Consejos servidor ssh

Question

Consejos servidor ssh

autista 21 oct 2021 12:23

MegaAdicto!!!

901 mensajes
desde oct 2008

Buenas. A ver si podeis aconsejarme en dejar lo mas seguro un servidor ssh
Bueno el caso es q tenia un nas de wdmycloud con os3 y me mandaron un correo diciendo q van a dejar de darle soporte en abril 2022. Bueno el tenga uno de estos y no se haya enterado ya sabe...
Asi q van a dejar de funcionar el acceso remoto q daba wd. Podiendo usarse solo en red local
El caso q tiene una opcion para acceso remoto en ssh. Ya lo active y me cree un dominio en noip y lo configure en el router para poder acceder en remoto con ese dominio
Lo q he leido q era aconsejable para mayor seguridad era cambiar el puerto 22 de ssh, y no permitir el logeo de root. Solo dar acceso a otro usuario creado. Ya hice todo eso y consegui acceso desde fuera de mi red con filezilla
con el pc y una app de android con el movil
Alguna recomendacion mas, q deberia hacer para q mejorar la seguridad del nas?

Newton 21 oct 2021 14:04

happycoder

4.636 mensajes
desde oct 2000
en Delante del PC

@autitsta
Rapidamente se me ocurre:

Dejar el servicio sólo habilitado para IPs internas, para equipos que esten dentro de tu red.
Podrías hacer una conexión desde fuera mediante VPN que te de acceso a tu red interna y una vez dentro poder acceder al servidor SSH en ese puerto determinado que has elegido y con ese usuario determinado que has creado.

Supongo que será lo que has leído pero puede que te interese saber cómo se puede securizar el asunto:
[rtfm]

https://www.hackplayers.com/2014/01/sec ... noico.html

autista 21 oct 2021 16:01

MegaAdicto!!!

901 mensajes
desde oct 2008

@Newton muchas gracias x el interes. No habia leido ese pero esta mejor detallado q lo otro q lei. El caso q para hacerlo x vpn tendria q contratar uno de pago, pq supongo q sera una locura hacerlo con uno gratuito, y no lo tenia en mente eso.
Tendre q ver lo de los intentos maximos de conexion q no se como esta y lo de la key rsa esa no me entero muy bien q es

Dracot 21 oct 2021 17:07

MegaAdicto!!!

1.337 mensajes
desde abr 2018

autista escribió:@Newton muchas gracias x el interes. No habia leido ese pero esta mejor detallado q lo otro q lei. El caso q para hacerlo x vpn tendria q contratar uno de pago, pq supongo q sera una locura hacerlo con uno gratuito, y no lo tenia en mente eso.
Tendre q ver lo de los intentos maximos de conexion q no se como esta y lo de la key rsa esa no me entero muy bien q es

No confundas los servicios VPN de navegación con lo que te dice el compañero, que se refiere a tener un servidor VPN en tu red. De forma que en vez de entrar desde internet al servicio SFTP (que si hablamos de acceso a ficheros, es lo que estarás usando, no SSH, que es línea de comandos) , lo que harías desde internet sería conectar a la VPN de tu red local y ya con ese eso te funciona todo como si fueras un PC más de una da red. Esos servicios se pueden montar gratis en algunos routers, en un PC que esté siempre encendido, en una raspi....o en el propio NAS si lo permite (no sé si los WD mycloud tienen esa funcion)

De todas formas si quieres hacerlo por SFTP (SSH) con ofuscar el puerto y no usar una versión antigua de los certificados debería ser suficiente, es un protocolo bastante seguro y encriptado extremo a extremo. La seguridad que aplica viene a ser similar a la de una VPN típica como puede ser openVPN, funcionan muy parecido desde el punto de vista de seguridad.

autista 21 oct 2021 19:52

MegaAdicto!!!

901 mensajes
desde oct 2008

@Little Tux @Dracot Ok gracias por los aportes. La verdad q ando un poco perdido como veis con estos temas y me hago la picha un lio. Pense q vpn se referia a eso. De todos modos no creo q pueda hacerlo pq lo unico q tengo siempre conectado es el router q es un hgu de movistar, q no creo q pueda configurar un vpn alli y el wd mycloud q tampoco creo q se pueda

Los certificados son eso q pone key en esa imagen?
Entiendo q deberia descargarlos, deshabilitar el login por password "PasswordAuthentication no"

ypor ejemplo en fillezilla cargarlos luego aqui los certificados

Algo asi?
Me hace falta leer mucho en este tema la verdad. y en linux ando perdidisimo

Dracot 21 oct 2021 20:33 *

MegaAdicto!!!

1.337 mensajes
desde abr 2018

Editado 1 vez. Última: 21/10/2021 - 20:35:38 por Dracot.

*

Efectivamente por lo que leo, ni los WD mycloud de una bahía ni el hgu te van a dejar activar servidor VPN (al menos con su firmware original). Los NAS Sinology y Qnap si tienen todas estas cosas y más, pero claro, son de todo menos baratos.

En cuanto al tema de certificados, hace mil que no lo hago porque el Asus me lo pone fácil por GUI para ese tema con la VPN, pero es fácil encontralo en Google.

Por ejemplo buscando "wd mycloud ssh by certificate" he visto múltiples guía paso a paso, te pego una de ellas en el spoiler

firstly enable ssh access from WD My Cloud GUI and setup your own secure password

login to ssh with your password

modify permissions on /home/root dir - it is too wide open - chmod 755 /home/root

generate new public/private keys ssh-keygen -t ed25519 or use your old keys

create authorized_keys file mkdir -p /home/root/.ssh/ && touch /home/root/.ssh/authorized_keys

add your public key to this file cat /home/root/.ssh/id_ed25519.pub >> /home/root/.ssh/authorized_keys

copy private key from /home/root/.ssh/id_ed25519 to your computer and test connection ssh -v -i id_ed25519 root@192.168.60.1

if it works, you should disable PasswordAuthentication no in /etc/ssh/sshd_config - remove "#" infront of "PasswordAuthentication yes" and change "yes" to "no". Command vi /etc/ssh/sshd_config, press insert, make changes, press ESC, press :w!, press enter - it will write, press :q, press enter - will close vim.

now type reboot and wait for device reboot

If you did some mistake and you won`t be able to login via SSH, just go to WD support page, download latest firmware and reflash it via browser UI.

6 respuestas

#576294# 21 oct 2021 18:29 * · Accepted Answer · 2021-10-21T17:29:09+00:00

A todo lo que te han dicho los compañeros yo añadiria el desactivar la conexion con password y hacerla solo con certificado digital. Hay muchas webs en donde te indican como hacerlo.
La mia es asi. en /etc/ssh/sshd_config: (Apunte: necesitas generar los certificados primero).

# ssh
PermitRootLogin no
PubkeyAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
UsePAM no

Lamentablemente no es algo que te pueda explicar yo por aqui y mucho menos si nisiquiera usas un sistema POSIX (BSD, Linux, Mac...). No es complicado pero hay que entenderlo.

Respecto a la VPN no necesitas pagar ninguna VPN si estats tirando contra el servidor de tu casa (yo lo tengo asi). Solo has de establecer el servidor en una maquina de la red de tu casa y habilitarle paso a traves del router junto a un servicio de No-IP o similar.

Yo lo tengo como tu quieres.

- Servicio No-IP para encontrar mi maquina desde cualquier lugar.
- Servidor SSH activo (en mi caso desde el Router) escuchando.
- Servidor de OpenVPN activado tambien desde el router.
- No he necesitado cambiar el puerto 22 ya que solo es accesible desde la VPN.
- No es necesario poner ningun password ya que se autentifica mediante certificado de seguridad.

Cuando lo conectas estes donde estes es como si estuvieras en la LAN de casa y tienes todo accesible desde ahi.

Recomendaciones de topologia de red:
- OPNsense. Softwarte de Router y Firewall basado en FreeBSD con muchos modulos que expanden su funcionalidad, OpenVPN, No-IP y SSH entre ellos.
- NAS Qnap (en tu caso es WD)

Programas que uso en Android (iOS es para nenazas [+risas]

):
- Termux. Terminal de comandos tipo UNIX/Linux. Tiene Servidor y Cliente de OpenSSH incluido, funciona con PKG o APT de Debian.
- Juice SSH (cliente de SSH para Android, recomendadisimo).
- VPN Client Pro. Cliente de VPN con suscripccion o de por vida segun lo que quieras pagar, recomendadisimo.

Yo estoy esperando a ver si tengo algun Sabado o Domingo libres para cambiar de OpenVPN a Wireguard que es mucho mas seguro limpio y eficiente.