Desactivando el acceso root en un servidor Linux

Tutorial Linux para desactivar el acceso root a un servidor para que nadie tenga acceso como superusuario por defecto.

Consigue gratis tu cuenta

Curso de Vagrant

En este curso aprenderás a utilizar Vagrant para poder crear tus propias máquinas virtuales con diferentes sistemas operativos en cuestión de minutos. Con Vagrant mejorarás tu productividad y tendrás tu entorno de desarrollo configurado rápidamente. ¿Quieres saber más? ¡Apúntate!

Comenzar ahora

DESACTIVANDO EL ACCESO ROOT EN UN SERVIDOR LINUX geeky theory tutorial gnu terminal ssh

Últimamente estoy informándome mucho sobre temas de seguridad en charlas a las que asisto y también leyendo mucho por Internet. Es un tema que me gusta bastante y sobre el que no publico demasiado en Geeky Theory.

Voy a enseñaros un pequeño truco de seguridad para servidores GNU/Linux que siempre hay que implementar al montar una máquina y darle acceso por Internet. Se trata de desactivar el acceso root a dicho servidor para que nadie tenga acceso como superusuario por defecto.

A menos que sea estrictamente necesario, nunca debemos hacer login directamente como superusuario.

Si queremos introducir un comando que requiera de permisos, es preferible ejecutarlo con sudo siempre que sea posible.

Paso 1: Crear un nuevo usuario

Antes de desactivar el acceso root, tenemos que crear un nuevo usuario. Si desactivamos el acceso superusuario sin crear uno nuevo, no podremos entrar al servidor.

$ sudo adduser nombredeusuario

Nos pedirá la contraseña del nuevo usuario. A continuación, damos permisos sudo a este nuevo usuario, ya que si no, no podremos ejecutar ningún comando con permisos que no sean los del propio usuario. Para ello, editamos el archivo de configuración:

$ sudo /usr/sbin/visudo

Dejamos esta parte así:

# User privilege specification 
root ALL=(ALL:ALL) ALL 
nombredeusuario	ALL=(ALL:ALL) ALL

Lo que acabamos de hacer es darle permisos a nombredeusuario para que pueda ejecutar comandos con sudo.

Paso 2: Desactivar el acceso del usuario root

Una vez creado el nuevo usuario, vamos a desactivar el acceso del usuario root. Antes de nada, probad que tenéis acceso SSH con el nuevo usuario y, una vez dentro, haced un update upgrade con sudo para comprobar que todo funciona:

$ ssh nombredeusuario@servidor
$ sudo apt-get update && sudo apt-get upgrade

Una vez comprobado que el nuevo usuario puede ejecutar instrucciones sin ningún problema, modificamos el archivo /etc/ssh/sshd_config para desactivar el login con root:

$ sudo nano /etc/ssh/sshd_config

Tenemos dos opciones para hacer esto y ambas dan el mismo resultado.

  • Opción 1: modificar el parámetro PermitRootLogin.

Dejamos el parámetro así:

PermitRootLogin no
  •  Opción 2: filtrar por usuarios.

Este método es igual que el anterior, pero en este caso vamos a filtrar por usuarios. Denegamos el acceso a root y se lo permitimos al nuevo usuario. En la zona de # Authentication: ponemos lo siguiente:

DenyUsers root
AllowUsers nombredeusuario

Para aplicar los cambios, introducimos el siguiente comando:

$ sudo service ssh restart

Os dejo un vídeo del proceso:

¡Saludos!


¿Quieres seguir aprendiendo?