Proteggi il server Linux disabilitando l’accesso root remoto (SSH e FTP e database MySQL)
In questo post, sappiamo quanto sia importante la sicurezza. Se gestisci il tuo server (VPS, cloud hosting o server dedicato), devi disporre dell’accesso come root. Il root è come l’ account amministratore su Windows, ma solo più potente (puoi praticamente fare qualsiasi cosa).
Probabilmente non è una buona idea rinominare l’ account di root (o nasconderlo) su un sistema Linux, questo è dovuto al fatto che molte applicazioni/programmi come sendmail presuppongono che ci sia un account di root o le cose inizieranno a non funzionare se il root non è stato trovato (su Windows, è possibile rinominare l’account amministratore ). Tuttavia, devi avere ed essere suggerito di avere un normale account utente (meno potente) che gestisce i lavori quotidiani, quindi non danneggerai il sistema se commetti occasionalmente degli errori.
SSH
Per creare un utente normale, esegui il comando sudo adduser nuser dove il nuser è l’account utente che vogliamo aggiungere. Segui le istruzioni per impostare la password o puoi emettere passwd userer in un secondo momento .
Ricontrolla che puoi effettivamente accedere usando SSH e passare a root usando su. Una volta che questi sono stati confermati, e devi modificare il file in /etc/ssh/sshd_config con il tuo editor di testo preferito (ad esempio vim). Quindi cerca la riga PermitRootLogin yes e cambiala in PermitRootLogin no. Riavvia il server ssh in questo modo:
Quindi, se esegui nuovamente il login utilizzando root, verrà sempre negato, il che rende il sistema un po’ sicuro (come sai, ci sono molti IP che forzano brute e cercano di hackerare il tuo account di root).
FTP (rispetto a FTP)
FTP non è così sicuro, ma se insisti nell’utilizzarlo, assicurati di utilizzare SFTP o SSL/TLS se applicabile. Il popolare server FTP su Linux è vsFTP e dopo averlo installato, assicurati di disabilitare anche il login di root.
La configurazione per vsFTP si trova nel file /etc/vsftp.conf ed è necessario assicurarsi che i seguenti valori siano impostati (possono essere aggiunti):
anonymous_enable=NO # no anonymous login plz
local_enable=YES
write_enable=YES
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd.usersE crea un file in /etc/vsftpd.users se non è ancora presente e aggiungi gli utenti consentiti riga per riga nel file. Riavvia il vsFTP da:
sudo service vsftpd restartE se accedi usando root, negherà con questo messaggio:
Connecting to: XXXXXXXXX
220 (vsFTPd 3.0.2)
USER root
530 Permission denied.
220 (vsFTPd 3.0.2)
USER root
530 Permission denied.
Certificate:
Can't connect
LastError: 0Database MySQL
Disabilita l’accesso root in remoto
Rimuovi l’accesso root remoto al tuo database MySQL perché rimane un rischio elevato avere il tuo account root accessibile da un’altra macchina piuttosto localmente. Tuttavia, se si dispone di un server dedicato che funge da database, la storia è diversa, nel qual caso è necessario rafforzare la password di root e possibilmente utilizzare account normali nel proprio wordpress o in altri siti Web. Assicurati di non esporre facilmente quei file di configurazione (ad es. wp-config.php). Basta rendere questi file non scrivibili.
Accedi a MySQL dalla riga di comando ed esegui i due comandi seguenti per rimuovere il login root remoto.
DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');
flush privileges;Disabilita tutti gli accessi in remoto
Se vuoi disabilitare tutti gli accessi in remoto e consentire solo connessioni locali, puoi semplicemente aggiungere skip-networking (o rimuovere il commento dalla riga) in /etc/mysql/my.cnf nella sezione di [mysqld].
[mysqld]
port=3306
skip-networkingÈ quindi necessario riavviare il demone MySQLd.
sudo service mysqld restart