Когда отключать учетную запись root на сервере Ubuntu

Я настроил Ubuntu 20.xx в качестве веб-сервера в облаке, предоставленном Digital Ocean, и хочу установить Node, Express, Mongo и, возможно, NginX. В нескольких статьях упоминается отключение пользователя root для повышения безопасности и создания нового пользователя с административным доступом. Для этого я создал нового пользователя, а затем использовал его для настройки всех приложений, но столкнулся с проблемой с nginx.

Должен ли я вместо этого использовать пользователя root, чтобы сначала настроить все приложения и разрешить приложениям запускаться под root? Затем создайте второго пользователя-администратора с доступом по ssh, а затем отключите ssh для root?

ОБНОВЛЕНИЕ1: Всем спасибо за помощь, я обновил вопрос и добавил облачную установку.

ОБНОВЛЕНИЕ2:

Спасибо за подробное объяснение. Как я понимаю :

1. Пользователь Sudo имеет те же привилегии, что и root
2. Пользователь Sudo может отслеживать, кто выполнял действия (актуально, когда речь идет о нескольких пользователях).
3. Веб-приложения (node, pm2, mongo) можно установить ЛИБО с root и/или учетные записи пользователей sudo, поскольку эти приложения должны работать с собственными учетными записями пользователей по умолчанию.
4. Со временем отключите root ssh, чтобы защититься от атак грубой силы.

On a stock install of Ubuntu Server on bare metal or a self-hosted VM, the root user is already disabled. DON'T enable root. Use Ubuntu the way that it's designed to be used.

On a cloud install of Ubuntu, you're not installing; the finished container/VM is handed to you. Cloud users often have a functioning root prompt so they can create admin sudo users. Advice: After you create those users and install their SSH keys, disable root login (and all password login) to protect your system from attackers.

If you are encountering a problem with nginx, please open a new question specifically about that problem.

Когда отключать учетную запись root на сервере Ubuntu?

Я бы предложил не делать этого, а делать что-то, чтобы максимизировать безопасность. Посмотрим правде в глаза, если правительство захочет получить доступ к вашему серверу, они воспользуются простым способом просмотра ваших файлов. Мы беспокоимся только о хакерах снаружи.

У меня есть экземпляр на RamNode, который я использую для своих веб-сайтов. Когда я впервые узнал, как настроить автоматический сервер Ubuntu, я обнаружил несколько важных вещей. Как только вы настроите сервер, кто-нибудь попытается взломать его!

1. Создайте надежный пароль root. Длина должна быть не менее 32 символов. Не дублируйте ключи рядом друг с другом. Используйте все символьные клавиши на клавиатуре в случайном порядке, кроме клавиши обратной кавычки '. Используйте специальные символы, такие как $%&, и не используйте слова или фразы. Я храню свои данные для входа следующим образом в текстовом файле на моем основном компьютере: ssh [email protected] 6^g0)6)nS3@sGh^7*9L:pR%bS@3d9

2. Как только вы создали свой сервер, сделайте следующее: ufw разрешить ssh ufw включить удачное обновление список подходящих --обновляемый удачное обновление

Теперь вы заблокировали всех, кто пытается проникнуть в ваш корень, и обновили файлы Ubuntu. Никакие другие порты не открыты для любого другого доступа, кроме ssh.

Я также использую только ipv4, поэтому я блокирую доступ ipv6 через файл sshd_config, файл /etc/default/ufw и файл /etc/default/grub.

Чтобы увидеть, кто атакует, используйте эту команду: статус службы sshd Вы можете быть удивлены, увидев, как быстро они начинают пытаться проникнуть в ваш сервер. Я получаю удары из Китая почти без перерыва. КПК десятилетиями воровала данные откуда только могла. Но это другая история.