Я использую свежий VPS с Ubuntu Server 12.04. Я хотел спросить у вас, какие передовые практики можно применить для повышения безопасности стандартного сервера Ubuntu.
Вот что я делал до сих пор: Я добавил Google Authenticator в SSH, затем я создал нового пользователя (которого я буду использовать вместо root для доступа по SSH и SFTP), которого я добавил в свой список / etc / sudoers ниже root, так что теперь он:
# User privilege specification
root ALL=(ALL:ALL) ALL
new_user ALL=(ALL:ALL) ALL
Затем я отредактировал sshd_config и установил для PermitRootLogin значение «нет». Затем перезапустил службу ssh.
Это нормально? Однако я хотел бы спросить вас о нескольких вещах:
1) В чем смысл добавления нового пользователя (sudoer), пока пользователь root все еще существует (хорошо, он не может получить доступ с правами root, но он все еще существует ...)? 2) Системные файлы принадлежат root ... Я хочу использовать свой new_user для доступа через SFTP, но с ним я не могу редактировать эти файлы !! Следует ли мне массово использовать CHMOD, чтобы у new_user тоже были права записи? Какая в этом хорошая практика?
Заранее спасибо, надеюсь, вы мне скажете, сделал ли я что-то не так и / или другими способами защитить систему. :)
Это хорошее начало.
Учетная запись new_user получит повышенные привилегии с помощью команды sudo. Для этого требуется вводить пароль new_user при появлении запроса (и он запоминает в течение короткого периода времени, поэтому не каждый раз, когда вы его используете) и, таким образом, более безопасен, чем обычная учетная запись root, которая всегда имеет повышенные привилегии.
Чтобы просмотреть файл журнала, принадлежащий root, вы должны запустить sudo less /var/log/foo а затем введите пароль учетной записи new_user.
Чтобы отключить учетную запись «root», вы можете использовать passwd команда.
sudo passwd -d root
Это удалит пароль. Если вы хотите только отключить учетную запись и желаете восстановить ее в случае необходимости, -l и -u опции заблокируют и разблокируют учетную запись соответственно.
вы также можете быть заинтересованы в изменении порта ssh, изменении разрешенного диапазона IP-адресов в iptables, без использования sudo и использования очень надежного пароля для root.