The wikis are now using the new authentication system.
If you did not migrate your account yet, visit https://idp-portal-info.suse.com/

OpenSSH

Saltar a: navegaci贸n, buscar

OpenSSH (Open Secure Shell) es un conjunto de herramientas que proporcionan sesiones cifradas de comunicaci贸n en una red usando el protocolo SSH. Fue creado como alternativa abierta al software propietario Secure Shell. El proyecto es liderado por Theo de Raadt desde Calgary, Alberta.

Historia

OpenSSH fue creado por el equipo de OpenBSD como alternativa a SSH, que es software propietario. Los desarrolladores de OpenSSH reclaman que es m谩s seguro que el original, debido a su pol铆tica de producci贸n de c贸digo limpia y auditada y el hecho, al que se refiere la palabra open en el nombre, de que est谩 liberado bajo la licencia BSD de c贸digo abierto. Aunque el c贸digo fuente del SSH original est谩 disponible, hay impuestas varias restricciones sobre su uso y distribuci贸n, lo que hace de OpenSSH un proyecto m谩s atractivo para muchos desarrolladores.

OpenSSH aparece por primera vez en OpenBSD 2.6. OpenSSH 4.3 fue liberado el 1 de febrero de 2006 [1]Enlace en ingl茅s.

Marca registrada

En febrero de 2001, Tatu Yl枚nen, presidente y CTO de SSH Communications Security informa en la lista de correo de OpenSSH, openssh-unix-dev@mindrot.org, que despu茅s de hablar con los desarrolladores clave de OpenSSH 鈥揗arkus Friedl, Theo de Raadt, y Niels Provos鈥 la compa帽铆a tendr铆a que reclamar su propiedad sobre las marcas registradas SSH y Secure Shell para protegerlas. Tatu tambi茅n pensaba cambiar las referencias al protocolo a algo como SecSH o secsh. Para poder mantener el control sobre el nombre, propuso cambiarlo a OpenSSH para evitar problemas legales. Theo de Raadt rechaz贸 rotundamente cambiar el nombre del proyecto.

Al mismo tiempo, "SSH", "Secure Shell" y "ssh" se usaron en la documentaci贸n proponiendo el protocolo como un est谩ndar abierto y esto fue supuesto as铆 por mucha gente que la hac铆a, sin distinguir estos conceptos como las marcas registradas que eran. Tatu tuvo que renunciar a todos los derechos de exclusividad sobre estos nombres en cuanto al significado descrito en el protocolo. Esto es as铆 porque en los Estados Unidos es obligatorio que las marcas se usen en copias publicitarias como adjetivos, nunca como nombres o verbos. El uso impropio de una marca registrada, o permitir a otros que usen una marca registrada incorrectamente, resulta en que la marca se convierta en un t茅rmino gen茅rico, como Kleenex o Aspirina, lo que abre la marca a su uso por otros, al dominio p煤blico.

Tambi茅n se pone en cuesti贸n si el nombre "ssh" era una marca registrada, o se trataba s贸lo del logo (que usaba las letras min煤sculas "ssh"). Muchos expertos cre铆an todo esto, despu茅s de estudiar la base de datos de marcas USPTO y dudaban tambi茅n de la validez de la reclamaci贸n, ya que transcurren nada menos que 6 a帽os entre la creaci贸n de la compa帽铆a y el momento en que 茅sta empieza a reclamar su marca frente a alternativas libres como OpenSSH.

Se daba el caso que tanto desarrolladores de OpenSSH como el mismo Yl枚nen eran miembros del IETF, el grupo de trabajo que desarrollaba el nuevo est谩ndar, que despu茅s de varias reuniones, deniega la propuesta de Ylonen para renombrar el protocolo, citando al respecto que 茅so sentar铆a un mal precedente para que otras marcas registradas reclamaran ante el IETF. Los participantes del grupo de trabajo sostuvieron que tanto Secure Shell como SSH eran t茅rminos gen茅ricos y no marcas registradas.

Portabilidad

Debido a que OpenSSH es necesario para la autenticaci贸n, una caracter铆stica interesante que tiene es que cuenta con implementaciones en distintos sistemas operativos, lo que requiere una infraestructura sustancial en cuanto a la portabilidad. M谩s que incluirlo directamente en OpenBSD, es desarrollado de forma separada como un a帽adido bajo el auspicio de el Equipo de Portabilidad de OpenSSH y liberado por lo que se conocen como "portable releases". Este modelo se usa igualmente en otros proyectos de OpenBSD, como OpenNTPD.

Componentes

La suite OpenSSH incluye las siguientes herramientas:

  • ssh, un sustituto para rlogin y telnet:
ssh user@example.com
  • scp (Secure Copy), un sustituto para rcp. Para copiar un archivo (o varios) de forma segura entre m谩quinas:
scp usuario@ejemplo.com:/ruta/remota/del/archivo /ruta/local/donde/copiarlo/
  • sftp (Secure File Transfer Program), un sustituto para ftp:
sftp usuario@ejemplo.com
  • sshd, el demonio SSH:
sshd

T煤neles seguros

Reasignaci贸n de puertos

La mayor铆a de los programas hacen uso de conexiones TCP que pueden ser pasadas a trav茅s de un t煤nel seguro usando OpenSSH. Tambi茅n podemos hacer pasar m煤ltiples conexiones TCP sobre una sola conexi贸n ssh. Esto resulta pr谩ctico para disimular conexiones y cifrar protocolos que de otra manera ser铆an inseguros, y para sortear cortafuegos. Las conexiones UDP pueden ser tuneladas en ciertas ocasiones con la ayuda de programas como netcat. Ejemplos de programas que se tunelan f谩cilmente son el X Window System, http usando un proxy y VNC. A menudo se crean t煤neles para X Window System entre dos sistemas Unix, para ejecutar cualquier aplicaci贸n gr谩fica de un sistema remoto, simplemente teclea su nombre:

ssh -Y usuario@maquinaremota
password:
$ xclock

Adem谩s, puede configurarse cierto software para autom谩ticamente haga uso de OpenSSH para crear un t煤nel. Ejemplos de esto son DistCC, CVS, rsync, y fetchmail. Programas donde es posible hacer t煤neles aunque resulta complejo son ftp, que puede reemplazarse con sftp en todo caso, y SMB. En algunos sistemas operativos, pueden montarse sistemas de ficheros remotos sobre ssh usando shfsEnlace en ingl茅s, lufsEnlace en ingl茅s o podfukEnlace en ingl茅s.

SOCKS

OpenSSH es capaz de crear un servidor proxy mediante SOCKS ad hoc para dar soporte de proxies de una forma m谩s flexible de lo que es posible con un reasignaci贸n de puertos ordinario. Por ejemplo:

ssh -D1080 usuario@ejemplo.com

establece un servidor SOCKS local que escucha en "localhost:1080".

VPN basado en t煤neles

A partir de la versi贸n 4.3, OpenSSH implementa t煤neles VPN en las capas 2/3 del modelo OSI. Esta es la m谩s flexible de las capacidades para crear t煤neles de OpenSSH, ya que permite a las aplicaciones acceder a recursos de red remotos de forma transparente sin necesidad de sockets.

Autenticaci贸n

OpenSSH puede autenticar usuarios haciendo uso de sistemas que ya trae implementados:

Adem谩s, OpenSSH puede hacer uso tambi茅n de m茅todos de autenticaci贸n disponibles en el sistema host. Esto incluye usar el sistema de autenticaci贸n BSD (bsd_auth) o PAM para habilitar la autenticaci贸n a trav茅s de m茅todos de autenticaci贸n 煤nica.

Las versiones de OpenSSH m谩s antiguas que la 3.7 deben ser ejecutadas como root siempre que el soporte PAM est茅 activado, ya que se requieren permisos de root para activar el PAM. Las versiones m谩s recientes de OpenSSH permiten desactivar el uso de PAM estando en ejecuci贸n. Mediante este sistema un usuario corriente puede ejecutar instancias de sshd.

Ver tambi茅n

Enlaces externos