{"id":232193,"date":"2023-01-22T16:03:00","date_gmt":"2023-01-22T13:03:00","guid":{"rendered":"https:\/\/wordpress.mediadoma.com\/?p=232193"},"modified":"2022-11-10T08:01:19","modified_gmt":"2022-11-10T05:01:19","slug":"saekra-linux-servern-genom-att-inte-tillaata-fjaerrinloggning-ssh-och-ftp-och-mysql-databas","status":"publish","type":"post","link":"https:\/\/wordpress.mediadoma.com\/sv\/saekra-linux-servern-genom-att-inte-tillaata-fjaerrinloggning-ssh-och-ftp-och-mysql-databas\/","title":{"rendered":"S\u00e4kra Linux-servern genom att inte till\u00e5ta fj\u00e4rrinloggning (SSH och FTP och MySQL-databas)"},"content":{"rendered":"\n

I det h\u00e4r inl\u00e4gget<\/a> vet vi hur viktig s\u00e4kerheten \u00e4r. Om du hanterar din server (VPS, molnv\u00e4rd eller dedikerad server) m\u00e5ste du ha root<\/strong> – \u00e5tkomst. Roten \u00e4r<\/strong> som administrat\u00f6rskontot<\/strong> p\u00e5 Windows, men bara mer kraftfull (du kan i princip g\u00f6ra vad som helst).<\/p>\n

Det \u00e4r f\u00f6rmodligen inte en bra id\u00e9 att byta namn p\u00e5 root-<\/strong> kontot (eller d\u00f6lja det) p\u00e5 Linux-system, detta beror p\u00e5 att m\u00e5nga applikationer\/program som sendmail<\/strong> antar att det finns ett root-<\/strong> konto eller s\u00e5 b\u00f6rjar saker g\u00e5 s\u00f6nder om roten<\/strong> hittas inte (I Windows kan du byta namn p\u00e5 administrat\u00f6rskontot<\/strong> ). Du m\u00e5ste dock ha och f\u00f6resl\u00e5s ha ett normalt anv\u00e4ndarkonto (mindre kraftfullt) som hanterar dagliga jobb, s\u00e5 du kommer inte att skada systemet om du ibland g\u00f6r misstag.<\/p>\n

SSH<\/h3>\n

F\u00f6r att skapa en normal anv\u00e4ndare, k\u00f6r kommandot sudo adduser nuser<\/strong> d\u00e4r nuser<\/strong> \u00e4r anv\u00e4ndarkontot vi vill l\u00e4gga till. F\u00f6lj instruktionerna f\u00f6r att st\u00e4lla in l\u00f6senordet eller s\u00e5 kan du utf\u00e4rda passwd nuser<\/strong> senare.<\/p>\n

Dubbelkolla att du faktiskt kan logga in med SSH och byta till root<\/strong> med su<\/strong>. N\u00e4r dessa har bekr\u00e4ftats, och du m\u00e5ste redigera filen p\u00e5 \/etc\/ssh\/sshd_config<\/strong> med din favorittextredigerare (t.ex. vim). Leta sedan efter raden PermitRootLogin ja<\/strong> och \u00e4ndra den till PermitRootLogin no<\/strong>. Starta om ssh-servern s\u00e5 h\u00e4r:<\/p>\n

Om du sedan loggar in igen med root<\/strong>, kommer det alltid att nekas, vilket g\u00f6r systemet lite s\u00e4kert (som du vet finns det massor av IP:er som brute forcerar och f\u00f6rs\u00f6ker hacka ditt root-konto).<\/p>\n

FTP (vsFTP)<\/h3>\n

FTP \u00e4r inte s\u00e5 s\u00e4kert, men om du insisterar p\u00e5 att anv\u00e4nda det, se till att du anv\u00e4nder SFTP eller SSL\/TLS<\/strong> om till\u00e4mpligt. Den popul\u00e4ra FTP-servern p\u00e5 Linux \u00e4r vsFTP<\/strong> och efter att du har installerat den, se till att du ocks\u00e5 inaktiverar rotinloggning.<\/p>\n

Konfigurationen f\u00f6r vsFTP<\/strong> finns i filen \/etc\/vsftp.conf<\/strong> och du m\u00e5ste se till att f\u00f6ljande v\u00e4rden \u00e4r inst\u00e4llda (kan l\u00e4ggas till):<\/p>\n

anonymous_enable=NO \u00a0# no anonymous login plz\nlocal_enable=YES\nwrite_enable=YES\nuserlist_enable=YES\nuserlist_deny=NO\nuserlist_file=\/etc\/vsftpd.users<\/code><\/pre>\n
Och skapa en fil p\u00e5 \/etc\/vsftpd.users<\/strong> om den inte finns d\u00e4r \u00e4nnu, och l\u00e4gg till de till\u00e5tna anv\u00e4ndarna rad f\u00f6r rad i filen. Starta om vsFTP genom att:<\/p>\n
sudo service vsftpd restart<\/code><\/pre>\n
Och om du loggar in med root<\/strong>, kommer det att neka med detta meddelande:<\/p>\n
Connecting to: XXXXXXXXX\n220 (vsFTPd 3.0.2)\nUSER root\n530 Permission denied.\n220 (vsFTPd 3.0.2)\nUSER root\n530 Permission denied.\nCertificate: \nCan't connect\nLastError: 0<\/code><\/pre>\n
MySQL-databas<\/h3>\n
Inaktivera rotinloggning p\u00e5 distans<\/h4>\n
Ta bort fj\u00e4rrrotinloggning till din MySQL-databas eftersom det f\u00f6rblir h\u00f6ga risker att ha ditt rootkonto tillg\u00e4ngligt fr\u00e5n en annan maskin snarare lokalt. Men om du har en dedikerad server som fungerar som databas, s\u00e5 \u00e4r det en annan historia, i s\u00e5 fall m\u00e5ste du st\u00e4rka root-l\u00f6senordet och eventuellt anv\u00e4nda vanliga konton i din wordpress eller andra webbplatser. Se till att du inte exponerar dessa konfigurationsfiler (t.ex. wp-config.php) l\u00e4tt. G\u00f6r helt enkelt dessa filer inte skrivbara.<\/p>\n
Logga in p\u00e5 MySQL fr\u00e5n kommandoraden och k\u00f6r f\u00f6ljande tv\u00e5 kommandon f\u00f6r att ta bort fj\u00e4rrrotinloggning.<\/p>\n
DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');\nflush privileges;<\/code><\/pre>\n
Inaktivera alla inloggningar p\u00e5 distans<\/h4>\n
Om du vill f\u00f6rbjuda alla inloggningar p\u00e5 distans, och bara till\u00e5ter lokala anslutningar, kan du helt enkelt l\u00e4gga till skip-n\u00e4tverk<\/strong> (eller avkommentera raden) i \/etc\/mysql\/my.cnf<\/strong> i avsnittet av [mysqld]<\/strong>.<\/p>\n
[mysqld]\nport=3306\nskip-networking<\/code><\/pre>\n
Du m\u00e5ste sedan starta om MySQLd-demonen.<\/p>\n
sudo service mysqld restart<\/code><\/pre>\n
Rekommenderade s\u00e4kerhetskonfigurationer f\u00f6r Linux-servrar<\/h3>\n