EIVUS

Claves SSH: buenas prácticas para acceso a servidor

Genere, almacene y rote claves SSH; use agente y claves por host.

Volver al blog

Use ED25519 o RSA (4096); evite autenticación por contraseña. Guarde claves privadas en un agente o vault; use claves distintas por entorno. Rote claves periódicamente y revoque acceso cuando alguien se vaya.

Tipo y tamaño de clave

  • ED25519: Preferido cuando esté soportado. Claves cortas, rápidas, seguras. Use por defecto para claves nuevas.
  • RSA: Use 4096 bits si necesita RSA (ej. legado o compatibilidad). Evite 1024 o 2048 para claves nuevas cuando 4096 sea aceptable.
  • Evite: Autenticación por contraseña en SSH. Las claves (con passphrase si quiere) son más fuertes. Deshabilite PasswordAuthentication en sshd_config cuando la auth por clave esté en uso.

Almacenamiento y agente

  • Claves privadas: Nunca comparta ni haga commit. Almacene en disco con permisos restringidos (chmod 600). Prefiera directorio dedicado (~/.ssh) y claves separadas por rol o entorno (ej. prod vs staging).
  • Agente: ssh-agent mantiene claves desencriptadas en memoria. Usted desbloquea una vez (passphrase); luego los logins usan el agente. Reduce escribir passphrase y evita dejar claves desencriptadas en disco.
  • Vault: Para equipos use un gestor de secretos o vault para emitir o almacenar claves SSH (o certs). Las claves pueden ser de corta duración; rotación centralizada.

Claves por host o por entorno

  • Por qué: Si una clave se compromete el radio de impacto se limita a ese entorno o host. Use claves distintas para prod, staging y personal/dev.
  • Config: ~/.ssh/config permite especificar IdentityFile por host.

Rotación y revocación

  • Rote periódicamente: Ej. anualmente o tras un evento de seguridad. Genere nueva clave; añada entrada en authorized_keys; quite la clave antigua tras periodo de gracia; luego borre la clave antigua de los clientes.
  • Cuando alguien se vaya: Quite su clave pública de todos los authorized_keys (y del config management, bastiones, etc.) de inmediato. Revoque certs emitidos. Si usa vault o CA revoque el acceso allí también.
  • Auditoría: Registre quién entró desde dónde. Revise la lista de acceso periódicamente; quite claves de quien ya no necesite acceso.

Resumen

Use ED25519 o RSA (4096); evite auth por contraseña. Guarde claves privadas en agente o vault; use claves distintas por entorno. Rote claves periódicamente y revoque acceso cuando alguien se vaya.

Clientes que confían en nosotros