Práctica Avanzada: Hardening de SSH

Introducción

En entornos productivos, SSH es uno de los principales vectores de ataque. Configurarlo correctamente es fundamental para evitar accesos no autorizados.

El hardening de SSH implica:

• Autenticación segura (llaves)
• Restricción de acceso
• Configuración del servicio
• Protección contra ataques

Objetivo

• Configurar autenticación por llaves
• Deshabilitar acceso por contraseña
• Modificar parámetros de seguridad en SSH
• Analizar riesgos y mitigaciones

Condiciones del entorno

Se requiere acceso a un servidor Linux con privilegios sudo.

Comandos y explicación

ssh-keygen → Genera par de llaves

ssh-copy-id → Copia llave al servidor

/etc/ssh/sshd_config → Configuración del servicio

systemctl restart ssh → Reinicia servicio

Actividad paso a paso

1. Generar llave: ssh-keygen -t rsa -b 4096
2. Copiar llave: ssh-copy-id usuario@IP
3. Probar acceso sin contraseña: ssh usuario@IP
4. Editar configuración: sudo nano /etc/ssh/sshd_config
5. Modificar: PasswordAuthentication no PermitRootLogin no
6. Reiniciar servicio: sudo systemctl restart ssh
7. Validar acceso nuevamente

Análisis del sistema

• ¿Qué cambia al usar llaves en lugar de contraseña?
• ¿Por qué deshabilitar root?
• ¿Qué riesgos se mitigaron?

Preguntas de reflexión

• ¿Qué pasaría si pierdes la llave privada?
• ¿Cómo implementarías RBAC en SSH?
• ¿Qué otros mecanismos de seguridad aplicarías?

Actividad complementaria

• Investigar fail2ban
• Configurar cambio de puerto SSH
• Explorar autenticación multifactor

Entrega: análisis técnico

Evidencia

• Capturas de:
  • ssh-keygen
  • ssh-copy-id
  • configuración sshd_config
  • login exitoso sin contraseña
• Explicación de cambios
• Respuestas de reflexión