican detallan un poco mas sobre este tema...

https://platzi.com/clases/1650-prework/21958-crea-llaves-ssh/

Fernando Torres

student•

Totalmente, gracias por el recurso

Edwin Garcia

student•

hay que agregar en /etc/ssh/sshd_config PermitRootLogin no AllowUsers <nombre de usuario> o si se quiere agregar un grupo AllowGroups <nombre del grupo> // Tambien se puede denegar el acceso con DenyUsers o DenyGroups

Hugo Iván

student•

Gracias por el aporte, usaste algún material de apoyo en especifico ?

Emerson Cedeño

student•

En el caso que hayan guardado la llave en ~/.ssh/ con un nombre diferente al por default, digamos llave_curso, el comando a utilizar para conectarse sería el siguiente:

ssh -i ~/.ssh/llave_platzi platzi@192.168.10.186

IMPORTANTE: cuando no trabajan con el nombre por default, señalar el nombre de la llave, de otra forma buscará archivo de nombre id_rsa y dar con esto les tomará tiempo y un par de dolores de cabeza ;-)

Leonardo Parra

student•

Muy necesaria esta aclaración

Gustavo Gonzalez Montero

student•

Estaba a punto de hacer este comentario. En mi caso yo hice la llave a traves de la terminal de windows (Windows terminal) porque tengo instalado el WSL (Windows subsystem for linux) que lo usé antes apra una practica de Github y ya tenía una llave generada con el standard "id_rsa". Y cuando intenté loggearme sin el password no me servía. Por dicha en el "man ssh" explican como indicar el archivo de la llave específica que uno quiere usar y lo resolví.

Sergio Ponce España

student•

Todo expuesto de una forma muy genérica y dando por supuesto muchos conocimientos.

Omar Garrido García

student•

https://www.youtube.com/watch?v=2TLqfsPOYCc&t=185s Banda que usa Windows, sigan este tutorial al pie de la letra, tal y como lo marcan, para poder hacer la conexión remota usando Putty

Ana Rivera

student•

Muchas gracias, la verdad nunca había realizado este tipo de conexiones antes y desconocia este tipo sofware, de no ser por los comentarios no habría sabido si era correcto o no y como realizarlo.

Brayan Alexis Lechon Andrango

student•

reto completado 🤠 en el archivo sshd_config del servidor añadí la siguiente línea PermitRootLogin no despues reincicie el servidor con sudo service sshd restart trate de ingresar por consola en mi cliente pero no me permitió el acceso.

Cristian Acalo

student•

🦄Bro... es normal que me haya sentido tan bien cuando logré conectar mi WSL con el servidor? jajsjjs✨

Jose Luis Quintero Sanchez

student•

Lo que son los sesgos, Ya leo Keygen y esto me recuerda a Software Pirata.

Jonathan A.

student•

sisa

hector luis vargas medina

student•

me resulta muy confuso alternar entre Centos y Ubuntu en tre clase y clase Hubiese sido mejor que se enfocaran en uno solo.

ricardo vargas

student•

que tema mas complejo para pretender explicarlo en una clase. quedense con la idea de que SSH es un protocolo de red que encripta informacion entre un usuario y su servidor con una doble llave donde el ususario asegura la informacion, la envia al servidor, este la aseura tambien y la retorna al ususario, el cual al verla ya asegurada por el servido la libera de su seguridad y queda la informacion bajo responsabilidad del servidor. no se maten la cabeza tratando de hacer los ejercicios del profesor porque se requieren otros recursos, como maquina virtual u otro pc o algo. ahi se quedo corto el profesor en no especificar esas cosas

Jhon Castro

student•

sudo vi /etc/ssh/sshd_config No permitir logueo con root PermitRootLogin no habilitar solo usuario AllowUsers NOMBRE_USUARIO Habilitar usuarios de grupo específico AllowGroups NOMBRE_GRUPO Denegar acceso a usuario DenyUsers NOMBRE_USUARIO Denegar acceso a todos los usuarios de un grupoi DenyGroups NOMBRE_GRUPO

Martin Santiago

student•

Vengo del curso de introducción a la terminal y línea de comandos, me parece que esta clase y también el curso ayudan mucho y por supuesto nutren el conocimiento aprendido con esta parte del otro curso, ¡recomendado!

Javier Avilés

student•

el link de Marino es de otro curso y está genial! https://platzi.com/clases/1650-prework/21958-crea-llaves-ssh/

Walter Lensinas

student•

Si se tiene que hacer a mano, se tiene que realizar de la siguiente manera

crear llave publica ssh-keygen -t rsa -b 4096 -C "comentario" el comentario es importante si manejas muchas ssh keys.
copiar la llave publica. En windows usando git bash clip < ~/.ssh/nombre-llave.pub pone el nombre de la llave que generaste.
Ir al servidor ssh usuario@xxx.xxx.xxx.xxx
Generar la carpeta ssh con mkdir ~/.ssh
Asignarle permisos chmod 700 ~/.ssh
crear en ~/.ssh el archivo authorized_keys con touch ~/.ssh/authorized_keys
Asignarle permisos chmod 600 ~/.ssh/authorized_keys
abrir con vim ~/.ssh/authorized_keys y pegar nuestra llave. En vim se guarda con apretando escape y luego tipear !wq
salimos con exit
probamos conexion ssh usuario@xxx.xxx.xxx.xxx

En windows a veces no toma el agente ssh las llaves que generamos, por eso es conveniente realizarlo a mano. Vamos a nuestro usuario C:\users\nuestro-usuario y generamos un archivo .bashrc aqui pegamos lo siguiente:

eval "$(ssh-agent -s)"
ssh-add ~/.ssh/llave-privada

Cuando abras git bash te va a aparecer el mensaje de que se agrega la llave al agente.

Hector Francisco Medina Garnica

student•

[Reto-01] Deshabilitar el acceso de la cuenta "root": a) Editar el archivo "sshd_config": sudo nano /etc/ssh/sshd_config b) Asignar el valor "no" al parametro "PermitRootLogin": PermitRootLogin no c) Reiniciar el servicio "ssh" : sudo systemctl restart sshd

[Reto-02] Restringir el acceso remoto ssh a la cuenta "platzi": a) Editar el archivo "sshd_config": sudo nano /etc/ssh/sshd_config b) Asignar el valor "platzi" al parametro "AllowUsers": AllowUsers platzi c) Reiniciar el servicio "ssh" : sudo systemctl restart sshd

Emerson Cedeño

student•

Otro tip, para el caso de que manejen numerosas conexiones a servidores linux por ssh, manejar un archivo config les hará la vida un poco más sencilla, acá les dejo la clase (del curso anterior) donde tratan el tema!

José Rodrigo Arana Hi

student•

unas dudas muy puntuales, a partir de esta clase, ¿se puede acceder al servidor porque instalamos Nagios? o se puede accesar al servidor con solo la conexión ssh (sin hacer alguna instalación extra)? la ip del servidor, ¿es la pública o la local? esta clase fue muy interesante. saludos!

Erlyn David Ascarate Lachi

student•

Hola. La conexión ssh la establecí antes de instalar Nagios. Te cuento que en la clase en la que instalamos Nagios, no podia copiar los comandos en la maquina virtual, y como no queria escribirlos a mano, establecí una conexion ssh para poder pegarlos atraves de mi consola local.

La ip que use fue 192.168.206.28. La optube despues de ejecutar el comando "ip a" en el servidor. Me parece que la ip es local

Entonces quedo así: ssh platzi@192.168.206.28

Erlyn David Ascarate Lachi

student•

Me parece que la ip es local: quise decir ip privada

Gerson Cortes

student•

#ques SSH# SSH es el acrónimo de Secure Shell, y es un protocolo que se utiliza en el manejo de servidores de forma remota, permitiendo a un usuario realizar toda clase de tareas sobre el mismo. En las conexiones realizadas por medio de SSH, toda la información viaja de forma encriptada , lo cual lo convierte en uno de los medios más seguros a la hora de trabajar en un servidor...

Jefferson Sanjuan Ortiz

student•

Buena ilustración

Autenticación de clientes y servidores sobre SSH

Bases del sistema operativo

Aviso de renovación del curso

Lo que aprenderás sobre la administración de servidores linux

Distribuciones más utilizadas de Linux

Instalación de Ubuntu Server

Instrucciones para instalar CentOS

Gestión del árbol de directorios

Diferencias entre LESS, CAT, HEAD y TAIL para lectura de archivos

Interacción con archivos y permisos

Conociendo las terminales en linux

Manejo y monitoreo de procesos y recursos del sistema

Monitoreo de recursos del sistema

Instalación y manejo de software en Linux

Análisis de los parámetros de red

Administración de paquetes acorde a la distribución

Manejo de paquetes en sistemas basados en Debian

Administración de software con YUM y RPM para CentOS

Nagios: Desempaquetado, descompresión, compilación e instalación de paquetes

Administración de usuarios

Los usuarios, una tarea vital en el proceso de administración del sistema operativo

Creando y manejando cuentas de usuario en el sistema operativo

Entendiendo la membresía de los grupos

Usando PAM para el control de acceso de usuarios

Servicios en el sistema operativo