Proibição do superusuário de fazer login
É uma boa prática proibir o login direto na conta de usuário root de sistemas remotos. Alguns dos riscos de permitir login direto como o usuário root incluem os seguintes casos:
-
O nome de usuário root existe em cada sistema Linux por padrão. Assim, um invasor em potencial precisa apenas adivinhar a senha, ao invés de uma combinação de nome de usuário e senha válidos. Esse cenário reduz a complexidade de um invasor.
-
O usuário root tem privilégios irrestritos, portanto, seu comprometimento pode levar a danos máximos ao sistema.
-
Do ponto de vista da auditoria, pode ser difícil rastrear qual usuário autorizado fez login como o usuário root e fez alterações. Se os usuários tiverem que fazer o login como um usuário comum e mudar para a conta root, você poderá ver um evento de log para ajudar a fornecer responsabilidade.
O servidor OpenSSH usa definição da configuração PermitRootLogin no arquivo /etc/ssh/sshd_config
para permitir ou proibir usuários de fazer login no sistema root.
PermitRootLogin yes
Com o parâmetro PermitRootLogin definido como yes
, como é padrão, as pessoas têm permissão para fazer login como o usuário root. Para evitar essa solicitação, defina o valor como no. Como alternativa, para evitar a autenticação baseada em senha, mas permitir autenticação baseada em chave privada para root, defina o parâmetro PermitRootLogin como without-password
.
O servidor SSH (sshd) deve ser carregado novamente para que as alterações entrem em vigor.
[root@host ~]# systemctl reload sshd