Seguridad SSH en IBM i: Protegiendo tus conexiones
El servicio de SSH es fundamental para modernizar sistemas IBM i, permitiendo el uso de herramientas de desarrollo de software nuevas y reemplazando transferencias de texto plano. Sin embargo, por defecto, no hay puntos de entrada para restringir o administrar las conexiones al servidor SSHD.
Configuración de restricciones de usuario
Para proteger el acceso a usuarios específicos (o grupos) y registrar intentos de acceso, podemos utilizar directivas similares a las encontradas en otras plataformas UNIX-like. El servidor SSHD permite configurar restricciones de usuario a través de su archivo de configuración.
Activación del servicio SysLogD
Para habilitar el registro de eventos con SysLogD (utilizado para el registro), debemos enviar un trabajo con el comando `SBMJOB CMD(STRQSH CMD(”/QOpenSys/usr/sbin/syslogd”)) JOB(SYSLOGD) JOBQ(QSYSNOMAX)`.
Configuración del servidor SSHD
- Editamos el archivo `/QOpenSys/QIBM/UserData/SC1/OpenSSH/etc/sshd_config` y descomentamos la línea `# SyslogFacility AUTH`.
- Descomentamos también la línea `# LogLevel INFO`.
- Creamos un nuevo archivo de configuración `/QOpenSys/etc/syslog.conf` con las siguientes líneas:
- .info /var/log/messages
- auth.info /var/log/auth
- Creamos carpetas y archivos necesarios: `mkdir /var/log`, `touch /var/log/messages`, y `touch /var/log/auth`.
- Reiniciamos el servidor SSHD.
- Verificamos los archivos de registro `/var/log/messages` o `/var/log/auth`.
Restricciones de acceso
Para restringir el acceso a SSH, podemos definir una lista de usuarios (o grupos) autorizados editando el archivo `/QOpenSys/QIBM/UserData/SC1/OpenSSH/etc/sshd_config`. Podemos:
- Autorizar un grupo específico con `AllowGroups group1 group2`.
- Autorizar un usuario específico con `AllowUsers user1 user2`.
- Denegar el acceso a un usuario específico con `DenyUsers user1 user2`.
Fuente
Securing SSH on IBM i
