Desactivando el acceso root en un servidor Linux

Mario Pérez Esteso -

Últimamente estoy informándome mucho sobre temas de seguridad en charlas a las que asisto y también leyendo mucho por Internet. Es un tema que me gusta bastante y sobre el que no publico demasiado en Geeky Theory.

Voy a enseñaros un pequeño truco de seguridad para servidores GNU/Linux que siempre hay que implementar al montar una máquina y darle acceso por Internet. Se trata de desactivar el acceso root a dicho servidor para que nadie tenga acceso como superusuario por defecto.

A menos que sea estrictamente necesario, nunca debemos hacer login directamente como superusuario.

Si queremos introducir un comando que requiera de permisos, es preferible ejecutarlo con sudo siempre que sea posible.

Paso 1: Crear un nuevo usuario

Antes de desactivar el acceso root, tenemos que crear un nuevo usuario. Si desactivamos el acceso superusuario sin crear uno nuevo, no podremos entrar al servidor.

$ sudo adduser nombredeusuario

Nos pedirá la contraseña del nuevo usuario. A continuación, damos permisos sudo a este nuevo usuario, ya que si no, no podremos ejecutar ningún comando con permisos que no sean los del propio usuario. Para ello, editamos el archivo de configuración:

$ sudo /usr/sbin/visudo

Dejamos esta parte así:

# User privilege specification root ALL=(ALL:ALL) ALL nombredeusuario ALL=(ALL:ALL) ALL

Lo que acabamos de hacer es darle permisos a nombredeusuario para que pueda ejecutar comandos con sudo.

Paso 2: Desactivar el acceso del usuario root

Una vez creado el nuevo usuario, vamos a desactivar el acceso del usuario root. Antes de nada, probad que tenéis acceso SSH con el nuevo usuario y, una vez dentro, haced un update y upgrade con sudo para comprobar que todo funciona:

$ ssh nombredeusuario@servidor$ sudo apt-get update && sudo apt-get upgrade

Una vez comprobado que el nuevo usuario puede ejecutar instrucciones sin ningún problema, modificamos el archivo /etc/ssh/sshd_config para desactivar el login con root:

$ sudo nano /etc/ssh/sshd_config

Tenemos dos opciones para hacer esto y ambas dan el mismo resultado.

  • Opción 1: modificar el parámetro PermitRootLogin.

Dejamos el parámetro así:

PermitRootLogin no

  • Opción 2: filtrar por usuarios.

Este método es igual que el anterior, pero en este caso vamos a filtrar por usuarios. Denegamos el acceso a root y se lo permitimos al nuevo usuario. En la zona de # Authentication: ponemos lo siguiente:

DenyUsers root AllowUsers nombredeusuario

Para aplicar los cambios, introducimos el siguiente comando:

$ sudo service ssh restart

Os dejo un vídeo del proceso:

¡Saludos!