¡Cuidado!, "ssh -A" puede ser muy peligroso

Veo muchos administradores de sistemas recomendando el uso de ssh -A con alegría, sin explicar los riesgos de seguridad asociados.

Todos sabemos que ssh permite entrar en servidores remotos de forma segura. Suponiendo que ese servidor sea una frontera y queramos saltar de allí a otros servidores de la red interna, tenemos diferentes posibilidades:

  • Tener una clave ssh en ese servidor frontera, lanzar un ssh-agent en él y cargar la clave. El problema es que tenemos una clave ahí y, por tanto, necesitamos poder confiar en ese servidor.
  • Utilizar ssh para establecer un túnel con el servidor frontera y emplear dicho túnel para enviar conexiones ssh nuevas a los servidores internos. Esta configuración es segura, pero complicada y poco transparente.
  • Utilizar ssh -A para que al establecer sesiones ssh a otros servidores (una vez que estamos conectados al servidor frontera), la solicitud de autenticación se canalice al ssh-agent de nuestro propia máquina personal. La clave ssh nunca sale de nuestra máquina.

ssh -A parece perfecto y seguro, salvo por un pequeño detalle: nuestro ssh-agent local completará cualquier petición de autenticación que le llegue. Si estamos conectados a un servidor malicioso, los malos podrían solicitar a nuestro ssh-agent autenticaciones para servidores diferentes, conectarse a ellos con nuestra identidad y hacer allí lo que les de la gana, incluyendo instalar sus propias claves públicas ssh para poder entrar con posterioridad sin depender de nosotros. Todo ello en milisegundos y sin que nos enteremos.

Leer más…

WeeWX y modificaciones en la base de datos "a pelo" (II)

En Estaciones meteorológicas de baja calidad, WeeWX y modificaciones en la base de datos "a pelo" explico los motivos por los que a veces resulta conveniente modificar manualmente los registros de la base de datos de la estación meteorológica gestionada con WeeWX.

El procedimiento cambia bastante en la última versión WeeWX, como describo a continuación. En realidad el proceso se ha simplificado.

Leer más…

Cómo obtener la dirección IP de una máquina si conoces su dirección ethernet

En Wake On Lan, o cómo encender ordenadores de forma remota explico cómo despertar una máquina concreta de la cual conoces su dirección ethernet. El último paso que necesito en mi entorno es obtener la dirección IP a partir de esa dirección ethernet.

En mi caso no puedo recurrir al típico truco de asignación fija de dirección IP porque no tengo control de la infraestructura y mi padre cambia de router con frecuencia. Puedo conectarme a la Raspberry PI que tengo en su red local a través de una VPN y, desde ella, saltar al servidor una vez que lo haya encendido.

La dirección IP local del servidor puede cambiar, así que tengo que localizarla. Existen muchas formas de hacerlo: arrancar una VPN cuando se enciende el servidor, registrarse en un servicio DNS, enviar paquetes de identificación en la red local, etc.

Leer más…