✅ WEB- und WordPress-Nachrichten, Themen, Plugins. Hier teilen wir Tipps und beste Website-Lösungen.

Sichern Sie den Linux-Server, indem Sie die Remote-Root-Anmeldung verbieten (SSH- und FTP- und MySQL-Datenbank)

10

In diesem Beitrag wissen wir, wie wichtig die Sicherheit ist. Wenn Sie Ihren Server verwalten (VPS, Cloud-Hosting oder dedizierter Server), müssen Sie über Root- Zugriff verfügen. Das Root- Konto ist wie das Administratorkonto unter Windows, nur leistungsfähiger (Sie können im Grunde alles tun).

Es ist wahrscheinlich keine gute Idee, das Root- Konto auf einem Linux-System umzubenennen (oder zu verstecken), da viele Anwendungen/Programme wie sendmail davon ausgehen, dass es ein Root- Konto gibt, oder die Dinge zu brechen beginnen, wenn das root wurde nicht gefunden (unter Windows können Sie das Administratorkonto umbenennen ). Sie müssen jedoch ein normales Benutzerkonto (weniger leistungsfähig) haben, das die täglichen Aufgaben erledigt, und es wird Ihnen empfohlen, dies zu tun, damit Sie dem System keinen Schaden zufügen, wenn Sie gelegentlich Fehler machen.

SSH

Führen Sie zum Erstellen eines normalen Benutzers den Befehl sudo adduser nuser aus, wobei nuser das Benutzerkonto ist, das wir hinzufügen möchten. Befolgen Sie die Anweisungen zum Festlegen des Kennworts, oder geben Sie später passwd nuser ein.

Überprüfen Sie, ob Sie sich tatsächlich mit SSH anmelden und mit su zu root wechseln können. Sobald diese bestätigt sind, müssen Sie die Datei unter /etc/ssh/sshd_config mit Ihrem bevorzugten Texteditor (z. B. vim) bearbeiten. Suchen Sie dann nach der Zeile PermitRootLogin yes und ändern Sie sie in PermitRootLogin no. Starten Sie den SSH-Server wie folgt neu:

Wenn Sie sich dann mit root erneut anmelden, wird dies immer verweigert, was das System ein wenig sicher macht (wie Sie wissen, gibt es viele IPs, die versuchen, Ihr Root-Konto zu hacken).

FTP (vsFTP)

FTP ist nicht so sicher, aber wenn Sie darauf bestehen, verwenden Sie gegebenenfalls SFTP oder SSL/TLS. Der beliebte FTP-Server unter Linux ist vsFTP. Stellen Sie nach der Installation sicher, dass Sie auch die Root-Anmeldung deaktivieren.

Die Konfiguration für vsFTP befindet sich in der Datei /etc/vsftp.conf und Sie müssen sicherstellen, dass die folgenden Werte gesetzt sind (können angehängt werden):

anonymous_enable=NO  # no anonymous login plz local_enable=YES write_enable=YES userlist_enable=YES userlist_deny=NO userlist_file=/etc/vsftpd.users

Und erstellen Sie eine Datei unter /etc/vsftpd.users, falls sie noch nicht dort ist, und fügen Sie die zugelassenen Benutzer Zeile für Zeile in die Datei ein. Starten Sie vsFTP neu, indem Sie:

sudo service vsftpd restart

Und wenn Sie sich mit root anmelden, wird dies mit dieser Nachricht abgelehnt:

Connecting to: XXXXXXXXX 220 (vsFTPd 3.0.2) USER root 530 Permission denied. 220 (vsFTPd 3.0.2) USER root 530 Permission denied. Certificate: Can't connect LastError: 0

MySQL-Datenbank

Deaktivieren Sie die Root-Anmeldung aus der Ferne

Entfernen Sie die Remote-Root-Anmeldung bei Ihrer MySQL-Datenbank, da es nach wie vor ein hohes Risiko darstellt, dass Ihr Root-Konto eher lokal von einem anderen Computer aus zugänglich ist. Wenn Sie jedoch einen dedizierten Server haben, der als Datenbank dient, ist dies eine andere Geschichte. In diesem Fall müssen Sie das Root-Passwort verstärken und möglicherweise normale Konten in Ihrer WordPress- oder anderen Websites verwenden. Stellen Sie sicher, dass Sie diese Konfigurationsdateien (z. B. wp-config.php) nicht einfach offenlegen. Machen Sie diese Dateien einfach nicht beschreibbar.

Melden Sie sich über die Befehlszeile bei MySQL an und führen Sie die folgenden zwei Befehle aus, um die Remote-Root-Anmeldung zu entfernen.

DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1'); flush privileges;

Deaktivieren Sie alle Anmeldungen aus der Ferne

Wenn Sie alle Anmeldungen aus der Ferne verbieten und nur lokale Verbindungen zulassen möchten, können Sie einfach skip -networking hinzufügen (oder die Zeile auskommentieren) in /etc/mysql/my.cnf im Abschnitt von [mysqld].

[mysqld] port=3306 skip-networking

Anschließend müssen Sie den MySQLd-Daemon neu starten.

sudo service mysqld restart

Empfohlene Sicherheitskonfigurationen für Linux-Server

Aufnahmequelle: helloacm.com

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern. Wir gehen davon aus, dass Sie damit einverstanden sind, Sie können sich jedoch abmelden, wenn Sie möchten. Annehmen Weiterlesen