Umas das maiores preocupações dos administradores de redes é a implementação de segurança em seu servidores, impedindo assim que dados contidos nos mesmos caiam em mãos erradas, assim como controlar a quem será permitido acesso a estes dados.

Crie um usuário no sistema o qual o mesmo será utilizado para efetuar conexões remotas.

# adduser remoto --no-create-home

Edite o arquivo /etc/ssh/sshd_config. Mude a porta 22 para outra, sendo que a mesma como padrão aumenta a vulnerabilidade.

Adicione a linha "AllowUsers remoto", sendo que remoto é um usuário de conta de sistema que terá permissão para conectar remotamente pelo serviço SSH.

Mude o parâmetro "PermitRootLogin" de "yes" para "no", não permitindo assim que o usuário root conecte remotamente ao sistema.

Crie um grupo "suporte" para que seja o grupo o qual terá permissão para logar como root.

# addgroup suporte

Edite o arquivo /etc/groups com o comando "vigr" e adicione em frente a linha "suporte:x:xxx:usuário1,usuário2" os nomes dos usuários que pertencerão ao mesmo, ou seja, os usuários que poderão mudar para root.

Edite o arquivo /etc/pam.d/su. Descomente a linha:

auth   required     pam_wheel.so

e adicione em frente a mesma a opção "group=suporte", ficando assim:

Sendo que o grupo suporte é o grupo criado anteriormente onde estarão os usuários que terão permissão para logar-se como root no sistema.

Bem, agora somente o usuário "remoto" poderá logar remotamente via SSH no seu sistema. O mesmo não conseguirá mudar para root sem antes logar-se para algum dos usuários adicionados no grupo suporte.

Para testar, tente efetuar uma conexão via SSH com qualquer usuário que não seja o "remoto":

ssh usuario@localhost:porta_nova

Não será possível autenticar-se.

Depois teste com o usuário remoto:

ssh remoto@localhost:nova_porta

Conexão efetuada! Tente mudar para root sem estar como um dos usuários adicionados no grupo "suporte", será retornado uma mensagem de acesso negado.

Esta implementação é bem útil para pessoas que necessitam periodicamente fazer conexões em seus servidores e não querem deixar o mesmo vulnerável à invasões.

Obrigado a todos.