{"id":232093,"date":"2023-01-22T15:40:00","date_gmt":"2023-01-22T12:40:00","guid":{"rendered":"https:\/\/wordpress.mediadoma.com\/?p=232093"},"modified":"2022-11-10T07:34:59","modified_gmt":"2022-11-10T04:34:59","slug":"zabezpiecz-serwer-linux-blokujac-zdalne-logowanie-root-baza-danych-ssh-i-ftp-oraz-mysql","status":"publish","type":"post","link":"https:\/\/wordpress.mediadoma.com\/pl\/zabezpiecz-serwer-linux-blokujac-zdalne-logowanie-root-baza-danych-ssh-i-ftp-oraz-mysql\/","title":{"rendered":"Zabezpiecz serwer Linux, blokuj\u0105c zdalne logowanie root (baza danych SSH i FTP oraz MySQL)"},"content":{"rendered":"\n

W tym po\u015bcie<\/a> wiemy, jak wa\u017cne jest bezpiecze\u0144stwo. Je\u015bli zarz\u0105dzasz swoim serwerem (VPS, hosting w chmurze lub serwer dedykowany), musisz mie\u0107 uprawnienia administratora<\/strong>. Root<\/strong> jest jak konto administratora<\/strong> w systemie Windows, ale tylko pot\u0119\u017cniejsze (mo\u017cesz w zasadzie zrobi\u0107 wszystko).<\/p>\n

Prawdopodobnie nie jest dobrym pomys\u0142em zmienianie nazwy konta root<\/strong> (lub ukrywanie go) w systemie Linux, jest to spowodowane faktem, \u017ce wiele aplikacji\/program\u00f3w, takich jak sendmail<\/strong>, zak\u0142ada, \u017ce \u200b\u200bistnieje konto root<\/strong> lub co\u015b zacznie si\u0119 psu\u0107, je\u015bli konto root<\/strong> nie zosta\u0142 znaleziony (w systemie Windows mo\u017cna zmieni\u0107 nazw\u0119 konta administratora<\/strong> ). Jednak musisz mie\u0107 normalne konto u\u017cytkownika (mniej wydajne), kt\u00f3re obs\u0142uguje codzienne zadania, wi\u0119c nie spowodujesz uszkodze\u0144 systemu, je\u015bli od czasu do czasu pope\u0142nisz b\u0142\u0119dy.<\/p>\n

SSH<\/h3>\n

Aby utworzy\u0107 zwyk\u0142ego u\u017cytkownika, uruchom polecenie sudo adduser nuser<\/strong> gdzie nuser<\/strong> to konto u\u017cytkownika, kt\u00f3re chcemy doda\u0107. Post\u0119puj zgodnie z instrukcjami, aby ustawi\u0107 has\u0142o lub mo\u017cesz wyda\u0107 has\u0142o passwd nuser<\/strong> p\u00f3\u017aniej.<\/p>\n

Dok\u0142adnie sprawd\u017a, czy mo\u017cesz zalogowa\u0107 si\u0119 za pomoc\u0105 SSH i prze\u0142\u0105czy\u0107 si\u0119 na root<\/strong> za pomoc\u0105 su<\/strong>. Po ich potwierdzeniu musisz edytowa\u0107 plik w \/etc\/ssh\/sshd_config<\/strong> swoim ulubionym edytorem tekstu (np. vim). Nast\u0119pnie poszukaj linii PermitRootLogin yes<\/strong> i zmie\u0144 j\u0105 na PermitRootLogin no<\/strong>. Zrestartuj serwer ssh w ten spos\u00f3b:<\/p>\n

Nast\u0119pnie, je\u015bli ponownie zalogujesz si\u0119 za pomoc\u0105 root<\/strong>, zawsze zostanie odrzucony, co czyni system nieco bezpiecznym (jak wiesz, istnieje wiele adres\u00f3w IP wymuszaj\u0105cych brutalne ataki i pr\u00f3buj\u0105cych w\u0142ama\u0107 si\u0119 do twojego konta root).<\/p>\n

FTP (w por\u00f3wnaniu z FTP)<\/h3>\n

FTP nie jest tak bezpieczny, ale je\u015bli nalegasz na jego u\u017cywanie, upewnij si\u0119, \u017ce u\u017cywasz SFTP lub SSL\/TLS<\/strong>, je\u015bli dotyczy. Popularnym serwerem FTP w systemie Linux jest vsFTP<\/strong> i po zainstalowaniu upewnij si\u0119, \u017ce wy\u0142\u0105czy\u0142e\u015b r\u00f3wnie\u017c logowanie jako root.<\/p>\n

Konfiguracja vsFTP<\/strong> znajduje si\u0119 w pliku \/etc\/vsftp.conf<\/strong> i nale\u017cy upewni\u0107 si\u0119, \u017ce ustawione s\u0105 nast\u0119puj\u0105ce warto\u015bci (mo\u017cna je do\u0142\u0105czy\u0107):<\/p>\n

anonymous_enable=NO \u00a0# no anonymous login plz\nlocal_enable=YES\nwrite_enable=YES\nuserlist_enable=YES\nuserlist_deny=NO\nuserlist_file=\/etc\/vsftpd.users<\/code><\/pre>\n
I utw\u00f3rz plik w \/etc\/vsftpd.users<\/strong>, je\u015bli jeszcze go tam nie ma, i dodaj dozwolonych u\u017cytkownik\u00f3w linia po linii w pliku. Zrestartuj vsFTP przez:<\/p>\n
sudo service vsftpd restart<\/code><\/pre>\n
A je\u015bli zalogujesz si\u0119 za pomoc\u0105 root<\/strong>, odm\u00f3wi z t\u0105 wiadomo\u015bci\u0105:<\/p>\n
Connecting to: XXXXXXXXX\n220 (vsFTPd 3.0.2)\nUSER root\n530 Permission denied.\n220 (vsFTPd 3.0.2)\nUSER root\n530 Permission denied.\nCertificate: \nCan't connect\nLastError: 0<\/code><\/pre>\n
Baza danych MySQL<\/h3>\n
Wy\u0142\u0105cz zdalne logowanie root<\/h4>\n
Usu\u0144 zdalne logowanie root do bazy danych MySQL, poniewa\u017c istnieje du\u017ce ryzyko, \u017ce twoje konto root b\u0119dzie dost\u0119pne z innego komputera, a nie lokalnie. Je\u015bli jednak masz serwer dedykowany s\u0142u\u017c\u0105cy jako baza danych, to jest to inna historia, w takim przypadku musisz wzmocni\u0107 has\u0142o roota i ewentualnie korzysta\u0107 z normalnych kont w swoim wordpressie lub innych witrynach. Upewnij si\u0119, \u017ce nie udost\u0119pniasz \u0142atwo tych plik\u00f3w konfiguracyjnych (np. wp-config.php). Po prostu spraw, aby te pliki nie by\u0142y zapisywalne.<\/p>\n
Zaloguj si\u0119 do MySQL z wiersza polece\u0144 i uruchom nast\u0119puj\u0105ce dwie komendy, aby usun\u0105\u0107 zdalne logowanie root.<\/p>\n
DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');\nflush privileges;<\/code><\/pre>\n
Wy\u0142\u0105cz wszystkie loginy zdalnie<\/h4>\n
Je\u015bli chcesz zabroni\u0107 zdalnego logowania i zezwala\u0107 tylko na po\u0142\u0105czenia lokalne, mo\u017cesz po prostu doda\u0107 pomijanie sieci<\/strong> (lub odkomentowa\u0107 lini\u0119) w \/etc\/mysql\/my.cnf<\/strong> w sekcji [mysqld]<\/strong>.<\/p>\n
[mysqld]\nport=3306\nskip-networking<\/code><\/pre>\n
Nast\u0119pnie musisz zrestartowa\u0107 demona MySQLd.<\/p>\n
sudo service mysqld restart<\/code><\/pre>\n
Zalecane konfiguracje bezpiecze\u0144stwa dla serwer\u00f3w Linux<\/h3>\n