Cómo (y por qué) deshabilitar el inicio de sesión raíz a través de SSH en Linux
Publicado: 2022-09-29Iniciar sesión como usuario raíz de Linux es una mala práctica. Iniciar sesión como root a través de una conexión SSH es aún peor. Te decimos por qué y te mostramos cómo prevenirlo.
La espada de dos filos
Necesita a alguien con la autoridad para poseer y administrar aquellas partes de su sistema operativo que son demasiado importantes o demasiado sensibles para que las traten los usuarios habituales. Ahí es donde entra en juego root. root es el superusuario todopoderoso de los sistemas operativos Unix y Linux.
La cuenta de usuario raíz, como todas las cuentas, está protegida por una contraseña. Sin la contraseña del usuario raíz, nadie más puede acceder a esa cuenta. Eso significa que nadie más puede usar los privilegios y poderes de root. La otra cara es que la única defensa entre un usuario malicioso y los poderes de root es esa contraseña. Las contraseñas, por supuesto, se pueden adivinar, deducir, ver escritas en algún lugar o usar la fuerza bruta.
Si un atacante malintencionado descubre la contraseña de root, puede iniciar sesión y hacer lo que quiera en todo el sistema. Con los privilegios elevados de root, no hay restricciones sobre lo que pueden hacer. Sería como si el usuario raíz se hubiera alejado de una terminal sin cerrar sesión, lo que permitiría el acceso oportunista a su cuenta.
Debido a estos riesgos, muchas distribuciones modernas de Linux no permiten que la raíz inicie sesión en la computadora localmente, y mucho menos a través de SSH. El usuario raíz existe, pero no tiene una contraseña establecida para él. Y, sin embargo, alguien tiene que ser capaz de administrar el sistema. La solución a ese enigma es el comando sudo
.
sudo
permite a los usuarios designados usar temporalmente privilegios de nivel raíz desde su propia cuenta de usuario. Debe autenticarse para usar sudo
, lo que hace ingresando su propia contraseña. Esto le da acceso temporal a las capacidades de root.
Sus poderes de root mueren cuando cierra la ventana de la terminal en la que se usaron. Si deja la ventana de la terminal abierta, se agotará el tiempo de espera y lo regresará automáticamente al estado de usuario normal. Esto proporciona otro tipo de protección. Te protege de ti mismo.
Si habitualmente inicia sesión como root en lugar de una cuenta normal, cualquier error que cometa en la línea de comandos podría ser catastrófico. Tener que usar sudo
para realizar la administración significa que es más probable que se concentre y tenga cuidado con lo que escribe.
Permitir el inicio de sesión de raíz a través de SSH aumenta los riesgos porque los atacantes no tienen que ser locales; pueden intentar aplicar fuerza bruta a su sistema de forma remota.
RELACIONADO: Cómo revisar el uso del comando sudo en Linux
El usuario root y el acceso SSH
Es más probable que encuentre este problema cuando administre sistemas para otras personas. Es posible que alguien haya decidido establecer una contraseña de root para poder iniciar sesión. Es necesario cambiar otras configuraciones para permitir que root inicie sesión a través de SSH.
Esto no sucederá por accidente. Pero puede ser realizado por personas que no entienden los riesgos asociados. Si se hace cargo de la administración de una computadora en ese estado, deberá informar a los propietarios por qué es una mala idea y luego revertir el sistema a un funcionamiento seguro. Si fue algo configurado por el administrador del sistema anterior, es posible que los propietarios no lo sepan.
Aquí hay un usuario en una computadora que ejecuta Fedora, haciendo una conexión SSH a una computadora con Ubuntu como usuario raíz de la computadora con Ubuntu.
ssh [email protected]
La computadora Ubuntu permite que el usuario raíz inicie sesión a través de SSH. En la computadora con Ubuntu, podemos ver que se está realizando una conexión en vivo desde el usuario raíz.
quién
Lo que no podemos ver es quién está usando esa sesión. No sabemos si la persona al otro lado de la conexión SSH es el usuario root o alguien que ha logrado obtener la contraseña de root.
Deshabilitar el acceso SSH para root
Para deshabilitar el acceso SSH para el usuario raíz, debemos realizar cambios en el archivo de configuración SSH. Esto se encuentra en "/etc/ssh/sshd_config". Tendremos que usar sudo
para escribir cambios en él.
sudo gedit /etc/ssh/sshd_config
Desplácese por el archivo o busque la cadena "PermitRootLogin".
Configure esto en "no" o comente la línea colocando un hash " #
" como el primer carácter en la línea. Guarde sus cambios.
Necesitamos reiniciar el demonio SSH para que nuestros cambios surtan efecto.
sudo systemctl reiniciar ssh
Si también desea evitar los inicios de sesión locales, deshabilite la contraseña de root. Estamos adoptando un enfoque de cinturón y aparatos ortopédicos y usando las opciones -l
(bloquear) y -d
(eliminar contraseña).
sudo contraseña raíz -ld
Esto bloquea la cuenta y elimina la contraseña de la cuenta en el trato. Incluso si el usuario raíz está sentado físicamente en su computadora, no podrá iniciar sesión.
Una forma más segura de permitir el acceso SSH raíz
A veces encontrará resistencia gerencial para eliminar el acceso raíz a través de SSH. Si realmente no te escuchan, es posible que te encuentres en una posición en la que tengas que restablecerlo. Si este es el caso, debería poder comprometerse de una manera que reduzca el riesgo y aún permita inicios de sesión remotos desde el usuario raíz.
El uso de claves SSH para establecer una conexión a través de SSH es mucho más seguro que el uso de contraseñas. Debido a que no hay contraseñas involucradas, no pueden ser forzadas, adivinadas o descubiertas de otra manera.
Antes de bloquear la cuenta raíz local, configure las claves SSH en la computadora remota para que el usuario raíz pueda conectarse a su computadora local. Luego, adelante, elimine su contraseña y bloquee su cuenta local.
También necesitaremos editar el archivo "sshd_config" una vez más.
sudo gedit /etc/ssh/sshd_config
Cambie la línea "PermitRootLogin" para que use la opción "prohibir contraseña".
Guarde sus cambios y reinicie el demonio SSH.
sudo systemctl reiniciar ssh
Ahora, incluso si alguien restablece la contraseña del usuario raíz, no podrá iniciar sesión a través de SSH con una contraseña.
Cuando el usuario raíz remoto realiza una conexión SSH a su computadora local, las claves se intercambian y examinan. Si pasan la autenticación, el usuario raíz se conecta a su computadora local sin necesidad de una contraseña.
ssh [email protected]
No hay entrada
Rechazar las conexiones remotas del usuario root es la mejor opción. Permitir que la raíz se conecte usando claves SSH es la segunda mejor opción, pero sigue siendo mucho mejor que usar contraseñas.
RELACIONADO: Cómo controlar el acceso a sudo en Linux