====== OpenSSH niega o restringe el acceso a usuarios y grupos ====== {{ :informatica:openbsd:openssh.jpg?380 |OpenSSH }} OpenSSH tiene dos directivas para permitir y denegar el acceso de usuarios por **ssh**. Puede usar la siguiente configuración para restringir qué usuarios pueden iniciar sesión en su servidor de bases Linux o Unix o BSD. ## Restringir qué usuarios pueden iniciar sesión La sintaxis es: DenyUsers usuario1 usuario2 usuario3 Use `DenyUsers` para bloquear el inicio de sesión del usuario. Puede usar comodines, así como el patrón user1@cyberciti.com (usuario1 no puede iniciar sesión desde el host cyberciti.com). DenyGroups group1 group2 Se deniega una lista de nombres de grupos, si el usuario es parte de la primaria del acceso de inicio de sesión de grupo suplementario. Puedes usar comodines. Tenga en cuenta que no puede usar un grupo numérico o una ID de nombre de usuario. Si no se utilizan estas directivas, el valor predeterminado es permitir a todos. ## Permitir que usuarios o grupos seleccionados inicien sesión explícitamente La sintaxis es: AllowUsers usuario1 usuario2 Esta directiva es opuesta a la directiva `DenyUsers`, es decir, user1 y user2 solo pueden iniciar sesión en el servidor. AllowGroups group1 group2 Esta directiva es opuesta a la directiva `DenyGroups`, es decir, los miembros de los usuarios de group1 y group2 solo pueden iniciar sesión en el servidor. ## Restricción de usuario root Por razones de seguridad, siempre debe bloquear el acceso al usuario **root** y al grupo en sistemas similares a Linux o Unix. Primero, asegúrese de que al menos un usuario pueda usar el comando `su -` o `sudo` en el servidor. Abra el archivo `/etc/ssh/sshd_config`, ingrese: # vim /etc/ssh/sshd_config Agregue los siguientes nombres (directivas): DenyUsers root DenyGroups root También asegúrese de que el siguiente conjunto en sshd_config: PermitRootLogin no Guarde el archivo y reinicie el sshd. Esta es una configuración segura y está restringiendo a los usuarios a los que se les permite acceder al sistema a través de SSH con las cuatro directivas anteriores.