Aprenent SSH: Opcions i paràmetres del fitxer SSHD Config
A l'anterior (quarta) entrega d'aquesta sèrie de post sobre Aprenent SSH abordem les opcions especificades al fitxer de configuració d'OpenSSH que es manegen del costat del client SSH, és a dir, l'arxiu «SSH Config» (ssh_config).
Per aquesta raó, avui continuarem en aquesta penúltima i cinquena entrega, amb les opcions especificades al fitxer de configuració d'OpenSSH que es manegen del costat del servidor SSH, és a dir, l'arxiu «SSHD Config» (sshd_config).
Aprenent SSH: Opcions i paràmetres del fitxer SSH Config
I, abans d'iniciar el tema d'avui, sobre el contingut gestionable del fitxer SSHD Config (sshd_config) d'OpenSSH, deixarem alguns enllaços de publicacions relacionades:
Opcions i paràmetres del fitxer SSHD Config (sshd_config)
Què és el fitxer SSHD Config (sshd_config) per a OpenSSH?
Tal com expressem al tutorial anterior, OpenSSH té 2 fitxers de configuració. Un anomenat ssh_config per a la configuració del costat del client SSH i un altre anomenat sshd_config per a la configuració del costat del servidor SSH. Tots dos, ubicats a la ruta o directori següent: /etc/ssh.
Per tant, aquest sol ser més important o rellevant, ja que ens permet seguritzar les connexions SSH que permetrem als nostres Servidors. El que sol ser part d'una cosa coneguda com Hardening de Servidors.
Raó per la qual, a continuació, avui mostrarem per a què serveixen moltes de les opcions i paràmetres dins aquest arxiu, per a la nostra darrer i sisè lliurament d'aquesta sèrie oferir recomanacions més pràctiques i reals de com fer aquests ajustaments o canvis mitjançant aquestes opcions i paràmetres.
Llistat d'opcions i paràmetres existents
Igual que a l'arxiu SSH Config (ssh_config), el fitxer SSHD Config (sshd_config) posseeix moltes opcions i paràmetres, però unes de les més conegudes, usades o importants són les següents:
AllowUsers / DenyUsers
Aquesta opció o paràmetre sol no venir inclosa per defecte en aquest arxiu, però inserida en aquest, generalment al final del mateix, ofereix la possibilitat de indicar qui o els qui (usuaris) poden iniciar sessió al servidor via connexió SSH.
Per tant, aquesta opció o paràmetre s'usa acompanyada d'una llista de patrons de nom d'usuari, separats per espais. De manera tal, que, si s'especifica, l'inici de sessió, aleshores només es permetrà el mateix per als noms d'usuari que coincideixin amb un dels patrons.
Tingueu en compte que, per defecte, l'inici de sessió està permès per a tots els usuaris de qualsevol host. No obstant això, si el patró es configura així «USUARI@HOST», llavors USER i HOST es verifiquen per separat, cosa que restringeix els inicis de sessió a usuaris particulars des de hosts particulars.
I per HOST, també es poden utilitzar adreces en format de adreça IP/màscara CIDR. Finalment, AllowUsers pot ser substituït per DenyUsers per denegar els mateixos patrons dusuaris.
ListenAddress
Permet especificar les adreces IP locals (interfícies de xarxa locals de l'equip servidor) on el programa sshd ha d'escoltar. I per això, es poden fer servir les següents formes de configuració:
- ListenAddress nomdehost | adreça IPv4/IPv6 [domini ]
- ListenAddress nomdehost : port [domini ]
- ListenAddress adreça IPv4/IPv6 : port [domini ]
- ListenAddress [nomdehost | adreça IPv4/IPv6] : port [domini ]
LoginGraceTime
Permet especificar un temps (de gràcia), després del qual, el servidor es desconnecta, si l'usuari que està intentant fer una connexió SSH, no l'aconsegueix amb èxit. Si el valor és zero (0), sestableix que no hi ha límit de temps, mentre que, de forma per omissió està establert en 120 segons.
LogLevel
Permet especificar el nivell de verbositat per als missatges de registre de sshd. I lels valors manejables són: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 i DEBUG3. Mentre que, il valor predeterminat és INFO.
MaxAuthTries
Permet especificar el nombre màxim d'intents d'autenticació permesos per connexió. Per defecte, el valor està establert a 6.
MaxSessions
Permet especificar el nombre màxim de sessions obertes de Shell per cada connexió de xarxa establerta, ja siguin, mitjançant inicis de sessió o per subsistema usats, per exemple, via sftp. Eestablir el seu valor a 1, farà que es deshabiliti la multiplexació de sessions, mentre que si s'estableix a 0, es bloquejaran tots els tipus de connexions i sessions. Per defecte, el valor està establert a 10.
MaxStartups
Permet especificar el nombre màxim de connexions no autenticades simultànies al dimoni SSH, és a dir, la quantitat de connexions SSH que es poden obrir per cada IP/Host. El seu valor predeterminat sol ser 10, 30 o 100, cosa que sol ser considerada alta, per la qual cosa es recomana un valor menor.
Autenticació de contrasenya
Permet especificar si s'exigirà l'autenticació amb contrasenya. Per defecte, el valor està establert com a «Si» (Yes).
PermitEmptyPasswords
Permet especificar si el servidor aprovarà (autoritzarà) iniciar la sessió en comptes d'usuaris amb cadenes de contrasenya buides. Per defecte, el valor està establert com a «No».
PermitRootLogin
Permet especificar si el servidor aprovarà (autoritzarà) començar sessions de connexió en comptes d'usuaris root. Encara que, de forma predeterminada, el seu valor està establert com a «prohibit-password», l'ideal és establir-lo a «No», que estableix de forma total que no es permet que un usuari root arrenqui una sessió SSH.
Port
Permet especificar el número de port, a través del qual, el programa sshd estarà escoltant totes les peticions de connexió SSH. Per defecte, el valor està establert a «22».
Modes estrictes
Permet especificar si el programa SSH ha de verificar els modes de fitxer i la propietat dels fitxers i el directori d'inici de l'usuari abans d'acceptar l'inici de sessió. Per defecte, el valor està establert com a «Si» (Yes).
SyslogFacility
Permet que es proporcioni el codi d'instal·lació que s'utilitza en registrar missatges del programa SSH. Per defecte, el valor està establert com a «Autorització» (AUTH).
Nota: Depenent del SysAdmin i els requeriments de seguretat de cada plataforma tecnològica, moltes altres opcions poden ser molt útils o necessàries. Tal com veurem a la nostra propera i última publicació d'aquesta sèrie, on ens enfocarem en les bones pràctiques (consells i recomanacions) sobre SSH, a aplicar usant tot el que s'ha mostrat fins ara.
Més informació
I en aquesta quarta entrega, per ampliar aquesta informació, i estudiar totes i cadascuna de les opcions i paràmetres disponibles dins del fitxer de configuració SSHD Config (sshd_config), recomanem explorar els següents enllaços: Fitxer de configuració SSH per al Servidor OpenSSH y Manuals oficials d'OpenSSH, en anglès. I tal com, en les tres anteriors entregues, explorar els següents continguts oficials i fiables en línia sobre SSH i OpenSSH:
- wiki Debian
- Manual de l'Administrador de Debian: Inici de sessió remot / SSH
- Manual de seguretat de Debian: Capítol 5. Assegurar els serveis
Resum
En resum, amb aquest nou lliurament sobre «Aprenent SSH» estem gairebé finalitzant el contingut explicatiu sobre tot allò relacionat amb OpenSSH, en oferir el coneixement essencial sobre els arxius de configuració SSHD Config (sshd_config) y SSH Config (ssh_config). Per tant, esperem que estigui sent útil per a molts, tant personalment com professionalment.
Si us ha agradat aquesta publicació, no deixeu de comentar-la i de compartir-la amb altres. I recorda, visitar la nostra «pàgina d'inici» per explorar més notícies, a més d'unir-te al nostre canal oficial de Telegram de DesdeLinux, O aquest grup per a més informació sobre el tema actual.