2008/6/7 Rhonny <[EMAIL PROTECTED]>: > Buenas > > 2008/6/6 Sebastian Pescio <[EMAIL PROTECTED]>: >> Hola Compañeros.
Hola >> Les dejo esta consulta para ver que opinión les merece: >> >> Situación: >> >> Tengo que otorgarle acceso remoto a un Proveedor y estoy entre 2 soluciones: >> >> 1) OpenVPN. >> 2) SSH a secas! >> >> De openVPN lo malo es que una vez conectado quedaría virtualmente "dentro" >> de mi red local, lo cual no me agrada en absoluto, lo bueno es que solo >> podrían conectarse quienes tengan los certificados. No sé si la VPN es la mejor opción, pero no tienes porque meterlo "dentro" de la red local, puedes solo darle acceso a los host que te interese. >> De SSH me gusta que una vez conectado al Server Linux (vía SSH) tendría un >> usuario sin privilegios y solo podría hacer TELNET (ya dentro de la red) >> contra un UNIX sobre el cual debe realizar mantenimientos. Lo malo es que >> cualquiera podría ponerse a realizar ataques contra mi Server SSH. >> >> Que opinan? Que les parece mejor y mas seguro? Un servidor ssh seguro (puerto distinto, permitir solo algunos usuarios, . . . lo de siempre) y permitir solo conexiones de esa IP usando una clave *con contraseña*. Además podrías crear un chroot sólo con los comandos que necesita y limitar las conexiones a la máquina que te interesa, para no darle acceso a la máquina entera y que no pueda fozar libremente. La verdad, ahora mismo no se me ocurre algo más paranoico ;) .Existe bastante info sobre todo esto, si te interesa avisa y te paso unos links. >> >> >> > > Con SSH puedes usar certificados tambien, y si te parece, puedes > olvidarte de las contrasenas, ya que estas son blanco de ataques de > fuerza... Yo siempre lo solía hacer así, pero dejé de hacerlo por dos cosas: 1.- Si alguien se apropia de una máquina que tiene la clave estás jodido. 2.- De esto no estoy muy seguro (si alguien lo sabe con certeza, agradecería la correción ). Imagínate que se comentara por error un par de líneas en el código de openssl y que eso afectase a la entropía. Es muy fácil atacar a esas claves por fuerza bruta, sin embargo si existe una contraseña , la cosa cambia. (o eso creo) Además es igual de cómodo, existen cosas como keychain [0] para que no te pida la contraseña constatemente. > Asi te olvidas de crear contrasenas dificiles que luego tu cliente o > alguien podria olvidar o tenga que dejar anotada por ahi en un papel > que es peor. > > Aca te dejo unos how to > http://www.csua.berkeley.edu/~ranga/notes/ssh_nopass.html > http://www.ymipollo.com/~ToRo/55093.conectarse-por-ssh-sin-password.html > [0] http://www.gentoo.org/proj/en/keychain/ Saludos a todos! -- ----------------------------------------------------------------- Adrián Boubeta [EMAIL PROTECTED] C.T.I. TEGNIX, S.L. www.tegnix.com -----------------------------------------------------------------
