TIPS – Desactivando el acceso root en un servidor Linux

Últimamente estoy informándome mucho sobre temas de seguridad en charlas a las que asisto y también leyendo mucho por Internet.

Voy a enseñaros un pequeño truco de seguridad para servidores GNU/Linux que siempre hay que implementar al montar una máquina y darle acceso por Internet. Se trata de desactivar el acceso root a dicho servidor para que nadie tenga acceso como superusuario por defecto.
A menos que sea estrictamente necesario, nunca debemos hacer login directamente como superusuario.

Si queremos introducir un comando que requiera de permisos, es preferible ejecutarlo con sudo siempre que sea posible.

Paso 1: Crear un nuevo usuario

Antes de desactivar el acceso root, tenemos que crear un nuevo usuario. Si desactivamos el acceso superusuario sin crear uno nuevo, no podremos entrar al servidor.
sudo adduser nombredeusuario

Nos pedirá la contraseña del nuevo usuario. A continuación, damos permisos sudo a este nuevo usuario, ya que si no, no podremos ejecutar ningún comando con permisos que no sean los del propio usuario. Para ello, editamos el archivo de configuración:
sudo /usr/sbin/visudo

Dejamos esta parte así:
# User privilege specification
root ALL=(ALL:ALL) ALL
nombredeusuario ALL=(ALL:ALL) ALL

# User privilege specification
root ALL=(ALL:ALL) ALL
nombredeusuario ALL=(ALL:ALL) ALL

Lo que acabamos de hacer es darle permisos a nombredeusuario para que pueda ejecutar comandos con sudo.

Paso 2: Desactivar el acceso del usuario root

Una vez creado el nuevo usuario, vamos a desactivar el acceso del usuario root. Antes de nada, probad que tenéis acceso SSH con el nuevo usuario y, una vez dentro, haced un update y upgrade con sudo para comprobar que todo funciona:
$ ssh [email protected]
$ sudo apt-get update && sudo apt-get upgrade

Una vez comprobado que el nuevo usuario puede ejecutar instrucciones sin ningún problema, modificamos el archivo /etc/ssh/sshd_config para desactivar el login con root:
$ sudo nano /etc/ssh/sshd_config

Tenemos dos opciones para hacer esto y ambas dan el mismo resultado.

Opción 1: modificar el parámetro PermitRootLogin.
Dejamos el parámetro así:
PermitRootLogin no

Opción 2: filtrar por usuarios.

Este método es igual que el anterior, pero en este caso vamos a filtrar por usuarios. Denegamos el acceso a root y se lo permitimos al nuevo usuario. En la zona de # Authentication: ponemos lo siguiente:
DenyUsers root
AllowUsers nombredeusuario

Para aplicar los cambios, introducimos el siguiente comando:
$ sudo service ssh restart
(Tomado de geekytheory.com)

(Visited 39 times, 1 visits today)
Sobre Armando Felipe Fuentes Denis 124 Artículos
Network Administrator and Telematic Services in Federation of Radio Amateurs of Cuba Residencia: Regla, La Habana Email: [email protected] Movil: +53 58319403

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*