Suojaa Linux-palvelin estämällä etäpääkirjautuminen (SSH- ja FTP- ja MySQL-tietokanta)
Tässä viestissä tiedämme, kuinka tärkeää turvallisuus on. Jos hallitset palvelintasi (VPS, pilvipalvelu tai oma palvelin), sinulla on oltava pääkäyttäjän oikeudet. Root on kuin järjestelmänvalvojan tili Windowsissa, mutta vain tehokkaampi (voit tehdä periaatteessa mitä tahansa).
Ei luultavasti ole hyvä idea nimetä root – tili uudelleen (tai piilottaa sitä) Linux-järjestelmässä, tämä johtuu siitä, että monet sovellukset/ohjelmat, kuten sendmail, olettavat, että root – tili on olemassa tai asiat alkavat hajota, jos juuri ei löydy (Windowsissa voit nimetä järjestelmänvalvojan tilin uudelleen). Sinulla on kuitenkin oltava ja sinun tulee ehdottaa, että sinulla on normaali käyttäjätili (vähemmän tehokas), joka hoitaa päivittäiset työt, joten et vahingoita järjestelmää, jos teet satunnaisia virheitä.
SSH
Luo normaali käyttäjä suorittamalla komento sudo adduser nuser, jossa nuser on käyttäjätili, jonka haluamme lisätä. Noudata ohjeita salasanan asettamiseksi tai voit antaa passwd nuserin myöhemmin.
Tarkista vielä kerran, että voit todella kirjautua SSH:lla ja vaihtaa pääkäyttäjään käyttämällä su :ta. Kun nämä on vahvistettu ja sinun täytyy muokata tiedostoa osoitteessa /etc/ssh/sshd_config suosikkitekstieditorillasi (esim. vim). Etsi sitten rivi PermitRootLogin yes ja muuta se muotoon PermitRootLogin no. Käynnistä ssh-palvelin uudelleen näin:
Sitten, jos kirjaudut uudelleen sisään root -käyttäjätunnuksella, se evätään aina, mikä tekee järjestelmästä hieman suojatun (kuten tiedät, IP-osoitteet pakottavat raakoja ja yrittävät hakkeroida root-tilisi).
FTP (vsFTP)
FTP ei ole niin turvallinen, mutta jos vaadit sen käyttöä, varmista, että käytät SFTP:tä tai SSL/TLS :ää tarvittaessa. Suosittu FTP-palvelin Linuxissa on vsFTP, ja kun olet asentanut sen, varmista, että poistat myös pääkäyttäjän kirjautumisen käytöstä.
vsFTP :n asetukset sijaitsevat tiedostossa /etc/vsftp.conf ja sinun on varmistettava, että seuraavat arvot on asetettu (voidaan liittää):
anonymous_enable=NO # no anonymous login plz
local_enable=YES
write_enable=YES
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd.usersJa luo tiedosto osoitteeseen /etc/vsftpd.users, jos sitä ei vielä ole, ja lisää sallitut käyttäjät tiedostoon rivi riviltä. Käynnistä vsFTP uudelleen seuraavasti:
sudo service vsftpd restartJa jos kirjaudut sisään rootilla, se kieltää tällä viestillä:
Connecting to: XXXXXXXXX
220 (vsFTPd 3.0.2)
USER root
530 Permission denied.
220 (vsFTPd 3.0.2)
USER root
530 Permission denied.
Certificate:
Can't connect
LastError: 0MySQL-tietokanta
Poista Root Login etäkäyttö käytöstä
Poista etäpääkirjautuminen MySQL-tietokantaan, koska on edelleen suuri riski, että päätiliisi pääsee käsiksi toisesta koneesta pikemminkin paikallisesti. Jos sinulla on kuitenkin erillinen palvelin, joka toimii tietokantana, se on eri juttu, jolloin sinun on vahvistettava root-salasanaa ja mahdollisesti käytettävä normaaleja tilejä WordPressissäsi tai muilla verkkosivustoilla. Varmista, ettet paljasta näitä asetustiedostoja (esim. wp-config.php) helposti. Yksinkertaisesti tee näistä tiedostoista kirjoituskelvottomia.
Kirjaudu MySQL:ään komentoriviltä ja suorita seuraavat kaksi komentoa poistaaksesi etäpääkirjautumisen.
DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');
flush privileges;Poista kaikki kirjautumiset etäkäytöstä
Jos haluat estää kaikki kirjautumiset etänä ja sallia vain paikalliset yhteydet, voit yksinkertaisesti lisätä skip-networking-toiminnon (tai poistaa rivin kommentin) tiedostoon /etc/mysql/my.cnf [mysqld] -osiossa .
[mysqld]
port=3306
skip-networkingSitten sinun on käynnistettävä MySQLd-daemon uudelleen.
sudo service mysqld restart