Säkra Linux-servern genom att inte tillåta fjärrinloggning (SSH och FTP och MySQL-databas)

I det här inlägget vet vi hur viktig säkerheten är. Om du hanterar din server (VPS, molnvärd eller dedikerad server) måste du ha root – åtkomst. Roten är som administratörskontot på Windows, men bara mer kraftfull (du kan i princip göra vad som helst).

Det är förmodligen inte en bra idé att byta namn på root- kontot (eller dölja det) på Linux-system, detta beror på att många applikationer/program som sendmail antar att det finns ett root- konto eller så börjar saker gå sönder om roten hittas inte (I Windows kan du byta namn på administratörskontot ). Du måste dock ha och föreslås ha ett normalt användarkonto (mindre kraftfullt) som hanterar dagliga jobb, så du kommer inte att skada systemet om du ibland gör misstag.

SSH

För att skapa en normal användare, kör kommandot sudo adduser nuser där nuser är användarkontot vi vill lägga till. Följ instruktionerna för att ställa in lösenordet eller så kan du utfärda passwd nuser senare.

Dubbelkolla att du faktiskt kan logga in med SSH och byta till root med su. När dessa har bekräftats, och du måste redigera filen på /etc/ssh/sshd_config med din favorittextredigerare (t.ex. vim). Leta sedan efter raden PermitRootLogin ja och ändra den till PermitRootLogin no. Starta om ssh-servern så här:

Om du sedan loggar in igen med root, kommer det alltid att nekas, vilket gör systemet lite säkert (som du vet finns det massor av IP:er som brute forcerar och försöker hacka ditt root-konto).

FTP (vsFTP)

FTP är inte så säkert, men om du insisterar på att använda det, se till att du använder SFTP eller SSL/TLS om tillämpligt. Den populära FTP-servern på Linux är vsFTP och efter att du har installerat den, se till att du också inaktiverar rotinloggning.

Konfigurationen för vsFTP finns i filen /etc/vsftp.conf och du måste se till att följande värden är inställda (kan läggas till):

anonymous_enable=NO  # no anonymous login plz
local_enable=YES
write_enable=YES
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd.users

Och skapa en fil på /etc/vsftpd.users om den inte finns där ännu, och lägg till de tillåtna användarna rad för rad i filen. Starta om vsFTP genom att:

sudo service vsftpd restart

Och om du loggar in med root, kommer det att neka med detta meddelande:

Connecting to: XXXXXXXXX
220 (vsFTPd 3.0.2)
USER root
530 Permission denied.
220 (vsFTPd 3.0.2)
USER root
530 Permission denied.
Certificate: 
Can't connect
LastError: 0

MySQL-databas

Inaktivera rotinloggning på distans

Ta bort fjärrrotinloggning till din MySQL-databas eftersom det förblir höga risker att ha ditt rootkonto tillgängligt från en annan maskin snarare lokalt. Men om du har en dedikerad server som fungerar som databas, så är det en annan historia, i så fall måste du stärka root-lösenordet och eventuellt använda vanliga konton i din wordpress eller andra webbplatser. Se till att du inte exponerar dessa konfigurationsfiler (t.ex. wp-config.php) lätt. Gör helt enkelt dessa filer inte skrivbara.

Logga in på MySQL från kommandoraden och kör följande två kommandon för att ta bort fjärrrotinloggning.

DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');
flush privileges;

Inaktivera alla inloggningar på distans

Om du vill förbjuda alla inloggningar på distans, och bara tillåter lokala anslutningar, kan du helt enkelt lägga till skip-nätverk (eller avkommentera raden) i /etc/mysql/my.cnf i avsnittet av [mysqld].

[mysqld]
port=3306
skip-networking

Du måste sedan starta om MySQLd-demonen.

sudo service mysqld restart

Rekommenderade säkerhetskonfigurationer för Linux-servrar

• Varför och hur stänger man av Ping (ICMP) på Linux-servrar?