Нужно ли запрещать root доступ на vps?

Question

[rgz]

Здравствуйте. Впервые настраиваю vps хостинг. Читал статьи, но многие из них друг-другу противоречат.
Интересует актуальные, для 2018 года подходы. И так, новичковые вопросы у меня следующие:

1. Нужно ли создавать запрет на логин рутом? (администратор сервера будет только один)
   
2. Актуально ли устанавливать denyhosts? Или уже есть другое, более актуальное по?
   
3. Какой установить файрвол?
   
4. Какие должны быть стандартные действия, кроме обновления, при создании конфигурации хостинга?
   

Конфиг такой: хост ovh, система debian 8, drupal 7, php 7, apache2, mysql 5

Answer 1

[Twelfth Doctor]

На Вашем месте, я бы установил для сайта на Drupal Nginx + php-fpm, а не Apache
Логин под root можно запретить, предварительно создав пользователя и добавив его в группу sudoers.

Comments

[rgz]

По поводу Apache, вроде бы сам Drupal.org рекомендует именно апач.
А по поводу sudoers, вопрос нужно ли запрещать логиниться через root?

[Twelfth Doctor]

rgz, да. Запретите логин через root пользователя.

[Максим Федоров]

+1 за легкий и потрясающий Nginx

Answer 2

[Sanes]

Sudo может точно также напортачить, как и root.

Answer 3

[Denis Michurin]

1. Рут отключить, создать своего пользователя и закинуть в группу sudo, при этом отключить запрос пароля sudo, и создав как можно более сложный пароль для вашего юзера
2. Создать свой ssh-key и заходить на сервер по нему
3. Для файрвола могу рекомендую для вас UFW, так он просто и подходит ваши задачи
4. Как уже сказал Twelfth Doctor - выкинуть apache, вместо него взять связку Nginx + php-fpm
5. Я бы по рекомендовал бы еще включить swap

Comments

[Пума Тайланд]

какой смысл перекидывать в судо и отключать запрос пароля ? пусть сразу рутом тогда ходит, будет ровно тоже самое

[Denis Michurin]

Пума Тайланд, отключение ввода пароля sudo на безопасность никак не влияет, если же конечно не херачить sudo su. Это всего лишь облегчение себе жизни.

[Пума Тайланд]

Denis Michurin, какой в этом смысл, проще тогда сразу ходить рутом.

[Denis Michurin]

Пума Тайланд, нуда и сломать что-нибудь или запустить что-нибудь не то... А лучше то и то сразу

[Пума Тайланд]

Denis Michurin, ну он так же сломает с судо

[Denis Michurin]

Пума Тайланд, окей простой пример:
вы даете даете двум детям по пистолету - поиграться, один оборудован предохранителем, второй нет.
у кого больше шансов выстрелить случайно, у ребенка которого есть предохранитель на пистолете или у которого же нет?

Ответ на случай если вам лень думать

У того, которого нет защиты

[Пума Тайланд]

Denis Michurin, так у него нет пароля на судо он все будет делать просто через судо, Но вернёмся к основному, если нет пароля то просто хуже безопасность

[Denis Michurin]

Пума Тайланд, так он и так будет это делать, пароль судо вводится один раз и действует в течение всей сессии пользователя, так какая разница будет пароль он вводить при первом запуске программы через судо или нет?
Еще раз повторюсь отключение пароля - никак не влияет на безопасность, и написано это было чтобы упростить жизнь человеку

[Пума Тайланд]

Denis Michurin, пароль это ещё один уровень защиты от взлома, то есть надо украсть файл с ключом по которому ходит юзер и пароль чтобы стать рутом, такой ту фактор стиллинг

Answer 4

[Артемий]

Как же без рута. Надо только удаленный логин как root запретить и fail2ban поставить за фаерволом (ufw?).
Ну и сразу можно в виртуалки под lxd запаковать для мобильности.