Come disabilitare l'accesso SSH remoto come root da un server?

54

Per motivi di sicurezza, la mia azienda vuole che non consenta a nessuno di accedere al nostro server Ubuntu come root da remoto su SSH. Vogliamo ancora che l'account di root esista, semplicemente non vogliamo che sia in grado di accedere in remoto. Come lo farei?

Grazie mille in anticipo per il tuo tempo.

server  root  remote-access  accounts 
Rob S.
fonte

Risposte:

85

Presumo che intendessi accedere tramite SSH? Metti la seguente riga a /etc/ssh/sshd_config:

PermitRootLogin no

Se vuoi negare a determinati utenti l'accesso, inseriscilo nel file di configurazione:

DenyUsers root

Questo prende l'approccio nella lista nera. La whitelisting è generalmente preferibile. Se la tua azienda deve consentire l'accesso robe gli adminutenti al server, utilizza la seguente direttiva di configurazione:

AllowUsers rob admin

Dopo aver apportato modifiche al file di configurazione, riavviare il servizio ssh usando il comando:

sudo service ssh restart

Vedi anche la pagina del manuale .

Lekensteyn
fonte
14
ed sudo service ssh restartentrare in vigore
Maxim Yefremov,
Non vedo il file sshd_config, vedo questo / etc / ssh / ssh_config.
Chinmaya B,
@ChinmayaB Probabilmente non hai installato il server OpenSSH. Provasudo apt-get install openssh-server
Lekensteyn,
14

Modifica il file /etc/ssh/sshd_config, cerca

PermitRootLogin

e impostarlo su no.

James Little
fonte
Se lo fai senza aggiungere alcun utente con AllowUsers <username>questo, in effetti questo non consentirebbe a nessuno di SSH?
JGlass,
1
@JGlass È possibile che tu stia confondendo questa risposta con quella sopra che ha opzioni aggiuntive: questa riga specifica blocca solo il root dall'accesso tramite SSH. Se ci sono altri utenti sul sistema, a parità di condizioni, saranno comunque in grado di accedere tramite SSH a meno che tu non abbia anche DenyUsersquesti accessi.
armadadrive,
@armadadrive - ah, grazie per la correzione e la spiegazione!
JGlass
5

La configurazione predefinita prevede che l'account di root sia bloccato, pertanto non è possibile accedere come root da remoto. Non devi fare altro, a meno che tu non voglia anche assicurarti di non poter accedere come root da remoto usando una chiave RSA. Naturalmente, se non vuoi farlo, non impostare una chiave di root.

psusi
fonte
1
Non era quello predefinito per la mia macchina Linode Ubuntu 14.04. PermitRootLoginera impostato su yese non vi era alcuna AllowUserso DenyUserslinea di configurazione. A meno che non mi manchi qualcosa, non credo sia sicuro supporre che sia bloccato per impostazione predefinita
andrewtweber
@andrewtweber, l'accesso root non è proibito tramite ssh config, ma a livello di sistema impostando la password di root su un valore non valido che non è possibile inserire. Quindi, come ho già detto, puoi ancora usare ssh come root usando una chiave RSA, ma non con una password.
psusi
ok grazie, puoi aggiungere quella spiegazione alla tua risposta e poi potrò rimuovere il mio
voto negativo
@andrewtweber, è già nella mia risposta ..
psusi
la tua spiegazione su come l'account di root è bloccato non è nella tua risposta. Comunque non posso rimuovere un downvote a meno che la tua risposta non sia modificata, quindi vai avanti e testardo se vuoi
andrewtweber
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.