¿Qué permisos necesita ssh config?

El archivo debe ser **legible y escribible solo por ti**: `chmod 600 ~/.ssh/config`. El directorio `.ssh` debe ser `700`. Si los permisos son demasiado abiertos, SSH se niega a usar el archivo y avisa "Bad owner or permissions on /home/tu/.ssh/config". Windows aplica el equivalente con ACL.

¿Cómo genero una clave ed25519?

Ejecuta `ssh-keygen -t ed25519 -C "tu_correo@example.com"`. Pulsa enter para aceptar la ubicación predeterminada (`~/.ssh/id_ed25519`) y pon una **passphrase** fuerte (protege la clave si te roban el portátil). La parte pública está en `id_ed25519.pub`: pega esa en el servidor, en GitHub o donde te autentiques.

¿Por qué ed25519 en lugar de RSA?

Las claves **ed25519** son cortas (unos 80 caracteres en el .pub), rápidas de generar y usan matemáticas modernas de curvas elípticas. Las RSA necesitan **al menos 3072 bits** para igualar la seguridad de ed25519 y pesan 10x más. Cada servidor moderno soporta ed25519. Usa RSA solo si tienes que conectar a un servidor muy antiguo (OpenSSH anterior a 2014).

¿Qué riesgos de seguridad tiene ForwardAgent: yes?

El agent forwarding permite al **servidor remoto** pedir a tu agente SSH local que firme cosas, lo que significa que cualquier **root en ese servidor** puede usar tus claves mientras dure la sesión. Vale en un host de plena confianza, peligroso en uno compartido o comprometido. La alternativa moderna más segura es **ProxyJump** para saltar por bastiones.

¿Qué hace en realidad StrictHostKeyChecking?

**yes** (rechaza si la clave del host es desconocida o cambia, lo más seguro), **ask** (predeterminado, pregunta la primera vez), **accept-new** (acepta nuevos hosts automáticamente pero sigue rechazando cambios, opción intermedia), **no** (acepta cualquier cosa, **vulnerable a MITM**). Usa `no` solo en VMs efímeras de un laboratorio cerrado.

¿En qué se diferencian ProxyJump y ProxyCommand?

**ProxyJump** (desde OpenSSH 7.3) es el one-liner moderno: `ProxyJump user@bastion`. **ProxyCommand** es la forma legada usando `ssh -W %h:%p bastion`. Ambos funcionan; ProxyJump es más limpio, soporta varios saltos (`bastion1,bastion2`) y es la recomendación por defecto. Usa ProxyCommand solo en sistemas con OpenSSH antiguos.

¿Diferencia entre LocalForward, RemoteForward y DynamicForward?

**LocalForward** abre un puerto en **tu máquina** que tunela al servidor (`8080 localhost:80` significa "mi 8080 llega a su 80"). **RemoteForward** abre un puerto en **el servidor** que tunela de vuelta hacia ti (útil para túneles inversos). **DynamicForward** abre un **proxy SOCKS** en tu máquina, útil para enrutar un navegador entero por el remoto.

Mi sesión SSH se muere tras unos minutos en idle. ¿Cómo lo arreglo?

Añade `ServerAliveInterval 60` (envía keepalive cada 60 s) y `ServerAliveCountMax 3` (te rindes tras 3 keepalives fallidos). Esto mantiene viva la conexión para que routers NAT y firewalls corporativos no la corten. Beneficio extra: SSH detecta antes una red realmente muerta y desconecta limpio en lugar de colgarse.

¿Puedo usar wildcards o varios hosts en un mismo bloque?

Sí. Una sola línea `Host` acepta una **lista separada por espacios y globs**: `Host prod prod-* staging-eu-*`. Las opciones dentro se aplican a cada coincidencia. Gana la primera coincidencia, de arriba abajo, así que pon **las entradas específicas encima de las wildcards**. Este generador escribe un host por bloque; copia y combina a mano si quieres patrones.

Generador de SSH config - gratis

PresetsHaz clic para reemplazar la entrada activa

Entradas1 bloque(s)

Básico

ComentarioNota corta, se escribe como línea # encima del bloque Host

Host (alias)Nombre corto que tecleas después de `ssh`. p. ej. `prod` → `ssh prod`HostNameLa dirección o IP real del servidorUsuarioNombre de usuario para entrarPuertoPor defecto 22, déjalo vacío para omitir del archivo

IdentityFileRuta a tu clave privada. Las claves nunca salen de tu máquina

IdentitiesOnly

Probar solo la clave que listaste arriba. Evita el error «too many authentication failures» cuando tu agente tiene muchas claves

~/.ssh/config

Pega en tu archivo de config SSH

8 líneas

# Production app server, key auth only
Host prod
  HostName 1.2.3.4
  User deploy
  IdentityFile ~/.ssh/prod_ed25519
  IdentitiesOnly yes
  ServerAliveInterval 60
  ServerAliveCountMax 3

Ubicación del archivo

Linux/macOS: ~/.ssh/config
Windows: %USERPROFILE%\.ssh\config
Permisos: chmod 600 ~/.ssh/config

¿Qué es ~/.ssh/config y por qué molestarse?

Si te conectas a más de un servidor, probablemente tecleas algo como `ssh -i ~/.ssh/work_key -p 2222 deploy@10.0.0.20` una y otra vez. Un único archivo `~/.ssh/config` convierte todo eso en `ssh prod`.

Este generador escribe el archivo por ti. Elige un preset (servidor de producción, salto por bastión, GitHub, proxy SOCKS, dev container...), retoca los campos y el panel derecho muestra el texto exacto para pegar en `~/.ssh/config`. Cada opción tiene una pista en lenguaje claro, no hace falta recordar qué mayúsculas espera OpenSSH.

Todo se ejecuta en tu navegador: no se manejan claves, no se sube nada, sin cuenta. La salida es config OpenSSH plano, idéntico a lo que escribirías a mano.

Cómo se usa

Arranca con un preset (servidor de producción, bastión, GitHub, proxy SOCKS...). El formulario rellena valores sensatos que puedes ajustar.

Escribe el alias Host (el nombre corto que vas a teclear después de `ssh`), luego HostName (la IP o dirección real), User y Port si no es 22.

Abre Identity y apunta IdentityFile a tu clave privada, p. ej. `~/.ssh/id_ed25519`. Activa IdentitiesOnly para que SSH no pruebe todas las claves de tu agente.

¿Necesitas un host de salto? Abre Proxy / jump y pon `user@bastion` en ProxyJump. SSH conectará pasando por el bastión automáticamente.

Para port forwarding abre Forwarding y añade líneas como `8080 localhost:80` a LocalForward (expone un puerto remoto en tu equipo) o a RemoteForward (expone un servicio local en el servidor).

Pulsa Copiar en el panel de vista previa, pega en `~/.ssh/config` (crea el archivo si no existe) y ejecuta `chmod 600 ~/.ssh/config` para que SSH lo acepte.

Añade más entradas con el botón Más de arriba. La vista previa las combina todas en un archivo, en el orden en que aparecen.

Cuándo te resulta útil

Siete situaciones concretas en las que un `ssh config` bien hecho ahorra tiempo real:

Entras a producción cada día. En lugar de `ssh -i ~/.ssh/prod_ed25519 -p 22 deploy@1.2.3.4` escribes `ssh prod`. El autocompletado funciona, el historial funciona, los scripts que envuelven ssh funcionan.
El destino está tras un bastión. Pones `ProxyJump` en el host interno y SSH salta transparentemente por el bastión. Adiós a las conexiones manuales en dos pasos.
Tienes claves separadas para GitHub y GitLab. Fija `IdentityFile` por host para ofrecer la clave correcta a cada servicio. Evita el error "too many authentication failures" cuando SSH prueba todas las claves del agente.
Necesitas un puerto local reenviado para desarrollo. Añade `LocalForward 5432 localhost:5432` y tu Postgres del servidor aparece en tu portátil. Sin VPN.
Quieres un proxy SOCKS para navegar a través del servidor. `DynamicForward 1080` más Firefox apuntando a localhost:1080 y tu tráfico sale desde la máquina remota. Útil para paneles bloqueados por región.
Gestionas 30+ hosts. Agrúpalos con patrones `Host prod-*` (este generador escribe un host por bloque, pero el formato admite wildcards; pega bloques extra a mano).
Quieres exponer un servicio local en una máquina pública (como el ngrok clásico). `RemoteForward 8080 localhost:3000` en un servidor accesible y el puerto 3000 de tu portátil queda accesible en el servidor por el 8080.

Preguntas y respuestas

En Linux y macOS: `~/.ssh/config`. En Windows con el cliente OpenSSH integrado (Windows 10+): `%USERPROFILE%\.ssh\config` (típicamente `C:\Users\tu_usuario\.ssh\config`). El cliente OpenSSH también lee `/etc/ssh/ssh_config` para defaults del sistema, pero gana la configuración por usuario.

¿Qué es ~/.ssh/config y por qué molestarse?

Todo se ejecuta en tu navegador: no se manejan claves, no se sube nada, sin cuenta. La salida es config OpenSSH plano, idéntico a lo que escribirías a mano.

Cómo se usa

Arranca con un preset (servidor de producción, bastión, GitHub, proxy SOCKS...). El formulario rellena valores sensatos que puedes ajustar.

Escribe el alias Host (el nombre corto que vas a teclear después de `ssh`), luego HostName (la IP o dirección real), User y Port si no es 22.

Abre Identity y apunta IdentityFile a tu clave privada, p. ej. `~/.ssh/id_ed25519`. Activa IdentitiesOnly para que SSH no pruebe todas las claves de tu agente.

¿Necesitas un host de salto? Abre Proxy / jump y pon `user@bastion` en ProxyJump. SSH conectará pasando por el bastión automáticamente.

Pulsa Copiar en el panel de vista previa, pega en `~/.ssh/config` (crea el archivo si no existe) y ejecuta `chmod 600 ~/.ssh/config` para que SSH lo acepte.

Añade más entradas con el botón Más de arriba. La vista previa las combina todas en un archivo, en el orden en que aparecen.

Cuándo te resulta útil

Siete situaciones concretas en las que un `ssh config` bien hecho ahorra tiempo real:

Entras a producción cada día. En lugar de `ssh -i ~/.ssh/prod_ed25519 -p 22 deploy@1.2.3.4` escribes `ssh prod`. El autocompletado funciona, el historial funciona, los scripts que envuelven ssh funcionan.
El destino está tras un bastión. Pones `ProxyJump` en el host interno y SSH salta transparentemente por el bastión. Adiós a las conexiones manuales en dos pasos.
Tienes claves separadas para GitHub y GitLab. Fija `IdentityFile` por host para ofrecer la clave correcta a cada servicio. Evita el error "too many authentication failures" cuando SSH prueba todas las claves del agente.
Necesitas un puerto local reenviado para desarrollo. Añade `LocalForward 5432 localhost:5432` y tu Postgres del servidor aparece en tu portátil. Sin VPN.
Quieres un proxy SOCKS para navegar a través del servidor. `DynamicForward 1080` más Firefox apuntando a localhost:1080 y tu tráfico sale desde la máquina remota. Útil para paneles bloqueados por región.
Gestionas 30+ hosts. Agrúpalos con patrones `Host prod-*` (este generador escribe un host por bloque, pero el formato admite wildcards; pega bloques extra a mano).
Quieres exponer un servicio local en una máquina pública (como el ngrok clásico). `RemoteForward 8080 localhost:3000` en un servidor accesible y el puerto 3000 de tu portátil queda accesible en el servidor por el 8080.

Preguntas y respuestas

Generador de SSH config

¿Qué es ~/.ssh/config y por qué molestarse?

Cómo se usa

Cuándo te resulta útil

Preguntas y respuestas

Herramientas relacionadas

Generador de tsconfig.json

Generador de expresiones cron

Decodificador JWT

Conversor cURL a código

Generador de SSH config

¿Qué es ~/.ssh/config y por qué molestarse?

Cómo se usa

Cuándo te resulta útil

Preguntas y respuestas

Herramientas relacionadas

Generador de tsconfig.json

Generador de expresiones cron

Decodificador JWT

Conversor cURL a código