5 consejos efectivos para proteger el servidor SSH en Ubuntu

¿Es lo suficientemente seguro el acceso SSH de su servidor Ubuntu?

Proteger el acceso SSH es uno de los pasos más básicos y esenciales para cualquier servidor Linux, especialmente cuando aloja servicios críticos como sitios web, bases de datos, servidores de comercio o nodos GPU. En esta guía, abordaremos cinco soluciones prácticas y técnicas para... Refuerzo de SSH en Ubuntu Incluye instrucciones prácticas, ejemplos de configuración y consejos adaptables para escenarios de comercio, juegos, inteligencia artificial y alojamiento web.

Descripción general y objetivos

El objetivo de esta guía es proporcionar cinco puntos clave que combinan los principios de Confidencialidad, Alcance de ataque reducido, Detección y respuesta ante intrusiones y aumentar Sostenibilidad Cubiertas.

• Reemplazar la autenticación con Clave SSH En lugar de una contraseña
• Restricción de acceso (puerto, usuario, dirección IP)
• Implementar herramientas de protección como Fail2Ban y UFW/iptables
• Monitoreo y Auditoría (registros, sshd-T, herramientas de revisión)
• Utilice la autenticación de dos factores o los métodos Bastion/Jumphost

1) Utilice claves SSH seguras y desactive las contraseñas

Uso de Claves SSH En lugar de una contraseña, ofrece resistencia a ataques de fuerza bruta y una gestión de acceso más sencilla. Nuevas claves como ed25519 Se recomiendan especialmente si necesita ser compatible con sistemas más antiguos. RSA 4096 Usar.

Creando una clave segura en el cliente:

ssh-keygen -t ed25519 -a 100 -o -f ~/.ssh/id_ed25519 -C "user@host"

O (para compatibilidad):

ssh-keygen -t rsa -b 4096 -o -a 100 -f ~/.ssh/id_rsa -C "user@host"

Transferencia de la clave al servidor:

ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server

Ejemplo de configuraciones importantes en /etc/ssh/sshd_config:

PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

Subir configuración SSH:

sudo systemctl reload sshd

Ejemplo de escenario de nodo GPU (IA)

Recomendado para el servidor GPU utilizado por el equipo ML/AI Grupos de acceso Cree y emita una clave única para cada usuario. Utilice un sistema de archivos cifrado para la carpeta de claves y habilite Armadura de aplicaciones (o SELinux si está disponible) también se recomienda.

2) Restricción de acceso: Puerto, Usuarios, Direcciones y Permitir usuarios/Permitir grupos

Reducir el nivel de acceso o superficie de ataque Reduce los intentos de intrusión. Los métodos comunes incluyen cambios de puerto, restricciones de usuarios y restricciones basadas en direcciones IP.

Cambiar el puerto predeterminado:

Port 2222

Restringir usuarios o grupos:

AllowUsers deploy [email protected]/24
# or
AllowGroups sshusers

Restricción basada en IP con UFW:

sudo ufw allow from 203.0.113.5 to any port 2222 proto tcp

Deshabilitar funciones de alto riesgo:

AllowTcpForwarding no
X11Forwarding no
PermitTunnel no

Reducir el tiempo y el esfuerzo en caso de inicios de sesión fallidos:

LoginGraceTime 30
MaxAuthTries 3
MaxSessions 2

3) Prevención de ataques de fuerza bruta y gestión de ataques: Fail2Ban, UFW y Anti-DDoS

Los ataques automatizados y de fuerza bruta son comunes; herramientas como Fail2Ban Los firewalls a nivel de host pueden bloquear el tráfico malicioso. Además, utilice servicios anti-DDoS para combatir ataques de capa 4 y capa 7.

Instalación y configuración de Fail2Ban:

sudo apt install fail2ban
# create /etc/fail2ban/jail.d/sshd.local with:
[sshd]
enabled = true
port = 2222
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600

Configuración básica del firewall con UFW:

sudo apt install ufw
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp
sudo ufw allow 80,443/tcp
sudo ufw enable

Si necesita una protección más fuerte de la capa de red, utilice Servicio anti-DDoS Utilice nuestra empresa. Nuestros servidores anti-DDoS se pueden combinar con redes BGP/Anycast y CDN para detener el tráfico malicioso en el borde de la red.

Comparación de ubicaciones y el impacto en la seguridad

En las más de 85 ubicaciones globales de la compañía, algunos centros de datos cuentan con funciones de red como firewalls perimetrales, BGP y protección anti-DDoS basada en hardware. Para servidores comerciales o de seguridad crítica, es importante elegir una ubicación con soporte anti-DDoS y una conexión de red corta a los mercados financieros (por ejemplo, Londres, Fráncfort, Nueva York, Singapur, Tokio).

4) Monitoreo, auditoría y detección de intrusiones

Es fundamental saber quién se conectó al servidor y qué intentos fallaron. Los registros y las herramientas de auditoría ayudan a detectar intrusiones rápidamente.

Comandos útiles para comprobar:

sshd -T
ss -tulpn | grep ssh
sudo tail -n 200 /var/log/auth.log
last -a

Para analizar registros, puede utilizar registro del sistema, reloj de bitácora O utilice servicios de registro centralizados (p. ej., Elasticsearch/Graylog). Otras herramientas útiles incluyen auditoría ssh y Lynis Y IDS/IPS como OSSEC O Suricata Ellos son.

5) Autenticación de dos factores, Bastion y gestión de acceso (PAM, 2FA)

Añadir una segunda capa de autenticación impide que un atacante obtenga acceso si se roba una clave o se compromete la cuenta. Las opciones incluyen usar Google Authenticator (PAM), servicios de MFA empresariales y usar Bastion/Jumphost.

Instalar Google Authenticator PAM:

sudo apt install libpam-google-authenticator
# then run for each user:
google-authenticator

Configuración de PAM y sshd:

# add to /etc/pam.d/sshd
auth required pam_google_authenticator.so

# in /etc/ssh/sshd_config
ChallengeResponseAuthentication yes
UsePAM yes

Para las organizaciones, utilizar servicios de MFA como Dúo O Octa También se recomienda colocar un Anfitrión del Bastión Con 2FA, registro centralizado y políticas IAM unificadas, es el mejor enfoque para equipos grandes.

Consejos prácticos para gestionar claves y cursos

La rotación periódica de claves, la eliminación de claves inactivas y el uso de la gestión de identidad (LDAP/AD/SSO) para el control centralizado son esenciales para mantener la seguridad.

Ejemplo de configuración sshd_config sugerido

El siguiente ejemplo muestra la configuración recomendada (es posible que se requieran más ajustes según sus necesidades específicas):

Protocol 2
Port 2222
PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM yes
X11Forwarding no
AllowTcpForwarding no
ClientAliveInterval 300
ClientAliveCountMax 2
LogLevel VERBOSE
AllowUsers deploy [email protected]

Consejos adicionales y prácticos para situaciones específicas

Comerciantes: Utilice un VPS dedicado para operaciones con una ubicación cercana a las plataformas de intercambio, mida los tiempos de respuesta con herramientas de red y mantenga el acceso SSH abierto solo desde IP específicas. Utilice redes anti-DDoS y BGP.

Juego: Para juegos VPS, usa una ubicación con ping bajo y una red privada. Controla el acceso administrativo mediante Bastion.

IA y renderizado: Seleccione servidores GPU en ubicaciones específicas de IA, restrinja el acceso SSH con claves y 2FA, y use AllowGroups para diferentes equipos.

Servidor web y WordPress: Utilice claves SSH para administradores, SFTP seguro para cargas de contenido y CI/CD con claves de implementación SSH.

Información de servicios e infraestructura

Empresa de servicios en más de 85 ubicaciones globales Ofertas: Varios tipos de servidores VPS para trading y juegos, servidores en la nube de alto rendimiento, servidores gráficos (GPU), servidores anti-DDoS, servicios de hosting y dominio, CDN y red compatible con BGP.

• Para servicios públicos, utilice una ubicación con Anti-DDoS.
• Para un acceso seguro, se recomienda utilizar Bastion en una red privada y acceder a él mediante VPN o IP estática.
• Elija servidores GPU en ubicaciones específicas de IA para obtener la latencia más baja.
• Para proteger la capa de aplicación, incluya CDN y WAF junto con otras medidas de seguridad.

Resumen y lista de verificación de implementación rápida

Lista de verificación de 10 pasos para implementar lo anterior:

1. Creación y uso de una clave SSH segura (ed25519 O RSA4096)
2. Desactivación Autenticación de contraseña y Permitir inicio de sesión raíz
3. Cambiar el puerto SSH predeterminado y restringir permisos adicionales
4. Instalación Fail2Ban y configuración UFW/iptables
5. Restricción y uso de IP Permitir usuarios/Permitir grupos
6. Habilitar el registro y enviar registros al servicio central
7. Implementar 2FA o MFA para acceso sensible
8. Uso de Bastion/Jumphost para acceso remoto
9. Compruebe la configuración con sshd-T y herramientas de auditoría
10. Revise periódicamente las llaves, retire las llaves viejas y rótelas.

Preguntas frecuentes