Tome en serio la ciberseguridad y utilice claves SSH para acceder a inicios de sesión remotos. Son una forma más segura de conectarse que las contraseñas. Le mostramos cómo generar, instalar y usar claves SSH en Linux.
Tabla de contenido
¿Qué hay de malo con las contraseñas?
Secure Shell (SSH) es el protocolo encriptado que se usa para iniciar sesión en cuentas de usuario en computadoras remotas Linux o similares a Unix. Normalmente, estas cuentas de usuario están protegidas mediante contraseñas. Cuando inicia sesión en una computadora remota, debe proporcionar el nombre de usuario y la contraseña de la cuenta en la que está iniciando sesión.
Las contraseñas son el medio más común de asegurar el acceso a los recursos informáticos. A pesar de esto, la seguridad basada en contraseñas tiene sus defectos. Las personas eligen contraseñas débiles, comparten contraseñas, usan la misma contraseña en varios sistemas, etc.
Las claves SSH son mucho más seguras y, una vez configuradas, son tan fáciles de usar como las contraseñas.
¿Qué hace que las claves SSH sean seguras?
Las claves SSH se crean y utilizan en pares. Las dos claves están vinculadas y son criptográficamente seguras. Una es su clave pública y la otra es su clave privada. Están vinculados a su cuenta de usuario. Si varios usuarios en una sola computadora usan claves SSH, cada uno recibirá su propio par de claves.
Su clave privada está instalada en su carpeta de inicio (generalmente) y la clave pública está instalada en la computadora remota (o computadoras) a las que necesitará acceder.
Su clave privada debe mantenerse a salvo. Si es accesible para otras personas, se encuentra en la misma posición que si hubieran descubierto su contraseña. Una precaución sensata (y muy recomendable) es que su clave privada se cifre en su computadora con un frase de contraseña.
La clave pública se puede compartir libremente sin comprometer su seguridad. No es posible determinar cuál es la clave privada a partir de un examen de la clave pública. La clave privada puede cifrar mensajes que solo la clave privada puede descifrar.
Cuando realiza una solicitud de conexión, la computadora remota usa su copia de su clave pública para crear un mensaje encriptado. El mensaje contiene un ID de sesión y otros metadatos. Solo la computadora en posesión de la clave privada, su computadora, puede descifrar este mensaje.
Su computadora accede a su clave privada y descifra el mensaje. Luego envía su propio mensaje encriptado a la computadora remota. Entre otras cosas, este mensaje cifrado contiene el ID de sesión que se recibió de la computadora remota.
La computadora remota ahora sabe que usted debe ser quien dice ser porque solo su clave privada podría extraer el ID de sesión del mensaje que envió a su computadora.
Asegúrese de que puede acceder a la computadora remota
Asegúrese de poder conectarse e iniciar sesión de forma remota en la computadora remota. Esto prueba que su nombre de usuario y contraseña tienen una cuenta válida configurada en la computadora remota y que sus credenciales son correctas.
No intente hacer nada con las claves SSH hasta que haya verificado que puede usar SSH con contraseñas para conectarse a la computadora de destino.
En este ejemplo, una persona con una cuenta de usuario llamada dave inicia sesión en una computadora llamada howtogeek. Se conectarán a otra computadora llamada Sulaco.
Ingresan el siguiente comando:
ssh dave@sulaco
Se les pide su contraseña, la ingresan y se conectan a Sulaco. Su indicador de línea de comando cambia para confirmar esto.
Esa es toda la confirmación que necesitamos. Entonces el usuario dave puede desconectarse de Sulaco con el comando exit:
exit
Reciben el mensaje de desconexión y su línea de comandos vuelve a dave @ howtogeek.
Creación de un par de claves SSH
Estas instrucciones se probaron en distribuciones de Linux Ubuntu, Fedora y Manjaro. En todos los casos, el proceso fue idéntico y no hubo necesidad de instalar ningún software nuevo en ninguna de las máquinas de prueba.
Para generar sus claves SSH, escriba el siguiente comando:
ssh-keygen
Comienza el proceso de generación. Se le preguntará dónde desea que se almacenen sus claves SSH. Presione la tecla Enter para aceptar la ubicación predeterminada. Los permisos de la carpeta la protegerán solo para su uso.
Ahora se le pedirá una frase de contraseña. Le recomendamos encarecidamente que ingrese una frase de contraseña aquí. ¡Y recuerda lo que es! Puede presionar Enter para no tener una contraseña, pero esta no es una buena idea. Una frase de contraseña formada por tres o cuatro palabras inconexas, unidas entre sí, formará una frase de contraseña muy sólida.
Se le pedirá que ingrese la misma contraseña una vez más para verificar que haya escrito lo que pensó que había escrito.
Las claves SSH se generan y almacenan para usted.
Puede ignorar el «randomart» que se muestra. Algunas computadoras remotas pueden mostrarle su arte aleatorio cada vez que se conecta. La idea es que reconozca si el arte aleatorio cambia y sospeche de la conexión porque significa que las claves SSH para ese servidor han sido alteradas.
Instalación de la clave pública
Necesitamos instalar su clave pública en Sulaco, la computadora remota, para que sepa que la clave pública le pertenece.
Hacemos esto usando el comando ssh-copy-id. Este comando establece una conexión con la computadora remota como el comando ssh normal, pero en lugar de permitirle iniciar sesión, transfiere la clave SSH pública.
ssh-copy-id dave@sulaco
Aunque no está iniciando sesión en la computadora remota, debe autenticarse con una contraseña. La computadora remota debe identificar a qué cuenta de usuario pertenece la nueva clave SSH.
Tenga en cuenta que la contraseña que debe proporcionar aquí es la contraseña de la cuenta de usuario en la que está iniciando sesión. Esta no es la frase de contraseña que acaba de crear.
Cuando se ha verificado la contraseña, ssh-copy-id transfiere su clave pública a la computadora remota.
Regresará al símbolo del sistema de su computadora. No queda conectado a la computadora remota.
Conexión mediante claves SSH
Sigamos la sugerencia e intentemos conectarnos a la computadora remota.
ssh dave@sulaco
Debido a que el proceso de conexión requerirá acceso a su clave privada, y debido a que protegió sus claves SSH detrás de una frase de contraseña, deberá proporcionar su frase de contraseña para que la conexión pueda continuar.
Ingrese su contraseña y haga clic en el botón Desbloquear.
Una vez que haya ingresado su frase de contraseña en una sesión de terminal, no tendrá que ingresarla nuevamente mientras tenga esa ventana de terminal abierta. Puede conectarse y desconectarse de tantas sesiones remotas como desee, sin volver a ingresar su contraseña.
Puede marcar la casilla de verificación de la opción «Desbloquear automáticamente esta clave cada vez que inicie sesión», pero reducirá su seguridad. Si deja su computadora desatendida, cualquiera puede hacer conexiones a las computadoras remotas que tienen su clave pública.
Una vez que ingrese su frase de contraseña, estará conectado a la computadora remota.
Para verificar el proceso una vez más de un extremo a otro, desconéctese con el comando exit y vuelva a conectarse a la computadora remota desde la misma ventana de terminal.
ssh dave@sulaco
Se le conectará a la computadora remota sin la necesidad de una contraseña o frase de contraseña.
Sin contraseñas, pero con seguridad mejorada
Los expertos en ciberseguridad hablan de algo llamado fricción de seguridad. Ese es el menor dolor que debe soportar para obtener la seguridad adicional. Por lo general, se requieren algunos pasos adicionales para adoptar un método de trabajo más seguro. Y a la mayoría de la gente no le gusta. De hecho, prefieren una menor seguridad y la falta de fricción. Esa es la naturaleza humana.
Con las claves SSH, obtiene una mayor seguridad y una mayor comodidad. Eso es definitivamente un ganar-ganar.