Una forma rápida y sencilla de bloquear SSH

por

¿Está ansioso por bloquear el acceso SSH de su servidor Linux? Jack Wallen le muestra un paso más que puede dar, uno que solo tomará unos segundos.

Si es administrador de Linux, es muy probable que pase mucho tiempo iniciando sesión en máquinas remotas con SSH. También es muy probable que haya tomado numerosas medidas para bloquear el acceso SSH a esos servidores remotos. De hecho, probablemente esté usando autenticación de clave SSH y denyhosts. Juntas, esas dos soluciones contribuyen en gran medida a fortalecer el acceso a sus servidores Linux remotos.

Pero hay un paso más que puede tomar, uno que es tan fácil y obvio que la mayoría de los administradores olvidan que es una opción. Este paso en particular no requiere ningún software de terceros y se puede solucionar en segundos.

¿Curioso? Hagámoslo.

VER: Política de mejores prácticas de certificados SSL (TechRepublic Premium)

Lo que necesitarás

También debe tener acceso a la consola del servidor remoto, en caso de que algo salga mal y se bloquee fuera del servidor, pero este es el caso cada vez que usa SSH.

Cómo permitir una dirección IP de cliente

Lo primero que tenemos que hacer es permitir la dirección IP de cualquier cliente que use en el servidor remoto con SSH. Una vez que tenga una lista de las direcciones IP, puede agregarlas a /etc/hosts.allow. Para hacer esto, emita el comando (en el servidor remoto): 

sudo nano /etc/hosts.allow

En la parte inferior de ese archivo, agregue lo siguiente: 

sshd: IP

Donde IP es la dirección IP del cliente remoto que necesita acceso al servidor. Si tiene varias direcciones IP o rangos de direcciones IP, puede ingresarlos así: 

sshd: 10.83.33.77/32, 10.63.152.9/32, 10.12.100.11/28, 10.82.192.0/28

O así: 

sshd : 192.168.1.0/24
sshd : 127.0.0.1
sshd : [::1]

Nota anterior: incluso hemos incluido la dirección de bucle invertido para el servidor.

Guarde y cierre el archivo.

Cómo bloquear todas las demás direcciones

Ahora que permitimos una dirección IP o una lista de direcciones, es hora de bloquear todas las demás direcciones. Una cosa a tener en cuenta es que el sistema Linux buscará primero hosts.allow (de arriba a abajo) seguido de hosts.deny (de arriba a abajo). Por lo tanto, se permitirá un intento de conexión SSH desde una dirección IP en hosts.allow, aunque hosts.deny claramente bloquee TODOS.

Entonces, para bloquear todas las demás direcciones IP, abra el archivo necesario con el comando: 

sudo nano /etc/hosts.deny

En la parte inferior de ese archivo, agregue lo siguiente: 

sshd: ALL

Guarde y cierre el archivo.

En este punto, cualquier cliente listado en hosts.allow podrá pasar (vía SSH) y cualquier cliente que no esté listado será denegado. No es necesario reiniciar el demonio SSH para que esto funcione.

Con la combinación de autenticación de clave SSH, denyhosts y hosts.allow / deny, el acceso de shell seguro a sus servidores Linux será lo más estricto posible.

Sigue navegando por nuestra web viendo más artículos.

Concepto de seguridad cibernética. Cifrado.

Imagen: iStockphoto / metamorworks

Publicaciones relacionadas:

  1. Formatee una tarjeta SD de forma sencilla
  2. Extraiga imágenes de un documento de Word de forma sencilla
  3. Cómo supervisar una carpeta en busca de cambios de forma sencilla
  4. Cómo averiguar la fecha de instalación original de Windows 10 de forma sencilla

Deja un comentario