{"id":232597,"date":"2023-01-22T15:51:00","date_gmt":"2023-01-22T12:51:00","guid":{"rendered":"https:\/\/wordpress.mediadoma.com\/?p=232597"},"modified":"2022-11-10T11:35:52","modified_gmt":"2022-11-10T08:35:52","slug":"proteggi-il-server-linux-disabilitando-laccesso-root-remoto-ssh-e-ftp-e-database-mysql","status":"publish","type":"post","link":"https:\/\/wordpress.mediadoma.com\/it\/proteggi-il-server-linux-disabilitando-laccesso-root-remoto-ssh-e-ftp-e-database-mysql\/","title":{"rendered":"Proteggi il server Linux disabilitando l’accesso root remoto (SSH e FTP e database MySQL)"},"content":{"rendered":"\n

In questo post<\/a>, sappiamo quanto sia importante la sicurezza. Se gestisci il tuo server (VPS, cloud hosting o server dedicato), devi disporre dell’accesso come root<\/strong>. Il root<\/strong> \u00e8 come l’ account amministratore<\/strong> su Windows, ma solo pi\u00f9 potente (puoi praticamente fare qualsiasi cosa).<\/p>\n

Probabilmente non \u00e8 una buona idea rinominare l’ account di root<\/strong> (o nasconderlo) su un sistema Linux, questo \u00e8 dovuto al fatto che molte applicazioni\/programmi come sendmail<\/strong> presuppongono che ci sia un account di root<\/strong> o le cose inizieranno a non funzionare se il root<\/strong> non \u00e8 stato trovato (su Windows, \u00e8 possibile rinominare l’account amministratore<\/strong> ). Tuttavia, devi avere ed essere suggerito di avere un normale account utente (meno potente) che gestisce i lavori quotidiani, quindi non danneggerai il sistema se commetti occasionalmente degli errori.<\/p>\n

SSH<\/h3>\n

Per creare un utente normale, esegui il comando sudo adduser nuser<\/strong> dove il nuser<\/strong> \u00e8 l’account utente che vogliamo aggiungere. Segui le istruzioni per impostare la password o puoi emettere passwd userer in un<\/strong> secondo momento .<\/p>\n

Ricontrolla che puoi effettivamente accedere usando SSH e passare a root<\/strong> usando su<\/strong>. Una volta che questi sono stati confermati, e devi modificare il file in \/etc\/ssh\/sshd_config<\/strong> con il tuo editor di testo preferito (ad esempio vim). Quindi cerca la riga PermitRootLogin yes<\/strong> e cambiala in PermitRootLogin no<\/strong>. Riavvia il server ssh in questo modo:<\/p>\n

Quindi, se esegui nuovamente il login utilizzando root<\/strong>, verr\u00e0 sempre negato, il che rende il sistema un po’ sicuro (come sai, ci sono molti IP che forzano brute e cercano di hackerare il tuo account di root).<\/p>\n

FTP (rispetto a FTP)<\/h3>\n

FTP non \u00e8 cos\u00ec sicuro, ma se insisti nell’utilizzarlo, assicurati di utilizzare SFTP o SSL\/TLS<\/strong> se applicabile. Il popolare server FTP su Linux \u00e8 vsFTP<\/strong> e dopo averlo installato, assicurati di disabilitare anche il login di root.<\/p>\n

La configurazione per vsFTP<\/strong> si trova nel file \/etc\/vsftp.conf<\/strong> ed \u00e8 necessario assicurarsi che i seguenti valori siano impostati (possono essere aggiunti):<\/p>\n

anonymous_enable=NO \u00a0# no anonymous login plz\nlocal_enable=YES\nwrite_enable=YES\nuserlist_enable=YES\nuserlist_deny=NO\nuserlist_file=\/etc\/vsftpd.users<\/code><\/pre>\n
E crea un file in \/etc\/vsftpd.users<\/strong> se non \u00e8 ancora presente e aggiungi gli utenti consentiti riga per riga nel file. Riavvia il vsFTP da:<\/p>\n
sudo service vsftpd restart<\/code><\/pre>\n
E se accedi usando root<\/strong>, negher\u00e0 con questo messaggio:<\/p>\n
Connecting to: XXXXXXXXX\n220 (vsFTPd 3.0.2)\nUSER root\n530 Permission denied.\n220 (vsFTPd 3.0.2)\nUSER root\n530 Permission denied.\nCertificate: \nCan't connect\nLastError: 0<\/code><\/pre>\n
Database MySQL<\/h3>\n
Disabilita l’accesso root in remoto<\/h4>\n
Rimuovi l’accesso root remoto al tuo database MySQL perch\u00e9 rimane un rischio elevato avere il tuo account root accessibile da un’altra macchina piuttosto localmente. Tuttavia, se si dispone di un server dedicato che funge da database, la storia \u00e8 diversa, nel qual caso \u00e8 necessario rafforzare la password di root e possibilmente utilizzare account normali nel proprio wordpress o in altri siti Web. Assicurati di non esporre facilmente quei file di configurazione (ad es. wp-config.php). Basta rendere questi file non scrivibili.<\/p>\n
Accedi a MySQL dalla riga di comando ed esegui i due comandi seguenti per rimuovere il login root remoto.<\/p>\n
DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');\nflush privileges;<\/code><\/pre>\n
Disabilita tutti gli accessi in remoto<\/h4>\n
Se vuoi disabilitare tutti gli accessi in remoto e consentire solo connessioni locali, puoi semplicemente aggiungere skip-networking<\/strong> (o rimuovere il commento dalla riga) in \/etc\/mysql\/my.cnf<\/strong> nella sezione di [mysqld]<\/strong>.<\/p>\n
[mysqld]\nport=3306\nskip-networking<\/code><\/pre>\n
\u00c8 quindi necessario riavviare il demone MySQLd.<\/p>\n
sudo service mysqld restart<\/code><\/pre>\n
Configurazioni di sicurezza consigliate per server Linux<\/h3>\n