Uno de los aspectos que no podemos olvidar nunca a la hora de montar un buen servidor web es el de la seguridad. Por suerte o por desgracia siempre que un ordenador está conectado a la red las 24 horas del día es vulnerable, es mas yo diría que todo el ordenador conectado a la luz eléctrica es vulnerable. Si somos punto de mira de alguien que esté empeñado en asaltar nuestra maquina puede estar a la espera de que se nos pase algo por alto que vulnere nuestra seguridad. Además de procurar tener el sistema bien actualizado con todas las ultimas versiones ya testadas instaladas de todos los programas podemos hacer algo mas para intentar al menos no ponerlo fácil a quien se disponga a jugar con nuestro equipo …

Para mi parecer lo primero que deberíamos hacer una vez montemos nuestro servidor web que estará siempre conectado a Internet a expensas de que alguien quiera intentar identificarse por ssh desde el exterior seria crear un usuario que pueda acceder al súper usuario root y bloquear este para que no podamos conectarnos con el desde el exterior o desde nuestra red interna. Todos conocemos la manera de acceder a una Terminal remota gracias a OpenSSH. Por defecto podemos identificarnos con el remotamente aunque esto no es muy buena idea ya que quien se proponga a atacarnos puede usar un diccionario de nombres posiblemente contra el puerto 22 intentando adivinar la contraseña de dicho usuario que goza de privilegios suficientes como para causar un desastre …

La idea para aplicar un poco mas se seguridad a este aspecto de nuestro servidor no es otra que la de crear un usuario standard con el que si podremos acceder remotamente desde el exterior y una vez dentro accederemos al súper usuario root si lo necesitamos. Con esta técnica no evitamos que alguien pueda usar un diccionario de nombres contra nuestra maquina pero si nadie sabe cual es el único usuario que puede acceder remotamente a nuestro servidor seguramente lo pondremos aun mas difícil ya que no solo se tiene que encontrar la contraseña si no que también al usuario y eso ya es mas complicado …

Una vez situados en la Terminal de nuestro servidor en Linux Debian o Linux Ubuntu Server vamos a crear un usuario normal con el siguiente comando …

adduser nuevousuario

Una vez creado el nuevo usuario vamos a añadirlo al grupo del súper usuario root para que podamos acceder a el una vez nos identifiquemos remotamente con …

usermod -g root nuevousuario

Ahora vamos a editar el archivo de configuración del SSH …

vi /etc/ssh/sshd_config

Buscamos la linea donde pone ( DenyUsers ) o la creamos nosotros mismos al final del fichero agregando los usuarios que no queremos que puedan acceder remotamente a nuestro servidor por SSH de la siguiente forma …

DenyUsers root

En este caso y para la explicación tan solo usamos el usuario root para bloquearlo pero para mas seguridad agregaremos todos los usuarios que no necesiten estrictamente acceder a nuestro sistema excluyendo eso si a nuestro nuevo usuario que acabamos de crear como por ejemplo …

DenyUsers root, usuario1, usuario2, usuario3

Una vez agregados todos los usuarios que no queramos que accedan por SSH guardamos el fichero y salimos del editor ( vi ) pulsando la tecla ( ESC ) y seguidamente ( :wq! ). Ya tan solo nos queda reiniciar el demonio de SSH con …

/etc/init.d/ssh restart

Ahora si intentamos acceder a nuestro servidor web desde una Terminal veremos que nos deniega el acceso como muestra el ejemplo …

Ahora si accedemos con el nuevo usuario que acabamos de crear veremos que si podemos identificarnos y como lo agregamos anteriormente al grupo ( root ) podremos usar el comando ( su ) e introducir la contraseña del súper usuario root y volver a tener el control total de una manera mas segura.

Este método no es totalmente perfecto si el nuevo usuario que hemos creado y al que le hemos dado permisos para acceder al usuario root puede ser conocido por alguien. Se recomienda no usar nicks, alias, iniciales o cualquier otro nombre que pueda ser relacionado con vosotros. Si el que os ataca es conocido vuestro y os tiene en el punto de mira seguramente conocerá mas cosas de nosotros de las que nos pensamos. Y para finalizar el articulo no me queda otra cosa que decir que la seguridad del sistema depende mucho de lo paranoico que sea el administrador, por suerte estamos todos un poco locos