Y sobre esto último es sobre lo que va este breve y sencillo artículo, ya que es algo que todos deberíamos hacer si tenemos nuestro servidor casero en casa o incluso si usamos un VPS para servir nuestras apps e información.

Los pasos son muy sencillos y conseguiremos que nadie nunca pueda acceder con «usuario/contraseña», ni siquiera nosotros mismos :). Por ello tendremos que tener cuidado y sobre todo probar nuestro acceso previamente con nuestra clave pública generada. Más adelante avisaremos en ese punto crítico para evitar sustos.

Configuración

Clave pública y privada

Lo primero será generar en nuestro equipo una clave pública y otra privada, esta última la copiaremos en nuestro servidor y con ellas podremos acceder desde ese equipo en concreto directamente. Si accedemos con varios equipos a nuestro servidor, tendremos que hacer lo mismo en cada uno de ellos.

Para crear las claves podéis seguir este artículo que escribí hace unos años donde explico todo paso a paso:

Si ya las tenéis creadas, podéis saltaros ese paso y seguir con el siguiente…

Pruebas de conexión

Este punto es el más importante, aunque en el artículo para crear clave pública y privada está explicado, tenemos que tener mucho cuidado y antes de desactivar la posibilidad de conectar por contraseña, tenemos que probar el acceso por clave pública y privada.

La prueba básicamente es lanzar una conexión por SSH a nuestro servidor, desde el equipo en el que tenemos nuestra clave pública, que será reconocida por la clave privada de nuestro servidor y nos dejará acceder. Para ello escribiremos esto desde la línea de comandos de nuestro servidor Windows/Linux:

ssh -i clave_publica.pub usuario@X.X.X.X

En el ejemplo de arriba, hay que tener en cuenta qué:

• -i este es el parámetro usado para decir al comando SSH que usaremos una clave pública para conectar. Siempre tendremos que indicar el fichero que contiene nuestra clave pública para conectar de esta forma.
• clave_publica.pub, es nuestra clave pública para usar, normalmente al crearla se ubica dentro de la carpeta de nuestro usuario seguido de la carpeta .ssh. Por lo que si queremos conectar tendríamos que poner «ssh -i .ssh/clave_publica.pub». Podemos copiar la clave pública en cualquier carpeta que queramos y el nombre del fichero también podemos cambiarla por el que queramos. Solo debemos tener cuidado de ponerlo bien todo a nivel de comando.
• usuario, el nombre de usuario con el que conectaremos a nuestro servidor y que utilizar esas claves pública y privada.
• X.X.X.X, la dirección IP privada o pública que corresponda con nuestro servidor.

Con eso la conexión a nuestro servidor, según pulsemos la tecla «Enter», debería ser directa, sin petición de ninguna contraseña.

IMPORTANTE: Si nos pidiera una contraseña, habría que revisar si estamos usando la clave pública correcta si tenemos varias, si estamos usando el usuario correcto, si la clave privada fue copiada correctamente en el servidor, etc. No desactivar el acceso por contraseña si esto sucede.

Si por el contrario, el acceso es correcto, nos encontraremos ya conectados con nuestro usuario y listos para añadir comandos y trabajar con nuestro servidor.

Deshabilitando acceso

Vamos ahora a deshabilitar el acceso mediante contraseña, esto lo haremos modificando el fichero de confirmación de SSH en nuestro servidor casero.

Lo primero será editar el fichero de configuración con permisos de root. El fichero es el siguiente y lo editaremos con nuestro editor favorito, en mi caso «vi»:

sudo vi /etc/ssh/sshd_config

Buscamos la siguiente línea en nuestro fichero:

#PasswordAuthentication yes

Seguramente se encuentre comentada con una almohadilla al inicio. Por lo que haremos dos cosas:

• Quitar la almohadilla para activarla, y
• Cambiaremos el «yes» por el «no»

La línea quedará así:

PasswordAuthentication no

Ahora salvamos el fichero y tocará reiniciar el servicio de SSH para que se apliquen estos cambios. No será necesario reiniciar y se aplicarán directamente los cambios.

Ejecutamos el siguiente comando para reiniciar:

sudo systemctl restart sshd

o con «Service» si tenemos una distribución linux sin SystemV:

service ssh restart

Y con esto ya estaría todo. Ahora solo quedaría que desconectarais y probar directamente el acceso con clave pública/privada.

Espero que esto os sirva para securizar un poco más vuestro servidor auto alojado

Preguntar, dudas o cuestiones como siempre en los comentarios.

¡Nos vemos por el Fediverso!

Buscando un gestor de credenciales que tuviera las siguientes dos premisas, que fuese Open Source primeramente y segundo que se pudiera utilizar en cualquier plataforma ya fuese móvil, windows, linux, macos, etc di de cara con Buttercup un gestor que cumple con ellas y que además tiene una extensión compatible con prácticamente todos los navegadores. Se puede decir que esta app es un todoterreno.

Llevo utilizándola ya bastante tiempo y aunque en sus versiones más iniciales tuvo algún que otro problema, ahora mismo se encuentra en un estado muy estable y prácticamente sin errores. De todas maneras, es uno de los proyectos de Github más interesantes actualmente. Así pues, si os interesáis en probadla, estáis de suerte porque os enseñaré el truquito para poder abrir un fichero de claves que tengáis compartido desde Google Drive, pues en la mayoría de distros falla. Allá vamos.

Instalación y configuración

Lo primero será descargar la versión para nuestro sistema desde la página oficial https://buttercup.pw según el sistema en el que estemos. Esta pequeña guía será para hacerlo en GNU Linux pero si tenéis MS Windows valdrá igual. Además tenéis como comenté para Android e iOS también desde sus páginas oficiales.

Seleccionamos la opción de Linux (AppImage) y comenzará a descargar el paquete en nuestro equipo. Abajo os he marcado donde podréis ver la última versión disponible, en este caso las 2.27.0.

Ahora instalemos la aplicación. Abrimos una consola y lo que haremos será:

• Ubicar el ejecutable en la carpeta que queramos,
• Le daremos permisos de ejecución, y
• Utilizaremos un fichero ubicado en GDrive con nuestros credenciales.

Tendremos el ejecutable en nuestra carpeta de «Descargas» voy a moverlo a otra dentro de mi «Home» de aplicaciones, llamada «apps»:

Le damos permisos de ejecución para poder arrancar la aplicación con nuestro usuario, para ello utilizaremos el comando chmod de la siguiente manera:

chmod +x Buttercup-linux-xxxxxx.AppImage

Lo podéis ver en esta imagen de abajo, como los permisos de ejecución quedan habilitados. En la mayoría de sistemas cuando hagáis eso, el color del fichero cambiar a a color verde para identificarlo como fichero «ejecutable»:

Toca arrancarlo para ver si funciona correctamente:

Esto comenzará el arranque de la app y lo primero que nos preguntará por una contraseña para un nuevo «keyring», llavero en español, que será nuestra contraseña maestra si únicamente vamos a utilizar un fichero en local. Por ello si esto es así, la contraseña debe ser segura, larga y con caracteres alfanuméricos… en otras palabras «la leche de difícil para descifrar» :D. Cuando sepamos cual, la añadimos:

Y con esto ya se nos abrirá la aplicación en nuestro escritorio:

Comprobada que la aplicación funciona, la volvemos a cerrar.

Lanzador de ficheros appimage

Las aplicaciones .appimage en muchas de las distribuciones requieren de un «punto de entrada» para poder integrarlas en el sistema y así poder abrirlas directamente con dicha aplicación. Para que lo entendáis, es como ocurre con otras aplicaciones por ejemplo con los vídeos o fotos de nuestro equipo, cuando pulsáis en ellas automáticamente se nos abre el visor de vídeos y fotos que tengamos configurados por defecto, pues eso mismo es necesario para cuando queramos abrir un fichero .bcup de Buttercup, necesitaréis que sea abierto por su aplicación directamente.

Para ello descargaremos un launcher para aplicaciones .appimage desde la siguiente dirección de Github:

• https://github.com/TheAssassin/AppImageLauncher/releases

Buscaremos la descarga correspondiente a nuestro sistema, por mi parte como lo instalaré en mi Ultramarine OS basado en Fedora descargaré la versión .rpm.
Lo haremos directamente desde la terminal utilizando el comando wget seguido de la URL con el fichero correspondiente a nuestro OS:

Instalamos el paquete .rpm para mi sistema (Necesitaréis permisos de root):

Nos dará un warning indicando que habrá una recarga de uno de nuestro demonios que están corriendo y listo. Ya estará instalado el launcher.
Vamos a comprobarlo ya que tendremos que hacer la integración con nuestro sistema.

Ejecutamos la aplicación de Buttercup como hemos hecho anteriormente:

Nos saldrá una ventana nueva en la que nos indica si queremos integrar AppImageLauncher con nuestro sistema o solo una vez, elegiremos la integración para siempre ya que es lo que queremos, elegimos el botón de la izquierda:

Si todo ha ido bien, nos abrirá la aplicación en la pantalla y la aplicación la tendremos ya añadida a todas las aplicaciones de nuestro sistema, con lo que será accesible desde el menú de nuestro entorno de escritorio (Budgie, Gnome, KDE…).

Nuestro vault en Google Drive

Ahora vamos a configurar un nuevo Vault. Con el nombre de Vault conocemos el fichero que alojará todas nuestras contraseñas y que será accesible mediante nuestra contraseña maestra que añadiremos una vez que lo creemos. Esa contraseña tendremos que guardarla bien en nuestro cerebro ya que no será recuperable.

Pulsaremos en + Add Vault y entre las opciones que tenemos, elegiremos la correspondiente a Google Drive que es la que mostraremos en esta guía. Si quisiéramos Dropbox, WebDav o incluso un fichero localmente en nuestro equipo podríamos elegir las otras opciones disponibles:

Nos saldrá un mensaje ahora indicando que para utilizar esta funcionalidad tendremos que otorgar permisos a la aplicación para acceder a nuestra cuenta de GDrive o de lo contrario no se podrá utilizar. Vamos a ello, pulsamos el botón de Authenticate:

Añadimos nuestra cuenta de gmail y pulsamos en «Next»:

Seguido de nuestra contraseña y pulsamos en «Next»:

Nos advierte que compartiremos algunos de nuestros datos con la aplicación de Buttercup, le damos a «Continuar»:

Y por último tendremos que darle permisos a cuatro servicios para que la aplicación puede acceder a nuestro fichero de contraseñas que crearemos después:

Ahora, por primera vez, nos dirá que si los enlaces de buttercup (.bcup) queréis que siempre se abran con la aplicación. Marcaremos la casilla para que se permita siempre y le daremos a «Open Link».

Se nos abrirá la aplicación y seguiremos los pasos que quedan para enlazar GDrive con nuestra app, primero creamos nuestro fichero donde alojaremos nuestras contraseñas:

Le damos el nombre que queramos añadiendo la extensión .bcup y pulsamos el botón de «Set Vault Target» cuando lo tengamos:

Ahora ya tenemos enlazada la app con nuestro fichero de contraseñas en GDrive. Señalamos ese fichero y le damos a «Next»:

Ahora viene una parte MUY IMPORTANTE y es configurar nuestra contraseña maestra, elegid una buena contraseña y que NO se os olvide jamás pues es la que abrirá el vault con todos los accesos que hayáis añadido:

Hecho esto ya tendréis totalmente configurada la aplicación con vuestro fichero en GDrive. Solo quedará que creéis carpetas, registros de password y empezar a usarlo.

Os dejo una imagen con mi vault para que veáis como quedaría más o menos:

Ya solo me queda deciros que lo probéis y si lo hacéis que me digáis que os parece y sobre todo si queréis saber más acerca de ello, como sería cómo enlazador con Dropbox o mediante WebDav localmente, cómo exportar/importar desde otras apps del mismo estilo, configurar desde app de Android o iOS, etc.

Espero que os sirva de ayuda.

¡Nos vemos por el Fediverso!