{"id":232545,"date":"2023-01-22T15:23:00","date_gmt":"2023-01-22T12:23:00","guid":{"rendered":"https:\/\/wordpress.mediadoma.com\/?p=232545"},"modified":"2022-11-10T10:28:03","modified_gmt":"2022-11-10T07:28:03","slug":"suojaa-linux-palvelin-estaemaellae-etaepaeaekirjautuminen-ssh-ja-ftp-ja-mysql-tietokanta","status":"publish","type":"post","link":"https:\/\/wordpress.mediadoma.com\/fi\/suojaa-linux-palvelin-estaemaellae-etaepaeaekirjautuminen-ssh-ja-ftp-ja-mysql-tietokanta\/","title":{"rendered":"Suojaa Linux-palvelin est\u00e4m\u00e4ll\u00e4 et\u00e4p\u00e4\u00e4kirjautuminen (SSH- ja FTP- ja MySQL-tietokanta)"},"content":{"rendered":"\n

T\u00e4ss\u00e4 viestiss\u00e4<\/a> tied\u00e4mme, kuinka t\u00e4rke\u00e4\u00e4 turvallisuus on. Jos hallitset palvelintasi (VPS, pilvipalvelu tai oma palvelin), sinulla on oltava p\u00e4\u00e4k\u00e4ytt\u00e4j\u00e4n<\/strong> oikeudet. Root<\/strong> on kuin j\u00e4rjestelm\u00e4nvalvojan tili<\/strong> Windowsissa, mutta vain tehokkaampi (voit tehd\u00e4 periaatteessa mit\u00e4 tahansa).<\/p>\n

Ei luultavasti ole hyv\u00e4 idea nimet\u00e4 root<\/strong> – tili uudelleen (tai piilottaa sit\u00e4) Linux-j\u00e4rjestelm\u00e4ss\u00e4, t\u00e4m\u00e4 johtuu siit\u00e4, ett\u00e4 monet sovellukset\/ohjelmat, kuten sendmail<\/strong>, olettavat, ett\u00e4 root<\/strong> – tili on olemassa tai asiat alkavat hajota, jos juuri<\/strong> ei l\u00f6ydy (Windowsissa voit nimet\u00e4 j\u00e4rjestelm\u00e4nvalvojan<\/strong> tilin uudelleen). Sinulla on kuitenkin oltava ja sinun tulee ehdottaa, ett\u00e4 sinulla on normaali k\u00e4ytt\u00e4j\u00e4tili (v\u00e4hemm\u00e4n tehokas), joka hoitaa p\u00e4ivitt\u00e4iset ty\u00f6t, joten et vahingoita j\u00e4rjestelm\u00e4\u00e4, jos teet satunnaisia \u200b\u200bvirheit\u00e4.<\/p>\n

SSH<\/h3>\n

Luo normaali k\u00e4ytt\u00e4j\u00e4 suorittamalla komento sudo adduser nuser<\/strong>, jossa nuser<\/strong> on k\u00e4ytt\u00e4j\u00e4tili, jonka haluamme lis\u00e4t\u00e4. Noudata ohjeita salasanan asettamiseksi tai voit antaa passwd nuserin<\/strong> my\u00f6hemmin.<\/p>\n

Tarkista viel\u00e4 kerran, ett\u00e4 voit todella kirjautua SSH:lla ja vaihtaa p\u00e4\u00e4k\u00e4ytt\u00e4j\u00e4\u00e4n<\/strong> k\u00e4ytt\u00e4m\u00e4ll\u00e4 su<\/strong> :ta. Kun n\u00e4m\u00e4 on vahvistettu ja sinun t\u00e4ytyy muokata tiedostoa osoitteessa \/etc\/ssh\/sshd_config<\/strong> suosikkitekstieditorillasi (esim. vim). Etsi sitten rivi PermitRootLogin yes<\/strong> ja muuta se muotoon PermitRootLogin no<\/strong>. K\u00e4ynnist\u00e4 ssh-palvelin uudelleen n\u00e4in:<\/p>\n

Sitten, jos kirjaudut uudelleen sis\u00e4\u00e4n root<\/strong> -k\u00e4ytt\u00e4j\u00e4tunnuksella, se ev\u00e4t\u00e4\u00e4n aina, mik\u00e4 tekee j\u00e4rjestelm\u00e4st\u00e4 hieman suojatun (kuten tied\u00e4t, IP-osoitteet pakottavat raakoja ja yritt\u00e4v\u00e4t hakkeroida root-tilisi).<\/p>\n

FTP (vsFTP)<\/h3>\n

FTP ei ole niin turvallinen, mutta jos vaadit sen k\u00e4ytt\u00f6\u00e4, varmista, ett\u00e4 k\u00e4yt\u00e4t SFTP:t\u00e4 tai SSL\/TLS<\/strong> :\u00e4\u00e4 tarvittaessa. Suosittu FTP-palvelin Linuxissa on vsFTP<\/strong>, ja kun olet asentanut sen, varmista, ett\u00e4 poistat my\u00f6s p\u00e4\u00e4k\u00e4ytt\u00e4j\u00e4n kirjautumisen k\u00e4yt\u00f6st\u00e4.<\/p>\n

vsFTP<\/strong> :n asetukset sijaitsevat tiedostossa \/etc\/vsftp.conf<\/strong> ja sinun on varmistettava, ett\u00e4 seuraavat arvot on asetettu (voidaan liitt\u00e4\u00e4):<\/p>\n

anonymous_enable=NO \u00a0# no anonymous login plz\nlocal_enable=YES\nwrite_enable=YES\nuserlist_enable=YES\nuserlist_deny=NO\nuserlist_file=\/etc\/vsftpd.users<\/code><\/pre>\n
Ja luo tiedosto osoitteeseen \/etc\/vsftpd.users<\/strong>, jos sit\u00e4 ei viel\u00e4 ole, ja lis\u00e4\u00e4 sallitut k\u00e4ytt\u00e4j\u00e4t tiedostoon rivi rivilt\u00e4. K\u00e4ynnist\u00e4 vsFTP uudelleen seuraavasti:<\/p>\n
sudo service vsftpd restart<\/code><\/pre>\n
Ja jos kirjaudut sis\u00e4\u00e4n rootilla<\/strong>, se kielt\u00e4\u00e4 t\u00e4ll\u00e4 viestill\u00e4:<\/p>\n
Connecting to: XXXXXXXXX\n220 (vsFTPd 3.0.2)\nUSER root\n530 Permission denied.\n220 (vsFTPd 3.0.2)\nUSER root\n530 Permission denied.\nCertificate: \nCan't connect\nLastError: 0<\/code><\/pre>\n
MySQL-tietokanta<\/h3>\n
Poista Root Login et\u00e4k\u00e4ytt\u00f6 k\u00e4yt\u00f6st\u00e4<\/h4>\n
Poista et\u00e4p\u00e4\u00e4kirjautuminen MySQL-tietokantaan, koska on edelleen suuri riski, ett\u00e4 p\u00e4\u00e4tiliisi p\u00e4\u00e4see k\u00e4siksi toisesta koneesta pikemminkin paikallisesti. Jos sinulla on kuitenkin erillinen palvelin, joka toimii tietokantana, se on eri juttu, jolloin sinun on vahvistettava root-salasanaa ja mahdollisesti k\u00e4ytett\u00e4v\u00e4 normaaleja tilej\u00e4 WordPressiss\u00e4si tai muilla verkkosivustoilla. Varmista, ettet paljasta n\u00e4it\u00e4 asetustiedostoja (esim. wp-config.php) helposti. Yksinkertaisesti tee n\u00e4ist\u00e4 tiedostoista kirjoituskelvottomia.<\/p>\n
Kirjaudu MySQL:\u00e4\u00e4n komentorivilt\u00e4 ja suorita seuraavat kaksi komentoa poistaaksesi et\u00e4p\u00e4\u00e4kirjautumisen.<\/p>\n
DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');\nflush privileges;<\/code><\/pre>\n
Poista kaikki kirjautumiset et\u00e4k\u00e4yt\u00f6st\u00e4<\/h4>\n
Jos haluat est\u00e4\u00e4 kaikki kirjautumiset et\u00e4n\u00e4 ja sallia vain paikalliset yhteydet, voit yksinkertaisesti lis\u00e4t\u00e4 skip-networking-toiminnon<\/strong> (tai poistaa rivin kommentin) tiedostoon \/etc\/mysql\/my.cnf<\/strong> [mysqld]<\/strong> -osiossa .<\/p>\n
[mysqld]\nport=3306\nskip-networking<\/code><\/pre>\n
Sitten sinun on k\u00e4ynnistett\u00e4v\u00e4 MySQLd-daemon uudelleen.<\/p>\n
sudo service mysqld restart<\/code><\/pre>\n
Suositellut suojausasetukset Linux-palvelimille<\/h3>\n