{"id":232341,"date":"2023-01-22T16:15:00","date_gmt":"2023-01-22T13:15:00","guid":{"rendered":"https:\/\/wordpress.mediadoma.com\/?p=232341"},"modified":"2022-11-10T08:51:11","modified_gmt":"2022-11-10T05:51:11","slug":"asegure-el-servidor-linux-al-no-permitir-el-inicio-de-sesion-raiz-remoto-ssh-y-ftp-y-base-de-datos-mysql","status":"publish","type":"post","link":"https:\/\/wordpress.mediadoma.com\/es\/asegure-el-servidor-linux-al-no-permitir-el-inicio-de-sesion-raiz-remoto-ssh-y-ftp-y-base-de-datos-mysql\/","title":{"rendered":"Asegure el servidor Linux al no permitir el inicio de sesi\u00f3n ra\u00edz remoto (SSH y FTP y base de datos MySQL)"},"content":{"rendered":"\n

En este post<\/a> sabemos lo importante que es la seguridad. Si administra su servidor (VPS, alojamiento en la nube o servidor dedicado), debe tener acceso de root<\/strong>. La ra\u00edz<\/strong> es como la cuenta de administrador<\/strong> en Windows, pero solo que m\u00e1s poderosa (b\u00e1sicamente puedes hacer cualquier cosa).<\/p>\n

Probablemente no sea una buena idea cambiar el nombre de la cuenta ra\u00edz<\/strong> (u ocultarla) en el sistema Linux, esto se debe al hecho de que muchas aplicaciones\/programas como sendmail<\/strong> asumen que hay una cuenta ra\u00edz<\/strong> o las cosas comenzar\u00e1n a fallar si la cuenta ra\u00edz<\/strong> no se encuentra (en Windows, puede cambiar el nombre de la cuenta de administrador<\/strong> ). Sin embargo, debe tener y se le sugiere que tenga una cuenta de usuario normal (menos poderosa) que maneje los trabajos diarios, por lo que no da\u00f1ar\u00e1 el sistema si comete errores ocasionalmente.<\/p>\n

SSH<\/h3>\n

Para crear un usuario normal, ejecute el comando sudo adduser nuser<\/strong> donde nuser<\/strong> es la cuenta de usuario que queremos agregar. Siga las instrucciones para configurar la contrase\u00f1a o puede emitir passwd nuser<\/strong> m\u00e1s tarde.<\/p>\n

Vuelva a verificar que realmente puede iniciar sesi\u00f3n usando SSH y cambiar a root<\/strong> usando su<\/strong>. Una vez que se confirmen, debe editar el archivo en \/etc\/ssh\/sshd_config<\/strong> con su editor de texto favorito (por ejemplo, vim). Luego busque la l\u00ednea PermitRootLogin yes<\/strong> y c\u00e1mbiela a PermitRootLogin no<\/strong>. Reinicie el servidor ssh de esta manera:<\/p>\n

Luego, si vuelve a iniciar sesi\u00f3n usando root<\/strong>, siempre se le negar\u00e1, lo que hace que el sistema sea un poco seguro (como sabe, hay muchas direcciones IP forzadas e intentando piratear su cuenta de root).<\/p>\n

FTP (frente a FTP)<\/h3>\n

FTP no es tan seguro, pero si insiste en usarlo, aseg\u00farese de usar SFTP o SSL\/TLS<\/strong> si corresponde. El popular servidor FTP en Linux es vsFTP<\/strong> y despu\u00e9s de instalarlo, aseg\u00farese de desactivar tambi\u00e9n el inicio de sesi\u00f3n ra\u00edz.<\/p>\n

La configuraci\u00f3n para vsFTP<\/strong> se encuentra en el archivo \/etc\/vsftp.conf<\/strong> y debe asegurarse de que los siguientes valores est\u00e9n establecidos (se pueden agregar):<\/p>\n

anonymous_enable=NO \u00a0# no anonymous login plz\nlocal_enable=YES\nwrite_enable=YES\nuserlist_enable=YES\nuserlist_deny=NO\nuserlist_file=\/etc\/vsftpd.users<\/code><\/pre>\n
Y cree un archivo en \/etc\/vsftpd.users<\/strong> si a\u00fan no est\u00e1 all\u00ed, y agregue los usuarios permitidos l\u00ednea por l\u00ednea en el archivo. Reinicie el vsFTP por:<\/p>\n
sudo service vsftpd restart<\/code><\/pre>\n
Y si inicia sesi\u00f3n usando root<\/strong>, se negar\u00e1 con este mensaje:<\/p>\n
Connecting to: XXXXXXXXX\n220 (vsFTPd 3.0.2)\nUSER root\n530 Permission denied.\n220 (vsFTPd 3.0.2)\nUSER root\n530 Permission denied.\nCertificate: \nCan't connect\nLastError: 0<\/code><\/pre>\n
base de datos mysql<\/h3>\n
Deshabilitar el inicio de sesi\u00f3n ra\u00edz de forma remota<\/h4>\n
Elimine el inicio de sesi\u00f3n ra\u00edz remoto en su base de datos MySQL porque sigue siendo un alto riesgo tener acceso a su cuenta ra\u00edz desde otra m\u00e1quina en lugar de localmente. Sin embargo, si tiene un servidor dedicado que sirve como base de datos, entonces es una historia diferente, en cuyo caso, debe fortalecer la contrase\u00f1a de root y posiblemente usar cuentas normales en su wordpress u otros sitios web. Aseg\u00farese de no exponer esos archivos de configuraci\u00f3n (por ejemplo, wp-config.php) f\u00e1cilmente. Simplemente haga que estos archivos no se puedan escribir.<\/p>\n
Inicie sesi\u00f3n en MySQL desde la l\u00ednea de comandos y ejecute los siguientes dos comandos para eliminar el inicio de sesi\u00f3n ra\u00edz remoto.<\/p>\n
DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');\nflush privileges;<\/code><\/pre>\n
Deshabilitar todos los inicios de sesi\u00f3n de forma remota<\/h4>\n
Si desea prohibir todos los inicios de sesi\u00f3n de forma remota y solo permite conexiones locales, simplemente puede agregar skip-networking<\/strong> (o descomentar la l\u00ednea) en \/etc\/mysql\/my.cnf<\/strong> en la secci\u00f3n de [mysqld]<\/strong>.<\/p>\n
[mysqld]\nport=3306\nskip-networking<\/code><\/pre>\n
Luego debe reiniciar el demonio MySQLd.<\/p>\n
sudo service mysqld restart<\/code><\/pre>\n
Configuraciones de seguridad recomendadas para servidores Linux<\/h3>\n