2. Cómo configurar SSH, SCP y SFTP en Mandriva Linux

Instalación y configuración

SSH son las siglas de Secure SHell. Lo que te ofrece es una consola en un ordenador remoto con los privilegios que tenga la cuenta con la que conectes. Se trata de un protocolo de acceso remoto que permite copiar datos de forma segura, pasar datos de cualquier aplicación mediante tunneling con SSH. Y todo esto con encriptación de datos. Trabaja por el puerto 22, cosa que no hay que olvidar a la hora de abrirlo en el firewall de Mandriva.

Los archivos de configuración que se ocupan de SHH, son:
- sshd_config (Para los servidores)
- ssh_config (Para los clientes)

Nosotros sólo necesitamos retocar el primero.

Puede ser que venga ya instalado y solo tengáis que ir al Centro de Control de Mandriva para abrir los puertos, pero por si no lo estuviera, como root ejecutamos:

# urpmi openssh


Esto automáticamente nos instalará las dependencias openssh-clients y openssh-server. Una vez instalado pasamos a la configuración del sistema. En el archivo sshd_config, que se encuentra en /etc/ssh/, encontraremos un apartado con lineas comentadas y otras descomentadas tal que así:

La parte descomentada es la que se ejecutará de forma predeterminada. Ahora nosotros vamos a configurar el archivo para tener unas mínimas condiciones de seguridad en cuanto a proteger el acceso por usuario. El acceso por clave pública/privada lo veremos más adelante.

Cambiaremos el puerto para evitar los robots que atacan directamente al de SSH. Esto no quita que el caco pueda intentar averiguar “el portal” si sabe cómo hacerlo, pero al menos, le ponemos impedimentos. También hay scripts que atacan directamente el puerto 22, por lo que el cambio de puerto es algo obligatorio. Para esto pondremos la variables siguientes en el archivo anterior:

#Cambiamos el puerto
Port 9918

#Especificamos que use el protocolo versión 2
Protocol 2

Respecto a las opciones de autentificación, encontramos dos. La primera es el número de segundos que tendrá el usuario remoto para hacer login en tu máquina. Como no deberíamos tardar mucho en hacer login si sabemos la cuenta y la password, vale la pena poner un valor pequeño. De esta forma evitamos ciertos scripts que se aprovechan de ese tiempo.
LoginGraceTime 15


Otra opción fundamental que tenemos que desactivar es permitir el acceso en modo “root”. Si queremos usar comandos de administrador, o instalar algun paquete o cualquier cosa para la que necesitemos ese tipo de permisos, lo podemos hacer mas tarde estando ya dentro del sistema remoto, con el comando “su”.
PermitRootLogin no


También podéis señalar con el dedo las cuentas que tienen permitido el uso SSH (AllowUsers). Esto es muy útil para restringir el uso de SSH en el acceso a nuestra cuanta a quien nosotros queramos. Además de restringir el acceso de esta forma, también se puede hacer mediante la IP desde donde nos vamos a conectar.
AllowUsers mandriva amigo
AllowUsers nuestra_cuenta cuenta_amigo@IP_amigo


Quien intente conectar debe acordarse de su login y password, por lo que es tontería darle un número grande de intentos. En principio con dos son más que suficientes. Si al segundo intento no lo ha conseguido se cortará la conexión SSH. Siempre se puede volver a conectar y reintentarlo, pero así nos quitamos de encima ciertos scripts que intentan encontrar el login por fuerza bruta a base de ensayo y error.

MaxAuthTries 2


Otra opción interesante es marcar un máximo de conexiones simultáneas. En nustro caso al ser 5 personas en el grupo de SO, vamos a configurarlo para poder entrar todos al mismo tiempo.
MaxStartups 5
A

hora solo queda reiniciar el servicio ssh para que los cambio se apliquen:
# service sshd restartSSH tiene infinitas opciones de configuración y de ejecución, si queréis ampliar más es conveniente mirar el manual (# man ssh).

Acceso por clave pública/privada

La generación de una pareja de claves pública-privada se realiza ejecutando en el cliente ssh-keygen. Nos dará la opcion de crear una palabra de paso aunque en caso de pulsar intro nos creará una en blanco, la cual no nos será requerida cuando accedamos.
# ssh-keygen -t rsa


Las claves se almacenan por defecto en ~/.ssh/, quedando el directorio así:

Los ficheros id_rsa e id_rsa.pub contienen respectivamente las claves privada y pública. El fichero known_hosts contiene la lista de las claves públicas de las máquinas reconocidas.

Ahora se debe copiar la clave pública al fichero ~/.ssh/authorized_keys de cada usuario que vamos a usar, dentro del servidor al que queremos acceder. Para ello se utiliza el comando ssh-copy-id:

# ssh-copy-id -i ~/.ssh/id_rsa.pub user@machine1
# ssh-copy-id -i ~/.ssh/id_rsa.pub user@machine2


ssh-copy-id es un script que se conecta a la máquina y copia el archivo (indicado por la opción -i) en ~/.ssh/authorized_keys, y ajusta los permisos a los valores adecuados.

Ahora la conexión debería funcionar sin necesidad de introducir la clave. Si no es así es posible que sea un problema de permisos en los ficheros. Los permisos correctos deben ser similares a estos:
# chmod go-w $HOME $HOME/.ssh
# chmod 600 $HOME/.ssh/authorized_keys


Para poder acceder al servidor desde cualquier cliente, debemos copiar los ficheros id_rsa e id_rsa.pub dentro de ~/.ssh/ de la cuenta de usuario de cada cliente desde el que queramos realizar la conexión hacia el servidor. Además de esto, en el archivo sshd_config debemos habilitar las opciones de acceso mediante clave publica/privada:
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys


SCP

CP viene junto a SSH, y se trata de una herramienta para transmitir archivos y directorios entre ordenadores de forma remota. La sintaxis es muy simple teniendo las mismas opciones que SSH, las cuales hereda.

El modo de empleo sería el siguiente en caso de que queramos copiar archivos de nuestro ordenador al remoto:
# scp archivo usuario@servidor.com:ruta


Y para copiar a la inversa, desde el computador remoto al tuyo, simplemente tienes que invertir el orden de los elementos:
# scp usuario@servidor.com:ruta/archivo ruta_local


Para mandar carpetas completas se puede emplear el siguiente comando

# scp -r carpetaSO/ usuario@host:/carpeta_padre


La forma inversa sería exactamente igual a la de los archivos, solo que cambiaríamos el susodicho por una carpeta:
# scp -r usuario@host:/carpeta_padre/carpetaSO


Si queremos copiar el contenido de la carpeta pero no la misma, la sintaxis es:

# scp carpetaSO/* usuario@host:/carpeta_padre/carpetaSO


Hay que decir que por defecto la ruta a la que copia es en /home/usuario, así que en caso de querer copiar archivos allí podemos omitir la ruta, pero no los dos puntos:
# scp fichero.txt usuario@host:

SFTP

El protocolo de transferencia de archivos SFTP es un protocolo de red que proporciona la transferencia de archivos y la funcionalidad de manipulación de datos fiables sobre cualquier secuencia ya que los datos circulan cifrados por la red. Se utiliza normalmente con SSH a fin de asegurar la transferencia de archivos.
# sftp usuario@host
Implementa muchas de las opciones que tenemos por defecto en consola. Para copiar datos tenemos el método put, y para importar tenemos get:
# get [-P] /ruta/remota/del/archivo /ruta/local/del/archivo

# put [-P] /ruta/local/del/archivo /ruta/remota/del/archivo
-P Cuando esta opción está presente, copiará todos los permisos y accesos del archivo.