{"id":232548,"date":"2023-01-22T16:01:00","date_gmt":"2023-01-22T13:01:00","guid":{"rendered":"https:\/\/wordpress.mediadoma.com\/?p=232548"},"modified":"2022-11-10T10:30:09","modified_gmt":"2022-11-10T07:30:09","slug":"proteja-o-servidor-linux-desabilitando-o-login-raiz-remoto-ssh-e-ftp-e-banco-de-dados-mysql","status":"publish","type":"post","link":"https:\/\/wordpress.mediadoma.com\/pt-pt\/proteja-o-servidor-linux-desabilitando-o-login-raiz-remoto-ssh-e-ftp-e-banco-de-dados-mysql\/","title":{"rendered":"Proteja o servidor Linux desabilitando o login raiz remoto (SSH e FTP e banco de dados MySQL)"},"content":{"rendered":"\n

Neste post<\/a>, sabemos o qu\u00e3o importante \u00e9 a seguran\u00e7a. Se voc\u00ea gerencia seu servidor (VPS, hospedagem em nuvem ou servidor dedicado), deve ter acesso root<\/strong>. A raiz<\/strong> \u00e9 como a conta de administrador<\/strong> no Windows, mas apenas mais poderosa (voc\u00ea pode basicamente fazer qualquer coisa).<\/p>\n

Provavelmente n\u00e3o \u00e9 uma boa ideia renomear a conta root<\/strong> (ou ocult\u00e1-la) no sistema Linux, isso se deve ao fato de que muitos aplicativos\/programas como o sendmail<\/strong> assumem que existe uma conta root<\/strong> ou as coisas come\u00e7ar\u00e3o a quebrar se a root<\/strong> n\u00e3o foi encontrado (no Windows, voc\u00ea pode renomear a conta de administrador<\/strong> ). No entanto, voc\u00ea deve ter e ser sugerido ter uma conta de usu\u00e1rio normal (menos poderosa) que lida com trabalhos di\u00e1rios, para que voc\u00ea n\u00e3o cause danos ao sistema se cometer erros ocasionalmente.<\/p>\n

SSH<\/h3>\n

Para criar um usu\u00e1rio normal, execute o comando sudo adduser user<\/strong> onde o user<\/strong> \u00e9 a conta de usu\u00e1rio que desejamos adicionar. Siga as instru\u00e7\u00f5es para definir a senha ou voc\u00ea pode emitir o usu\u00e1rio passwd<\/strong> mais tarde.<\/p>\n

Verifique se voc\u00ea pode realmente fazer login usando SSH e alternar para root<\/strong> usando su<\/strong>. Uma vez confirmados, voc\u00ea precisa editar o arquivo em \/etc\/ssh\/sshd_config<\/strong> com seu editor de texto favorito (por exemplo, vim). Em seguida, procure a linha PermitRootLogin yes<\/strong> e altere-a para PermitRootLogin no<\/strong>. Reinicie o servidor ssh assim:<\/p>\n

Ent\u00e3o, se voc\u00ea fizer login novamente usando root<\/strong>, ele ser\u00e1 negado sempre, o que torna o sistema um pouco seguro (como voc\u00ea sabe, existem muitos IPs de for\u00e7a bruta e tentando invadir sua conta root).<\/p>\n

FTP (vsFTP)<\/h3>\n

O FTP n\u00e3o \u00e9 t\u00e3o seguro, mas se voc\u00ea insistir em us\u00e1-lo, certifique-se de usar SFTP ou SSL\/TLS<\/strong>, se aplic\u00e1vel. O servidor FTP popular no Linux \u00e9 o vsFTP<\/strong> e depois de instal\u00e1-lo, certifique-se de tamb\u00e9m desabilitar o login root.<\/p>\n

A configura\u00e7\u00e3o para vsFTP<\/strong> est\u00e1 localizada no arquivo \/etc\/vsftp.conf<\/strong> e voc\u00ea precisa ter certeza de que os seguintes valores est\u00e3o definidos (podem ser anexados):<\/p>\n

anonymous_enable=NO \u00a0# no anonymous login plz\nlocal_enable=YES\nwrite_enable=YES\nuserlist_enable=YES\nuserlist_deny=NO\nuserlist_file=\/etc\/vsftpd.users<\/code><\/pre>\n
E crie um arquivo em \/etc\/vsftpd.users<\/strong> se ainda n\u00e3o estiver l\u00e1, e adicione os usu\u00e1rios permitidos linha por linha no arquivo. Reinicie o vsFTP por:<\/p>\n
sudo service vsftpd restart<\/code><\/pre>\n
E se voc\u00ea logar usando root<\/strong>, ele negar\u00e1 com esta mensagem:<\/p>\n
Connecting to: XXXXXXXXX\n220 (vsFTPd 3.0.2)\nUSER root\n530 Permission denied.\n220 (vsFTPd 3.0.2)\nUSER root\n530 Permission denied.\nCertificate: \nCan't connect\nLastError: 0<\/code><\/pre>\n
banco de dados MySQL<\/h3>\n
Desabilitar o login raiz remotamente<\/h4>\n
Remova o login de root remoto para seu banco de dados MySQL porque continua sendo um alto risco ter sua conta root acess\u00edvel de outra m\u00e1quina localmente. No entanto, se voc\u00ea tiver um servidor dedicado servindo como banco de dados, a hist\u00f3ria \u00e9 diferente, nesse caso, voc\u00ea precisa fortalecer a senha do root e possivelmente usar contas normais em seu wordpress ou outros sites. Certifique-se de n\u00e3o expor esses arquivos de configura\u00e7\u00e3o (por exemplo, wp-config.php) facilmente. Simplesmente torne esses arquivos n\u00e3o grav\u00e1veis.<\/p>\n
Fa\u00e7a login no MySQL a partir da linha de comando e execute os dois comandos a seguir para remover o login root remoto.<\/p>\n
DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');\nflush privileges;<\/code><\/pre>\n
Desabilitar todos os logins remotamente<\/h4>\n
Se voc\u00ea quiser desabilitar todos os logins remotamente, e permitir apenas conex\u00f5es locais, voc\u00ea pode simplesmente adicionar skip-networking<\/strong> (ou descomentar a linha) no \/etc\/mysql\/my.cnf<\/strong> na se\u00e7\u00e3o de [mysqld]<\/strong>.<\/p>\n
[mysqld]\nport=3306\nskip-networking<\/code><\/pre>\n
Voc\u00ea ent\u00e3o precisa reiniciar o daemon MySQLd.<\/p>\n
sudo service mysqld restart<\/code><\/pre>\n
Configura\u00e7\u00f5es de seguran\u00e7a recomendadas para servidores Linux<\/h3>\n