Cómo crear e instalar claves SSH desde el Shell de Linux

Laptop Linux que muestra un indicador de shell
Fatmawati Achmad Zaenuri / Shutterstock.com

Tómese la ciberseguridad en serio y utilice claves SSH para acceder a inicios de sesión remotos. Son una forma más segura de conectarse que las contraseñas. Le mostramos cómo generar, instalar y usar claves SSH en Linux.

¿Qué hay de malo con las contraseñas?

Secure Shell (SSH) es el protocolo encriptado que se utiliza para iniciar sesión en cuentas de usuario en computadoras remotas Linux o similares a Unix . Normalmente, estas cuentas de usuario están protegidas mediante contraseñas. Cuando inicia sesión en una computadora remota, debe proporcionar el nombre de usuario y la contraseña de la cuenta en la que está iniciando sesión.

Las contraseñas son el medio más común de asegurar el acceso a los recursos informáticos. A pesar de esto, la seguridad basada en contraseñas tiene sus defectos. La gente elige contraseñas débiles, comparte contraseñas, usa la misma contraseña en múltiples sistemas, etc.

Las claves SSH son mucho más seguras y, una vez configuradas, son tan fáciles de usar como las contraseñas.

¿Qué hace que las claves SSH sean seguras?

Las claves SSH se crean y utilizan en pares. Las dos claves están vinculadas y son criptográficamente seguras. Una es su clave pública y la otra es su clave privada. Están vinculados a su cuenta de usuario. Si varios usuarios en una sola computadora usan claves SSH, cada uno recibirá su propio par de claves.

Su clave privada está instalada en su carpeta de inicio (generalmente) y la clave pública está instalada en la computadora remota (o computadoras) a las que necesitará acceder.

Su clave privada debe mantenerse segura. Si otros pueden acceder a ella, se encuentra en la misma posición que si hubieran descubierto su contraseña. Una precaución sensata (y muy recomendada) es que su clave privada esté encriptada en su computadora con una contraseña sólida .

Relacionado:  Cómo usar el comando uniq en Linux

La clave pública se puede compartir libremente sin comprometer su seguridad. No es posible determinar cuál es la clave privada a partir de un examen de la clave pública. La clave privada puede cifrar mensajes que solo la clave privada puede descifrar.

Cuando realiza una solicitud de conexión, la computadora remota usa su copia de su clave pública para crear un mensaje encriptado. El mensaje contiene un ID de sesión y otros metadatos. Sólo la computadora que posee la clave privada, su computadora, puede descifrar este mensaje.

Su computadora accede a su clave privada y descifra el mensaje. Luego envía su propio mensaje cifrado a la computadora remota. Entre otras cosas, este mensaje cifrado contiene el ID de sesión que se recibió de la computadora remota.

La computadora remota ahora sabe que usted debe ser quien dice ser porque solo su clave privada podría extraer el ID de sesión del mensaje que envió a su computadora.

Asegúrese de que puede acceder a la computadora remota

Asegúrese de poder conectarse e iniciar sesión de forma remota en la computadora remota . Esto prueba que su nombre de usuario y contraseña tienen una cuenta válida configurada en la computadora remota y que sus credenciales son correctas.

No intente hacer nada con las claves SSH hasta que haya verificado que puede usar SSH con contraseñas para conectarse a la computadora de destino.

En este ejemplo, una persona con una cuenta de usuario llamada daveinicia sesión en una computadora llamada howtogeek. Se conectarán a otra computadora llamada Sulaco.

Ingresan el siguiente comando:

ssh dave @ sulaco

ssh dave @ sulaco en una ventana de terminal

Se les pide su contraseña, la ingresan y se conectan a Sulaco. Su indicador de línea de comando cambia para confirmar esto.

usuario dave conectado a sulaco usando ssh y una contraseña

Esa es toda la confirmación que necesitamos. Entonces el usuario davepuede desconectarse Sulacocon el exitcomando:

salida

usuario dave desconectado de sulaco

Reciben el mensaje de desconexión y su línea de comandos vuelve a dave@howtogeek.

Creación de un par de claves SSH

Estas instrucciones se probaron en distribuciones de Linux Ubuntu, Fedora y Manjaro. En todos los casos, el proceso fue idéntico y no hubo necesidad de instalar ningún software nuevo en ninguna de las máquinas de prueba.

Relacionado:  Cómo buscar archivos y carpetas en Linux usando la línea de comandos

Para generar sus claves SSH, escriba el siguiente comando:

ssh-keygen

ssh-keygen en una ventana de terminal

Comienza el proceso de generación. Se le preguntará dónde desea que se almacenen sus claves SSH. Presione la tecla Enter para aceptar la ubicación predeterminada. Los permisos de la carpeta la protegerán solo para su uso.

Confirmación de la ubicación de almacenamiento de la clave ssh en una ventana de terminal

Ahora se le pedirá una frase de contraseña. Le recomendamos encarecidamente que ingrese una frase de contraseña aquí. ¡Y recuerda lo que es! Puede presionar Enter para no tener una contraseña, pero esta no es una buena idea. Una frase de contraseña formada por tres o cuatro palabras inconexas, unidas entre sí, formará una frase de contraseña muy sólida.

Solicitar una frase de contraseña en una ventana de terminal

Se le pedirá que ingrese la misma contraseña una vez más para verificar que ha escrito lo que pensó que había escrito.

Las claves SSH se generan y almacenan para usted.

Generación de claves completada y arte aleatorio mostrado en una ventana de terminal

Puede ignorar el «randomart» que se muestra. Algunas computadoras remotas pueden mostrarle su arte aleatorio cada vez que se conecta. La idea es que reconozca si el arte aleatorio cambia y sospeche de la conexión porque significa que las claves SSH para ese servidor han sido alteradas.

Instalación de la clave pública

Necesitamos instalar su clave pública en Sulacola computadora remota, para que sepa que la clave pública le pertenece.

Hacemos esto usando el ssh-copy-idcomando. Este comando establece una conexión con la computadora remota como el sshcomando normal , pero en lugar de permitirle iniciar sesión, transfiere la clave SSH pública.

ssh-copy-id dave @ sulaco

ssh-copy-id dave @ sulaco

Aunque no está iniciando sesión en la computadora remota, debe autenticarse con una contraseña. La computadora remota debe identificar a qué cuenta de usuario pertenece la nueva clave SSH.

Tenga en cuenta que la contraseña que debe proporcionar aquí es la contraseña de la cuenta de usuario en la que está iniciando sesión. Esta no es la frase de contraseña que acaba de crear.

Relacionado:  Cómo ejecutar y controlar procesos en segundo plano en Linux

ssh-copy-id con solicitud de contraseña en una ventana de terminal

Cuando se haya verificado la contraseña, ssh-copy-idtransfiere su clave pública a la computadora remota.

Regresará al símbolo del sistema de su computadora. No queda conectado a la computadora remota.

Pulic clave transferida con éxito en una ventana de terminal

Conexión mediante claves SSH

Sigamos la sugerencia e intentemos conectarnos a la computadora remota.

ssh dave @ sulaco

ssh dave @ sulaco en una ventana de terminal

Debido a que el proceso de conexión requerirá acceso a su clave privada, y debido a que protegió sus claves SSH detrás de una frase de contraseña, deberá proporcionar su frase de contraseña para que la conexión pueda continuar.

cuadro de diálogo de solicitud de frase de contraseña

Ingrese su contraseña y haga clic en el botón Desbloquear.

Una vez que haya ingresado su frase de contraseña en una sesión de terminal, no tendrá que ingresarla nuevamente mientras tenga esa ventana de terminal abierta. Puede conectarse y desconectarse de tantas sesiones remotas como desee, sin volver a ingresar su contraseña.

Puede marcar la casilla de verificación de la opción «Desbloquear automáticamente esta clave cada vez que inicie sesión», pero reducirá su seguridad. Si deja su computadora desatendida, cualquiera puede hacer conexiones a las computadoras remotas que tienen su clave pública.

Una vez que ingrese su frase de contraseña, estará conectado a la computadora remota.

Conexión de computadora remota en una ventana de terminal

Para verificar el proceso una vez más de un extremo a otro, desconéctese con el exitcomando y vuelva a conectarse a la computadora remota desde la misma ventana de terminal.

ssh dave @ sulaco

Conexión y desconexión de la clave ssh en una ventana de terminal

Se le conectará a la computadora remota sin la necesidad de una contraseña o frase de contraseña.

Sin contraseñas, pero seguridad mejorada

Los expertos en ciberseguridad hablan de algo llamado fricción de seguridad. Ese es el menor dolor que debe soportar para obtener la seguridad adicional. Por lo general, se requieren algunos pasos adicionales para adoptar un método de trabajo más seguro. Y a la mayoría de la gente no le gusta. De hecho, prefieren una menor seguridad y la falta de fricción. Esa es la naturaleza humana.

Con las claves SSH, obtiene una mayor seguridad y una mayor comodidad. Definitivamente es un beneficio mutuo.