Mini tutorial de configuración de Dropbear 🐧

Dropbear es un servidor/cliente SSH liviano y optimizado muy usado en hardware con los recursos justos para su funcionamiento y sistemas embebido como por ejemplo los router inalámbricos.

 

 

Objetivo

Ya comente de DietPI, que es un sistema operativo para la Raspberry Pi y diversos clones, por defecto trae Dropbear y cuenta con una opción que nos permite instalar y configurar el sistema operativo mediante SSH usando la cuenta ROOT.

Luego de finalizar la instalación esta cuenta sigue accesible, hay donde nace mi necesidad de deshabitar esta opción, como también de dejar solo el método de autentificación de llaves criptografía asimétrica.

La información de como como configurar Dropbear es muy escasa en la red, así que colocare un resumen sin entrar en detalles y teoría 😋

Llaves criptográficas 🔐

Para habilitar el uso de las llaves, usamos la compatibilidad que tiene con OpenSSH y se realiza de la siguiente forma 😅

Creamos una carpeta llamada .ssh en home del usuario el cual usaremos para conectarnos, nos apoyaremos en el uso de la terminal.

$ mkdir .ssh

Acotando que el punto que antecede a ssh es para que cree una carpeta oculta, ahora vamos a crear un archivo y usaremos el editor Nano.

$ nano .ssh/authorized_keys

En este archivo agregaremos las llaves publicas, para mas detalle de este paso lee este articulo en el blog.

Archivo de configuración 🤔

La primera guía que encontré fue de la maravillosa wiki de Gentoo, aunque me aclaro dudas, el inconveniente en resumen era que la ruta de configuracion no me funcionaba, indagando un poco mas encontré este articulo [How to install and configure Dropbear on Linux]. Con este logre el objetivo y un poco mas, super recomendado si quiere ir mas allá de este resumen.

/etc/default/dropbear

Es la ruta para todas las distro derivadas de Debian 🐧 como lo es DietPi.

Ojala se continué trabajando para que un software se configure igual no importando la distro que se instale 👍

Configuración ⚙

Es un poco particular y diferente a lo que tenia acostumbrado en OpenSSH, para saber las opciones colocamos en la terminal.

$ sudo dropbear -h

Obtendremos lo siguiente:

Dropbear server v2020.81 https://matt.ucc.asn.au/dropbear/dropbear.html Usage: dropbear [options] -b bannerfile Display the contents of bannerfile before user login (default: none) -r keyfile Specify hostkeys (repeatable) defaults: - dss /etc/dropbear/dropbear_dss_host_key - rsa /etc/dropbear/dropbear_rsa_host_key - ecdsa /etc/dropbear/dropbear_ecdsa_host_key - ed25519 /etc/dropbear/dropbear_ed25519_host_key -R Create hostkeys as required -F Don't fork into background -E Log to stderr rather than syslog -m Don't display the motd on login -w Disallow root logins -G Restrict logins to members of specified group -s Disable password logins -g Disable password logins for root -B Allow blank password logins -T Maximum authentication tries (default 10) -j Disable local port forwarding -k Disable remote port forwarding -a Allow connections to forwarded ports from any host -c command Force executed command -p [address:]port Listen on specified tcp port (and optionally address), up to 10 can be specified (default port is 22 if none specified) -P PidFile Create pid file PidFile (default /var/run/dropbear.pid) -i Start for inetd -W <receive_window_buffer> (default 24576, larger may be faster, max 1MB) -K <keepalive> (0 is never, default 0, in seconds) -I <idle_timeout> (0 is never, default 0, in seconds) -V Version

Para nuestro propósito las opciones son las siguientes:

• -w Deshabilita la cuenta ROOT.
• -s  Deshabilita la autentificación mediante contraseña para todos.
• -T Limita el máximo de intento de autentificación, es un opcional para mejorar la seguridad, todavía la estoy probando 🤔
  

Ahora vamos al archivo de configuración 👍

$ sudo nano /etc/default/dropbear

y localizamos las siguientes lineas:

# any additional arguments for Dropbear
DROPBEAR_EXTRA_ARGS=""

Quedando ahora de la manera siguiente:

# any additional arguments for Dropbear
DROPBEAR_EXTRA_ARGS="-w -s -T 3"

Donde el 3 es el nuevo numero de intentos máximo; finalmente reiniciamos y probamos, pero antes comprobamos que la autentificación por llaves este funcionando de forma correcta 🔑👍

Habilitar la funcionalidad de SFTP

Esta función nos permite operar sobre los archivos que poseamos permiso en el servidor SSH, para esto en DietPi y derivadas de Debian instalamos el siguiente paquete:

$ sudo apt install openssh-sftp-server

Con esto es suficiente y no es necesitaremos configuraciones adicionales, de todo modo lo explico en este video.

También te puede interesar:

• Activar el servidor SSH en tomato 🍅