Cómo controlar el acceso SSH de nivel raíz

La raíz es la cuenta de superusuario en los sistemas basados ​​en Unix y Linux. Una vez que tenga acceso a la cuenta raíz, tendrá acceso completo al sistema

No es sorprendente que los piratas informáticos consideren que las claves de acceso raíz son un objetivo tan valioso: una vez que puede obtener acceso a un sistema, ¡no hay límite para los estragos que puede causar!

Los actores de amenazas aprovechan los bots para escanear Internet en busca de sistemas con puertos SSH expuestos. Una vez que encuentran uno, intentan iniciar sesión con nombres de usuario comunes y contraseñas descifrables. Si tienen éxito, ganan el premio gordo porque ahora pueden comprometer todo el sistema. Este caos podría haberse evitado si la organización hubiera elegido no confiar en sus administradores para administrar adecuadamente las llaves del reino.

Gran parte del problema tiene que ver con la forma en que los administradores crean y administran las claves SSH de nivel raíz. Marty Milbert, arquitecto principal global de Venafi, dice que solo debe haber una clave de nivel raíz por servidor. Con demasiada frecuencia, sin embargo, esto es cualquier cosa menos el caso. “Lo que estamos encontrando es que hay una clave para 24.000 servidores. Entonces, si tuviera que robar esa llave, tendría acceso a toda la organización”. Milbert explica.

Agrega Milbert: “El problema detrás de esto es el hecho de que esta clave es un punto de autenticación. Hace la conexión. ¿Cómo lo rastrean? Cuando se trata de auditoría, ¿cómo saben quién hizo qué?”

Cómo controlar el acceso SSH de nivel raíz

Los riesgos anteriores aclaran por qué es una mala práctica permitir el acceso SSH a nivel raíz. Entonces, aquí hay tres mejores prácticas que puede emplear para minimizar el riesgo en su organización.

Deshabilitar SSH raíz

Su primer paso debe ser deshabilitar los inicios de sesión raíz SSH. Para comenzar, edite la configuración del demonio SSH, que generalmente se encuentra en /etc/ssh/sshd_config. Antes de realizar cualquier cambio, asegúrese de hacer una copia de seguridad del archivo de configuración. El archivo debe contener la siguiente línea:

PermitRootLogin no

Si ya está impidiendo el uso de la cuenta raíz a través de SSH, ahora puede indicar explícitamente qué usuarios pueden conectarse al servidor. Tal vez, tiene una cuenta de administrador normal que no sea raíz que usa o una que ya está configurada con privilegios de sudo. En el archivo de configuración de SSH, agregue la siguiente línea:

Permitir usuarios usuario1

También puede incluir en la lista blanca a un grupo de usuarios:

Nombre del grupo AllowGroups

Una vez guardados los cambios, reinicia el servicio sshd para que sean efectivos.

Use sudo

Para fines administrativos, ciertas tareas aún deben realizarse como root. Por lo tanto, adquiera el hábito de usar sudo para esto.

Con sudo, los administradores pueden actuar como root sin tener que convertirse en root. Hay un beneficio obvio en esto: debido a que cada tarea realizada a través de sudo se realiza bajo la propia cuenta de un usuario en lugar de la cuenta raíz genérica, puede rastrear y auditar el uso de esta clave raíz.

Use claves SSH para iniciar sesión

Las cuentas de usuario regulares aún son vulnerables a la adivinación de contraseñas por parte de los bots. Las personas tienden a elegir contraseñas débiles o reutilizar sus contraseñas para que sean más fáciles de recordar. Si bien la adivinación de contraseñas se puede mitigar eligiendo contraseñas seguras o limitando los intentos de inicio de sesión fallidos, es mejor eliminar el uso de contraseñas por completo.

Entonces, en lugar de contraseñas, use claves SSH para iniciar sesión. Una vez configurado, deshabilite los inicios de sesión con contraseña en /etc/sshd_config agregando lo siguiente:

ContraseñaAutenticación no

y luego reinicie el servicio sshd.

Proteja sus claves SSH

Aunque el uso de claves sudo y SSH es un gran paso para proteger los sistemas críticos, es igualmente importante proteger estas claves SSH. Las identidades de máquinas SSH se utilizan en todos los centros de datos del mundo, la mitad de los servidores web del mundo y prácticamente todas las computadoras Mac, Unix o Linux, ya sea en las instalaciones o en la nube.

La gran cantidad de identidades de máquinas SSH que se implementan dificulta la gestión eficaz. Sin embargo, descifrar solo una identidad de máquina SSH permite a los atacantes pasar a otros sistemas. Con ese nivel de acceso, los atacantes pueden explorar toda la red de su empresa y robar los datos más lucrativos que encuentren.

Muchas gracias por visitarme. Sin usted, esta web no existiria, espero que le haya gustado y vuelva ☺️

Fecha actualizacion el 2022-03-12. Fecha publicacion el 2022-03-12. Categoria: Cómo controlar Autor: Oscar olg Mapa del sitio Fuente: securityboulevard