9.2. Inicio de sesión remoto

Es esencial para el administrador poder conectarse a un equipo de forma remota. Los servidores, aislados en su propia habitación, rara vez están equipados con monitores y teclados permanentes — pero están conectados a la red.

9.2.1. Inicio seguro de sesión remota: SSH

El protocolo SSH (interprete de órdenes seguro: «Secure SHell») fue diseñado pensando en la seguridad y la confiabilidad. Las conexiones que utilizan SSH son seguras: la otra parte es autenticada y se cifran todos los datos intercambiados.

VOCABULARIO Autenticación, cifrado

Cuando necesite darle a un cliente la capacidad de realizar o desencadenar acciones en un servidor, la seguridad es importante. Debe asegurar la identidad del cliente; esto es autentificación. Esta identidad generalmente consisten en una constraseña que debe mantenerse en secreto o cualquier otro cliente podría conseguirla. Este es el propósito del cifrado, que es una forma de codificación que permite a dos sistemas intercambiar información confidencial en un canal público al mismo tiempo que la protege de que otros la puedan leer.

Frecuentemente se nombran a la autenticación y al cifrado en conjunto, tanto porque se los utiliza a ambos como porque generalmente son implementados con conceptos matemáticos similares.

SSH también ofrece dos servicios de transferencia de archivos. scp es una herramienta para la terminal que puede utilizar como cp excepto que cualquier ruta a otro equipo utilizará un prefijo con el nombre de la máquina seguido de dos puntos («:»).

$ scp archivo equipo:/tmp/

sftp is an interactive command, similar to ftp. In a single session, sftp can transfer several files, and it is possible to manipulate remote files with it (delete, rename, change permissions, etc.). Many FTP clients, including filezilla, support it.

Debian utiliza OpenSSH, una versión libre de SSH mantenida por el proyecto OpenBSD (un sistema operativo libre basado en el núcleo BSD enfocado en seguridad) que es una bifurcación («fork») del software SSH original desarrollado por la empresa SSH Communications Security Corp de Finlandia. Esta empresa inicialmente desarrolló SSH como software libre pero eventualmente decidió continuar su desarrollo bajo una licencia privativa. El proyecto OpenBSD luego creó OpenSSH para mentener una versión libre de SSH.

VOLVER A LOS CIMIENTOS Bifurcación: «fork»

Una bifurcación («fork»), en el campo de software, significa que comienza un nuevo proyecto como clon de un proyecto existente y que competirá con él. Desde allí, ambos programas generalmente divergirán rápidamente en términos de nuevos desarrollos. Por lo general son un resultado de desacuerdos dentro del equipo de desarrollo.

La opción de bifurcar un proyecto es un resultado directo de la naturaleza misma del software libre; es un evento saludable cuando permite la continuación de un proyecto como software libre (por ejemplo, en el caso de cambios de licencia). Una bifurcación generada por desacuerdos técnicos o personales usualmente es un desperdicio de recursos; se prefiere otra solución. También ocurren fusiones de dos proyectos que anteriormente habían bifurcado.

OpenSSH está dividido en dos paquetes: la parte del cliente se encuentra en el paquete openssh-client y el servidor en el paquete openssh-server. El metapaquete ssh depende de ambas partes y facilita la instalación conjunta (apt install ssh), mientras que el task-ssh-server, a menudo elegido durante la instalación inicial, depende del paquete servidor solamente.

9.2.1.1. Autenticación basada en llaves

Cada vez que alguien inicia sesión a través de SSH, el servidor remoto pide una contraseña para autenticar al usuario. Esto puede ser problemático si desea automatizar la conexión o si utiliza una herramienta que necesita conexiones frecuentes sobre SSH. Es por esto que SSH ofrece un sistema de autenticación basada en llaves.

El usuario genera un par de llaves en la máquina cliente con ssh-keygen -t rsa; la llave pública generada se almacena en ~/.ssh/id_rsa.pub, mientras que la llave privada correspondiente se almacena en ~/.ssh/id_rsa. El usuario puede utilizar entonces ssh-copy-id server para agregar su llave pública al archivo ~/.ssh/authorized_keys en el servidor o, si el acceso SSH aún no se ha habilitado, tiene que pedirle al administrador que agregue su clave manualmente.

Si la clave privada no estaba protegida con una "contraseña" en el momento de su creación, todos los inicios de sesión posteriores en el servidor funcionarán sin contraseña. De lo contrario, la clave privada debe descifrarse cada vez ingresando la contraseña. Afortunadamente, ssh-agent nos permite mantener las claves privadas en la memoria para no tener que volver a ingresar la contraseña con regularidad. Para esto, simplemente usar ssh-add (una vez por sesión de trabajo) siempre que la sesión ya esté asociada a una instancia funcional de ssh-agent. Debian lo activa por defecto en sesiones gráficas, pero esto se puede desactivar cambiando /etc/X11/Xsession.options y comentando use-ssh-agent. Para una sesión de consola, puede iniciar manualmente el agente con eval $(ssh-agent).

SEGURIDAD Protección de la llave privada

Quien posea la llave privada puede iniciar sesión con la cuenta configurada. Es por esto que se protege la llave privada con una «frase de contraseña». Quien obtenga una copia del archivo de la llave privada (por ejemplo, ~/.ssh/id_rsa) todavía tendrá que saber dicha frase para poder intentar utilizarla. Sin embargo, esta protección adicional no es infalible y es mejor deshabilitar la llave en aquellos equipos en las que la instaló (eliminándola de los archivos authorized_keys) y reemplazándola con una nueva llave que haya generado.

CULTURA Falla OpenSSL en Debian Etch

La biblioteca OpenSSL, como fue provista inicialmente en Debian Etch, tenía un serio problema en su generador de números aleatorios (RNG: «Random Number Generator»). El desarrollador Debian había realizado una modificación para que los programas que la utilizan no generaran advertencias mientras eran objetivo de análisis por herramientas de pruebas de memoria como valgrind. Desafortunadamente, este cambio también significaba que el RNG sólo utilizaba una fuente de entropía que correspondía al número de proceso (PID); pero los 32000 valores posibles del mismo no ofrecen suficiente aleatoriedad.

→ https://www.debian.org/security/2008/dsa-1571

Específicamente, cuando utilizaba OpenSSL para generar una llave, siempre producía una llave dentro de un conjunto conocido de cientos de miles de llaves (32000 multiplicado por una pequeña cantidad de longitudes de llaves). Esto afectaba llaves SSH, llaves SSL y certificados X.509 utilizados por numerosas aplicaciones, como OpenVPN. Un «cracker» sólo debía intentar todas estas llaves para obtener un acceso no autorizado. Para reducir el impacto del problema, se modificó el demonio SSH para rechazar las llaves problemáticas incluidas en los paquetes openssh-blacklist y openssh-blacklist-extra. Además, el programa ssh-vulnkey permite identificar posibles llaves comprometidas en el sistema.

Un análisis más detallado de este problema resaltó que era el resultado de múltiples problemas (pequeños) del proyecto OpenSSL y del encargado del paquete Debian. Una biblioteca tan utilizada como OpenSSL no debería — sin modificaciones — generar advertencias cuando es probada con valgrind. Lo que es más, el código (especialmente las partes tan sensibles como el RNG) deberían tener mejores comentarios para evitar estos errores. Por parte de Debian, el encargado quería validar las modificaciones con los desarrolladores de OpenSSL, pero simplemente explicó las modificaciones sin proporcionar el parche correspondiente para su revisión y se olvidó de mencionar su papel en Debian. Por último, las decisiones de mantenimiento no fueron las óptimas: los cambios en el código original no estaban comentados de forma clara; todas las modificaciones fueron almacenadas en un repositorio Subversion, pero terminaron agrupadas en un sólo parche durante la creación del paquete fuente.

Bajo tales condiciones es difícil encontrar las medidas correctivas para evitar que ocurran incidentes similar. La lección a aprender aquí es que cada divergencia que Debian introduce al software de origen debe estar justificada, documentad, debe ser enviada al proyecto de origen cuando sea posible y publicitada ampliamente. Es desde esta perspectiva que se desarrollaron el nuevo formato de paquete fuente («3.0 (quilt)») y el servicio web de código fuente de Debian.

→ https://sources.debian.org

9.2.1.2. Autenticación basada en certificado

Las teclas SSH no se pueden proteger por una contraseña (o no). Una característica a menudo desconocida es que también se pueden ser firmar mediante certificado, tanto el anfitrión como las claves del cliente. Este enfoque tiene varias ventajas. En lugar de mantener un archivo authorized_keys por usuario como se describe en la sección anterior, se puede configurar el servidor SSH para que confíe en todas las claves del cliente firmadas por el mismo certificado (ver también Sección 10.2.2, “Infraestructura de llave pública: easy-rsa”) usando las directivas TrustedUserCAKeys y HostCertificate en /etc/ssh/sshd_config.

TrustedUserCAKeys /etc/ssh/ssh_users_ca.pub

HostKey /etc/ssh/ssh_host_ecdsa_key
HostCertificate /etc/ssh/ssh_host_ecdsa_key-cert.pub

Por otro lado, los clientes también pueden configurarse para confiar en la clave del equipo firmada por la misma autoridad, lo que facilita el mantenimiento del archivo known_hosts (incluso en todo el sistema a través de /etc/ssh/known_hosts).

@cert-authority *.falcot.com ssh-rsa AAAA[..]

Tanto la autenticación mediante clave pública como la autenticación mediante certificado se pueden utilizar conjuntamente.

9.2.1.3. Combining authentication methods

Besides the already mentioned password based, key based, and the certificate based authentication, other methods like using a TOTP exist as well. Not only is this an abundance of options. They can also be combined. On the server side, the AuthenticationMethods directive can define an order of authentication methods a user has to successfully pass, before they are allowed to enter the system. It is even possible to define multiple alternative sequences:

AuthenticationMethods publickey,password publickey,keyboard-interactive:pam

This setting, for example, allows users to login after initially completing the public key authentication, followed by either a successful password authentication or entering a valid TOTP set up via PAM. On the user side, the sequence of methods can be defined using the PreferredAuthentications directive.

9.2.1.4. Utilización aplicaciones X11 remotas

The SSH protocol allows forwarding of graphical data (“X11” session, from the name of the most widespread graphical system in Unix); the server then keeps a dedicated channel for those data. Specifically, a graphical program executed remotely can be displayed on the X.org server of the local screen, and the whole session (input and display) will be secure. Since this feature allows remote applications to interfere with the local system, it is disabled by default. You can enable it by specifying X11Forwarding yes in the server configuration file sshd_config(5) or by prepending the public key with the X11-forwarding keyword in the authorized_keys(5) file. Finally, the user must also request it by adding the -X option to the ssh command-line.

YENDO MÁS ALLÁ Cookies mágicas en .Xauthority

Cuando un usuario se conecta a través de SSH e inicia una sesión remota X11, se crea una llamada cookie mágica y se almacena en el archivo .Xauthority en el directorio home del usuario que inició la conexión. Esta cookie la utiliza xauth para autenticar al usuario durante la sesión X. Si el usuario se hace pasar por otro usuario en el sistema, por ejemplo utilizando su o sudo, entonces la cookie no se copia automáticamente al usuario de destino y el servidor X se negará a iniciar aplicaciones gráficas bajo el contexto del usuario de destino. Tendrá que copiar la cookie mágica en el directorio personal del usuario de destino (exportando y reimportando la cookie mediante xauth) para permitir que otro usuario inicie también programas gráficos durante la sesión X.

9.2.1.5. Creación de túneles cifrados con redirección de puertos

Las opciones -R y -L le permiten a ssh crear «túneles cifrados» entre dos equipos, redirigiendo de forma segura un puerto TCP local (revise el recuadro VOLVER A LOS CIMIENTOS TCP/UDP) a un equipo remoto o viceversa.

VOCABULARIO Túnel

Internet, y la mayoría de las redes de área local conectadas a ella, funcionan bajo conmutación de paquetes y no bajo conmutación de circuitos, lo que significa que un paquete enviado de un equipo a otro será detenido en varios routers intermedios para encontrar su ruta al destino. Todavía puede simular el modo de conexión en el que el flujo esté encapsulado en paquetes IP normales. Estos paquetes siguen su ruta usual pero se reconstruye el flujo sin cambios en el destino. A esto le llamamos un «túnel», el análogo a un túnel vial en el que los vehículos conducen directamente desde la entrada a la salida sin encontrase con intersección alguna a diferencia de una ruta en la superficie que involucraría intersecciones y cambios de dirección.

Puede utilizar esta oportunidad para agregar cifrado al túnel: así el flujo del mismo no puede ser reconocido desde el exterior, pero al salir del túnel se encuentra descifrado.

ssh -L 8000:servidor:25 intermediario establece una sesión SSH con el equipo intermediario y escucha en el puerto local 8000 (revise la Figura 9.3, “Redirección de un puerto local con SSH”). Para cualquier conexión en este puerto, ssh iniciará una conexión desde el equipo intermediario al puerto 25 de servidor y unirá ambas conexiones.

ssh -R 8000:servidor:25 intermediario también establece una sesión SSH al equipo intermediario, pero es en este equipo que ssh escuchará en el puerto 8000 (revise la Figura 9.4, “Redirección de un puerto remoto con SSH”). Cualquier conexión establecida en este puerto causará que ssh abra una conexión desde el equipo local al puerto 25 de servidor y unirá ambas conexiones.

En ambos casos, se realizan las conexiones en el puerto 25 del equipo servidor, que pasarán a través del túnel SSH establecido entre la máquina local y la máquina intermediario. En el primer caso, la entrada al túnel es el puerto local 8000 y los datos se mueven hacia la máquina intermediario antes de dirigirse a servidor en la red «pública». En el segundo caso, la entrada y la salida del túnel son invertidos; la entrada es en el puerto 8000 de la máquina intermediario, la salida es en el equipo local y los datos son dirigidos a servidor. En la práctica, el servidor generalmente está en la máquina local o el intermediario. De esa forma SSH asegura la conexión un extremo a otro.

Figura 9.3. Redirección de un puerto local con SSH

Figura 9.4. Redirección de un puerto remoto con SSH

9.2.2. Utilización de escritorios gráficos remotos

VNC (computación en redes virtuales: «Virtual Network Computing») permite el acceso remoto a escritorios gráficos.

Esta herramienta se utiliza más que nada para asistencia técnica; el administrador puede ver los errores con los que se enfrenta el usuario y mostrarle el curso de acción correcto sin tener que estar a su lado.

Primero, el usuario debe autorizar compartir su sesión. El entorno gráfico de escritorio GNOME incluye esa opción a través de Ajustes → Compartir (en contra de versiones anteriores de Debian, donde el usuario tuvo que instalar y ejecutar vino). Para que esto funcione network-manager debe estar administrando la red utilizada (por ejemplo, habilitar el modo managed para dispositivos manejados por ifupdown en /etc/NetworkManager/NetworkManager.conf). KDE Plasma todavía requiere usar krfb para permitir compartir un período de sesiones existente sobre VNC. Para otros entornos gráficos de escritorio, los comandos x11vnc or tightvncserver sirven al mismo propósito y proporcionan el paquete virtual vnc-servidor; puede poner cualquiera de ellos a disposición del usuario con un menú explícito o entrada de escritorio.

Cuando la sesión gráfica está disponible a través de VNC, el administrador debe conectarse a ella con un cliente VNC. Para ello GNOME posee vinagre y remmina, mientras que el proyecto KDE proveekrdc (en el menú K → Internet → Cliente de Escritorio Remoto). Hay otros clientes VNC que utilizan la línea de comandos, como xtightvncviewer del paquete homónimo o xtigervncviewer del Paquete Debian tigervnc-viewer. Una vez conectado, el administrador puede ver lo que está pasando, trabajar en la máquina remotamente, y mostrar al usuario cómo proceder.

SEGURIDAD VNC sobre SSH

Si desea conectarse con VNC y no desea que se envíen sus datos en texto plano a través de la red, es posible encapsular los datos en un túnel SSH (revise la Sección 9.2.1.5, “Creación de túneles cifrados con redirección de puertos”). Simplemente tiene que saber que, de forma predeterminada, VNC utiliza el puerto 5900 para la primera pantalla (llamada «localhost:0»), 5901 para la segunda (llamada «localhost:1»), etc.

La orden ssh -L localhost:5901:localhost:5900 -N -T equipo crea un túnel entre el puerto local 5901 en la interfaz de «localhost» y el puerto 5900 de equipo. La primera ocurrencia de «localhost» restringe a SSH para que sólo escuche en dicha interfaz en la máquina local. El segundo «localhost» indica que la interfaz en la máquina remota que recibirá el tráfico de red que ingrese en «localhost:5901». Por lo tanto, vncviewer localhost:1 conectará el cliente VNC a la pantalla remota aún cuando indique el nombre de la máquina local.

Cuando cierre la sesión VNC, recuerde también cerrar el túnel saliendo de la sesión SSH correspondiente.