Debe crear cuentas administrativas locales que se puedan utilizar como Secure Shell (SSH) y que sean miembros del grupo "wheel" secundario antes de eliminar el acceso SSH raíz.

Antes de desactivar el acceso raíz directo, pruebe si los administradores autorizados pueden acceder a SSH AllowGroups, y si pueden utilizar el grupo "wheel" y el comando su para iniciar sesión como raíz.

Procedimiento

  1. Inicie sesión como raíz y ejecute los siguientes comandos. 
    # useradd username -d /home/vropsuser -g users -G wheel -m 
# passwd username

    El grupo "wheel" es el que se especifica en el campo AllowGroups para el acceso SSH. Para añadir varios grupos secundarios, utilice -G wheel,sshd.

  2. Cambie de usuario y proporcione una nueva contraseña para garantizar la comprobación de la complejidad de la contraseña. 
    # su – username
username@hostname:~>passwd
    Si se cumplen los criterios de complejidad de la contraseña, la contraseña se actualizará. En caso contrario, la contraseña volverá a la contraseña anterior y deberá ejecutar de nuevo el comando "password".

    Después de crear las cuentas de inicio de sesión para permitir el acceso remoto SSH y utilizar el comando su para iniciar sesión como raíz mediante el acceso al grupo "wheel", podrá eliminar la cuenta raíz desde el inicio de sesión directo a SSH.

  3. Para eliminar el inicio de sesión directo a SSH, modifique el archivo /etc/ssh/sshd_config. Para ello, sustituya (#)PermitRootLogin yes por PermitRootLogin no.

Qué hacer a continuación

Desactive los inicios de sesión directos como raíz. De forma predeterminada, los dispositivos protegidos permiten el inicio de sesión directo a raíz a través de la consola. Después de crear las cuentas administrativas para evitar el rechazo y probar si permiten el acceso al grupo "wheel" (su - root), desactive los inicios de sesión directos como raíz. Para ello, edite el archivo /etc/securetty como usuario raíz y sustituya la entrada tty1 por console.