Захистіть сервер Linux, заборонивши віддалений вхід у root (SSH і FTP і база даних MySQL)
У цій публікації ми знаємо, наскільки важлива безпека. Якщо ви керуєте своїм сервером (VPS, хмарним хостингом або виділеним сервером), ви повинні мати кореневий доступ. Корінь схожий на обліковий запис адміністратора в Windows, але тільки більш потужний (ви можете в основному робити що завгодно).
Можливо, перейменувати обліковий запис root (або приховати його) у системі Linux не дуже гарна ідея, це пов’язано з тим, що багато програм/програм, таких як sendmail, припускають наявність облікового запису root, інакше щось почне ламатися, якщо root не знайдено (у Windows ви можете перейменувати обліковий запис адміністратора ). Однак вам необхідно мати звичайний обліковий запис користувача (менш потужний), який виконує повсякденні завдання, тому ви не завдасте шкоди системі, якщо час від часу робите помилки.
SSH
Щоб створити звичайного користувача, виконайте команду sudo adduser nuser, де nuser є обліковим записом користувача, якого ми хочемо додати. Дотримуйтесь інструкцій, щоб встановити пароль, або ви можете ввести пароль nuser пізніше.
Ще раз переконайтеся, що ви справді можете ввійти за допомогою SSH і перейти на root за допомогою su. Після підтвердження вам потрібно буде відредагувати файл у /etc/ssh/sshd_config у вашому улюбленому текстовому редакторі (наприклад, vim). Потім знайдіть рядок PermitRootLogin yes і змініть його на PermitRootLogin no. Перезапустіть сервер ssh так:
Потім, якщо ви повторно ввійдете за допомогою root, вам завжди буде відмовлено, що робить систему дещо безпечнішою (як ви знаєте, існує багато IP-адрес грубим підбором і спроби зламати ваш обліковий запис root).
FTP (vsFTP)
FTP не настільки безпечний, але якщо ви наполягаєте на його використанні, переконайтеся, що ви використовуєте SFTP або SSL/TLS, якщо це можливо. Популярним FTP-сервером у Linux є vsFTP, і після його інсталяції переконайтеся, що ви також вимкнули вхід root.
Конфігурація для vsFTP знаходиться у файлі /etc/vsftp.conf, і вам потрібно переконатися, що встановлено такі значення (можна додати):
anonymous_enable=NO # no anonymous login plz
local_enable=YES
write_enable=YES
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd.usersІ створіть файл у /etc/vsftpd.users, якщо його там ще немає, і додайте дозволених користувачів рядок за рядком у файлі. Перезапустіть vsFTP:
sudo service vsftpd restartІ якщо ви ввійдете за допомогою root, він відмовить із таким повідомленням:
Connecting to: XXXXXXXXX
220 (vsFTPd 3.0.2)
USER root
530 Permission denied.
220 (vsFTPd 3.0.2)
USER root
530 Permission denied.
Certificate:
Can't connect
LastError: 0База даних MySQL
Віддалено вимкнути root-вхід
Видаліть віддалений вхід root у свою базу даних MySQL, тому що існує високий ризик мати доступ до вашого root-облікового запису з іншої машини, а локально. Однак, якщо у вас є виділений сервер, який служить базою даних, це інша історія, і в цьому випадку вам потрібно посилити пароль користувача root і, можливо, використовувати звичайні облікові записи у вашому WordPress або інших веб-сайтах. Переконайтеся, що ви не відкриваєте ці конфігураційні файли (наприклад, wp-config.php) легко. Просто зробіть такі файли недоступними для запису.
Увійдіть до MySQL з командного рядка та виконайте наступні дві команди, щоб видалити віддалений авторизований вхід.
DELETE FROM mysql.user WHERE User='root' AND Host NOT IN ('localhost', '127.0.0.1', '::1');
flush privileges;Вимкнути всі входи віддалено
Якщо ви хочете заборонити всі віддалені входи та дозволити лише локальні підключення, ви можете просто додати skip-networking (або розкоментувати рядок) у /etc/mysql/my.cnf у розділі [mysqld].
[mysqld]
port=3306
skip-networkingПотім потрібно перезапустити демон MySQLd.
sudo service mysqld restart