Запрещаем использование root в SSH

Сегодня, сидя на работе, я забрел через SSH на один удаленный сервер, проблема в том, что при вводе рутового пароля он отказался пускать меня. В старые времена такое положение вещей меня бы озадачило, но тут я сразу смекнул в чем дело, root’y доступ на сервер просто запрещен. Мне такая штука очень понравилась, и так как часто с рабочего компьютера захожу на свой ноутбук по SSH я решил примутить такую же и у себя, для пущей безопасности. Зайдя на сервер я немного поковырялся в конфигах SSH и нашел то что искал.
Для чего необходимо закрывать доступ root’y? Ответ довольно простой, кто нибудь может перехватить или украсть пароль, после чего получить права суперпользователя на сервере где у вас крутиться Web-шоп, правда неприятно?
Так вот, чтобы решить эту проблему необходимо отредактировать файл файл sshd_config, который является основным конфигурационным файлом для службы sshd. В разных системах он может находиться по разному, но зачастую это /etc/ssh/

Напомню, чтобы иметь возможность присоединяться по SSH к компьютеру, нужно установить пакет OpenSSH-server как один из вариантов:
#sudo apt-get install openssh-server

Открываем конфиг любым текстовым редактором:
#gedit /etc/ssh/sshd_config/

Найдите в нем секцию, содержащую строку “PermitRootLogin”
# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

Отредактируйте строку как показано ниже для отключения возможности подключаться через ssh рутом, изменив “yes” на “no”.
PermitRootLogin no

После этого перезапустите sshd:
#/etc/init.d/sshd restart

Теперь вы в безопасности.

Немного о свойствах файла sshd_config и простейших параметрах которые стоит сразу изменить.

Port 22 – номер порта можно и поменять, в особенности если SSH пользуетесь вы один, а не целая группа админов. Именно 22-ой порт стоит первый в списке для сканирования и атак.
PermitRootLogin no – об этой строчке собственно и вся статья. Повторяться не стоит.
AllowUsers sasha – этого параметра нет в sshd_config, допишите его обязательно.
sasha – имя вашего юзера с ограниченными правами.
К имени sasha можно прикрутить IP-адрес – [email protected] – если на клиентской машине именно этот статический IP. Такой параметр разрешит логинится только пользователю sasha и только при условии, что его хост совпадает с заданным в файле.
PermitEmptyPasswords no – Запрет на установку пустого пароля.

И напоследок, всем кто часто юзает SSH советую детально изучить тему безопасности, прочитать маны, дабы предостеречь себя от несчастных случаев…