Configurar el archivo sshd_config para no permitir la entrada a root por ssh

Hay mucha gente que no tiene nada mejor que hacer que intentar (mediante robots) acceder a servidores normalmente al azar ya sea de una forma u otra.

Una forma muy común que voy a intentar solucionar en este post es por ssh.

La idea es prohibir el acceso al usuario root y permitir sólo a un usuario entrar por ssh. En este caso he elegido al usuario pintamonas, si no existe lo creamos. Luego pintamonas utilizará la instrucción su – para “ser root”.

Primero tenemos que asegurarnos que pintamonas puede convertirse en root con el comando su. Si no puede, tenemos que editar el archivo /etc/pam.d/su y comentar la siguiente línea en la que se indica que sólo los usuarios del grupo wheel pueden hacer su:

# auth required pam_wheel.so use_uid

Otra opción es añadir al grupo wheel el usuario pintamonas:

usermod -G wheel pintamonas

Ahora mejoraremos un poco la seguridad del acceso por ssh añadiendo o modificando las siguientes líneas del fichero /etc/ssh/sshd_config:

En esta línea indicamos que root no pueda entrar.

PermitRootLogin No

Decimos que usuarios pueden acceder, si es más de uno irán separados por comas. Añado un nombre difícil de adivinar.

AllowUsers pintamonas

Especificamos el tiempo en segundos para un nuevo intento tras fallar en el login, lo pongo corto para dificultar la tarea al invasor.

LoginGraceTime 10

Sólo damos 3 oportunidades para introducir el password.

MaxAuthTries 3

Impedimos el método de autenticación por Rhosts.

IgnoreRhosts yes

No permitimos el reenvío de X11 ya que no usamos GUI.

X11Forwarding no

Usamos password-based authentication

PasswordAuthentication yes

Cambiamos el puerto ya que todos los ataques buscan el puerto por defecto que es el 22. ¡Hay que acordarse de abrir el puerto en el servidor!

Port 69

Ahora nos aseguramos de que todo está correcto para no quedarnos sin acceso y reiniciamos el servidor ssh.

/etc/init.d/ssh restart

o

/etc/init.d/sshd restart

Recomiendo no cerrar la conexión actual de root hasta que se pruebe el acceso con pintamonas, por si acaso…

Después de esto, ya estamos un poco más seguros…

Actualización: Más seguridad instalando y configurando CSF+LDF.

Publicado en Linux, Seguridad, SSH
Un comentario en “Configurar el archivo sshd_config para no permitir la entrada a root por ssh
4 Pings/Trackbacks para "Configurar el archivo sshd_config para no permitir la entrada a root por ssh"
  1. […] Además de instalar CSF+LFD también sería conveniente configurar el acceso por ssh para que no pueda entrar root. […]

  2. […] Actualización: No permitir la entrada a “root” por SSH para mejorar la seguridad. […]

  3. […] con el tema de seguridad, no serviría de nada deshabilitar el acceso por ssh a root, si luego alguien entra como root en nuestro panel de control, por ejemplo […]

  4. […] reforzando la seguridad, después de deshabilitar el acceso a root por ssh y por Webmin, ahora toca no permitirle el acceso vía […]

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*