Es esencial para el administrador poder conectarse a un equipo de forma remota. Los servidores, aislados en su propia habitación, rara vez están equipados con monitores y teclados permanentes — pero están conectados a la red.
9.2.1. Inicio seguro de sesión remota: SSH
El protocolo SSH (interprete de órdenes seguro: «Secure SHell») fue diseñado pensando en la seguridad y la confiabilidad. Las conexiones que utilizan SSH son seguras: la otra parte es autenticada y se cifran todos los datos intercambiados.
SSH también ofrece dos servicios de transferencia de archivos. scp
es una herramienta para la terminal que puede utilizar como cp
excepto que cualquier ruta a otro equipo utilizará un prefijo con el nombre de la máquina seguido de dos puntos («:»).
$
scp archivo equipo:/tmp/
sftp
es un programa interactivo similar a ftp
. En una sola sesión sftp
puede transferir varios archivos y es posible manipular archivos remotos con él (eliminar, renombrar, cambiar permisos, etc.).
Debian utiliza OpenSSH, una versión libre de SSH mantenida por el proyecto OpenBSD
(un sistema operativo libre basado en el núcleo BSD enfocado en seguridad) que es una bifurcación («fork») del software SSH original desarrollado por la empresa SSH Communications Security Corp de Finlandia. Esta empresa inicialmente desarrolló SSH como software libre pero eventualmente decidió continuar su desarrollo bajo una licencia privativa. El proyecto OpenBSD luego creó OpenSSH para mentener una versión libre de SSH.
OpenSSH está dividido en dos paquetes: la parte del cliente se encuentra en el paquete openssh-client y el servidor en el paquete openssh-server. El metapaquete ssh depende de ambas partes y facilita la instalación conjunta (apt install ssh
).
9.2.1.1. Autenticación basada en llaves
Cada vez que alguien inicia sesión a través de SSH, el servidor remoto pide una contraseña para autenticar al usuario. Esto puede ser problemático si desea automatizar la conexión o si utiliza una herramienta que necesita conexiones frecuentes sobre SSH. Es por esto que SSH ofrece un sistema de autenticación basada en llaves.
El usuario genera un par de llaves en la máquina cliente con ssh-keygen -t rsa
; la llave pública se almacena en ~/.ssh/id_rsa.pub
mientras que la llave privada correspondiente estará almacenada en ~/.ssh/id_rsa
. Luego, el usuario utiliza ssh-copy-id servidor
para agregar su llave pública al archivo ~/.ssh/authorized_keys
en el servidor. Si no se protegió la llave privada con una «frase de contraseña» al momento de crearla, todos los inicios de sesión siguientes al servidor funcionarán sin contraseña. De lo contrario, debe descifrar la llave privada cada vez ingresando la frase de contraseña. Afortunadamente, ssh-agent
permite mantener llaves privadas en memoria para no tener que ingresar la frase de contraseña regularmente. Para ello, simplemente utilizaría ssh-add
(una vez por sesión de trabajo) siempre que la sesión ya esté asociada con una instancia funcional de ssh-agent
. De forma predeterminada, Debian activa este comportamiento en sesiones gráficas pero lo puede desactivar cambiando el archivo /etc/X11/Xsession.options
. Para una sesión en consola, puede iniciarlo manualmente con eval $(ssh-agent)
.
9.2.1.2. Utilización aplicaciones X11 remotas
El protocolo SSH permite redirigir datos gráficos (sesión «X11» por el nombre del sistema gráfico más utilizado en Unix); el servidor luego mantiene un canal dedicado para estos datos. Específicamente, el programa gráfico ejecutado remotamente puede mostrarse en el servidor X.org de la pantalla local y toda la sesión (datos ingresados y lo que sea mostrado) será segura. De forma predeterminada, esta funcionalidad está desactivada porque permite que aplicaciones remotas interfieran con el sistema local. Puede activarla especificando X11Forwarding yes
en el archivo de configuración del servidor (/etc/ssh/sshd_config
). Finalmente, el usuario también debe solicitarlo agregando la opción -X
al ejecutar ssh
.
9.2.1.3. Creación de túneles cifrados con redirección de puertos
Las opciones
-R
y
-L
le permiten a
ssh
crear «túneles cifrados» entre dos equipos, redirigiendo de forma segura un puerto TCP local (revise el recuadro
VOLVER A LOS CIMIENTOS TCP/UDP) a un equipo remoto o viceversa.
ssh -L 8000:servidor:25 intermediario
establece una sesión SSH con el equipo
intermediario y escucha en el puerto local 8000 (revise la
Figura 9.3, “Redirección de un puerto local con SSH”). Para cualquier conexión en este puerto,
ssh
iniciará una conexión desde el equipo
intermediario al puerto 25 de
servidor y unirá ambas conexiones.
ssh -R 8000:servidor:25 intermediario
también establece una sesión SSH al equipo
intermediario, pero es en este equipo que
ssh
escuchará en el puerto 8000 (revise la
Figura 9.4, “Redirección de un puerto remoto con SSH”). Cualquier conexión establecida en este puerto causará que
ssh
abra una conexión desde el equipo local al puerto 25 de
servidor y unirá ambas conexiones.
En ambos casos, se realizan las conexiones en el puerto 25 del equipo servidor, que pasarán a través del túnel SSH establecido entre la máquina local y la máquina intermediario. En el primer caso, la entrada al túnel es el puerto local 8000 y los datos se mueven hacia la máquina intermediario antes de dirigirse a servidor en la red «pública». En el segundo caso, la entrada y la salida del túnel son invertidos; la entrada es en el puerto 8000 de la máquina intermediario, la salida es en el equipo local y los datos son dirigidos a servidor. En la práctica, el servidor generalmente está en la máquina local o el intermediario. De esa forma SSH asegura la conexión un extremo a otro.
9.2.2. Utilización de escritorios gráficos remotos
VNC (computación en redes virtuales: «Virtual Network Computing») permite el acceso remoto a escritorios gráficos.
Esta herramienta se utiliza más que nada para asistencia técnica; el administrador puede ver los errores con los que se enfrenta el usuario y mostrarle el curso de acción correcto sin tener que estar a su lado.
Primero, el usuario debe autorizar compartir su sesión.El entornos gráficos de escritorio GNOME en Jessie incluye esa opción en su panel de configuración (al contrario que en versiones anteriores de Debian, donde el usuario tenía que instalar y ejecutar la orden vino
). KDE aún requiere utilizar krfb
para permitir compartir una sesión existente sobre VNC. Para otros entornos gráficos de escritorio, el programa x11vnc
(en el paquete Debian del mismo nombre) cumple el mismo propósito; puede ponerlo a disposición del usuario con un ícono explícito.
Cuando la sesión gráfica está disponible a través de VNC, el administrador debe conectarse a ella con un cliente VNC. Para ello GNOME posee vinagre
y remmina
, mientras que KDE incluye krdc
(en el menú → → ). Existen otros clientes VNC para utilizar en una terminal como xvnc4viewer
en el paquete Debian del mismo nombre. Una vez conectado, el administrador puede ver lo que sucede, trabajar en el equipo remotamente y mostrarle al usuario cómo proceder.
VNC también funciona para usuarios móviles o ejecutivos de empresas que ocasionalmente necesitan iniciar sesión desde sus casas para acceder a un escritorio remoto similar al que utilizan en la oficina. La configuración de tal servicio es más complicada: primero instale el paquete vnc4server, modifique la configuración del gestor de pantalla para aceptar pedidos XDMCP Query
(en gdm3
puede hacerlo agregando Enable=true
en la sección «xdmcp» del archivo /etc/gdm3/daemon.conf
). Finalmente, inicie el servidor VNC con inetd
para que se inicie una sesión automáticamente cuando el usuario intente hacerlo. Por ejemplo, puede agregar la siguiente línea al archivo /etc/inetd.conf
:
5950 stream tcp nowait nobody.tty /usr/bin/Xvnc Xvnc -inetd -query localhost -once -geometry 1024x768 -depth 16 securitytypes=none
Redireccionar las conexiones entrantes al gestor de pantallas soluciona el problema de la autenticación ya que sólo los usuarios con cuentas locales pasarán la pantalla de inicio de sesión de gdm3
(o su equivalente kdm
, xdm
, etc.). Como esta operación permite múltiples sesiones simultáneamente sin problemas (siempre que el servidor sea suficientemente poderoso), incluso puede ser utilizada para proveer escritorios completos para usuarios móviles (o sistemas de escritorios menos potentes configurados como clientes ligeros). Los usuarios simplemente iniciarán sesión en la pantalla del servidor con vncviewer servidor:50
ya que utiliza el puerto 5950.