হাবিব মেহেনি/উইকিমিডিয়া কমন্স, সিসি বাই-এসএ

আজকাল, হোস্টিং-এ একটি সার্ভার উত্থাপন করা কয়েক মিনিট এবং কয়েকটি মাউস ক্লিকের ব্যাপার। কিন্তু লঞ্চের পরপরই, তিনি নিজেকে একটি প্রতিকূল পরিবেশে খুঁজে পান, কারণ তিনি একটি রকার ডিস্কোর একটি নিষ্পাপ মেয়ের মতো পুরো ইন্টারনেটের জন্য উন্মুক্ত। স্ক্যানাররা এটিকে দ্রুত খুঁজে বের করবে এবং হাজার হাজার স্বয়ংক্রিয়ভাবে স্ক্রিপ্ট করা বট সনাক্ত করবে যা দুর্বলতা এবং ভুল কনফিগারেশনের জন্য নেটওয়ার্ককে ঘায়েল করে। মৌলিক সুরক্ষা নিশ্চিত করার জন্য লঞ্চের পরপরই আপনার কিছু জিনিস করা উচিত।

সন্তুষ্ট

• নন-রুট ব্যবহারকারী
• SSH পাসওয়ার্ডের পরিবর্তে কী
• ফায়ারওয়াল
• Fail2Ban
• স্বয়ংক্রিয় নিরাপত্তা আপডেট
• ডিফল্ট পোর্ট পরিবর্তন করা হচ্ছে

নন-রুট ব্যবহারকারী

প্রথম ধাপ হল নিজের জন্য একটি নন-রুট ব্যবহারকারী তৈরি করা। বিন্দু যে ব্যবহারকারী root সিস্টেমে পরম সুবিধা, এবং আপনি যদি তাকে দূরবর্তী প্রশাসনের অনুমতি দেন, তাহলে আপনি হ্যাকারের জন্য অর্ধেক কাজ করবেন, তার জন্য একটি বৈধ ব্যবহারকারীর নাম রেখে দেবেন।

অতএব, আপনাকে অন্য ব্যবহারকারী তৈরি করতে হবে এবং রুটের জন্য SSH এর মাধ্যমে দূরবর্তী প্রশাসন অক্ষম করতে হবে।

একটি নতুন ব্যবহারকারী কমান্ড দ্বারা শুরু হয় useradd:

useradd [options] <username>

তারপর কমান্ডের সাথে এটির জন্য একটি পাসওয়ার্ড যোগ করা হয় passwd:

passwd <username>

অবশেষে, এই ব্যবহারকারীকে এমন একটি গোষ্ঠীতে যুক্ত করা দরকার যার উচ্চতর কমান্ড চালানোর অধিকার রয়েছে sudo. লিনাক্স ডিস্ট্রিবিউশনের উপর নির্ভর করে, এগুলি বিভিন্ন গ্রুপ হতে পারে। উদাহরণস্বরূপ, CentOS এবং Red Hat-এ, ব্যবহারকারীকে গ্রুপে যুক্ত করা হয় wheel:

usermod -aG wheel <username>

উবুন্টুতে এটি গ্রুপে যুক্ত করা হয় sudo:

usermod -aG sudo <username>

SSH পাসওয়ার্ডের পরিবর্তে কী

ব্রুট ফোর্স বা পাসওয়ার্ড ফাঁস একটি স্ট্যান্ডার্ড অ্যাটাক ভেক্টর, তাই এসএসএইচ (সিকিউর শেল) এ পাসওয়ার্ড প্রমাণীকরণ অক্ষম করা এবং পরিবর্তে কী প্রমাণীকরণ ব্যবহার করা ভাল।

এসএসএইচ প্রোটোকল বাস্তবায়নের জন্য বিভিন্ন প্রোগ্রাম রয়েছে, যেমন lsh и ড্রপবার, কিন্তু সবচেয়ে জনপ্রিয় হল OpenSSH। উবুন্টুতে OpenSSH ক্লায়েন্ট ইনস্টল করা হচ্ছে:

sudo apt install openssh-client

সার্ভার ইনস্টলেশন:

sudo apt install openssh-server

উবুন্টু সার্ভারে SSH ডেমন (sshd) শুরু করা হচ্ছে:

sudo systemctl start sshd

প্রতিটি বুটে স্বয়ংক্রিয়ভাবে ডেমন শুরু করুন:

sudo systemctl enable sshd

এটা উল্লেখ করা উচিত যে OpenSSH-এর সার্ভার অংশ ক্লায়েন্ট অংশ অন্তর্ভুক্ত করে। অর্থাৎ মাধ্যমে openssh-server আপনি অন্যান্য সার্ভারের সাথে সংযোগ করতে পারেন। তাছাড়া, আপনার ক্লায়েন্ট মেশিন থেকে, আপনি একটি দূরবর্তী সার্ভার থেকে একটি তৃতীয় পক্ষের হোস্টে একটি SSH টানেল শুরু করতে পারেন এবং তারপরে তৃতীয় পক্ষের হোস্ট রিমোট সার্ভারটিকে অনুরোধের উত্স হিসাবে বিবেচনা করবে৷ আপনার সিস্টেম মাস্ক করার জন্য একটি খুব সহজ বৈশিষ্ট্য. বিস্তারিত জানার জন্য নিবন্ধ দেখুন "ব্যবহারিক টিপস, উদাহরণ, এবং SSH টানেল".

একটি ক্লায়েন্ট মেশিনে, একটি কম্পিউটারে দূরবর্তী সংযোগের সম্ভাবনা রোধ করার জন্য (নিরাপত্তার কারণে) একটি পূর্ণাঙ্গ সার্ভার ইনস্টল করার কোন মানে হয় না।

সুতরাং, আপনার নতুন ব্যবহারকারীর জন্য, আপনাকে প্রথমে কম্পিউটারে SSH কী তৈরি করতে হবে যেখান থেকে আপনি সার্ভার অ্যাক্সেস করবেন:

ssh-keygen -t rsa

সর্বজনীন কী একটি ফাইলে সংরক্ষণ করা হয় .pub এবং র্যান্ডম অক্ষরের একটি স্ট্রিং এর মত দেখায় যা দিয়ে শুরু হয় ssh-rsa.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname

তারপর, রুট থেকে, ব্যবহারকারীর হোম ডিরেক্টরিতে সার্ভারে একটি SSH ডিরেক্টরি তৈরি করুন এবং ফাইলটিতে SSH পাবলিক কী যোগ করুন। authorized_keys, ভিমের মত একটি পাঠ্য সম্পাদক ব্যবহার করে:

mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keys

vim /home/user_name/.ssh/authorized_keys

অবশেষে, ফাইলের জন্য সঠিক অনুমতি সেট করুন:

chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keys

এবং এই ব্যবহারকারীর মালিকানা পরিবর্তন করুন:

chown -R username:username /home/username/.ssh

ক্লায়েন্টের দিকে, আপনাকে প্রমাণীকরণের জন্য গোপন কীটির অবস্থান নির্দিষ্ট করতে হবে:

ssh-add DIR_PATH/keylocation

এখন আপনি এই কী ব্যবহার করে ব্যবহারকারীর নামের অধীনে সার্ভারে লগ ইন করতে পারেন:

ssh [username]@hostname

অনুমোদনের পরে, আপনি ফাইল, ইউটিলিটি অনুলিপি করতে scp কমান্ড ব্যবহার করতে পারেন sshfs দূরবর্তীভাবে একটি ফাইল সিস্টেম বা ডিরেক্টরি মাউন্ট করতে।

ব্যক্তিগত কীটির বেশ কয়েকটি ব্যাকআপ কপি তৈরি করার পরামর্শ দেওয়া হয়, কারণ আপনি যদি পাসওয়ার্ড প্রমাণীকরণ অক্ষম করেন এবং এটি হারিয়ে ফেলেন তবে আপনার নিজের সার্ভারে লগ ইন করার কোনও উপায় থাকবে না।

উপরে উল্লিখিত হিসাবে, SSH-এ আপনাকে রুটের জন্য প্রমাণীকরণ নিষ্ক্রিয় করতে হবে (এই কারণেই আমরা একটি নতুন ব্যবহারকারী শুরু করেছি)।

CentOS/Red Hat-এ আমরা লাইনটি খুঁজে পাই PermitRootLogin yes কনফিগার ফাইলে /etc/ssh/sshd_config এবং এটি পরিবর্তন করুন:

PermitRootLogin no

উবুন্টুতে লাইন যোগ করুন PermitRootLogin no কনফিগার ফাইলে 10-my-sshd-settings.conf:

sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

নতুন ব্যবহারকারী তাদের কী দিয়ে প্রমাণীকরণ করছে তা যাচাই করার পরে, আপনি পাসওয়ার্ড ফাঁস বা পাশবিক শক্তির ঝুঁকি দূর করতে পাসওয়ার্ড প্রমাণীকরণ অক্ষম করতে পারেন। এখন, সার্ভার অ্যাক্সেস করার জন্য, একজন আক্রমণকারীকে একটি ব্যক্তিগত কী পেতে হবে।

CentOS/Red Hat-এ আমরা লাইনটি খুঁজে পাই PasswordAuthentication yes কনফিগার ফাইলে /etc/ssh/sshd_config এবং এটি এই মত পরিবর্তন করুন:

PasswordAuthentication no

উবুন্টুতে লাইন যোগ করুন PasswordAuthentication no নথিতে 10-my-sshd-settings.conf:

sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

SSH এর মাধ্যমে দ্বি-ফ্যাক্টর প্রমাণীকরণ সক্ষম করার নির্দেশাবলীর জন্য, দেখুন এখানে.

ফায়ারওয়াল

ফায়ারওয়াল নিশ্চিত করে যে শুধুমাত্র পোর্টের ট্র্যাফিক যা আপনি সরাসরি অনুমতি দেন সার্ভারে যাবে। এটি বন্দরগুলির শোষণের বিরুদ্ধে সুরক্ষা দেয় যা দুর্ঘটনাক্রমে অন্যান্য পরিষেবাগুলির সাথে সক্ষম হয়, যা আক্রমণের পৃষ্ঠকে ব্যাপকভাবে হ্রাস করে।

ফায়ারওয়াল ইনস্টল করার আগে, আপনাকে নিশ্চিত করতে হবে যে SSH ব্যতিক্রম তালিকায় অন্তর্ভুক্ত রয়েছে এবং ব্লক করা হবে না। অন্যথায়, ফায়ারওয়াল শুরু করার পরে, আমরা সার্ভারের সাথে সংযোগ করতে সক্ষম হব না।

উবুন্টু ডিস্ট্রিবিউশন আনকমপ্লিকেটেড ফায়ারওয়ালের সাথে আসে (ufw), এবং CentOS/Red Hat সহ - firewalld.

উবুন্টুতে ফায়ারওয়ালে SSH-কে অনুমতি দেওয়া হচ্ছে:

sudo ufw allow ssh

CentOS/Red Hat-এ কমান্ডটি ব্যবহার করুন firewall-cmd:

sudo firewall-cmd --zone=public --add-service=ssh --permanent

এই পদ্ধতির পরে, আপনি ফায়ারওয়াল শুরু করতে পারেন।

CentOS/Red Hat-এ, ফায়ারওয়ালডের জন্য সিস্টেমড পরিষেবা শুরু করুন:

sudo systemctl start firewalld
sudo systemctl enable firewalld

উবুন্টুতে আমরা নিম্নলিখিত কমান্ড ব্যবহার করি:

sudo ufw enable

Fail2Ban

সেবা Fail2Ban সার্ভারে লগ বিশ্লেষণ করে এবং প্রতিটি আইপি ঠিকানা থেকে অ্যাক্সেস প্রচেষ্টার সংখ্যা গণনা করে। সেটিংস একটি নির্দিষ্ট ব্যবধানের জন্য কতগুলি অ্যাক্সেস প্রচেষ্টা অনুমোদিত তার নিয়মগুলি নির্দিষ্ট করে - যার পরে এই আইপি ঠিকানাটি একটি নির্দিষ্ট সময়ের জন্য ব্লক করা হয়। উদাহরণস্বরূপ, আসুন 5 ঘন্টার মধ্যে 2টি ব্যর্থ SSH প্রমাণীকরণ প্রচেষ্টার অনুমতি দিন, তারপর প্রদত্ত IP ঠিকানাটি 12 ঘন্টার জন্য ব্লক করুন।

CentOS এবং Red Hat-এ Fail2Ban ইনস্টল করা হচ্ছে:

sudo yum install fail2ban

উবুন্টু এবং ডেবিয়ানে ইনস্টলেশন:

sudo apt install fail2ban

শুরু করা:

systemctl start fail2ban
systemctl enable fail2ban

প্রোগ্রামটিতে দুটি কনফিগারেশন ফাইল রয়েছে: /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf. নিষেধাজ্ঞা নিষেধাজ্ঞা দ্বিতীয় ফাইলে উল্লেখ করা হয়েছে.

SSH-এর জন্য জেল ডিফল্ট সেটিংস সহ ডিফল্টরূপে সক্রিয় করা হয়েছে (5 প্রচেষ্টা, ব্যবধান 10 মিনিট, 10 মিনিটের জন্য নিষিদ্ধ)।

[ডিফল্ট] ignorecommand=bantime=10m findtime=10m maxretry=5

SSH ছাড়াও, Fail2Ban nginx বা Apache ওয়েব সার্ভারে অন্যান্য পরিষেবাগুলিকে সুরক্ষিত করতে পারে।

স্বয়ংক্রিয় নিরাপত্তা আপডেট

আপনি জানেন, নতুন দুর্বলতা সব প্রোগ্রামে ক্রমাগত পাওয়া যায়। তথ্য প্রকাশিত হওয়ার পরে, জনপ্রিয় শোষণ প্যাকগুলিতে শোষণগুলি যুক্ত করা হয়, যা একটি সারিতে সমস্ত সার্ভার স্ক্যান করার সময় হ্যাকার এবং কিশোররা ব্যাপকভাবে ব্যবহার করে। অতএব, নিরাপত্তা আপডেটগুলি উপস্থিত হওয়ার সাথে সাথে ইনস্টল করা খুবই গুরুত্বপূর্ণ।

উবুন্টু সার্ভারে, স্বয়ংক্রিয় নিরাপত্তা আপডেটগুলি ডিফল্টরূপে সক্রিয় থাকে, তাই আর কোনো পদক্ষেপের প্রয়োজন নেই।

CentOS/Red Hat-এ আপনাকে অ্যাপ্লিকেশনটি ইনস্টল করতে হবে dnf-স্বয়ংক্রিয় এবং টাইমার চালু করুন:

sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer

টাইমার চেক:

sudo systemctl status dnf-automatic.timer

ডিফল্ট পোর্ট পরিবর্তন করা হচ্ছে

SSH 1995 সালে টেলনেট (পোর্ট 23) এবং এফটিপি (পোর্ট 21) প্রতিস্থাপনের জন্য তৈরি করা হয়েছিল, তাই প্রোগ্রামটির লেখক, তাতু ইল্টোনেন ডিফল্টরূপে নির্বাচিত পোর্ট 22, এবং IANA দ্বারা অনুমোদিত হয়েছে৷

স্বাভাবিকভাবেই, সমস্ত আক্রমণকারীরা জানে যে SSH কোন পোর্টে চলছে - এবং সফ্টওয়্যার সংস্করণটি খুঁজে বের করতে, স্ট্যান্ডার্ড রুট পাসওয়ার্ড চেক করতে এবং আরও অনেক কিছুর জন্য এটিকে বাকি স্ট্যান্ডার্ড পোর্টগুলির সাথে স্ক্যান করুন৷

স্ট্যান্ডার্ড পোর্ট পরিবর্তন করা - অস্পষ্টতা - কয়েকবার আবর্জনা ট্র্যাফিকের পরিমাণ, লগের আকার এবং সার্ভারে লোড হ্রাস করে এবং আক্রমণের পৃষ্ঠকেও হ্রাস করে। যদিও কিছু "অস্পষ্টতার মাধ্যমে সুরক্ষা" এই পদ্ধতির সমালোচনা করুন (অস্পষ্টতার মাধ্যমে নিরাপত্তা)। কারণ এই কৌশল মৌলিক বিরোধিতা করা হয় স্থাপত্য সুরক্ষা. অতএব, উদাহরণস্বরূপ, ইউএস ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি ইন "সার্ভার নিরাপত্তা নির্দেশিকা" একটি ওপেন সার্ভার আর্কিটেকচারের প্রয়োজনীয়তা নির্দেশ করে: "একটি সিস্টেমের নিরাপত্তা তার উপাদানগুলির বাস্তবায়নের গোপনীয়তার উপর নির্ভর করা উচিত নয়," নথিটি বলে৷

তাত্ত্বিকভাবে, ডিফল্ট পোর্ট পরিবর্তন করা উন্মুক্ত স্থাপত্যের অনুশীলনের বিরুদ্ধে। কিন্তু বাস্তবে, দূষিত ট্র্যাফিকের পরিমাণ প্রকৃতপক্ষে হ্রাস পেয়েছে, তাই এটি একটি সহজ এবং কার্যকর পরিমাপ।

নির্দেশনা পরিবর্তন করে পোর্ট নম্বর কনফিগার করা যেতে পারে Port 22 কনফিগার ফাইলে জন্য / etc / SSH / sshd_config. এটি পরামিতি দ্বারাও নির্দেশিত হয় -p <port> в sshd কমান্ড. SSH ক্লায়েন্ট এবং প্রোগ্রাম SFTP এছাড়াও বিকল্প সমর্থন -p <port>.

স্থিতিমাপ -p <port> কমান্ডের সাথে সংযোগ করার সময় পোর্ট নম্বর নির্দিষ্ট করতে ব্যবহার করা যেতে পারে ssh লিনাক্সে। ভিতরে SFTP и scp প্যারামিটার ব্যবহার করা হয় -P <port> (পুঁজি পি)। কমান্ড লাইন নির্দেশ কনফিগারেশন ফাইলের যেকোনো মান ওভাররাইড করে।

যদি অনেকগুলি সার্ভার থাকে তবে লিনাক্স সার্ভারকে রক্ষা করার জন্য এই সমস্ত ক্রিয়াগুলি একটি স্ক্রিপ্টে স্বয়ংক্রিয় হতে পারে। কিন্তু যদি শুধুমাত্র একটি সার্ভার থাকে, তবে প্রক্রিয়াটি ম্যানুয়ালি নিয়ন্ত্রণ করা ভাল।

বিজ্ঞাপনের অধিকারগুলিতে

অর্ডার করুন এবং এখনই শুরু করুন! ভিডিএস তৈরি যেকোনো কনফিগারেশন এবং যেকোনো অপারেটিং সিস্টেমের সাথে এক মিনিটের মধ্যে। সর্বাধিক কনফিগারেশন আপনাকে সম্পূর্ণরূপে আসতে দেবে - 128 CPU কোর, 512 GB RAM, 4000 GB NVMe। মহাকাব্য 🙂

উত্স: www.habr.com