Si tenemos instalado el servidor de SSH normalmente recibiremos gran cantidad de intentos de login fraudulentos en este servicio buscando cuentas sin contraseña o intentando logear como root probando contraseñas al azar.
Con unas sencillas instrucciones podemos hacer el servicio un poco más seguro para evitar intrusiones en el sistema.
No permitir conectarse como root:
‘PermitRootLogin no’
Si impedimos logear como root, el atacante tendrá que logear como usuario sin privilegios por lo que el daño que pueda hacer será menor. Es mejor hacer su – una vez logeados como usuario normal.
Limitar el número de fallos de login:
‘MaxAuthTries 1’
Cada vez que falle la contraseña se cerrará la sesión, lo que hace que el ataque sea mucho más lento.
Cambiar el puerto:
‘Port 22’
Podemos cambiar el puerto en el que escucha el servicio. El rango es desde 1025 hasta 65535.
Es recomendable sólo si lo utilizan los administradores del sistema ya que obliga a los usuarios a recordar el número de puerto que acaba apuntado en algún papel.
Restringir por direcciones IP:
‘listenAddress 192.168.1.1’
Esto sólo permite logear a un host con esa IP. Cuidado con las IPs dinámicas si entramos desde otra red externa.
‘listenAddress 192.168.1.255’
Permitir a toda la subred.
‘Restringir por nombre de usuario:
‘AllowUsers ususario1 usuario2 usuario3’
Sólo podrán logear los usuarios autorizados por el administrador.