Selles postituses teame, kui oluline on turvalisus. Kui haldate oma serverit (VPS, pilvemajutus või spetsiaalne server), peab teil olema juurjuurdepääs. Juur on nagu Windowsi administraatori konto, kuid ainult võimsam (saate teha põhimõtteliselt kõike).
Tõenäoliselt pole mõtet Linuxi süsteemis juurkontot ümber nimetada ( või seda peita), kuna paljud rakendused/programmid, näiteks sendmail eeldavad, et juurkonto on olemas või hakkavad asjad katki minema, kui juur ei leitud (Windowsis saate administraatori konto ümber nimetada). Küll aga peab teil olema ja soovitatakse omada tavalist kasutajakontot (vähem võimsat), mis tegeleb igapäevaste töödega, nii et te ei kahjusta süsteemi, kui teete aeg-ajalt vigu.
SSH
Tavakasutaja loomiseks käivitage käsk sudo adduser nuser, kus nuser on kasutajakonto, mille tahame lisada. Järgige parooli määramiseks juhiseid või saate passwd nuseri hiljem väljastada.
Kontrollige veelkord, kas saate SSH-ga sisse logida ja lülituda root -le, kasutades su. Kui need on kinnitatud ja peate redigeerima faili aadressil /etc/ssh/sshd_config oma lemmiktekstiredaktoriga (nt vim). Seejärel otsige üles rida PermitRootLogin jah ja muutke see väärtuseks PermitRootLogin no. Taaskäivitage ssh-server järgmiselt:
Siis, kui logite uuesti sisse, kasutades juurkasutajat, keelatakse see alati, mis muudab süsteemi pisut turvaliseks (nagu teate, on palju IP-sid, mis sunnivad ja üritavad teie juurkontot häkkida).
FTP (vsFTP)
FTP ei ole nii turvaline, kuid kui soovite seda kasutada, kasutage vajadusel SFTP-d või SSL/TLS -i. Linuxi populaarne FTP-server on vsFTP ja pärast selle installimist veenduge, et keelaksite ka juurlogimise.
VsFTP konfiguratsioon asub failis /etc/vsftp.conf ja peate veenduma, et järgmised väärtused on määratud (saab lisada):
anonymous_enable=NO # no anonymous login plz
local_enable=YES
write_enable=YES
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd.users
Ja looge fail aadressil /etc/vsftpd.users, kui seda seal veel pole, ja lisage faili ridade kaupa lubatud kasutajad. Taaskäivitage vsFTP järgmiselt:
sudo service vsftpd restart
Ja kui logite sisse root’iga, keelab see selle sõnumiga:
Connecting to: XXXXXXXXX
220 (vsFTPd 3.0.2)
USER root
530 Permission denied.
220 (vsFTPd 3.0.2)
USER root
530 Permission denied.
Certificate:
Can't connect
LastError: 0
MySQL andmebaas
Keela juursisselogimine kaugjuhtimisega
Eemaldage oma MySQL-i andmebaasist kaugjuurdelogimine, kuna on endiselt suur oht, et teie juurkontole pääseb juurde teisest masinast, pigem kohalikult. Kui teil on aga spetsiaalne server, mis toimib andmebaasina, on see teine lugu, sel juhul peate tugevdama juurparooli ja võib-olla kasutama tavalisi kontosid oma WordPressis või muudel veebisaitidel. Veenduge, et te neid konfiguratsioonifaile (nt wp-config.php) lihtsalt ei paljastaks. Lihtsalt muutke need failid kirjutamiskõlbmatuks.
Logige MySQL-i käsurealt sisse ja käivitage kaugjuurdepääsu eemaldamiseks kaks järgmist käsku.
DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');
flush privileges;
Keela kõik sisselogimised eemalt
Kui soovite keelata kõik kaugsisselogimised ja lubate ainult kohalikke ühendusi, võite lihtsalt lisada võrgu vahelejätmise (või rea kommenteerimise tühistada) faili [mysqld] jaotises /etc/mysql/my.cnf.
[mysqld]
port=3306
skip-networking
Seejärel peate MySQLd deemoni taaskäivitama.
sudo service mysqld restart