Desabilitando login direto do root ao SSH e criando um super usuário

Como padrão é possível efetuar login no SSH como root. Porém, eu considero o login direto ao root uma grave falha de segurança.
Abaixo neste passo a passo vou abordar como desabilitar o login direto do root ao SSH e criar um usuário intermediário com permissão apenas para login no ssh, e a seguir efetuar login como root.

Importante: sugiro que a todo momento mantenha-se logado em uma janela de seu SSH como root e sempre faça testes em um novo terminal .

1 – Criando usuário com permissão de acesso ao ssh

Efetue login como root no ssh de seu servidor, a seguir digite(mude adminserver para outro nome que desejar) :

adduser adminserver

A seguir crie uma senha

passwd adminserver

Será solicitado que digite uma senha e a confirme após o “enter”.
**importante: para numeros , NÃO utilize o teclado numerico a esquerda de seu teclado.

Ok, agora vamos determinar que este usuário poderá efetuar login no ssh.

gpasswd -a adminserver wheel

Neste tempo você terá um novo usuário que poderá efetuar login no ssh , porém este usuário nao possui privilégios de root.

2 – Desabilitando o acesso direto ao root no SSH.
Edite o arquivo de configuração do SSH.

pico /etc/ssh/sshd_config

Mude as linhas:
De:

Protocol 2, 1

Para:

Protocol 2

e de:

PermitRootLogin yes

Para:

PermitRootLogin no

Salve as modificações(ctrl+x , y)

Reinicie o ssh:

service sshd restart

NÃO efetue logoff, tente efetuar login com o usuário e senha que criou anteriormente e a seguir, no prompt de comando digite :

su - root

(ou apenas su – , costuma funcionar em algumas distro linux)

informe a senha do root.

Se tudo correu bem , você deverá sempre efetuar login com o usuário criado e a seguir informar a senha do root.

Se algo saiu errado , edite novamente o arquivo de configuração do SSH , mude “PermitRootLogin no” para “PermitRootLogin yes” e reinicie novamente o ssh.

Germano Ferreira
Administrador Linux

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *