Una de las responsabilidades de los administradores de las máquinas virtuales o físicas es mantenerlas actualizadas. Esto normalmente se refiere a aplicar actualizaciones y parches que se publica para nuestro sistema operativo.
Hay otra serie de tareas relacionadas con la seguridad que es aplicar la mejor configuración posible conocida para nuestros sistemas. En este artículo concreto vamos a tocar el servicio SSH.
Cómo de seguro es un servicio SSH
Un servicio SSH es seguro si:
- Permite solamente el acceso desde los orígenes necesarios
- Está lo más actualizado posible. En la mayoría de las ocasiones, es suficiente actualizar a lo que ofrece el fabricante del sistema operativo. Otras veces podríamos tener que hacer algo por nuestra cuenta hasta que llegue el parche oficial.
- Aplicar configuraciones como evitar el login directo del usuario root
- No permite algoritmos de cifrado o hash considerados inseguros.
Efectos secundarios de la seguridad extrema
Puede que algunos clientes SSH desactualizados no puedan conectarse si no soportan los últimos algoritmos (seguros) criptográficos. También es posible que no sea posible conectarse desde cualquier sitio. Todo esto es asumible si se piensa en que el servidor y el servicio que ofrece son el recurso a salvaguardar.
Asegurar la criptografía
Existen guías que aconsejan buenas configuraciones como:
- CCN-CERT, organismo de seguridad del gobierno de Espapa: https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400-Guias_Generales/401-glosario_abreviaturas/index.html?n=894.html
- NIST (USA):
- SSH Academy: https://www.ssh.com/academy/compliance
Siendo más pragmático, tenemos guías para cada sistema operativo con propuestas de comandos concretos según su versión en https://www.sshaudit.com/. Por ejemplo para Ubuntu 20 LTS la guía es https://www.sshaudit.com/hardening_guides.html#ubuntu_20_04_lts