Uso de CA AppLogic › Guía del desarrollador de dispositivos › Kit para dispositivos › Recetario de dispositivos › Creación de una plantilla de VPS › Configuración de dos instancias del servidor SSH

Configuración de dos instancias del servidor SSH

En este paso se configura un servidor SSH secundario, de tal forma que el VPS esté accesible tanto para el cliente que lo alquila, como para el proveedor del VPS (así como para los administradores del propio grid de CA AppLogic), si bien cada instancia de SSH conserva su propia configuración y los cambios efectuados en ella no interfieren en el funcionamiento de la otra instancia. La instancia de SSH primaria, configurada por la instalación del SO, queda para que la utilicen los usuarios del VPS, que la pueden configurar. La instancia secundaria se dedica al acceso desde el grid, para el proveedor o administrador del VPS.

Tenga en cuenta que la configuración real puede variar en función del tipo de SO y de la versión del servidor SSH. En los siguientes ejemplos se da por hecho que el SO es de tipo Unix y que el servidor es OpenSSH.

Las dos instancias del servidor SSH se pueden configurar con valores de seguridad diferentes, de tal forma que coincidan con las necesidades específicas del usuario del VPS.

1. Copie la configuración de sshd en un subdirectorio nuevo, por ejemplo:
   mkdir /etc/ssh_grid
   cp /etc/ssh/sshd_config /etc/ssh_grid
2. Edite el archivo de configuración original (/etc/ssh/sshd_config) y:
   • Elimine todas las directivas ListenAddress, si las hay.
   • Agregue las líneas siguientes al archivo de configuración (sin dejar líneas vacías entre ellos):
     # $$propN: 1111:primary_ip
     ListenAddress 1111
3. Edite el archivo de configuración copiado (/etc/ssh_grid/sshd_config) y realice los cambios siguientes:
   • Desactive las búsquedas de DNS inversas:
     UseDNS no (o bien LookupClientHostnames no, en algunas implementaciones de SSH)
   • Desactive el inicio de sesión con contraseña:
     PasswordAuthentication no
   • Permita el inicio de sesión de raíz (exclusivamente con clave):
     PermitRootLogin without-password
   • Establezca un nombre de archivo de clave personalizado, que funciona solamente para la raíz:
     AuthorizedKeysFile /root/.ssh/alt_authorized_keys
   • Desactive la autenticación GSSAPI (no se puede utilizar desde el controlador de CA AppLogic):
     GSSAPIAuthentication no
   • Elimine todas las opciones ListenAddress.
4. Cree un nuevo script de inicio automático para el segundo servidor SSH, que contenga los comandos siguientes:
   # get service IP address
   f=/var/run/applogic/appliance.desc
   p=instance:`udlparse elst $f instance`/interface:default
   addr=`udlparse get $f $p/ip`
   
   # start ssh daemon
   sshd -f /etc/ssh_grid/sshd_config -o ListenAddress=$addr