Cómo utilizar OpenSSH con autenticación a través de firma digital.

Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1

© 1999-2007 Joel Barrios Dueñas. Usted es libre de copiar, distribuir y comunicar públicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicación, a través de cualquier medio, por entidades con fines de lucro). c) Si altera o transforma esta obra, o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legítimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa en castellano. La información contenida en este documento y los derivados de éste se proporcionan tal cual son y los autores no asumirán responsabilidad alguna si el usuario o lector hace mal uso de éstos.

Introducción.

Procedimientos

Modificaciones en el Servidor remoto.

Conectarse con la cuenta que se utilizará para acceder al servidor. Cómo ese usuario, y realizar las siguientes operaciones para crear el fichero ~/.ssh/authorized_keys y asignar a éste permiso de acceso 600 (solo lectura y escritura para el usuario):

ssh usuario@servidor
mkdir -m 0700 ~/.ssh/
touch ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
exit

Modificaciones en el cliente.

Generar firma digital (llave pública).

Se debe generar una firma digital (llave pública) creada con DSA (Digital Signature Algorithm o Algoritmo de Firma digital). Si se desea no utilizar clave de acceso para autenticar, solo se pulsa la tecla ENTER. Si asigna clave de acceso, está será utilizada para autenticar el certificado creado cada vez que se quiera utilizar éste para autenticar remotamente.

ssh-keygen -t dsa

El procedimiento devuelve una salida similar a la siguiente:

Generating public/private dsa key pair.
Enter file in which to save the key (/home/usuario/.ssh/id_dsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/usuario/.ssh/id_dsa.
Your public key has been saved in /home/usuario/.ssh/id_dsa.pub.
The key fingerprint is:
2c:73:30:fe:52:21:a5:82:78:49:57:cd:37:af:36:df usuario@cliente

Nota: Es importante resaltar que si desea utilizar la firma digital sin clave de acceso, jamás se deberá establecer una clave de acceso durante la generación de la firma digital. Cuando el diálogo de ssh-keygen solicite una clave de acceso con confirmación, simplemente pulsar la tecla ENTRAR (ENTER) y continuar el procedimiento.

Lo anterior genera los ficheros los ficheros ~/.ssh/id_dsa y ~/.ssh/id_dsa.pub, los cuales deben tener permiso de acceso 600 (solo lectura y escritura para el usuario).

chmod 600 ~/.ssh/{id_dsa,id_dsa.pub}

Se debe copiar el contenido de la llave pública DSA (id_dsa.pub) al fichero ~/.ssh/authorized_keys del usuario a utilizar en servidor en donde se va a autenticar.

cat ~/.ssh/id_dsa.pub | ssh usuario@servidor "cat >> ~/.ssh/authorized_keys"

Para poder acceder al servidor desde cualquier cliente, basta copiar los ficheros id_dsa y id_dsa.pub dentro del directorio ~/.ssh/, de la cuenta de usuario de cada cliente desde el que se requiera realizar conexión hacia el servidor. Tendrá implicaciones de seguridad muy serias si el fichero id_dsa cae en manos equivocadas o se ve comprometido, por tanto, dicho fichero deberá ser considerado como altamente confidencial.

Pueden generarse diferentes firmas digitales para cada usuario que deba ingresar a través de SSH al servidor remoto. Simplemente se añade el contenido del fichero ~/.ssh/id_dsa.pub de cada usuario al fichero ~/.ssh/authorized_keys de la cuenta a utilizar en el servidor remoto. Pueden agregarse cuantas firmas digitales en este fichero como sean necesarias. Si acaso se ve comprometida la seguridad de alguna firma digital, simplemente bastará eliminar ésta del fichero ~/.ssh/authorized_keys del servidor remoto.

Comprobaciones.

Si no fue asignada clave de acceso para la llave DSA, deberá poderse acceder hacia el servidor remoto sin necesidad de autenticar con clave de acceso del usuario remoto. Si fue asignada una clave de acceso a la clave DSA, se podrá acceder hacia el servidor remoto autenticando con la clave de acceso definida a la clave DSA, y sin necesidad de autenticar con clave de acceso del usuario remoto.

Última Edición jueves 04 de febrero de 2010 @ 03:33 CST|5,581 Hits