Proteja o servidor Linux desabilitando o login raiz remoto (SSH e FTP e banco de dados MySQL)
Neste post, sabemos o quão importante é a segurança. Se você gerencia seu servidor (VPS, hospedagem em nuvem ou servidor dedicado), deve ter acesso root. A raiz é como a conta de administrador no Windows, mas apenas mais poderosa (você pode basicamente fazer qualquer coisa).
Provavelmente não é uma boa ideia renomear a conta root (ou ocultá-la) no sistema Linux, isso se deve ao fato de que muitos aplicativos/programas como o sendmail assumem que existe uma conta root ou as coisas começarão a quebrar se a root não foi encontrado (no Windows, você pode renomear a conta de administrador ). No entanto, você deve ter e ser sugerido ter uma conta de usuário normal (menos poderosa) que lida com trabalhos diários, para que você não cause danos ao sistema se cometer erros ocasionalmente.
SSH
Para criar um usuário normal, execute o comando sudo adduser user onde o user é a conta de usuário que desejamos adicionar. Siga as instruções para definir a senha ou você pode emitir o usuário passwd mais tarde.
Verifique se você pode realmente fazer login usando SSH e alternar para root usando su. Uma vez confirmados, você precisa editar o arquivo em /etc/ssh/sshd_config com seu editor de texto favorito (por exemplo, vim). Em seguida, procure a linha PermitRootLogin yes e altere-a para PermitRootLogin no. Reinicie o servidor ssh assim:
Então, se você fizer login novamente usando root, ele será negado sempre, o que torna o sistema um pouco seguro (como você sabe, existem muitos IPs de força bruta e tentando invadir sua conta root).
FTP (vsFTP)
O FTP não é tão seguro, mas se você insistir em usá-lo, certifique-se de usar SFTP ou SSL/TLS, se aplicável. O servidor FTP popular no Linux é o vsFTP e depois de instalá-lo, certifique-se de também desabilitar o login root.
A configuração para vsFTP está localizada no arquivo /etc/vsftp.conf e você precisa ter certeza de que os seguintes valores estão definidos (podem ser anexados):
anonymous_enable=NO # no anonymous login plz
local_enable=YES
write_enable=YES
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd.usersE crie um arquivo em /etc/vsftpd.users se ainda não estiver lá, e adicione os usuários permitidos linha por linha no arquivo. Reinicie o vsFTP por:
sudo service vsftpd restartE se você logar usando root, ele negará com esta mensagem:
Connecting to: XXXXXXXXX
220 (vsFTPd 3.0.2)
USER root
530 Permission denied.
220 (vsFTPd 3.0.2)
USER root
530 Permission denied.
Certificate:
Can't connect
LastError: 0banco de dados MySQL
Desabilitar o login raiz remotamente
Remova o login de root remoto para seu banco de dados MySQL porque continua sendo um alto risco ter sua conta root acessível de outra máquina localmente. No entanto, se você tiver um servidor dedicado servindo como banco de dados, a história é diferente, nesse caso, você precisa fortalecer a senha do root e possivelmente usar contas normais em seu wordpress ou outros sites. Certifique-se de não expor esses arquivos de configuração (por exemplo, wp-config.php) facilmente. Simplesmente torne esses arquivos não graváveis.
Faça login no MySQL a partir da linha de comando e execute os dois comandos a seguir para remover o login root remoto.
DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');
flush privileges;Desabilitar todos os logins remotamente
Se você quiser desabilitar todos os logins remotamente, e permitir apenas conexões locais, você pode simplesmente adicionar skip-networking (ou descomentar a linha) no /etc/mysql/my.cnf na seção de [mysqld].
[mysqld]
port=3306
skip-networkingVocê então precisa reiniciar o daemon MySQLd.
sudo service mysqld restart