J'ai parlé de Mautic, une alternative open source pour mener des campagnes de marketing numérique. Mon intention était de commencer à expliquer à partir de cet article comment l'installer sur un serveur privé virtuel. Mais, par pur hasard, j'ai découvert quelque chose. Mon hébergeur propose deux types d'images pour la version serveur d'Ubuntu 20.04; l'original et un personnalisé par eux. Leur personnalisation permet de gagner du temps d'installation mais complique inutilement l'installation de Mautic.
Pour faire court, j'ai gaspillé une journée de recherche qui aurait pu me sauver en utilisant l'image originale, mais, comme certains Les choses que j'ai découvertes peuvent être utiles à quelqu'un, je les ai recyclées dans cet article.
Protéger l'utilisateur root
Gestion des utilisateurs
L'une des différences entre l'image originale d'Ubuntu et celle de mon fournisseur d'hébergement est que dans le premier, j'ai choisi mon nom d'utilisateur et mon mot de passe, tandis que dans le second, un utilisateur root a été créé et le mot de passe a été généré automatiquement.
Certaines distributions Linux vous demandent au moment de l'installation deux mots de passe, l'utilisateur et le mot de passe root. L'utilisateur root peut faire absolument tout ce qu'il veut avec le système. Pour des raisons de sécurité il est pratique de limiter l'utilisation et de créer un autre utilisateur qui a des pouvoirs d'administrateur, mais qui peut être retiré en cas de problèmes. C'est pourquoi Ubuntu choisit de ne pas créer ce type d'utilisateur par défaut bien qu'il soit possible de l'ajouter plus tard.
Lorsque vous vous connectez à Ubuntu, Si vous souhaitez apporter des modifications importantes, vous devez indiquer au système d'exploitation que vous disposez des autorisations nécessaires. Cela se fait en mettant le mot de passe dans la fenêtre qui s'ouvre ou en tapant une instruction précédée de la commande sudo dans le terminal.
L'utilisateur root a sa propre commande, su quoi pIl permet d'exécuter n'importe quelle commande non seulement en votre nom mais également au nom de tout autre utilisateur. Une fois que vous avez entré le mot de passe, vous pouvez faire ce que vous voulez avec le système jusqu'à ce que vous saisissiez sortie Dans le terminal.
Au lieu de cela, sudo Il ne peut être exécuté que pour le compte d'un seul utilisateur, une commande à la fois et vous devez réinitialiser le mot de passe toutes les 15 minutes.
Il doit être clair que Ubuntu a un utilisateur root, mais comme il n'a pas de mot de passe configuré, c'est comme s'il n'existait pas. Pour pouvoir l'activer, il vous suffit d'écrire la commande suivante:
sudo passwd root
Créer un nouvel utilisateur avec des pouvoirs d'administrateur
Si vous avez un serveur ou un ordinateur auquel de nombreuses personnes accèdent et, pour une raison quelconque, vous avez activé l'utilisateur root, lou mieux est de prendre des mesures de protection
Pour créer le nouvel utilisateur, nous écrivons la commande
sudo useradd nombre_de_usuario
N'oubliez pas de remplacer le nom d'utilisateur par le nom de votre choix.
Ensuite, nous attribuons un mot de passe
sudo passwd nombre_de_usuario
Le système vous demandera de saisir le mot de passe deux fois. N'oubliez pas que vous utilisez le terminal et que vous ne verrez pas ce que vous tapez.
Le programme proposera d'accepter les valeurs par défaut ou de remplir des informations supplémentaires. Je vous suggère d'accepter les paramètres par défaut.
Nous procédons maintenant à l'attribution des nouveaux pouvoirs d'administrateur utilisateur
usermod -aG sudo username
Protéger l'utilisateur root
Si votre fournisseur d'hébergement a créé un utilisateur root pour vous, il a probablement également généré un mot de passe qui répond à certaines recommandations de sécurité. Il est recommandé de le changer avec la commande
code> sudo passwd root
Gardez à l'esprit les conseils suivants:
- N'utilisez pas de mots qui se trouvent dans le dictionnaire.
- Combinez symboles et caractères alphanumériques.
- Écrivez un mot de passe aussi long que possible et utilisez un gestionnaire pour le stocker.
Vous pouvez verrouiller l'utilisateur root avec la commande suivante
sudo passwd -l root
Et déverrouillez-le en attribuant un nouveau mot de passe avec ceci:
sudo passwd root
Sécuriser l'accès à distance
N'oubliez pas que cet article était destiné à parler des serveurs privés virtuels. Il est possible que votre fournisseur vous autorise à accéder au serveur virtuel à l'aide du navigateur, mais vous aurez très probablement accès à distance à l'aide du protocole SSH. Une couche de sécurité supplémentaire consiste à désactiver l'utilisation de l'utilisateur root à distance.
Nous faisons cela avec:
sudo nano /etc/ssh/sshd_config
Nous recherchons cette ligne
PermitRootLogin
Et quand nous le trouvons, nous changeons Oui en Non.
Pendant que nous y sommes, recherchez la ligne suivante:
PermitEmptyPasswords
Et assurez-vous qu'il est réglé sur NON
Enregistrer les modifications avec CTRL + X