હબીબ મેહેન્ની/વિકિમીડિયા કોમન્સ, સીસી બાય-એસએ

આજકાલ, હોસ્ટિંગ પર સર્વર ઉભું કરવું એ થોડી મિનિટો અને થોડી માઉસ ક્લિકની બાબત છે. પરંતુ લોન્ચ થયા પછી તરત જ, તે પોતાને પ્રતિકૂળ વાતાવરણમાં શોધે છે, કારણ કે તે રોકર ડિસ્કોમાં નિર્દોષ છોકરીની જેમ સમગ્ર ઇન્ટરનેટ માટે ખુલ્લું છે. સ્કેનર્સ તેને ઝડપથી શોધી કાઢશે અને હજારો આપોઆપ સ્ક્રિપ્ટેડ બોટ્સ શોધી કાઢશે જે નબળાઈઓ અને ખોટી ગોઠવણીઓ શોધી રહેલા નેટવર્કને સ્કોર કરે છે. મૂળભૂત સુરક્ષા સુનિશ્ચિત કરવા માટે તમારે લોન્ચ કર્યા પછી તરત જ કરવું જોઈએ એવી કેટલીક બાબતો છે.

અનુક્રમણિકા

• બિન-રુટ વપરાશકર્તા
• SSH પાસવર્ડને બદલે કી
• ફાયરવોલ
• Fail2 બૅન
• સ્વચાલિત સુરક્ષા અપડેટ્સ
• ડિફૉલ્ટ બંદરો બદલી રહ્યા છીએ

બિન-રુટ વપરાશકર્તા

પ્રથમ પગલું તમારા માટે બિન-રુટ વપરાશકર્તા બનાવવાનું છે. મુદ્દો એ છે કે વપરાશકર્તા root સિસ્ટમમાં સંપૂર્ણ વિશેષાધિકારો, અને જો તમે તેને દૂરસ્થ વહીવટની મંજૂરી આપો છો, તો પછી તમે હેકર માટે અડધું કામ કરશો, તેના માટે માન્ય વપરાશકર્તા નામ છોડીને.

તેથી, તમારે અન્ય વપરાશકર્તા બનાવવાની જરૂર છે, અને રૂટ માટે SSH દ્વારા દૂરસ્થ વહીવટને અક્ષમ કરો.

આદેશ દ્વારા નવો વપરાશકર્તા શરૂ થાય છે useradd:

useradd [options] <username>

પછી આદેશ સાથે તેના માટે પાસવર્ડ ઉમેરવામાં આવે છે passwd:

passwd <username>

છેલ્લે, આ વપરાશકર્તાને એવા જૂથમાં ઉમેરવાની જરૂર છે કે જેને એલિવેટેડ આદેશો ચલાવવાનો અધિકાર છે sudo. Linux વિતરણ પર આધાર રાખીને, આ વિવિધ જૂથો હોઈ શકે છે. ઉદાહરણ તરીકે, CentOS અને Red Hat માં, વપરાશકર્તાને જૂથમાં ઉમેરવામાં આવે છે wheel:

usermod -aG wheel <username>

ઉબુન્ટુમાં તે જૂથમાં ઉમેરવામાં આવે છે sudo:

usermod -aG sudo <username>

SSH પાસવર્ડને બદલે કી

બ્રુટ ફોર્સ અથવા પાસવર્ડ લીક્સ એ સ્ટાન્ડર્ડ એટેક વેક્ટર છે, તેથી SSH (સિક્યોર શેલ) માં પાસવર્ડ ઓથેન્ટિકેશનને અક્ષમ કરવું અને તેના બદલે કી ઓથેન્ટિકેશનનો ઉપયોગ કરવો શ્રેષ્ઠ છે.

SSH પ્રોટોકોલના અમલીકરણ માટે વિવિધ કાર્યક્રમો છે, જેમ કે lsh и ડ્રોપબિયર, પરંતુ સૌથી વધુ લોકપ્રિય OpenSSH છે. ઉબુન્ટુ પર ઓપનએસએસએચ ક્લાયંટ ઇન્સ્ટોલ કરવું:

sudo apt install openssh-client

સર્વર ઇન્સ્ટોલેશન:

sudo apt install openssh-server

ઉબુન્ટુ સર્વર પર SSH ડિમન (sshd) શરૂ કરી રહ્યા છીએ:

sudo systemctl start sshd

દરેક બુટ પર આપમેળે ડિમન શરૂ કરો:

sudo systemctl enable sshd

એ નોંધવું જોઈએ કે OpenSSH ના સર્વર ભાગમાં ક્લાયંટ ભાગનો સમાવેશ થાય છે. એટલે કે, દ્વારા openssh-server તમે અન્ય સર્વર સાથે જોડાઈ શકો છો. તદુપરાંત, તમારા ક્લાયંટ મશીનથી, તમે રિમોટ સર્વરથી તૃતીય-પક્ષ હોસ્ટ પર SSH ટનલ શરૂ કરી શકો છો, અને પછી તૃતીય-પક્ષ હોસ્ટ રિમોટ સર્વરને વિનંતીઓના સ્ત્રોત તરીકે ધ્યાનમાં લેશે. તમારી સિસ્ટમને માસ્ક કરવા માટે ખૂબ જ સરળ સુવિધા. વિગતો માટે લેખ જુઓ "વ્યવહારિક ટિપ્સ, ઉદાહરણો અને SSH ટનલ".

ક્લાયંટ મશીન પર, કમ્પ્યુટર સાથે રિમોટ કનેક્શનની શક્યતાને રોકવા માટે (સુરક્ષા કારણોસર) સંપૂર્ણ સર્વર ઇન્સ્ટોલ કરવાનો સામાન્ય રીતે કોઈ અર્થ નથી.

તેથી, તમારા નવા વપરાશકર્તા માટે, તમારે પહેલા કમ્પ્યુટર પર SSH કી જનરેટ કરવાની જરૂર છે જેમાંથી તમે સર્વરને ઍક્સેસ કરશો:

ssh-keygen -t rsa

સાર્વજનિક કી ફાઇલમાં સંગ્રહિત થાય છે .pub અને રેન્ડમ અક્ષરોની સ્ટ્રિંગ જેવો દેખાય છે જેની સાથે શરૂ થાય છે ssh-rsa.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname

પછી, રુટની નીચેથી, વપરાશકર્તાની હોમ ડિરેક્ટરીમાં સર્વર પર SSH ડિરેક્ટરી બનાવો અને ફાઇલમાં SSH જાહેર કી ઉમેરો. authorized_keys, વિમ જેવા ટેક્સ્ટ એડિટરનો ઉપયોગ કરીને:

mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keys

vim /home/user_name/.ssh/authorized_keys

છેલ્લે, ફાઇલ માટે યોગ્ય પરવાનગીઓ સેટ કરો:

chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keys

અને આ વપરાશકર્તાની માલિકી બદલો:

chown -R username:username /home/username/.ssh

ક્લાયંટ બાજુ પર, તમારે પ્રમાણીકરણ માટે ગુપ્ત કીનું સ્થાન નિર્દિષ્ટ કરવાની જરૂર છે:

ssh-add DIR_PATH/keylocation

હવે તમે આ કીનો ઉપયોગ કરીને વપરાશકર્તાનામ હેઠળ સર્વરમાં લૉગ ઇન કરી શકો છો:

ssh [username]@hostname

અધિકૃતતા પછી, તમે ફાઈલો, ઉપયોગિતાની નકલ કરવા માટે scp આદેશનો ઉપયોગ કરી શકો છો sshfs ફાઇલ સિસ્ટમ અથવા ડિરેક્ટરીઓ દૂરસ્થ રીતે માઉન્ટ કરવા માટે.

ખાનગી કીની ઘણી બેકઅપ નકલો બનાવવાની સલાહ આપવામાં આવે છે, કારણ કે જો તમે પાસવર્ડ પ્રમાણીકરણને અક્ષમ કરો છો અને તેને ગુમાવો છો, તો તમારી પાસે તમારા પોતાના સર્વરમાં લૉગ ઇન કરવાનો કોઈ રસ્તો રહેશે નહીં.

ઉપર જણાવ્યા મુજબ, SSH માં તમારે રૂટ માટે પ્રમાણીકરણ અક્ષમ કરવાની જરૂર છે (આ કારણ છે કે અમે એક નવો વપરાશકર્તા શરૂ કર્યો છે).

CentOS/Red Hat પર આપણને લાઇન મળે છે PermitRootLogin yes રૂપરેખા ફાઈલમાં /etc/ssh/sshd_config અને તેને બદલો:

PermitRootLogin no

ઉબુન્ટુ પર લાઇન ઉમેરો PermitRootLogin no રૂપરેખા ફાઇલમાં 10-my-sshd-settings.conf:

sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

નવા વપરાશકર્તા તેમની કી વડે પ્રમાણિત કરી રહ્યા છે તે ચકાસ્યા પછી, તમે પાસવર્ડ લીકેજ અથવા બ્રુટ ફોર્સના જોખમને દૂર કરવા માટે પાસવર્ડ પ્રમાણીકરણને અક્ષમ કરી શકો છો. હવે, સર્વરને ઍક્સેસ કરવા માટે, હુમલાખોરને ખાનગી કી મેળવવાની જરૂર પડશે.

CentOS/Red Hat પર આપણને લાઇન મળે છે PasswordAuthentication yes રૂપરેખા ફાઈલમાં /etc/ssh/sshd_config અને તેને આ રીતે બદલો:

PasswordAuthentication no

ઉબુન્ટુ પર લાઇન ઉમેરો PasswordAuthentication no ફાઈલ કરવા માટે 10-my-sshd-settings.conf:

sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

SSH દ્વારા દ્વિ-પરિબળ પ્રમાણીકરણને સક્ષમ કરવા માટેની સૂચનાઓ માટે, જુઓ અહીં.

ફાયરવોલ

ફાયરવોલ એ સુનિશ્ચિત કરે છે કે તમે સીધા જ મંજૂરી આપો છો તે બંદરો પરનો ટ્રાફિક જ સર્વર પર જશે. આ બંદરોના શોષણ સામે રક્ષણ આપે છે જે આકસ્મિક રીતે અન્ય સેવાઓ સાથે સક્ષમ કરવામાં આવે છે, જે હુમલાની સપાટીને મોટા પ્રમાણમાં ઘટાડે છે.

ફાયરવોલ ઇન્સ્ટોલ કરતા પહેલા, તમારે ખાતરી કરવાની જરૂર છે કે SSH બાકાત સૂચિમાં શામેલ છે અને તેને અવરોધિત કરવામાં આવશે નહીં. નહિંતર, ફાયરવોલ શરૂ કર્યા પછી, અમે સર્વર સાથે કનેક્ટ થઈ શકીશું નહીં.

ઉબુન્ટુ વિતરણ અનકોમ્પ્લિકેટેડ ફાયરવોલ સાથે આવે છે (યુએફયુ), અને CentOS/Red Hat સાથે - ફાયરવાલ્ડ.

ઉબુન્ટુ પર ફાયરવોલમાં SSH ને મંજૂરી આપવી:

sudo ufw allow ssh

CentOS/Red Hat પર આદેશનો ઉપયોગ કરો firewall-cmd:

sudo firewall-cmd --zone=public --add-service=ssh --permanent

આ પ્રક્રિયા પછી, તમે ફાયરવોલ શરૂ કરી શકો છો.

CentOS/Red Hat પર, firewalld માટે systemd સેવા શરૂ કરો:

sudo systemctl start firewalld
sudo systemctl enable firewalld

ઉબુન્ટુ પર આપણે નીચેના આદેશનો ઉપયોગ કરીએ છીએ:

sudo ufw enable

Fail2 બૅન

સેવા Fail2 બૅન સર્વર પરના લોગનું વિશ્લેષણ કરે છે અને દરેક IP સરનામાંમાંથી એક્સેસ પ્રયાસોની સંખ્યા ગણે છે. સેટિંગ્સ ચોક્કસ અંતરાલ માટે કેટલા ઍક્સેસ પ્રયાસોને મંજૂરી આપવામાં આવે છે તેના નિયમોનો ઉલ્લેખ કરે છે - જે પછી આ IP સરનામું ચોક્કસ સમયગાળા માટે અવરોધિત કરવામાં આવે છે. ઉદાહરણ તરીકે, ચાલો 5 કલાકની અંદર 2 નિષ્ફળ SSH પ્રમાણીકરણ પ્રયાસોને મંજૂરી આપીએ, પછી આપેલ IP સરનામાને 12 કલાક માટે અવરોધિત કરીએ.

CentOS અને Red Hat પર Fail2Ban ઇન્સ્ટોલ કરવું:

sudo yum install fail2ban

ઉબુન્ટુ અને ડેબિયન પર ઇન્સ્ટોલેશન:

sudo apt install fail2ban

લોન્ચ:

systemctl start fail2ban
systemctl enable fail2ban

પ્રોગ્રામમાં બે રૂપરેખાંકન ફાઇલો છે: /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf. પ્રતિબંધ પ્રતિબંધો બીજી ફાઇલમાં ઉલ્લેખિત છે.

SSH માટે જેલ ડિફોલ્ટ સેટિંગ્સ સાથે ડિફોલ્ટ રૂપે સક્ષમ છે (5 પ્રયાસો, અંતરાલ 10 મિનિટ, 10 મિનિટ માટે પ્રતિબંધ).

[DEFAULT] ignorecommand=bantime=10m findtime=10m maxretry=5

SSH ઉપરાંત, Fail2Ban nginx અથવા Apache વેબ સર્વર પર અન્ય સેવાઓને સુરક્ષિત કરી શકે છે.

સ્વચાલિત સુરક્ષા અપડેટ્સ

જેમ તમે જાણો છો, તમામ પ્રોગ્રામ્સમાં નવી નબળાઈઓ સતત જોવા મળે છે. માહિતી પ્રકાશિત થયા પછી, લોકપ્રિય શોષણ પેકમાં શોષણ ઉમેરવામાં આવે છે, જેનો ઉપયોગ હેકર્સ અને કિશોરો દ્વારા સળંગ તમામ સર્વર્સને સ્કેન કરતી વખતે કરવામાં આવે છે. તેથી, સુરક્ષા અપડેટ્સ દેખાય કે તરત જ ઇન્સ્ટોલ કરવું ખૂબ જ મહત્વપૂર્ણ છે.

ઉબુન્ટુ સર્વર પર, સ્વચાલિત સુરક્ષા અપડેટ્સ ડિફોલ્ટ રૂપે સક્ષમ હોય છે, તેથી આગળ કોઈ કાર્યવાહીની જરૂર નથી.

CentOS/Red Hat પર તમારે એપ્લિકેશન ઇન્સ્ટોલ કરવાની જરૂર છે dnf-સ્વચાલિત અને ટાઈમર ચાલુ કરો:

sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer

ટાઈમર તપાસ:

sudo systemctl status dnf-automatic.timer

ડિફૉલ્ટ બંદરો બદલી રહ્યા છીએ

SSH 1995 માં ટેલનેટ (પોર્ટ 23) અને ftp (પોર્ટ 21) ને બદલવા માટે વિકસાવવામાં આવ્યું હતું, તેથી પ્રોગ્રામના લેખક, ટાટુ ઇલટોનેન મૂળભૂત રીતે પસંદ કરેલ પોર્ટ 22, અને IANA દ્વારા મંજૂર કરવામાં આવી છે.

સ્વાભાવિક રીતે, બધા હુમલાખોરો જાણતા હોય છે કે SSH કયા પોર્ટ પર ચાલી રહ્યું છે - અને સોફ્ટવેર વર્ઝન શોધવા, સ્ટાન્ડર્ડ રૂટ પાસવર્ડ્સ તપાસવા વગેરે માટે બાકીના માનક બંદરો સાથે તેને સ્કેન કરો.

માનક બંદરો બદલવાથી - અસ્પષ્ટતા - ઘણી વખત કચરાના ટ્રાફિકનું પ્રમાણ, લોગનું કદ અને સર્વર પરનો ભાર ઘટાડે છે અને હુમલાની સપાટીને પણ ઘટાડે છે. જોકે કેટલાક "અસ્પષ્ટતા દ્વારા રક્ષણ" ની આ પદ્ધતિની ટીકા કરો (અસ્પષ્ટતા દ્વારા સુરક્ષા). કારણ એ છે કે આ ટેકનિક મૂળભૂતનો વિરોધ કરે છે સ્થાપત્ય સંરક્ષણ. તેથી, ઉદાહરણ તરીકે, યુએસ નેશનલ ઇન્સ્ટિટ્યુટ ઓફ સ્ટાન્ડર્ડ્સ એન્ડ ટેકનોલોજી ઇન "સર્વર સુરક્ષા માર્ગદર્શિકા" ઓપન સર્વર આર્કિટેક્ચરની જરૂરિયાત સૂચવે છે: "સિસ્ટમની સુરક્ષા તેના ઘટકોના અમલીકરણની ગુપ્તતા પર આધાર રાખવો જોઈએ નહીં," દસ્તાવેજ કહે છે.

સૈદ્ધાંતિક રીતે, ડિફૉલ્ટ બંદરોને બદલવું એ ઓપન આર્કિટેક્ચરની પ્રથાની વિરુદ્ધ છે. પરંતુ વ્યવહારમાં, દૂષિત ટ્રાફિકની માત્રામાં ખરેખર ઘટાડો થાય છે, તેથી આ એક સરળ અને અસરકારક માપ છે.

પોર્ટ નંબર ડાયરેક્ટિવ બદલીને ગોઠવી શકાય છે Port 22 રૂપરેખા ફાઈલમાં / etc / ssh / sshd_config. તે પરિમાણ દ્વારા પણ સૂચવવામાં આવે છે -p <port> в એસએસડી. SSH ક્લાયંટ અને પ્રોગ્રામ્સ sftp વિકલ્પને પણ સમર્થન આપે છે -p <port>.

પેરામીટર -p <port> આદેશ સાથે કનેક્ટ કરતી વખતે પોર્ટ નંબર સ્પષ્ટ કરવા માટે વાપરી શકાય છે ssh લિનક્સમાં. IN sftp и scp પરિમાણ વપરાય છે -P <port> (મૂડી પી). કમાન્ડ લાઇન સૂચના રૂપરેખાંકન ફાઇલોમાં કોઈપણ મૂલ્યને ઓવરરાઇડ કરે છે.

જો ત્યાં ઘણા બધા સર્વર હોય, તો Linux સર્વરને સુરક્ષિત કરવા માટેની લગભગ આ બધી ક્રિયાઓ સ્ક્રિપ્ટમાં સ્વચાલિત થઈ શકે છે. પરંતુ જો ત્યાં ફક્ત એક જ સર્વર હોય, તો પ્રક્રિયાને મેન્યુઅલી નિયંત્રિત કરવી વધુ સારું છે.

જાહેરાતના અધિકારો પર

ઓર્ડર કરો અને તરત જ પ્રારંભ કરો! VDS ની રચના કોઈપણ રૂપરેખાંકન અને કોઈપણ ઓપરેટિંગ સિસ્ટમ સાથે એક મિનિટમાં. મહત્તમ રૂપરેખાંકન તમને સંપૂર્ણ રીતે આવવા દેશે - 128 CPU કોરો, 512 GB RAM, 4000 GB NVMe. મહાકાવ્ય 🙂

સોર્સ: www.habr.com