Creació d'usuaris i assignació de permisos a Debian

Oriol Navascuez -

En aquesta entrada tractarem com crear un usuari per a entrar al nostre servidor, evitant l'ús del súper usuari root. Com assignar permisos a aquest nou usuari i com denegar l'inici de sessió de root en remot.

En aquest punt, haurem d'estar identificats en el nostre servidor amb root o amb un usuari amb permisos d'administració. Arribats a aquest punt executem la comanda per crerar un nou usuari per a nosaltres:

adduser nom_del_nou_usuari

Després de posar les nostres dades, sortirem de la sessió de root, i tornarem a accedir al servidor mitjançant ssh, amb el nostre nou usuari i contrasenya. Una vegada dins, canviem la nostra sessió a root:

su root

El següent és bloquejar l'accés de l'usuari root, perquè ningú intenti forçar l'accés al nostre servidor amb força bruta mitjançant l'usuari root. Per a això, editarem l'arxiu:

nano /etc/ssh/sshd_config

Tot seguit buscarem una secció semblant a aquesta:

# Authentication: 
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

Editem la propietat PermitRootLogin a no. D'aquesta manera l'usuari root ja no podrà fer login directament en el nostre servidor mitjançant ssh. Haurem de fer login primer amb el nostre usuari i després fer sudo.

Reiniciem el servei de SSH per que els canvis s'aliquin:

/etc/init.d/ssh restart

Amb això ja podrem accedir amb el nostre usuari, i root ja no podrà accedir de forma directa al nostre servidor. Per a entrar com a root, ho haurem de fer un cop dins amb el nostre usuari i escribint sudo su root.

Usuaris sudoers (insegur)

Si no volguessim haver d'estar escrivint contínuament la contrasenya de root cada vegada que ho necessitem, haurem de dir-li als nostres usuaris que tenen privilegis de sudo.

Com diem no es una practica recomanable, donat que deixaríem al usuari root a només un pas si algú es fés amb el nostre usuari i contrassenya. Si tot i així ho volem fer per la nostra comoditat, anirem a editar l'arxiu /etc/sudoers i buscarem la secció:

# User privilege specification
root	ALL=(ALL:ALL) ALL

A continuació del usuari root, posarem el nostre/s usuaris amb la següent configuració:

nom_del_teu_usuari   ALL=(ALL) NOPASSWD:ALL

El paràmetre NOPASSWD:ALL ho podem llevar si volem que ens demani la nostra contrasenya per a poder entrar amb privilegis d'administrador. Si ho deixem amb aquest paràmetre, no ens demanarà res.