Eu tenho uma abordagem ainda mais restritiva para conceder privilégios de root no meu servidor, o que pode ser interessante para os paranoicos como eu.
Tenha cuidado com o que você faz e em que ordem, caso contrário, você pode acabar com um sistema no qual você não pode obter acesso root.
- Crie um grupo específico
sugroup
, cujos membros poderão se tornar root e permitir somente a autenticação de chave para esse grupo, colocando as seguintes linhas no final de sshd_confid:
Match Group sugroup
PasswordAuthentication no
- Coloque o comando
auth required pam_wheel.so group=sugroup
em /etc/pam.d/su
. Pode já estar lá e você só tem que descomentar. Isso nega o acesso root a todos os usuários que não são membros do sugroup
- Escolha uma senha de root strong:)
- Verifique se o seu novo método de autenticação funciona e somente se:
- Negar login raiz direto via ssh usando
PermitRootLogin no
em /etc/ssh/sshd_config
.
Usando esta configuração, é necessário usar uma autenticação de chave e uma senha para se tornar root. Configurei meu servidor assim, já que prefiro não ter acesso root direto via ssh, independentemente do método de autenticação.