Evite login como root; use un usuario dedicado y sudo. Restrinja SSH a claves y limite reglas sudo. Registre y audite acciones privilegiadas. En hosting gestionado, root puede estar restringido por política.
Por qué no root
- Punto único de compromiso: Si root se compromete, acceso total. Un usuario dedicado con sudo limita el radio de impacto y hace la auditoría más clara.
- Errores: Ejecutar por error un comando destructivo como root es más arriesgado. Sudo fuerza un paso más y puede requerir contraseña o aprobación.
- Auditoría: Sudo registra quién ejecutó qué comando; la actividad como root es más difícil de atribuir a una persona.
Buenas prácticas
- Deshabilite login SSH como root (PermitRootLogin no). Use usuario normal y sudo para tareas de admin.
- Solo claves SSH; deshabilite autenticación por contraseña.
- Limite sudo: Conceda solo los comandos necesarios vía sudoers. Prefiera grupos (ej. wheel, admin) a usuarios individuales.
- Auditoría: Revise logs de auth y de sudo; use logging centralizado si tiene muchos servidores.
Hosting gestionado
- Algunos proveedores restringen root o dan un usuario sudo por defecto. Siga su modelo.
Resumen
No inicie sesión como root; use usuario dedicado y sudo. Restrinja SSH a claves; limite sudo; registre y audite. Reduce riesgo y mejora la responsabilidad.
