Proporcionar sesiones de trabajo a un usuario en un equipo es arriesgado ya que éste puede aprovechar los diferentes exploits existentes para ejecutar comandos con privilegios de administrador. Por ello, se considera una buena política la restricción de estos servicios, por una parte, a los equipos conocidos desde los que se desea utilizar este servicio y, por otra, a los usuarios que deban hacer uso de éste. La restricción por clientes se puede realizar mediante:

• Reglas de control de tráfico de red:

iptables –A INPUT –d mi.ssh.es –p tcp –dport 22 –s 172.20.41.0/24 –j ACCEPT
iptables –A OUTPUT –s mi.ssh.es –p tcp –sport 22 –d 172.20.41.0/24 –j ACCEPT

• El fichero /etc/hosts.allow:

sshd: 172.20.41.0/24

Por otra parte, el control de usuarios se debe realizar con opciones de configuración del servidor SSH:

AllowUsers admin miusuario

Con esta directiva se permite el uso del servicio a los usuarios admin y miusuario. Además, también es recomendable no permitir el uso de las relaciones de confianza establecidas con los ficheros .rhosts y .shosts:

IgnoreRHosts  yes

Una buena costumbre es la de no permitir el acceso del usuario root directamente con el login:

PermitRootLogin  no

Por último, una buena forma de asegurar el servidor ssh contra ataques de denegación de servicio es utilizar la fail2ban