Asegure el servidor Linux al no permitir el inicio de sesión raíz remoto (SSH y FTP y base de datos MySQL)
En este post sabemos lo importante que es la seguridad. Si administra su servidor (VPS, alojamiento en la nube o servidor dedicado), debe tener acceso de root. La raíz es como la cuenta de administrador en Windows, pero solo que más poderosa (básicamente puedes hacer cualquier cosa).
Probablemente no sea una buena idea cambiar el nombre de la cuenta raíz (u ocultarla) en el sistema Linux, esto se debe al hecho de que muchas aplicaciones/programas como sendmail asumen que hay una cuenta raíz o las cosas comenzarán a fallar si la cuenta raíz no se encuentra (en Windows, puede cambiar el nombre de la cuenta de administrador ). Sin embargo, debe tener y se le sugiere que tenga una cuenta de usuario normal (menos poderosa) que maneje los trabajos diarios, por lo que no dañará el sistema si comete errores ocasionalmente.
SSH
Para crear un usuario normal, ejecute el comando sudo adduser nuser donde nuser es la cuenta de usuario que queremos agregar. Siga las instrucciones para configurar la contraseña o puede emitir passwd nuser más tarde.
Vuelva a verificar que realmente puede iniciar sesión usando SSH y cambiar a root usando su. Una vez que se confirmen, debe editar el archivo en /etc/ssh/sshd_config con su editor de texto favorito (por ejemplo, vim). Luego busque la línea PermitRootLogin yes y cámbiela a PermitRootLogin no. Reinicie el servidor ssh de esta manera:
Luego, si vuelve a iniciar sesión usando root, siempre se le negará, lo que hace que el sistema sea un poco seguro (como sabe, hay muchas direcciones IP forzadas e intentando piratear su cuenta de root).
FTP (frente a FTP)
FTP no es tan seguro, pero si insiste en usarlo, asegúrese de usar SFTP o SSL/TLS si corresponde. El popular servidor FTP en Linux es vsFTP y después de instalarlo, asegúrese de desactivar también el inicio de sesión raíz.
La configuración para vsFTP se encuentra en el archivo /etc/vsftp.conf y debe asegurarse de que los siguientes valores estén establecidos (se pueden agregar):
anonymous_enable=NO # no anonymous login plz
local_enable=YES
write_enable=YES
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd.usersY cree un archivo en /etc/vsftpd.users si aún no está allí, y agregue los usuarios permitidos línea por línea en el archivo. Reinicie el vsFTP por:
sudo service vsftpd restartY si inicia sesión usando root, se negará con este mensaje:
Connecting to: XXXXXXXXX
220 (vsFTPd 3.0.2)
USER root
530 Permission denied.
220 (vsFTPd 3.0.2)
USER root
530 Permission denied.
Certificate:
Can't connect
LastError: 0base de datos mysql
Deshabilitar el inicio de sesión raíz de forma remota
Elimine el inicio de sesión raíz remoto en su base de datos MySQL porque sigue siendo un alto riesgo tener acceso a su cuenta raíz desde otra máquina en lugar de localmente. Sin embargo, si tiene un servidor dedicado que sirve como base de datos, entonces es una historia diferente, en cuyo caso, debe fortalecer la contraseña de root y posiblemente usar cuentas normales en su wordpress u otros sitios web. Asegúrese de no exponer esos archivos de configuración (por ejemplo, wp-config.php) fácilmente. Simplemente haga que estos archivos no se puedan escribir.
Inicie sesión en MySQL desde la línea de comandos y ejecute los siguientes dos comandos para eliminar el inicio de sesión raíz remoto.
DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');
flush privileges;Deshabilitar todos los inicios de sesión de forma remota
Si desea prohibir todos los inicios de sesión de forma remota y solo permite conexiones locales, simplemente puede agregar skip-networking (o descomentar la línea) en /etc/mysql/my.cnf en la sección de [mysqld].
[mysqld]
port=3306
skip-networkingLuego debe reiniciar el demonio MySQLd.
sudo service mysqld restart