Deshabilitar la raíz SSH en Debian

Hernán Delao
Deshabilitar la raíz SSH en Debian
Desde el raíz El usuario es universal para todos los sistemas de Linux y Unix. Siempre fue la víctima de Bruteforce preferida de los hackers para acceder a los sistemas. Para Bruteforce, una cuenta no privilegiada, el hacker debe aprender primero el nombre de usuario e incluso si suceder al atacante se mantiene limitado a menos que use una exploit local.Este tutorial muestra cómo deshabilitar el acceso a la raíz a través de SSH en 2 pasos simples.
  • Cómo deshabilitar el acceso a la raíz SSH en Debian 10 Buster
  • Alternativas para asegurar su acceso SSH
  • Filtrando el puerto SSH con iptables
  • Uso de envoltorios TCP para filtrar SSH
  • Deshabilitar el servicio SSH
  • Artículos relacionados

Cómo deshabilitar el acceso a la raíz SSH en Debian 10 Buster

Para deshabilitar el acceso a la raíz de SSH, debe editar el archivo de configuración de SSH, en Debian es /etc/ssh/sshd_config, para editarlo usando el editor de texto Nano ejecutado:

nano/etc/ssh/sshd_config

En nano puedes presionar Ctrl+W (dónde) y escriba Plebatear Para encontrar la siguiente línea:

#Permitrootlogin Prohibit-Password

Para deshabilitar el acceso a la raíz a través de SSH, solo incomment esa línea y reemplazar Prohibit-password para No Como en la siguiente imagen.

Después de deshabilitar el acceso a la raíz CTRL+X y Y Para guardar y salir.

El Prohibit-password La opción evita el inicio de sesión de contraseña que solo permite inicio de sesión a través de acciones de retroceso como claves públicas, evitando ataques de fuerza bruta.

Alternativas para asegurar su acceso SSH

Restringir el acceso a la autenticación de la clave pública:

Para deshabilitar el inicio de sesión de la contraseña, lo que solo permite inicio de sesión utilizando una clave pública, abra el /etc/ssh/ssh_config Archivo de configuración nuevamente ejecutando:

nano/etc/ssh/sshd_config

Para deshabilitar el inicio de sesión de la contraseña, lo que solo permite inicio de sesión utilizando una clave pública, abra el /etc/ssh/ssh_config Archivo de configuración nuevamente ejecutando:

nano/etc/ssh/sshd_config

Encuentra la línea que contiene PubKeyAuthentication y asegúrate de que diga Como en el ejemplo a continuación:

Asegúrese de que la autenticación de contraseña esté deshabilitada al encontrar la línea que contiene Contraseña, si se comenta sin comment y asegúrese de que esté configurado como No Como en la siguiente imagen:

Entonces presione CTRL+X y Y Para guardar y salir del editor de texto Nano.

Ahora, como el usuario, desea permitir el acceso a SSH a través de la necesidad de generar pares de claves privados y públicos. Correr:

ssh-keygen

Responda la secuencia de la pregunta Dejando la primera respuesta el valor predeterminado presionando Enter, configure su frase de contraseña, repítela y las teclas se almacenarán en ~/.ssh/id_rsa

Generación de pares de claves RSA públicas/privadas.
Ingrese el archivo en el que guardar la clave (/root/.ssh/id_rsa):
Ingrese la frase de pases (vacío sin frase de pases): Ingrese a la misma frase de pases nuevamente:
Su identificación se ha guardado en /root /.ssh/id_rsa.
Su clave pública se ha guardado en /root /.ssh/id_rsa.pub.
La huella digital clave es:
Sha256: 34+uxvi4d3ik6ryoatdkt6raifclvlyzudrljwfbvgo root@linuxhint
La imagen Randomart de la tecla es:
+---[RSA 2048]----+

Para transferir los pares de claves que acaba de crear, puede usar el SSH-Copy-ID Comando con la siguiente sintaxis:

SSH-Copy-ID @

Cambie el puerto SSH predeterminado:

Abre el /etc/ssh/ssh_config Archivo de configuración nuevamente ejecutando:

nano/etc/ssh/sshd_config

Supongamos que desea usar el puerto 7645 en lugar del puerto predeterminado 22. Agregue una línea como en el siguiente ejemplo:

Puerto 7645

Entonces presione CTRL+X y Y Para guardar y salir.

Reinicie el servicio SSH ejecutando:

servicio SSHD reiniciar

Entonces debe configurar iptables para permitir la comunicación a través del puerto 7645:

iptable -t nat -a predimento -p tcp --dport 22 -j redirección -a puerto 7645

En su lugar, también puede usar UFW (firewall sin complicaciones):

UFW Permitir 7645/TCP

Filtrando el puerto SSH

También puede definir reglas para aceptar o rechazar las conexiones SSH de acuerdo con parámetros específicos. La siguiente sintaxis muestra cómo aceptar conexiones SSH desde una dirección IP específica usando iptables:

iptables -a entrada -p tcp --dport 22 - -fuente -j aceptar
iptables -a entrada -p tcp --dport 22 -J Drop

La primera línea del ejemplo anterior instruye a iptables que acepte solicitudes de TCP entrantes (entrada) al puerto 22 desde la IP 192.168.1.2. La segunda línea instruye a las tablas IP que suelten todas las conexiones al puerto 22. También puede filtrar la dirección de origen por MAC como en el ejemplo a continuación:

iptables -i entrada -p tcp --dport 22 -m Mac ! --MAC-Source 02: 42: DF: A0: D3: 8F
-j rechazar

El ejemplo anterior rechaza todas las conexiones excepto el dispositivo con la dirección MAC 02: 42: DF: A0: D3: 8F.

Uso de envoltorios TCP para filtrar SSH

Otra forma de las direcciones IP de la lista blanca para conectarse a través de SSH mientras rechazan el resto es editar los directorios de los anfitriones.Denegar y anfitriones.Permitir ubicado en /etc.

Para rechazar todos los anfitriones que ejecutan:

nano /etc /huéspedes.denegar

Agregue una última línea:

SSHD: todos

Presione Ctrl+X e Y para guardar y salir. Ahora para permitir hosts específicos a través de SSH editar el archivo /etc /hosts.permitir, editarlo ejecutar:

nano /etc /huéspedes.permitir

Agregue una línea que contenga:

SSHD:

Presione Ctrl+X para guardar y salir de Nano.

Deshabilitar el servicio SSH

Muchos usuarios nacionales consideran que SSH es inútil, si no lo usa, puede eliminarlo o puede bloquear o filtrar el puerto.

En Debian Linux o sistemas basados ​​como Ubuntu, puede eliminar los servicios utilizando el Administrador de paquetes APT.
Para eliminar el servicio SSH ejecutado:

APT Eliminar SSH

Presione Y si se le solicita que finalice la eliminación.

Y eso se trata de medidas nacionales para mantener a SSH seguro.

Espero que hayas encontrado este tutorial útil, siga a Linuxhint para obtener más consejos y tutoriales sobre Linux y redes.

Artículos relacionados:

  • Cómo habilitar el servidor SSH en Ubuntu 18.04 LTS
  • Habilitar SSH en Debian 10
  • Reenvío de puertos SSH en Linux
  • Opciones de configuración SSH comunes Ubuntu
  • Cómo y por qué cambiar el puerto SSH predeterminado
  • Configurar el reenvío de SSH X11 en Debian 10
  • Configuración, personalización y optimización del servidor Arch Linux SSH
  • Iptables para principiantes
  • Trabajando con Firewalls de Debian (UFW)
golang
¿Qué es la palabra clave de rango en Golang?
En Golang, los bucles, como para el bucle iterate, a través de los elementos de una matriz, rodajas,...
Lorenzo Canales
C ++
¿Qué es el tipo de datos de char c ++?
En C ++, el tipo de datos Char representa los datos en forma de caracteres. Esta variable solo toma ...
Hernán Delao
Programación C
Cómo usar la palabra clave de registro en c
En C, la palabra clave de registro dirige al compilador para determinar que una variable específica ...
Carolina Guzmán
Pitón
Matplotlib Text en negrita
Pilar Melgar
Pitón
Pandas read_csv multiprocesamiento
Pilar Melgar
Javascript
¿Cómo funciona el evento OnClick en JavaScript?
Homero Ontiveros
AWS
¿Qué es elastic beanstalk?? ¿Es Paas o Iaas??
Pilar Alemán
Potencia Shell
Cómo usar operadores de comparación en PowerShell?
Mariana Cotto
html
Cómo crear puntos de bala HTML?
Carolina Guzmán
Potencia Shell
¿Puedes explicar la funcionalidad del comando de ubicación de PowerShell??
Salvador Anaya
Base de datos Oracle
Cómo encontrar el nombre del servicio Oracle?
Salvador Anaya
Base de datos Oracle
Cómo instalar Oracle Instant Client en Linux?
Mariana Cotto
AWS
¿Cuáles son las funciones del paso de AWS y cómo usarlas??
Salvador Anaya