Hardening de Debian Bookworm (relay chatmail Delta Chat) - Fase 1
FASE 1 — Hardening SSH
El
sshd_configactual téPasswordAuthentication yesiPermitRootLogin yesal final del fitxer — els dos riscos més crítics del servidor en aquest moment.
1.1 Editar la configuració SSH
sudo nano /etc/ssh/sshd_config
Localitza les línies al final del fitxer i canvia-les:
# CANVIAR (estan al final del fitxer):
PasswordAuthentication yes → PasswordAuthentication no
PermitRootLogin yes → PermitRootLogin no
Afegeix o descomenta aquestes directives:
# Autenticació
PubkeyAuthentication yes
PermitEmptyPasswords no
KbdInteractiveAuthentication no
# Límits de connexió
MaxAuthTries 3
LoginGraceTime 30
MaxSessions 5
# Desactivar funcions innecessàries
X11Forwarding no
AllowAgentForwarding no
AllowTcpForwarding no
UseDNS no
# Logging
LogLevel VERBOSE
# Restricció d'usuaris — CANVIA 'usuari' pel teu usuari real
AllowUsers usuari
💡
AllowUsersés una capa extra important: fins i tot si algú aconseguís una clau vàlida però no és a la llista, no pot entrar.💡
X11Forwarding no— ara ésyesal servidor, cosa innecessària per a un servidor de correu i que amplia la superfície d'atac.
1.2 Validar la configuració abans de reiniciar
sudo sshd -t
Si no dona cap error:
sudo systemctl restart ssh
1.3 TEST CRÍTIC — fes-ho des de la SEGONA sessió SSH
# ✅ Ha de funcionar (clau):
ssh usuari@servidor
# ❌ Ha de fallar (root deshabilitat):
ssh root@servidor
# ❌ Ha de fallar (password deshabilitat):
ssh -o PubkeyAuthentication=no -o PasswordAuthentication=yes usuari@servidor
Si algun test no dona el resultat esperat, no continuis. Revisa amb
sudo sshd -ti torna a provar.