Servidor OpenSSH en WINDOWS NT/ 2K /XP - PASOS PARA SU INSTALACIÓN Y CONFIGURACIÓN

Instalando el paquete OpenSSH para Windows

Descargar el paquete *.ZIP desde aquí (OpenSSH for Windows v3.7.1p1-1. Actualizado a 30 September 2003).

Creación de un par de llaves / claves

• Para crear un par de claves DSA, acceder al directorio base de OpenSSH mediante la línea de mandatos y ejecutar:

ssh-keygen -d -f c:\ssh\ssh_host_dsa_key -N “”

• Para crear un par de claves RSA, ejecute el mandato:

ssh-keygen -f c:\ssh\ssh_host_key -N “”

En estos ejemplos se ha utilizado el directorio C:\ssh como directorio base, por lo que si utiliza un directorio base distinto habrá que reemplazar este dato en el ejemplo. Serán generadas por defecto pares de claves de 1.024 bits, en principio, suficientemente seguras.

Variables de entorno

• Mi PC > Propiedades > Avanzado > Variables de Entorno >

Añadir al path el valor del la ruta donde se encuentra OpenSSH por ejemplo:

C:\Archivos de programa\Exceed.nt;C:\Archivos de programa\Archivos comunes\Autodesk Shared\;C:\OpenSSH

• Mi PC > Propiedades > Avanzado > Variables de Entorno >

Crear una nueva variable del sistema:

Variable: HOME

Valor : C:\OpenSSH (o la ruta donde se encuentre OpenSSH)

Creación de los archivos passwd y group

Dentro de la carpeta /bin se encuentran los programas mkpasswd y mkgroup para crear usuarios/grupos que servirán para la autentificación. Una vez realizada la autentificación en Cygenwin, este transfiere la solicitud de autentificación a Windows 2000 para la comprobación de contraseñas en el SAM (Administrador de cuentas de seguridad) local y después en la base de datos del dominio si este existe. Con lo cual ,los usuarios creados con passwd deben ser tambien usuarios creados en el sistema.

mkpasswd -l -u username >> ..\etc\passwd
mkgroup -l >> ..\etc\group

reemplazaremos username por el nombre de usuario que debe existir en Windows 2000 y -l por -d si estamos en un dominio.

• Para ver los usuarios del sistema donde queremos configurar OpenSSH:

C:\OpenSSH\bin>mkpasswd -l
SYSTEM:*:18:544:,S-1-5-18::
Administradores:*:544:544:,S-1-x-32-544::
Administrador:unused_by_nt/2000/xp:500:513:U-INFOGRAFIA3\Administrador,S-1-5-21-682003330-10600084298-49167539-500:/home/Administrador:/bin/switch

• Ejemplo de creación de usuario/grupo:

C:\OpenSSH\bin>mkpasswd -d -u INFOGRAFIA3 >> ..\etc\passwd
C:\OpenSSH\bin>mkgroup -d >> ..\etc\group

Restricción de usuarios

• Para que sólo algunos usuarios puedan conectarse via SSH al servidor, agregar la siguiente línea en /etc/sshd_config:

AllowUsers <user1> <user2> ...

• Está también permitido aceptar grupos de usuarios. Se hace con AllowGroups.

Arrancar el servicio

C:\net start opensshd

Conexión con el servidor OpenSSH

Para conectarse al servidor OpenSSH desde un cliente Windows podemos usar PuTTY, un cliente de Telnet y de SSH «libre» para la interoperación con OpenSSH desde sistemas Windows: http://gnuwin.epfl.ch/apps/putty/es/

• Para conectarse desde una shell en modo MSDOS:

ssh usuario@servidor

Seguridad

Es necesario asignar permisos a las carpetas par que sólo los usuarios que queramos puedan acceder a ellas.

Algunas reglas importantes.

1. Siempre que sea posible, conceder el acceso remoto sólo a los administradores.

2. Sólo la cuenta LocalSystem y el grupo local «Administradores» deben tener acceso a los directorios \ssh, \var y \etc.

3. Si aparece en pantalla un mensaje de advertencia del cliente SSH para comunicarle que la clave de host del servidor OpenSSH ha cambiado y no se trata de la primera vez que establece conexión con dicho servidor, averigüe cuál es la causa.

4. Utilice SSH1 exclusivamente cuando existan clientes más antiguos que utilicen dicha versión de SSH.