I forbindelse med et flyt til enten shared eller dedicated eller VPS hosting løsning, som i mit tilfælde er det naturligvis en ret god ide at gennemgå sikkerheden. Det er guf for spammere og andre derude - hvis døren står åben på vidt gab. Så her er et par centrale emner, under overskriften unix sikkerhed: og et emne. I mit tilfælde er vi på en Linux 2.6.8-022stab070.9-enterprise - og ved. f.eks VPS løsninger, er det du får udleveret typisk en root account med tilhørende password, og så går du ellers igang med at logge direkte på via root og putty.

Ligesom med et hvilket som helst andet unix system er det vigtigste man kan sikre uauthoriseret adgang via root - nedenfor lukker vi for adgangen og sørger for det kun er administrative brugere der kan få lov at su til root.

Root adgang via administative brugere

1. Sørg for at lukke for at kunne logge på som root med det samme - lav en bruger udover root som du benytter.

[hosting.workday.dk:/root]adduser leisuresuit_larry

2. Jeg plejer at ændre lidt på prompten, så jeg får vist som i ovenstående, host samt path, og til jer spydige sjæle der mener det er fordi jeg er ved at blive gammel ... glem det. Tilføj følgende til din .profile eller .bash_profile afhængigt af shell setup. Set -o vi gør man kan ESC-K og se history - virker som VI med N for next / for søg osv.

PS1="[`hostname`:${PWD}]"
export PS1
set -o vi

3. Gå ind som root igen og editer /etc/group. Gruppen wheel bestemmer hvilke brugere der skal have lov til at forbinde sig som root ved brug af su.

wheel:*:0:root, leisuresuit_larry

4. Som root sæt password for larry ved; passwd leisuresuit_larry og test herefter du kan logge på via putty samt kan su til root.

5. Slå muligheden for at logge på som root. Editer filen /etc/ssh/sshd_config og sørg for PermitRootLogin ser ud som

PermitRootLogin No

Herfefter restarter du sshd demonen enten via

/etc/rc.d/init.d/sshd reload eller kill -HUP `cat /var/run/sshd.pid` sidstnævnte skader ikke igangværende ssh forbindelser.

6. Test via f.eks putty at root ikke længere lan logge på. Der er også nogen der ændre sshd demonen fra standard port 22 til f.eks 8888 - men det tager bare et splik sekund at finde ud af demonen ligger på en anden port så syntes selv ikke det er nogen ide.