Re: Consulta: Acceso por VPN o SSH a secas

To: debian-user-spanish@lists.debian.org
Cc: "Lista de Debian en Espanol" <debian-user-spanish@lists.debian.org>
Subject: Re: Consulta: Acceso por VPN o SSH a secas
From: boube <elboube@gmail.com>
Date: Sat, 7 Jun 2008 14:09:12 +0200
Message-id: <[🔎] bd0bc4b50806070509y72b6ef9enf04de497132e4f75@mail.gmail.com>
In-reply-to: <[🔎] 6b87c3400806061819m4ce47892vff1454afe93e8229@mail.gmail.com>
References: <[🔎] 550538.32904.qm@web34403.mail.mud.yahoo.com> <[🔎] 6b87c3400806061819m4ce47892vff1454afe93e8229@mail.gmail.com>

2008/6/7 Rhonny <rhonny.lanz@gmail.com>:
> Buenas
>
> 2008/6/6 Sebastian Pescio <sebastianpescio@yahoo.com>:
>> Hola Compañeros.

Hola

>> Les dejo esta consulta para ver que opinión les merece:
>>
>> Situación:
>>
>> Tengo que otorgarle acceso remoto a un Proveedor y estoy entre 2 soluciones:
>>
>> 1) OpenVPN.
>> 2) SSH a secas!
>>
>> De openVPN lo malo es que una vez conectado quedaría virtualmente "dentro" de mi red local, lo cual no me agrada en absoluto, lo bueno es que solo podrían   conectarse quienes tengan los certificados.

No sé si la VPN es la mejor opción, pero no tienes porque meterlo
"dentro" de la red local, puedes solo darle acceso a los host que te
interese.

>> De SSH me gusta que una vez conectado al Server Linux (vía SSH) tendría un usuario sin privilegios y solo podría hacer TELNET (ya dentro de la red) contra un UNIX sobre el cual debe realizar mantenimientos. Lo malo es que cualquiera podría ponerse a realizar ataques contra mi Server SSH.
>>
>> Que opinan? Que les parece mejor y mas seguro?

Un servidor ssh seguro (puerto distinto, permitir solo algunos
usuarios, . . . lo de siempre)  y permitir solo conexiones de esa IP
usando una clave *con contraseña*. Además podrías crear un chroot sólo
con los comandos que necesita y limitar las conexiones a la máquina
que te interesa, para no darle acceso a la máquina entera y que no
pueda fozar libremente. La verdad, ahora  mismo no se me ocurre algo
más paranoico ;) .Existe bastante info sobre todo esto, si te interesa
avisa y te paso unos links.

>>
>>
>>
>
> Con SSH puedes usar certificados tambien, y si te parece, puedes
> olvidarte de las contrasenas, ya que estas son blanco de ataques de
> fuerza...

Yo siempre lo solía hacer así, pero dejé de hacerlo por dos cosas:

1.- Si alguien se apropia de una máquina que tiene la clave estás jodido.
2.- De esto no estoy muy seguro (si alguien lo sabe con certeza,
agradecería la correción ). Imagínate que se  comentara por error un
par de líneas en el código de openssl y que eso afectase a la
entropía. Es muy fácil atacar a esas claves por fuerza bruta, sin
embargo si existe una contraseña , la cosa cambia. (o eso creo)

Además es igual de cómodo, existen cosas como keychain [0] para  que
no te pida la contraseña constatemente.


> Asi te olvidas de crear contrasenas dificiles que luego tu cliente o
> alguien podria olvidar o tenga que dejar anotada por ahi en un papel
> que es peor.
>
> Aca te dejo unos how to
> http://www.csua.berkeley.edu/~ranga/notes/ssh_nopass.html
> http://www.ymipollo.com/~ToRo/55093.conectarse-por-ssh-sin-password.html
>

[0] http://www.gentoo.org/proj/en/keychain/

Saludos a todos!

-- 
-----------------------------------------------------------------
Adrián Boubeta     adrian.boubeta@tegnix.com
C.T.I. TEGNIX, S.L.   www.tegnix.com
-----------------------------------------------------------------

Reply to:

References:
- Consulta: Acceso por VPN o SSH a secas
  - From: Sebastian Pescio <sebastianpescio@yahoo.com>
- Re: Consulta: Acceso por VPN o SSH a secas
  - From: Rhonny <rhonny.lanz@gmail.com>

Prev by Date: Re: Consulta: Acceso por VPN o SSH a secas
Next by Date: Problema Instalación Debian lenny en laptop
Previous by thread: Re: Consulta: Acceso por VPN o SSH a secas
Next by thread: Re: Consulta: Acceso por VPN o SSH a secas
Index(es):
- Date
- Thread