« Descargar un directorio entero desde ftp
Crear una función con parámetros opcionales en php »

Configurar el archivo sshd_config para no permitir la entrada a root por ssh

Hay mucha gente que no tiene nada mejor que hacer que intentar (mediante robots) acceder a servidores normalmente al azar ya sea de una forma u otra.

Una forma muy común que voy a intentar solucionar en este post es por ssh.

La idea es prohibir el acceso al usuario root y permitir sólo a un usuario entrar por ssh. En este caso he elegido al usuario pintamonas, si no existe lo creamos. Luego pintamonas utilizará la instrucción su - para “ser root”.

Primero tenemos que asegurarnos que pintamonas puede convertirse en root con el comando su. Si no puede, tenemos que editar el archivo /etc/pam.d/su y comentar la siguiente línea en la que se indica que sólo los usuarios del grupo wheel pueden hacer su:

# auth required pam_wheel.so use_uid

Otra opción es añadir al grupo wheel el usuario pintamonas:

usermod -G wheel pintamonas

Ahora mejoraremos un poco la seguridad del acceso por ssh añadiendo o modificando las siguientes líneas del fichero /etc/ssh/sshd_config:

En esta línea indicamos que root no pueda entrar.

PermitRootLogin No

Decimos que usuarios pueden acceder, si es más de uno irán separados por comas. Añado un nombre difícil de adivinar.

AllowUsers pintamonas

Especificamos el tiempo en segundos para un nuevo intento tras fallar en el login, lo pongo corto para dificultar la tarea al invasor.

LoginGraceTime 10

Sólo damos 3 oportunidades para introducir el password.

MaxAuthTries 3

Impedimos el método de autenticación por Rhosts.

IgnoreRhosts yes

No permitimos el reenvío de X11 ya que no usamos GUI.

X11Forwarding no

Usamos password-based authentication

PasswordAuthentication yes

Ahora nos aseguramos de que todo está correcto para no quedarnos sin acceso y reiniciamos el servidor ssh.

/etc/init.d/ssh restart

o

/etc/init.d/sshd restart

Recomiendo no cerrar la conexión actual de root hasta que se pruebe el acceso con pintamonas, por si acaso…

Después de esto, ya estamos un poco más seguros…

Actualización: Más seguridad instalando y configurando CSF+LDF.

Este artículo ha sido publicado el 14 de Agosto de 2009 a las 10:32 am y está archivado en la categoría Linux, SSH, Seguridad. Puedes seguir estos comentarios en el feed de comentarios: RSS 2.0. Puedes dejar un comentario, o hacer trackback desde tu sitio.

4 comentarios para “Configurar el archivo sshd_config para no permitir la entrada a root por ssh”

  1. Carlos Egea » Blog Archive » Instalar y configurar CSF+LFD en línea de comandos ha dicho:
    8 de Septiembre de 2009 a las 4:27 pm

    [...] Además de instalar CSF+LFD también sería conveniente configurar el acceso por ssh para que no pueda entrar root. [...]

  2. Carlos Egea » Blog Archive » Poner a punto servidor Debian desde 0 ha dicho:
    8 de Septiembre de 2009 a las 4:37 pm

    [...] Actualización: No permitir la entrada a “root” por SSH para mejorar la seguridad. [...]

  3. Carlos Egea » Blog Archive » No permitir el acceso a root a Webmin ha dicho:
    9 de Septiembre de 2009 a las 10:43 am

    [...] con el tema de seguridad, no serviría de nada deshabilitar el acceso por ssh a root, si luego alguien entra como root en nuestro panel de control, por ejemplo [...]

  4. Carlos Egea » Blog Archive » Impedir el acceso de root a phpMyAdmin ha dicho:
    11 de Septiembre de 2009 a las 10:07 am

    [...] reforzando la seguridad, después de deshabilitar el acceso a root por ssh y por Webmin, ahora toca no permitirle el acceso vía [...]

Deja tu comentario