हबीब म्हेनी/विकिमीडिया कॉमन्स, सीसी BY-SA

आजकल, होस्टिंग पर सर्वर सेट करना कुछ मिनटों और माउस के कुछ क्लिक का मामला है। लेकिन लॉन्च के तुरंत बाद, वह खुद को एक शत्रुतापूर्ण माहौल में पाता है, क्योंकि वह एक रॉकर डिस्को में एक मासूम लड़की की तरह पूरे इंटरनेट के लिए खुला है। स्कैनर्स इसे तुरंत ढूंढ लेंगे और हजारों स्वचालित रूप से स्क्रिप्ट किए गए बॉट की खोज करेंगे जो कमजोरियों और गलत कॉन्फ़िगरेशन की तलाश में नेटवर्क को खंगालते हैं। बुनियादी सुरक्षा सुनिश्चित करने के लिए आपको लॉन्च के तुरंत बाद कुछ चीज़ें करनी चाहिए।

सामग्री

• गैर-रूट उपयोक्ता
• SSH पासवर्ड के बजाय कुंजियाँ
• फ़ायरवॉल
• Fail2Ban
• स्वचालित सुरक्षा अद्यतन
• डिफ़ॉल्ट पोर्ट बदलना

गैर-रूट उपयोक्ता

पहली चीज़ जो आपको करने की ज़रूरत है वह एक गैर-रूट उपयोगकर्ता बनाना है। मुद्दा यह है कि उपयोगकर्ता root सिस्टम में पूर्ण विशेषाधिकार, और यदि आप उसे दूरस्थ प्रशासन की अनुमति देते हैं, तो आप हैकर के लिए आधा काम कर देंगे, उसके पास एक वैध उपयोगकर्ता नाम रह जाएगा।

इसलिए, आपको एक अन्य उपयोगकर्ता बनाना होगा, और रूट के लिए SSH के माध्यम से दूरस्थ प्रशासन को अक्षम करना होगा।

कमांड के साथ एक नया उपयोगकर्ता बनाया जाता है useradd:

useradd [options] <username>

फिर कमांड के साथ इसके लिए एक पासवर्ड जोड़ा जाता है passwd:

passwd <username>

अंत में, इस उपयोगकर्ता को उस समूह में जोड़ा जाना चाहिए जिसके पास उन्नत विशेषाधिकारों के साथ कमांड निष्पादित करने का अधिकार है sudo. लिनक्स वितरण के आधार पर, ये अलग-अलग समूह हो सकते हैं। उदाहरण के लिए, CentOS और Red Hat में एक उपयोगकर्ता को एक समूह में जोड़ा जाता है wheel:

usermod -aG wheel <username>

उबंटू पर इसे ग्रुप में जोड़ा जाता है sudo:

usermod -aG sudo <username>

SSH पासवर्ड के बजाय कुंजियाँ

क्रूर बल या पासवर्ड रिसाव एक मानक आक्रमण वेक्टर है, इसलिए एसएसएच (सिक्योर शेल) में पासवर्ड प्रमाणीकरण को अक्षम करना और इसके बजाय कुंजी प्रमाणीकरण का उपयोग करना बेहतर है।

SSH प्रोटोकॉल को लागू करने के लिए अलग-अलग कार्यक्रम हैं, जैसे एलएसएच и भालू ड्रॉप, लेकिन सबसे लोकप्रिय OpenSSH है। उबंटू पर ओपनएसएसएच क्लाइंट स्थापित करना:

sudo apt install openssh-client

सर्वर स्थापना:

sudo apt install openssh-server

उबंटू सर्वर पर एसएसएच डेमॉन (एसएसएचडी) शुरू करना:

sudo systemctl start sshd

प्रत्येक बूट पर स्वचालित रूप से डेमॉन प्रारंभ करें:

sudo systemctl enable sshd

यह ध्यान दिया जाना चाहिए कि ओपनएसएसएच सर्वर भाग में क्लाइंट भाग शामिल है। अर्थात्, के माध्यम से openssh-server आप अन्य सर्वर से जुड़ सकते हैं. इसके अलावा, आप अपनी क्लाइंट मशीन से रिमोट सर्वर से थर्ड-पार्टी होस्ट तक SSH टनल लॉन्च कर सकते हैं, और फिर थर्ड-पार्टी होस्ट रिमोट सर्वर को अनुरोधों का स्रोत मानेगा। आपके सिस्टम को मास्क करने के लिए एक बहुत ही सुविधाजनक फ़ंक्शन। अधिक जानकारी के लिए लेख देखें. "व्यावहारिक युक्तियाँ, उदाहरण और एसएसएच सुरंगें".

कंप्यूटर से दूरस्थ कनेक्शन की संभावना को रोकने के लिए (सुरक्षा कारणों से) क्लाइंट मशीन पर एक पूर्ण सर्वर स्थापित करने का आमतौर पर कोई मतलब नहीं है।

इसलिए, अपने नए उपयोगकर्ता के लिए, आपको सबसे पहले उस कंप्यूटर पर SSH कुंजियाँ उत्पन्न करनी होंगी जिससे आप सर्वर तक पहुँच प्राप्त करेंगे:

ssh-keygen -t rsa

सार्वजनिक कुंजी एक फ़ाइल में संग्रहीत है .pub और यादृच्छिक वर्णों की एक श्रृंखला की तरह दिखता है जो इससे शुरू होती है ssh-rsa.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname

फिर, रूट के रूप में, उपयोगकर्ता की होम निर्देशिका में सर्वर पर एक SSH निर्देशिका बनाएं और फ़ाइल में SSH सार्वजनिक कुंजी जोड़ें authorized_keysविम जैसे टेक्स्ट एडिटर का उपयोग करना:

mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keys

vim /home/user_name/.ssh/authorized_keys

अंत में, फ़ाइल के लिए सही अनुमतियाँ सेट करें:

chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keys

और इस उपयोगकर्ता के लिए स्वामित्व बदलें:

chown -R username:username /home/username/.ssh

क्लाइंट पक्ष पर, आपको प्रमाणीकरण के लिए गुप्त कुंजी का स्थान निर्दिष्ट करना होगा:

ssh-add DIR_PATH/keylocation

अब आप इस कुंजी का उपयोग करके उपयोगकर्ता नाम के तहत सर्वर में लॉग इन कर सकते हैं:

ssh [username]@hostname

प्राधिकरण के बाद, आप फ़ाइलों, उपयोगिता की प्रतिलिपि बनाने के लिए एससीपी कमांड का उपयोग कर सकते हैं Sshfs फ़ाइल सिस्टम या निर्देशिकाओं को दूरस्थ रूप से माउंट करने के लिए।

निजी कुंजी की कई बैकअप प्रतियां बनाने की सलाह दी जाती है, क्योंकि यदि आप पासवर्ड प्रमाणीकरण अक्षम करते हैं और इसे खो देते हैं, तो आपके पास अपने सर्वर में लॉग इन करने का कोई तरीका नहीं होगा।

जैसा कि ऊपर उल्लेख किया गया है, एसएसएच में आपको रूट के लिए प्रमाणीकरण अक्षम करना होगा (इस कारण से हमने एक नया उपयोगकर्ता बनाया है)।

CentOS/Red Hat पर हमें लाइन मिलती है PermitRootLogin yes कॉन्फ़िगरेशन फ़ाइल में /etc/ssh/sshd_config और इसे बदलें:

PermitRootLogin no

उबंटू पर लाइन जोड़ें PermitRootLogin no कॉन्फ़िगरेशन फ़ाइल में 10-my-sshd-settings.conf:

sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

यह सत्यापित करने के बाद कि नया उपयोगकर्ता अपनी कुंजी का उपयोग करके प्रमाणित है, आप पासवर्ड रिसाव या क्रूर बल के जोखिम को खत्म करने के लिए पासवर्ड प्रमाणीकरण को अक्षम कर सकते हैं। अब, सर्वर तक पहुंचने के लिए, हमलावर को निजी कुंजी प्राप्त करने की आवश्यकता होगी।

CentOS/Red Hat पर हमें लाइन मिलती है PasswordAuthentication yes कॉन्फ़िगरेशन फ़ाइल में /etc/ssh/sshd_config और इसे इस प्रकार बदलें:

PasswordAuthentication no

उबंटू पर लाइन जोड़ें PasswordAuthentication no दायर करना 10-my-sshd-settings.conf:

sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

एसएसएच के माध्यम से दो-कारक प्रमाणीकरण सक्षम करने के निर्देशों के लिए देखें यहां.

फ़ायरवॉल

फ़ायरवॉल यह सुनिश्चित करता है कि केवल उन्हीं पोर्ट पर ट्रैफ़िक सर्वर पर जाएगा जिनकी आप सीधे अनुमति देते हैं। यह अन्य सेवाओं द्वारा गलती से सक्षम किए गए बंदरगाहों के शोषण से बचाता है, जो हमले की सतह को काफी कम कर देता है।

फ़ायरवॉल स्थापित करने से पहले, आपको यह सुनिश्चित करना होगा कि एसएसएच बहिष्करण सूची में शामिल है और अवरुद्ध नहीं किया जाएगा। अन्यथा, फ़ायरवॉल शुरू करने के बाद, हम सर्वर से कनेक्ट नहीं कर पाएंगे।

उबंटू वितरण सरल फ़ायरवॉल के साथ आता है (ufw), और CentOS/Red Hat के साथ - firewalld.

उबंटू पर फ़ायरवॉल में SSH की अनुमति देना:

sudo ufw allow ssh

CentOS/Red Hat पर हम कमांड का उपयोग करते हैं firewall-cmd:

sudo firewall-cmd --zone=public --add-service=ssh --permanent

इस प्रक्रिया के बाद, आप फ़ायरवॉल प्रारंभ कर सकते हैं.

CentOS/Red Hat पर हम फ़ायरवॉल के लिए सिस्टमडी सेवा लॉन्च करते हैं:

sudo systemctl start firewalld
sudo systemctl enable firewalld

उबंटू पर हम निम्नलिखित कमांड का उपयोग करते हैं:

sudo ufw enable

Fail2Ban

सेवा Fail2Ban सर्वर लॉग का विश्लेषण करता है और प्रत्येक आईपी पते से एक्सेस प्रयासों की संख्या की गणना करता है। सेटिंग्स नियमों को निर्दिष्ट करती हैं कि एक निश्चित अंतराल में कितने एक्सेस प्रयासों की अनुमति है - जिसके बाद यह आईपी पता एक निर्दिष्ट अवधि के लिए अवरुद्ध कर दिया जाता है। उदाहरण के लिए, हम 5 घंटे की अवधि के भीतर SSH के माध्यम से 2 असफल प्रमाणीकरण प्रयासों की अनुमति देते हैं, जिसके बाद हम इस आईपी पते को 12 घंटे के लिए ब्लॉक कर देते हैं।

CentOS और Red Hat पर Fail2Ban स्थापित करना:

sudo yum install fail2ban

उबंटू और डेबियन पर इंस्टालेशन:

sudo apt install fail2ban

शुरू करना:

systemctl start fail2ban
systemctl enable fail2ban

प्रोग्राम में दो कॉन्फ़िगरेशन फ़ाइलें हैं: /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf. दूसरी फ़ाइल में प्रतिबंध प्रतिबंध निर्दिष्ट हैं।

एसएसएच के लिए जेल डिफ़ॉल्ट सेटिंग्स (5 प्रयास, अंतराल 10 मिनट, 10 मिनट के लिए प्रतिबंध) के साथ डिफ़ॉल्ट रूप से सक्षम है।

[डिफ़ॉल्ट] इग्नोरकमांड = बैंटाइम = 10 मीटर फाइंडटाइम = 10 मीटर अधिकतम प्रयास = 5

SSH के अलावा, Fail2Ban nginx या Apache वेब सर्वर पर अन्य सेवाओं की सुरक्षा कर सकता है।

स्वचालित सुरक्षा अद्यतन

जैसा कि आप जानते हैं, सभी प्रोग्रामों में लगातार नई कमजोरियाँ पाई जाती हैं। जानकारी प्रकाशित होने के बाद, शोषण को लोकप्रिय शोषण पैक में जोड़ा जाता है, जो एक पंक्ति में सभी सर्वरों को स्कैन करते समय हैकर्स और किशोरों द्वारा व्यापक रूप से उपयोग किया जाता है। इसलिए, सुरक्षा अद्यतन उपलब्ध होते ही उन्हें स्थापित करना बहुत महत्वपूर्ण है।

उबंटू सर्वर में स्वचालित सुरक्षा अपडेट डिफ़ॉल्ट रूप से सक्षम होते हैं, इसलिए किसी अतिरिक्त कदम की आवश्यकता नहीं होती है।

CentOS/Red Hat पर आपको एप्लिकेशन इंस्टॉल करना होगा dnf-स्वचालित और टाइमर चालू करें:

sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer

टाइमर जांच:

sudo systemctl status dnf-automatic.timer

डिफ़ॉल्ट पोर्ट बदलना

एसएसएच को 1995 में टेलनेट (पोर्ट 23) और एफटीपी (पोर्ट 21) को बदलने के लिए विकसित किया गया था, इसलिए कार्यक्रम के लेखक टाटू इलटोनन हैं डिफ़ॉल्ट रूप से पोर्ट 22 चुनें, और इसे IANA द्वारा अनुमोदित किया गया था।

स्वाभाविक रूप से, सभी हमलावरों को पता है कि एसएसएच किस पोर्ट पर चल रहा है - और सॉफ़्टवेयर संस्करण का पता लगाने, मानक रूट पासवर्ड की जांच करने आदि के लिए इसे अन्य मानक पोर्ट के साथ स्कैन करते हैं।

मानक पोर्ट बदलने से - ओफ़्स्क्यूशन - जंक ट्रैफ़िक की मात्रा, लॉग का आकार और सर्वर पर लोड कई गुना कम हो जाता है, और हमले की सतह भी कम हो जाती है। हालांकि कुछ "अस्पष्टता के माध्यम से रक्षा" की इस पद्धति की आलोचना करें (अस्पष्टता के माध्यम से सुरक्षा)। कारण यह है कि यह तकनीक मौलिकता के विपरीत है वास्तु संरक्षण. इसलिए, उदाहरण के लिए, यूएस नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी "सर्वर सुरक्षा गाइड" दस्तावेज़ एक खुले सर्वर आर्किटेक्चर की आवश्यकता को इंगित करता है: "किसी सिस्टम की सुरक्षा को उसके घटकों के कार्यान्वयन की गोपनीयता पर निर्भर नहीं होना चाहिए।"

सिद्धांत रूप में, डिफ़ॉल्ट पोर्ट को बदलना ओपन आर्किटेक्चर प्रथाओं के विपरीत है। लेकिन व्यवहार में, दुर्भावनापूर्ण ट्रैफ़िक की मात्रा वास्तव में कम हो जाती है, इसलिए यह एक सरल और प्रभावी उपाय है।

पोर्ट नंबर को निर्देश को बदलकर कॉन्फ़िगर किया जा सकता है Port 22 कॉन्फ़िगरेशन फ़ाइल में / Etc / ssh / sshd_config. इसे पैरामीटर द्वारा भी दर्शाया गया है -p <port> в sshd. एसएसएच क्लाइंट और प्रोग्राम SFTP पैरामीटर का भी समर्थन करें -p <port>.

प्राचल -p <port> कमांड का उपयोग करके कनेक्ट करते समय पोर्ट नंबर निर्दिष्ट करने के लिए उपयोग किया जा सकता है ssh लिनक्स में. में SFTP и scp पैरामीटर का उपयोग किया जाता है -P <port> (राजधानी पी). इसे कमांड लाइन से निर्दिष्ट करना कॉन्फ़िगरेशन फ़ाइलों में किसी भी मान को ओवरराइड करता है।

यदि बहुत सारे सर्वर हैं, तो लिनक्स सर्वर की सुरक्षा के लिए इनमें से लगभग सभी क्रियाओं को एक स्क्रिप्ट में स्वचालित किया जा सकता है। लेकिन यदि केवल एक सर्वर है, तो प्रक्रिया को मैन्युअल रूप से नियंत्रित करना बेहतर है।

विज्ञापन के अधिकार पर

ऑर्डर करें और तुरंत काम शुरू करें! वीडीएस का निर्माण किसी भी कॉन्फ़िगरेशन और किसी भी ऑपरेटिंग सिस्टम के साथ एक मिनट के भीतर। अधिकतम कॉन्फ़िगरेशन आपको धमाका करने की अनुमति देगा - 128 सीपीयू कोर, 512 जीबी रैम, 4000 जीबी एनवीएमई। काफी महाकाव्य :)

स्रोत: www.habr.com