Re: Seguridad en SSH

To: debian-user-spanish@lists.debian.org
Subject: Re: Seguridad en SSH
From: "Manolet Gmail" <manolet@gmail.com>
Date: Sun, 10 Dec 2006 16:59:31 -0500
Message-id: <[🔎] 353f56170612101359w47328352l583a5aafbc149db8@mail.gmail.com>
In-reply-to: <[🔎] c3dd3d190612101322k4e964bfagb811aa047c68e745@mail.gmail.com>
References: <[🔎] 353f56170612101254o42627ac8pc8aefe427ea5a3d1@mail.gmail.com> <[🔎] c3dd3d190612101322k4e964bfagb811aa047c68e745@mail.gmail.com>

2006/12/10, Matías Bellone <matiasbellone@gmail.com>:

On 12/10/06, Manolet Gmail <manolet@gmail.com> wrote:
> Hola amigos de la lista.
>
> Esta mañana estuve preguntandome sobre cual metodo de seguridad es mas
> seguro, valga la redundancia para usar por ssh. si passwords o keys
> con phasphrase, hasta donde me imagino estas keys, si uno las tiene
> puede conseguir la phasphrase por bruteforce nop? algo asi como MD5.
> ahora, no se cuanto tiempo tardaria un compu en decifrar el
> phasphrase, mi phasphrase es algo asi como  |p3rr0l1g3r0114~|
> (obviamente no es =P).
>
> Es seguro?

Si, es uno de los métodos más seguros. Si además le agregás una
restricción de que sólo usuarios sin demasiados permisos entren es
mejor.

>
> Segundo, puedo reservar el ingreso de esa keys a determinadas ips
> verdad? resulta que mi isp me cambia la ip siempre que me conecto....
> yo tengo un servicio con no-ip. es posible darle a mi debian alguna
> instruccion para que resuelva la ip de mi cuenta de noip
> (algo.sytes.net) y permita la entrada?.
>

Si, teóricamente vienen demonios de todo tipo para los servicios de
DNS dinámico. Básicamente cada el período de tiempo que vos le digas
se fijan la IP propia y actualizan al servicio de DNS. Hay que tener
cuidado con esto, no-ip creo que no te deja actualizarlo más de una
vez cada media hora o algo así.

Bueno el problema es que si en ssh habilito el ingreso como root a mi
ip me funciona, pero si en cmabio pongo algo.sytes.net no me deja
entrar, aun cuando algo.sytes.net resuelve en mi ip. que debo hacer
entonces?

> Que piensan?
>
>

También podés cambiar el SSH a un puerto no estándar para reducir
intentos básicos. Pero el efecto no es tanto mayor.

bueno fue lo primero que hice, cambie el puerto 22 por otro

Si querés la seguridad máxima. Averiguá sobre port-knocking, se basa
en que los puertos están cerrados, a menos que alguien intente
conectarse a ciertos puertos exclusivamente, en cierto orden. Es como
si "tocaran a la puerta" con un ritmo de terminado. Por lo que tengo
entendido es lo más seguro que hay porque sólo le abre a la IP que dio
el "santo y seña" y sólo por un tiempo determinado.

existe un programa o servicio para esto? o debo hacer un script que...
habilite el servicio cuando realize la conexion por otro puerto?. Esa
idea de port-knocking se me hace genial.


No lo vi implementado nunca, menos alguien que lo use. Pero sé que
vienen módulos de iptables para lograr hacer eso con el firewall (son
módulos extras no incluídos normalmente).


Espero que te sea útil,
Toote.
--
Web: http://www.enespanol.com.ar

Reply to:

Follow-Ups:
- Re: Seguridad en SSH
  - From: Alejandro Bárcena Campos <alejandro@barcena.com.mx>

References:
- Seguridad en SSH
  - From: "Manolet Gmail" <manolet@gmail.com>
- Re: Seguridad en SSH
  - From: "Matías Bellone" <matiasbellone@gmail.com>

Prev by Date: Re: awk..
Next by Date: Re: Seguridad en SSH
Previous by thread: Re: Seguridad en SSH
Next by thread: Re: Seguridad en SSH
Index(es):
- Date
- Thread