Cómo configurar claves SSH en Ubuntu 20.04

Introducción

Índice
  1. Introducción
  • Paso 1: creación del par de claves
  • Paso 2: Copiar la clave pública a su servidor Ubuntu
    1. Copiar la clave pública usandossh-copy-id
    2. Copiar la clave pública mediante SSH
    3. Copiar la clave pública manualmente
  • Paso 3: Autenticación en su servidor Ubuntu mediante claves SSH
  • Paso 4: Deshabilitar la autenticación de contraseña en su servidor
  • Conclusión

    • SSH, o secure shell, es un protocolo cifrado que se utiliza para administrar y comunicarse con servidores. Cuando trabaje con un servidor Ubuntu, es probable que pase la mayor parte del tiempo en una sesión de terminal conectado a su servidor a través de SSH.

    En esta guía, nos centraremos en configurar claves SSH para una instalación de Ubuntu 20.04. Las claves SSH proporcionan una forma segura de iniciar sesión en el servidor y se recomiendan para todos los usuarios.

    La creación de un Droplet de DigitalOcean le permitirá agregar instantáneamente las claves SSH de su computadora para que pueda conectarse de forma privada y segura.

    Paso 1: creación del par de claves

    El primer paso es crear un par de claves en la máquina cliente (normalmente su ordenador):

    1. ssh-keygen

    De manera predeterminada, las versiones recientes de ssh-keygencrearán un par de claves RSA de 3072 bits, que es lo suficientemente seguro para la mayoría de los casos de uso (opcionalmente, puede pasar la -b 4096bandera para crear una clave más grande de 4096 bits).

    Después de ingresar el comando, debería ver el siguiente resultado:

    OutputGenerating public/private rsa key pair.Enter file in which to save the key (/your_home/.ssh/id_rsa):

    Presione Enter para guardar el par de claves en el .ssh/subdirectorio de su directorio de inicio o especifique una ruta alternativa.

    Si ya ha generado un par de claves SSH, es posible que vea el siguiente mensaje:

    Output/home/your_home/.ssh/id_rsa already exists.Overwrite (y/n)?

    Si elige sobrescribir la clave en el disco, ya no podrá autenticarse con la clave anterior. Tenga mucho cuidado al seleccionar Sí, ya que se trata de un proceso destructivo que no se puede revertir.

    Luego deberías ver el siguiente mensaje:

    OutputEnter passphrase (empty for no passphrase):

    Aquí puede ingresar opcionalmente una contraseña segura, lo cual es muy recomendable. Una contraseña agrega una capa adicional de seguridad para evitar que usuarios no autorizados inicien sesión. Para obtener más información sobre seguridad, consulte nuestro tutorial sobre Cómo configurar la autenticación basada en claves SSH en un servidor Linux.

    Luego deberías ver un resultado similar al siguiente:

    OutputYour identification has been saved in /your_home/.ssh/id_rsaYour public key has been saved in /your_home/.ssh/id_rsa.pubThe key fingerprint is:SHA256:/hk7MJ5n5aiqdfTVUZr+2Qt+qCiS7BIm5Iv0dxrc3ks user@hostThe key's randomart image is:+---[RSA 3072]----+|                .||               + ||              +  || .           o . ||o       S   . o  || + o. .oo. ..  .o||o = oooooEo+ ...o||.. o *o+=.*+o....||    =+=ooB=o.... |+----[SHA256]-----+

    Ahora tienes una clave pública y una privada que puedes usar para autenticarte. El siguiente paso es colocar la clave pública en tu servidor para que puedas usar la autenticación basada en clave SSH para iniciar sesión.

    Paso 2: Copiar la clave pública a su servidor Ubuntu

    La forma más rápida de copiar su clave pública al host de Ubuntu es usar una utilidad llamada ssh-copy-id. Debido a su simplicidad, este método es muy recomendable si está disponible. Si no tiene ssh-copy-iduna disponible en su máquina cliente, puede usar uno de los dos métodos alternativos que se proporcionan en esta sección (copiar mediante SSH basado en contraseña o copiar la clave manualmente).

    Copiar la clave pública usandossh-copy-id

    La ssh-copy-idherramienta está incluida de forma predeterminada en muchos sistemas operativos, por lo que es posible que la tengas disponible en tu sistema local. Para que este método funcione, ya debes tener acceso SSH con contraseña a tu servidor.

    Para utilizar la utilidad, debe especificar el host remoto al que desea conectarse y la cuenta de usuario a la que tiene acceso SSH con contraseña. Esta es la cuenta a la que se copiará su clave SSH pública.

    La sintaxis es:

    1. ssh-copy-id username@remote_host

    Es posible que vea el siguiente mensaje:

    OutputThe authenticity of host '203.0.113.1 (203.0.113.1)' can't be established.ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.Are you sure you want to continue connecting (yes/no)? yes

    Esto significa que su computadora local no reconoce el host remoto. Esto sucederá la primera vez que se conecte a un nuevo host. Escriba “sí” y presione ENTERpara continuar.

    A continuación, la utilidad escaneará su cuenta local en busca de la id_rsa.pubclave que creamos anteriormente. Cuando encuentre la clave, le solicitará la contraseña de la cuenta del usuario remoto:

    Output/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keysusername@203.0.113.1's password:

    Escriba la contraseña (no se mostrará lo que escriba, por motivos de seguridad) y presione ENTER. La utilidad se conectará a la cuenta en el host remoto utilizando la contraseña que proporcionó. Luego, copiará el contenido de su ~/.ssh/id_rsa.pubclave en un archivo en el directorio de inicio de la cuenta remota ~/.sshllamado authorized_keys.

    Deberías ver el siguiente resultado:

    OutputNumber of key(s) added: 1Now try logging into the machine, with:   "ssh 'username@203.0.113.1'"and check to make sure that only the key(s) you wanted were added.

    En este punto, su id_rsa.pubclave se ha cargado en la cuenta remota. Puede continuar con el paso 3.

    Copiar la clave pública mediante SSH

    Si no tiene ssh-copy-iddisponible, pero tiene acceso SSH basado en contraseña a una cuenta en su servidor, puede cargar sus claves usando un método SSH convencional.

    Podemos hacer esto usando el catcomando para leer el contenido de la clave SSH pública en nuestra computadora local y canalizarla a través de una conexión SSH al servidor remoto.

    Por otro lado, podemos asegurarnos de que el ~/.sshdirectorio exista y tenga los permisos correctos en la cuenta que estamos usando.

    Luego podemos generar el contenido que enviamos a un archivo llamado authorized_keysdentro de este directorio. Usaremos el símbolo de redirección para agregar el contenido en lugar de sobrescribirlo. Esto nos permitirá agregar claves sin destruir las claves agregadas previamente.

    El comando completo se ve así:

    1. cat ~/.ssh/id_rsa.pub | ssh username@remote_host "mkdir -p ~/.ssh  touch ~/.ssh/authorized_keys  chmod -R go= ~/.ssh  cat  ~/.ssh/authorized_keys"

    Es posible que vea el siguiente mensaje:

    OutputThe authenticity of host '203.0.113.1 (203.0.113.1)' can't be established.ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.Are you sure you want to continue connecting (yes/no)? yes

    Esto significa que su computadora local no reconoce el host remoto. Esto sucederá la primera vez que se conecte a un nuevo host. Escriba yesy presione ENTERpara continuar.

    Luego se le solicitará que ingrese la contraseña de la cuenta de usuario remota:

    Outputusername@203.0.113.1's password:

    Después de introducir su contraseña, el contenido de su id_rsa.pubclave se copiará al final del authorized_keysarchivo de la cuenta del usuario remoto. Continúe con el paso 3 si la operación se realizó correctamente.

    Copiar la clave pública manualmente

    Si no tiene acceso SSH basado en contraseña a su servidor, tendrá que completar el proceso anterior manualmente.

    Agregaremos manualmente el contenido de su id_rsa.pubarchivo al ~/.ssh/authorized_keysarchivo en su máquina remota.

    Para mostrar el contenido de su id_rsa.pubclave, escriba esto en su computadora local:

    1. cat ~/.ssh/id_rsa.pub

    Verá el contenido de la clave, que debería verse así:

    Outputssh-rsa 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 demo@test

    Acceda a su host remoto utilizando cualquier método que tenga disponible.

    Una vez que tenga acceso a su cuenta en el servidor remoto, debe asegurarse de que el ~/.sshdirectorio exista. Este comando creará el directorio si es necesario o no hará nada si ya existe:

    1. mkdir -p ~/.ssh

    Ahora, puedes crear o modificar el authorized_keysarchivo dentro de este directorio. Puedes agregar el contenido de tu id_rsa.pubarchivo al final del authorized_keysarchivo, creándolo si es necesario, usando este comando:

    1. echo public_key_string  ~/.ssh/authorized_keys

    En el comando anterior, sustituya el public_key_stringcon el resultado del cat ~/.ssh/id_rsa.pubcomando que ejecutó en su sistema local. Debe comenzar con ssh-rsa AAAA....

    Por último, nos aseguraremos de que el ~/.sshdirectorio y authorized_keysel archivo tengan los permisos adecuados establecidos:

    1. chmod -R go= ~/.ssh

    Esto elimina de forma recursiva todos los permisos de “grupo” y “otros” para el ~/.ssh/directorio.

    Si está utilizando la cuenta raíz para configurar claves para una cuenta de usuario, también es importante que el ~/.sshdirectorio pertenezca al usuario y no a la raíz :

    1. chown -R sammy:sammy ~/.ssh

    En este tutorial nuestro usuario se llamaSammypero debes sustituir el nombre de usuario apropiado en el comando anterior.

    Ahora podemos intentar la autenticación sin contraseña con nuestro servidor Ubuntu.

    Paso 3: Autenticación en su servidor Ubuntu mediante claves SSH

    Si ha completado con éxito uno de los procedimientos anteriores, debería poder iniciar sesión en el host remoto sin proporcionar la contraseña de la cuenta remota.

    El proceso básico es el mismo:

    1. ssh username@remote_host

    Si es la primera vez que se conecta a este host (si utilizó el último método mencionado anteriormente), es posible que vea algo como esto:

    OutputThe authenticity of host '203.0.113.1 (203.0.113.1)' can't be established.ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.Are you sure you want to continue connecting (yes/no)? yes

    Esto significa que su computadora local no reconoce el host remoto. Escriba “sí” y luego presione ENTERpara continuar.

    Si no proporcionó una contraseña para su clave privada, iniciará sesión inmediatamente. Si proporcionó una contraseña para la clave privada cuando creó la clave, se le solicitará que la ingrese ahora (tenga en cuenta que las teclas que presione no se mostrarán en la sesión de terminal por razones de seguridad). Después de la autenticación, se le debería abrir una nueva sesión de shell con la cuenta configurada en el servidor Ubuntu.

    Si la autenticación basada en clave fue exitosa, continúe para aprender cómo proteger aún más su sistema deshabilitando la autenticación con contraseña.

    Paso 4: Deshabilitar la autenticación de contraseña en su servidor

    Si pudo iniciar sesión en su cuenta mediante SSH sin contraseña, ha configurado correctamente la autenticación basada en clave SSH para su cuenta. Sin embargo, su mecanismo de autenticación basado en contraseña sigue activo, lo que significa que su servidor sigue expuesto a ataques de fuerza bruta.

    Antes de completar los pasos de esta sección, asegúrese de que tiene configurada la autenticación basada en clave SSH para la cuenta raízsudo en este servidor o, preferiblemente, de que tiene configurada la autenticación basada en clave SSH para una cuenta que no sea raíz en este servidor con privilegios. Este paso bloqueará los inicios de sesión basados ​​en contraseña, por lo que es fundamental asegurarse de que podrá seguir teniendo acceso administrativo.

    Una vez que hayas confirmado que tu cuenta remota tiene privilegios administrativos, inicia sesión en tu servidor remoto con claves SSH, ya sea como root o con una cuenta con sudoprivilegios. Luego, abre el archivo de configuración del demonio SSH:

    1. sudo nano /etc/ssh/sshd_config

    Dentro del archivo, busque una directiva llamada PasswordAuthentication. Esta línea puede estar comentada con un #al principio de la línea. Quite el comentario de la línea eliminando el #, y establezca el valor en no. Esto deshabilitará su capacidad de iniciar sesión a través de SSH usando contraseñas de cuenta:

    /etc/ssh/sshd_config

    . . .PasswordAuthentication no. . .

    Guarda y cierra el archivo cuando hayas terminado pulsando CTRL+X, luego Ypara confirmar el guardado del archivo y, por último, ENTERpara salir de nano. Para activar realmente estos cambios, necesitamos reiniciar el sshdservicio:

    1. sudo systemctl restart ssh

    Como precaución, abra una nueva ventana de terminal y pruebe que el servicio SSH esté funcionando correctamente antes de cerrar su sesión actual:

    1. ssh username@remote_host

    Una vez que haya verificado que su servicio SSH funciona correctamente, puede cerrar de forma segura todas las sesiones actuales del servidor.

    El demonio SSH de su servidor Ubuntu ahora solo responde a la autenticación basada en claves SSH. Se han deshabilitado los inicios de sesión basados ​​en contraseñas.

    Conclusión

    Ahora debería tener la autenticación basada en clave SSH configurada en su servidor, lo que le permitirá iniciar sesión sin proporcionar una contraseña de cuenta.

    Si desea obtener más información sobre cómo trabajar con SSH, consulte nuestra Guía esencial de SSH.

    SUSCRÍBETE A NUESTRO BOLETÍN 
    No te pierdas de nuestro contenido ni de ninguna de nuestras guías para que puedas avanzar en los juegos que más te gustan.
    Al suscribirte, aceptas nuestra política de privacidad y nuestros términos de servicio.

    Tal vez te puede interesar:

    1. Cómo agregar efectos de sonido a tus aplicaciones React
    2. Cómo utilizar el modo independiente de Certbot para recuperar certificados SSL de Let's Encrypt en Debian 10
    3. Cómo instalar el servidor web Apache en Debian 10
    4. Obtención de datos de ubicación con Ionic 4 y Capacitor

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir

    Este sitio web utiliza cookies para mejorar tu experiencia mientras navegas por él. Este sitio web utiliza cookies para mejorar tu experiencia de usuario. Al continuar navegando, aceptas su uso. Mas informacion