Configurar el archivo sshd_config para no permitir la entrada a root por ssh

Hay mucha gente que no tiene nada mejor que hacer que intentar (mediante robots) acceder a servidores normalmente al azar ya sea de una forma u otra.

Una forma muy común que voy a intentar solucionar en este post es por ssh.

La idea es prohibir el acceso al usuario root y permitir sólo a un usuario entrar por ssh. En este caso he elegido al usuario pintamonas, si no existe lo creamos. Luego pintamonas utilizará la instrucción su – para «ser root».

Primero tenemos que asegurarnos que pintamonas puede convertirse en root con el comando su. Si no puede, tenemos que editar el archivo /etc/pam.d/su y comentar la siguiente línea en la que se indica que sólo los usuarios del grupo wheel pueden hacer su:

# auth required pam_wheel.so use_uid

Otra opción es añadir al grupo wheel el usuario pintamonas:

usermod -G wheel pintamonas

Ahora mejoraremos un poco la seguridad del acceso por ssh añadiendo o modificando las siguientes líneas del fichero /etc/ssh/sshd_config:

En esta línea indicamos que root no pueda entrar.

PermitRootLogin No

Decimos que usuarios pueden acceder, si es más de uno irán separados por comas. Añado un nombre difícil de adivinar.

AllowUsers pintamonas

Especificamos el tiempo en segundos para un nuevo intento tras fallar en el login, lo pongo corto para dificultar la tarea al invasor.

LoginGraceTime 10

Sólo damos 3 oportunidades para introducir el password.

MaxAuthTries 3

Impedimos el método de autenticación por Rhosts.

IgnoreRhosts yes

No permitimos el reenvío de X11 ya que no usamos GUI.

X11Forwarding no

Usamos password-based authentication

PasswordAuthentication yes

Cambiamos el puerto ya que todos los ataques buscan el puerto por defecto que es el 22. ¡Hay que acordarse de abrir el puerto en el servidor!

Port 69

Ahora nos aseguramos de que todo está correcto para no quedarnos sin acceso y reiniciamos el servidor ssh.

/etc/init.d/ssh restart

o

/etc/init.d/sshd restart

Recomiendo no cerrar la conexión actual de root hasta que se pruebe el acceso con pintamonas, por si acaso…

Después de esto, ya estamos un poco más seguros…

Actualización: Más seguridad instalando y configurando CSF+LDF.

6 comentarios en “Configurar el archivo sshd_config para no permitir la entrada a root por ssh”

  1. Pingback: Carlos Egea » Blog Archive » Instalar y configurar CSF+LFD en línea de comandos

  2. Pingback: Carlos Egea » Blog Archive » Poner a punto servidor Debian desde 0

  3. Pingback: Carlos Egea » Blog Archive » No permitir el acceso a root a Webmin

  4. Pingback: Carlos Egea » Blog Archive » Impedir el acceso de root a phpMyAdmin

  5. Pingback: Instalar y configurar CSF+LFD en línea de comandos | Carlos Egea

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Información básica sobre protección de datos
Responsable: Carlos Egea Oróñez
Finalidad: Moderación de comentarios
Legitimación: Consentimiento del interesado
Destinatarios: No se cederán datos a terceros, salvo obligación legal. Los datos quedarán almacenados en los servidores de OVH.ES, situados en la Unión Europea (política de privacidad de OVH.ES)
Derechos: Acceso, rectificación y supresión de tus datos. Puedes ejercer estos derechos enviando un correo electrónico a carlosegea@gmail.com
Si lo deseas puedes consultar más información sobre protección de datos de esta web: política de privacidad.