Una forma rápida y fácil de bloquear SSH


¿Ansioso por bloquear el acceso SSH de su servidor Linux? Jack Wallen le muestra un paso más que puede dar, uno que solo tomará unos segundos.

Concepto de seguridad cibernética. Cifrado

Imagen: iStockphoto / metamorworks

Si es un administrador de Linux, es muy possible que pase mucho tiempo iniciando sesión en máquinas remotas con SSH. También es muy probable que haya tomado numerosos pasos para bloquear el acceso SSH a esos servidores remotos. De hecho, probablemente esté utilizando la autenticación de clave SSH y denyhosts. Juntas, esas dos soluciones ayudan mucho a fortalecer el acceso a sus servidores remotos de Linux.

Pero, hay un paso más que puede tomar, uno que es tan fácil y obvio que la mayoría de los administradores olvidan que incluso es una opción. Este paso en individual no requiere ningún software program de terceros y se puede solucionar en segundos.

¿Curioso? Hagámoslo.

VER: Política de mejores prácticas del certificado SSL (TechRepublic Premium)

Lo que necesitarás

También debe tener acceso a la consola del servidor remoto, en caso de que algo salga mal y se bloquee del servidor, pero este es el caso cada vez que se conecta con SSH.

Cómo permitir la dirección IP de un cliente

Lo primero que tenemos que hacer es permitir que la dirección IP de cualquier cliente que use en el servidor remoto con SSH. Una vez que tenga una lista de las direcciones IP, puede agregarlas a /and so on/hosts.allow. Para hacer esto, emita el comando (en el servidor remoto):

sudo nano /etcetera/hosts.allow

Al closing de ese archivo, agregue lo siguiente:

sshd: IP

Donde IP es la dirección IP del cliente remoto que necesita acceso al servidor. Si tiene varias direcciones IP o rangos de direcciones IP, puede ingresarlas de la siguiente manera:

sshd: 10.83.33.77/32, 10.63.152.9/32, 10.12.100.11/28, 10.82.192./28

O así:

sshd : 192.168.1./24
sshd : 127...1
sshd : (::1)

Nota anterior: Incluso hemos incluido la dirección de bucle de retorno para el servidor.

Guarde y cierre el archivo.

Cómo bloquear todas las demás direcciones

Ahora que hemos permitido una dirección IP o una lista de direcciones, es hora de bloquear todas las demás direcciones. Una cosa a tener en cuenta es que el sistema Linux primero buscará hosts.enable (de arriba a abajo) seguido de hosts.deny (de arriba a abajo). Por lo tanto, se permitirá un intento de conexión SSH desde una dirección IP en hosts.make it possible for, aunque hosts.deny claramente bloquea TODOS.

Entonces, para bloquear todas las demás direcciones IP, abra el archivo necesario con el comando:

sudo nano /etcetera/hosts.deny

Al remaining de ese archivo, agregue lo siguiente:

sshd: ALL

Guarde y cierre el archivo.

En este punto, se permitirá a cualquier cliente que determine en hosts.permit (a través de SSH) y se denegará a cualquier cliente que no esté en la lista. No es necesario reiniciar el demonio SSH para que esto funcione.

Con la combinación de autenticación de clave SSH, denyhosts y hosts.make it possible for / deny, el acceso seguro de shell a sus servidores Linux será lo más estricto posible.

Ver también



Enlace a la noticia initial