Re: Seguridad en SSH

To: debian-user-spanish@lists.debian.org
Subject: Re: Seguridad en SSH
From: "Matías Bellone" <matiasbellone@gmail.com>
Date: Sun, 10 Dec 2006 18:22:07 -0300
Message-id: <[🔎] c3dd3d190612101322k4e964bfagb811aa047c68e745@mail.gmail.com>
In-reply-to: <[🔎] 353f56170612101254o42627ac8pc8aefe427ea5a3d1@mail.gmail.com>
References: <[🔎] 353f56170612101254o42627ac8pc8aefe427ea5a3d1@mail.gmail.com>

On 12/10/06, Manolet Gmail <manolet@gmail.com> wrote:

Hola amigos de la lista.

Esta mañana estuve preguntandome sobre cual metodo de seguridad es mas
seguro, valga la redundancia para usar por ssh. si passwords o keys
con phasphrase, hasta donde me imagino estas keys, si uno las tiene
puede conseguir la phasphrase por bruteforce nop? algo asi como MD5.
ahora, no se cuanto tiempo tardaria un compu en decifrar el
phasphrase, mi phasphrase es algo asi como  |p3rr0l1g3r0114~|
(obviamente no es =P).

Es seguro?


Si, es uno de los métodos más seguros. Si además le agregás una
restricción de que sólo usuarios sin demasiados permisos entren es
mejor.


Segundo, puedo reservar el ingreso de esa keys a determinadas ips
verdad? resulta que mi isp me cambia la ip siempre que me conecto....
yo tengo un servicio con no-ip. es posible darle a mi debian alguna
instruccion para que resuelva la ip de mi cuenta de noip
(algo.sytes.net) y permita la entrada?.


Si, teóricamente vienen demonios de todo tipo para los servicios de
DNS dinámico. Básicamente cada el período de tiempo que vos le digas
se fijan la IP propia y actualizan al servicio de DNS. Hay que tener
cuidado con esto, no-ip creo que no te deja actualizarlo más de una
vez cada media hora o algo así.

Que piensan?


También podés cambiar el SSH a un puerto no estándar para reducir
intentos básicos. Pero el efecto no es tanto mayor.

Si querés la seguridad máxima. Averiguá sobre port-knocking, se basa
en que los puertos están cerrados, a menos que alguien intente
conectarse a ciertos puertos exclusivamente, en cierto orden. Es como
si "tocaran a la puerta" con un ritmo de terminado. Por lo que tengo
entendido es lo más seguro que hay porque sólo le abre a la IP que dio
el "santo y seña" y sólo por un tiempo determinado.

No lo vi implementado nunca, menos alguien que lo use. Pero sé que
vienen módulos de iptables para lograr hacer eso con el firewall (son
módulos extras no incluídos normalmente).


Espero que te sea útil,
Toote.
--
Web: http://www.enespanol.com.ar

Reply to:

Follow-Ups:
- Re: Seguridad en SSH
  - From: "Manolet Gmail" <manolet@gmail.com>

References:
- Seguridad en SSH
  - From: "Manolet Gmail" <manolet@gmail.com>

Prev by Date: Problema con librerias
Next by Date: Re: Seguridad en SSH
Previous by thread: Seguridad en SSH
Next by thread: Re: Seguridad en SSH
Index(es):
- Date
- Thread