Habib M'henni / Wikimedia Commons, CC BY-SA

សព្វថ្ងៃនេះ ការបង្កើន server នៅលើ hosting គឺត្រូវចំណាយពេលពីរបីនាទី និងចុច mouse ពីរបី។ ប៉ុន្តែភ្លាមៗបន្ទាប់ពីការបើកដំណើរការ គាត់ឃើញខ្លួនឯងនៅក្នុងបរិយាកាសអរិភាព ពីព្រោះគាត់បើកចំហចំពោះអ៊ីនធឺណិតទាំងមូលដូចជាក្មេងស្រីស្លូតត្រង់នៅក្នុងឌីស្កូរ៉ុក។ ម៉ាស៊ីនស្កែននឹងស្វែងរកវាយ៉ាងឆាប់រហ័ស ហើយរកឃើញរូបយន្តដែលសរសេរដោយស្វ័យប្រវត្តិរាប់ពាន់ដែលវាយលុកបណ្តាញដែលកំពុងស្វែងរកភាពងាយរងគ្រោះ និងការកំណត់មិនត្រឹមត្រូវ។ មានរឿងមួយចំនួនដែលអ្នកគួរធ្វើភ្លាមៗបន្ទាប់ពីការបើកដំណើរការ ដើម្បីធានាបាននូវការការពារជាមូលដ្ឋាន។

មាតិកា

• អ្នកប្រើប្រាស់ដែលមិនមែនជា root
• គ្រាប់ចុចជំនួសឱ្យពាក្យសម្ងាត់ SSH
• ជញ្ជាំងភ្លើង
• FX2Ban ។
• ការធ្វើបច្ចុប្បន្នភាពសុវត្ថិភាពដោយស្វ័យប្រវត្តិ
• ការផ្លាស់ប្តូរច្រកលំនាំដើម

អ្នកប្រើប្រាស់ដែលមិនមែនជា root

ជំហានដំបូងគឺបង្កើតអ្នកប្រើប្រាស់ដែលមិនមែនជា root សម្រាប់ខ្លួនអ្នក។ ចំណុចសំខាន់គឺអ្នកប្រើប្រាស់ root សិទ្ធិដាច់ខាតនៅក្នុងប្រព័ន្ធ ហើយប្រសិនបើអ្នកអនុញ្ញាតឱ្យគាត់គ្រប់គ្រងពីចម្ងាយ នោះអ្នកនឹងធ្វើការងារពាក់កណ្តាលសម្រាប់ពួក Hacker ដោយទុកឈ្មោះអ្នកប្រើប្រាស់ត្រឹមត្រូវសម្រាប់គាត់។

ដូច្នេះ អ្នកត្រូវបង្កើតអ្នកប្រើប្រាស់ផ្សេងទៀត ហើយបិទការគ្រប់គ្រងពីចម្ងាយតាមរយៈ SSH សម្រាប់ root ។

អ្នកប្រើប្រាស់ថ្មីត្រូវបានចាប់ផ្តើមដោយពាក្យបញ្ជា useradd:

useradd [options] <username>

បន្ទាប់មកពាក្យសម្ងាត់ត្រូវបានបន្ថែមសម្រាប់វាដោយប្រើពាក្យបញ្ជា passwd:

passwd <username>

ចុងក្រោយ អ្នកប្រើប្រាស់នេះត្រូវបន្ថែមទៅក្រុមដែលមានសិទ្ធិប្រតិបត្តិពាក្យបញ្ជាកម្រិតខ្ពស់ sudo. អាស្រ័យលើការចែកចាយលីនុច ទាំងនេះអាចជាក្រុមផ្សេងគ្នា។ ឧទាហរណ៍នៅក្នុង CentOS និង Red Hat អ្នកប្រើប្រាស់ត្រូវបានបញ្ចូលទៅក្នុងក្រុម wheel:

usermod -aG wheel <username>

នៅក្នុង Ubuntu វាត្រូវបានបន្ថែមទៅក្រុម sudo:

usermod -aG sudo <username>

គ្រាប់ចុចជំនួសឱ្យពាក្យសម្ងាត់ SSH

Brute force ឬការលេចធ្លាយពាក្យសម្ងាត់គឺជាវ៉ិចទ័រវាយប្រហារស្តង់ដារ ដូច្នេះវាជាការល្អបំផុតក្នុងការបិទការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់នៅក្នុង SSH (Secure Shell) ហើយប្រើការផ្ទៀងផ្ទាត់គន្លឹះជំនួសវិញ។

មានកម្មវិធីផ្សេងៗសម្រាប់អនុវត្តពិធីការ SSH ដូចជា លស и ទម្លាក់ប៉ុន្តែការពេញនិយមបំផុតគឺ OpenSSH ។ ការដំឡើងកម្មវិធី OpenSSH នៅលើអ៊ូប៊ុនទូ៖

sudo apt install openssh-client

ការដំឡើងម៉ាស៊ីនមេ៖

sudo apt install openssh-server

ចាប់ផ្តើមដេមិន SSH (sshd) នៅលើម៉ាស៊ីនមេអ៊ូប៊ុនទូ៖

sudo systemctl start sshd

ចាប់ផ្តើមដេមិនដោយស្វ័យប្រវត្តិនៅលើរាល់ការចាប់ផ្ដើម៖

sudo systemctl enable sshd

វាគួរតែត្រូវបានកត់សម្គាល់ថាផ្នែកម៉ាស៊ីនមេនៃ OpenSSH រួមបញ្ចូលផ្នែកម៉ាស៊ីនភ្ញៀវ។ នោះគឺតាមរយៈ openssh-server អ្នកអាចភ្ជាប់ទៅម៉ាស៊ីនមេផ្សេងទៀត។ លើសពីនេះទៅទៀត ពីម៉ាស៊ីនភ្ញៀវរបស់អ្នក អ្នកអាចចាប់ផ្តើមផ្លូវរូងក្រោមដី SSH ពីម៉ាស៊ីនមេពីចម្ងាយទៅកាន់ម៉ាស៊ីនភាគីទីបី ហើយបន្ទាប់មកម៉ាស៊ីនភាគីទីបីនឹងចាត់ទុកម៉ាស៊ីនមេពីចម្ងាយជាប្រភពនៃសំណើ។ មុខងារងាយស្រួលសម្រាប់បិទបាំងប្រព័ន្ធរបស់អ្នក។ សូមមើលអត្ថបទសម្រាប់ព័ត៌មានលម្អិត "គន្លឹះជាក់ស្តែង ឧទាហរណ៍ និងផ្លូវរូងក្រោមដី SSH".

នៅលើម៉ាស៊ីនភ្ញៀវ ជាធម្មតាវាគ្មានន័យទេក្នុងការដំឡើងម៉ាស៊ីនមេពេញលេញ ដើម្បីការពារលទ្ធភាពនៃការតភ្ជាប់ពីចម្ងាយទៅកុំព្យូទ័រ (សម្រាប់ហេតុផលសុវត្ថិភាព)។

ដូច្នេះ សម្រាប់អ្នកប្រើប្រាស់ថ្មីរបស់អ្នក ដំបូងអ្នកត្រូវបង្កើតកូនសោ SSH នៅលើកុំព្យូទ័រ ដែលអ្នកនឹងចូលប្រើម៉ាស៊ីនមេ៖

ssh-keygen -t rsa

សោសាធារណៈត្រូវបានរក្សាទុកក្នុងឯកសារ .pub ហើយមើលទៅដូចជាខ្សែអក្សរចៃដន្យដែលចាប់ផ្តើមជាមួយ ssh-rsa.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname

បន្ទាប់មក ពីក្រោម root បង្កើតថត SSH នៅលើ server នៅក្នុង home directory របស់អ្នកប្រើប្រាស់ ហើយបន្ថែម SSH public key ទៅក្នុង file authorized_keysដោយប្រើកម្មវិធីនិពន្ធអត្ថបទដូចជា Vim៖

mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keys

vim /home/user_name/.ssh/authorized_keys

ជាចុងក្រោយ កំណត់ការអនុញ្ញាតត្រឹមត្រូវសម្រាប់ឯកសារ៖

chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keys

និងប្តូរកម្មសិទ្ធិជូនអ្នកប្រើប្រាស់នេះ៖

chown -R username:username /home/username/.ssh

នៅខាងអតិថិជន អ្នកត្រូវបញ្ជាក់ទីតាំងនៃសោសម្ងាត់សម្រាប់ការផ្ទៀងផ្ទាត់៖

ssh-add DIR_PATH/keylocation

ឥឡូវ​នេះ អ្នក​អាច​ចូល​ទៅ​ម៉ាស៊ីន​មេ​ក្រោម​ឈ្មោះ​អ្នក​ប្រើ​ដោយ​ប្រើ​គន្លឹះ​នេះ៖

ssh [username]@hostname

បន្ទាប់ពីការអនុញ្ញាត អ្នកអាចប្រើពាក្យបញ្ជា scp ដើម្បីចម្លងឯកសារ ឧបករណ៍ប្រើប្រាស់ sshfs ដើម្បីភ្ជាប់ប្រព័ន្ធឯកសារ ឬថតពីចម្ងាយ។

វាត្រូវបានណែនាំឱ្យធ្វើច្បាប់ចម្លងបម្រុងទុកជាច្រើននៃសោឯកជន ពីព្រោះប្រសិនបើអ្នកបិទការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់ ហើយបាត់បង់វា នោះអ្នកនឹងមិនមានវិធីណាមួយដើម្បីចូលទៅក្នុងម៉ាស៊ីនមេផ្ទាល់ខ្លួនរបស់អ្នកទាល់តែសោះ។

ដូចដែលបានរៀបរាប់ខាងលើនៅក្នុង SSH អ្នកត្រូវបិទការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវសម្រាប់ root (នេះជាហេតុផលដែលយើងចាប់ផ្តើមអ្នកប្រើប្រាស់ថ្មី)។

នៅលើ CentOS/Red Hat យើងរកឃើញបន្ទាត់ PermitRootLogin yes នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ /etc/ssh/sshd_config ហើយផ្លាស់ប្តូរវា៖

PermitRootLogin no

នៅលើអ៊ូប៊ុនទូបន្ថែមបន្ទាត់ PermitRootLogin no ទៅឯកសារកំណត់រចនាសម្ព័ន្ធ 10-my-sshd-settings.conf:

sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

បន្ទាប់ពីផ្ទៀងផ្ទាត់ថាអ្នកប្រើប្រាស់ថ្មីកំពុងផ្ទៀងផ្ទាត់ដោយប្រើសោរបស់ពួកគេ អ្នកអាចបិទការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់ ដើម្បីលុបបំបាត់ហានិភ័យនៃការលេចធ្លាយពាក្យសម្ងាត់ ឬកម្លាំងអាក្រក់។ ឥឡូវនេះ ដើម្បីចូលប្រើម៉ាស៊ីនមេ អ្នកវាយប្រហារនឹងត្រូវទទួលបានសោឯកជន។

នៅលើ CentOS/Red Hat យើងរកឃើញបន្ទាត់ PasswordAuthentication yes នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ /etc/ssh/sshd_config ហើយផ្លាស់ប្តូរវាដូចនេះ៖

PasswordAuthentication no

នៅលើអ៊ូប៊ុនទូបន្ថែមបន្ទាត់ PasswordAuthentication no ទៅកាន់​ឯកសារ 10-my-sshd-settings.conf:

sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

សម្រាប់ការណែនាំអំពីការបើកដំណើរការការផ្ទៀងផ្ទាត់ពីរកត្តាតាមរយៈ SSH សូមមើល នៅទីនេះ.

ជញ្ជាំងភ្លើង

ជញ្ជាំងភ្លើងធានាថាមានតែចរាចរនៅលើច្រកដែលអ្នកអនុញ្ញាតដោយផ្ទាល់នឹងទៅកាន់ម៉ាស៊ីនមេ។ វាការពារប្រឆាំងនឹងការកេងប្រវ័ញ្ចនៃច្រកដែលត្រូវបានបើកដោយចៃដន្យជាមួយនឹងសេវាកម្មផ្សេងទៀត ដែលកាត់បន្ថយផ្ទៃនៃការវាយប្រហារយ៉ាងខ្លាំង។

មុនពេលដំឡើងជញ្ជាំងភ្លើង អ្នកត្រូវប្រាកដថា SSH ត្រូវបានបញ្ចូលក្នុងបញ្ជីដកចេញ ហើយនឹងមិនត្រូវបានរារាំងទេ។ បើមិនដូច្នោះទេ បន្ទាប់ពីចាប់ផ្តើមជញ្ជាំងភ្លើង យើងនឹងមិនអាចភ្ជាប់ទៅម៉ាស៊ីនមេបានទេ។

ការចែកចាយ Ubuntu ភ្ជាប់មកជាមួយ Uncomplicated Firewall (វ៉ោ​វ) និងជាមួយ CentOS/Red Hat - ភ្លើងឆេះ.

អនុញ្ញាតឱ្យ SSH នៅក្នុងជញ្ជាំងភ្លើងនៅលើអ៊ូប៊ុនទូ៖

sudo ufw allow ssh

នៅលើ CentOS/Red Hat ប្រើពាក្យបញ្ជា firewall-cmd:

sudo firewall-cmd --zone=public --add-service=ssh --permanent

បន្ទាប់ពីនីតិវិធីនេះអ្នកអាចចាប់ផ្តើមជញ្ជាំងភ្លើង។

នៅលើ CentOS/Red Hat សូមចាប់ផ្តើមសេវា systemd សម្រាប់ firewalld៖

sudo systemctl start firewalld
sudo systemctl enable firewalld

នៅលើអ៊ូប៊ុនទូ យើងប្រើពាក្យបញ្ជាខាងក្រោម៖

sudo ufw enable

FX2Ban ។

RЎRμSЂRІRёSЃ FX2Ban ។ វិភាគកំណត់ហេតុនៅលើម៉ាស៊ីនមេ និងរាប់ចំនួននៃការប៉ុនប៉ងចូលប្រើពីអាសយដ្ឋាន IP នីមួយៗ។ ការកំណត់បញ្ជាក់ច្បាប់សម្រាប់ចំនួនការប៉ុនប៉ងចូលប្រើដែលត្រូវបានអនុញ្ញាតសម្រាប់ចន្លោះពេលជាក់លាក់មួយ - បន្ទាប់ពីនោះអាសយដ្ឋាន IP នេះត្រូវបានរារាំងក្នុងរយៈពេលជាក់លាក់មួយ។ ជាឧទាហរណ៍ សូមអនុញ្ញាតឱ្យមានការព្យាយាមផ្ទៀងផ្ទាត់ SSH ដែលបរាជ័យចំនួន 5 ដងក្នុងរយៈពេល 2 ម៉ោង បន្ទាប់មកបិទអាសយដ្ឋាន IP ដែលបានផ្តល់ឱ្យរយៈពេល 12 ម៉ោង។

ការដំឡើង Fail2Ban នៅលើ CentOS និង Red Hat៖

sudo yum install fail2ban

ការដំឡើងនៅលើ Ubuntu និង Debian៖

sudo apt install fail2ban

បើកដំណើរការ៖

systemctl start fail2ban
systemctl enable fail2ban

កម្មវិធីនេះមានឯកសារកំណត់រចនាសម្ព័ន្ធពីរ៖ /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf. ការហាមឃាត់ត្រូវបានបញ្ជាក់នៅក្នុងឯកសារទីពីរ។

គុកសម្រាប់ SSH ត្រូវបានបើកតាមលំនាំដើមជាមួយនឹងការកំណត់លំនាំដើម (5 ដង ចន្លោះពេល 10 នាទី ហាមប្រើ 10 នាទី)។

[លំនាំដើម] ignorecommand=bantime=10m findtime=10m maxretry=5

បន្ថែមពីលើ SSH Fail2Ban អាចការពារសេវាកម្មផ្សេងទៀតនៅលើ nginx ឬ Apache web server។

ការធ្វើបច្ចុប្បន្នភាពសុវត្ថិភាពដោយស្វ័យប្រវត្តិ

ដូចដែលអ្នកបានដឹងហើយថាភាពងាយរងគ្រោះថ្មីត្រូវបានរកឃើញឥតឈប់ឈរនៅក្នុងកម្មវិធីទាំងអស់។ បន្ទាប់ពីព័ត៌មានត្រូវបានបោះពុម្ពផ្សាយ ការកេងប្រវ័ញ្ចត្រូវបានបញ្ចូលទៅក្នុងកញ្ចប់កេងប្រវ័ញ្ចដ៏ពេញនិយម ដែលត្រូវបានប្រើប្រាស់យ៉ាងច្រើនដោយពួក Hacker និងក្មេងជំទង់នៅពេលស្កេនម៉ាស៊ីនមេទាំងអស់ជាប់គ្នា។ ដូច្នេះ វាមានសារៈសំខាន់ខ្លាំងណាស់ក្នុងការដំឡើងការអាប់ដេតសុវត្ថិភាពភ្លាមៗនៅពេលដែលវាលេចឡើង។

នៅលើម៉ាស៊ីនមេអ៊ូប៊ុនទូ ការអាប់ដេតសុវត្ថិភាពដោយស្វ័យប្រវត្តិត្រូវបានបើកតាមលំនាំដើម ដូច្នេះមិនតម្រូវឱ្យមានសកម្មភាពបន្ថែមទៀតទេ។

នៅលើ CentOS/Red Hat អ្នកត្រូវដំឡើងកម្មវិធី dnf-ស្វ័យប្រវត្តិ ហើយបើកកម្មវិធីកំណត់ម៉ោង៖

sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer

ពិនិត្យ​ម៉ោង​កំណត់៖

sudo systemctl status dnf-automatic.timer

ការផ្លាស់ប្តូរច្រកលំនាំដើម

SSH ត្រូវបានបង្កើតឡើងក្នុងឆ្នាំ 1995 ដើម្បីជំនួស telnet (port 23) និង ftp (port 21) ដូច្នេះអ្នកនិពន្ធកម្មវិធី Tatu Iltonen បានជ្រើសរើសច្រក 22 តាមលំនាំដើមហើយត្រូវបានអនុម័តដោយ IANA ។

តាមធម្មជាតិ អ្នកវាយប្រហារទាំងអស់ដឹងថាច្រក SSH មួយណាកំពុងដំណើរការ ហើយស្កែនវាជាមួយច្រកស្តង់ដារដែលនៅសល់ ដើម្បីស្វែងរកកំណែកម្មវិធី ដើម្បីពិនិត្យមើលពាក្យសម្ងាត់ root ស្តង់ដារជាដើម។

ការផ្លាស់ប្តូរច្រកស្តង់ដារ - ភាពច្របូកច្របល់ - ជាច្រើនដងកាត់បន្ថយបរិមាណនៃចរាចរសំរាម ទំហំនៃកំណត់ហេតុ និងការផ្ទុកនៅលើម៉ាស៊ីនមេ ហើយក៏កាត់បន្ថយផ្ទៃវាយប្រហារផងដែរ។ ទោះបីជាមួយចំនួន រិះគន់វិធីសាស្រ្តនៃ "ការការពារតាមរយៈការមិនច្បាស់លាស់" (សុវត្ថិភាពតាមរយៈភាពមិនច្បាស់លាស់) ។ ហេតុផលគឺថាបច្ចេកទេសនេះគឺផ្ទុយទៅនឹងមូលដ្ឋានគ្រឹះ ការការពារស្ថាបត្យកម្ម. ដូច្នេះ ជាឧទាហរណ៍ វិទ្យាស្ថានស្តង់ដារ និងបច្ចេកវិទ្យាជាតិរបស់សហរដ្ឋអាមេរិក ក្នុង "មគ្គុទ្ទេសក៍សុវត្ថិភាពម៉ាស៊ីនមេ" បង្ហាញពីតម្រូវការសម្រាប់ស្ថាបត្យកម្មម៉ាស៊ីនមេបើកចំហ៖ "សុវត្ថិភាពនៃប្រព័ន្ធមិនគួរពឹងផ្អែកលើការសម្ងាត់នៃការអនុវត្តសមាសធាតុរបស់វាទេ" ។

តាមទ្រឹស្តី ការផ្លាស់ប្តូរច្រកលំនាំដើមគឺប្រឆាំងនឹងការអនុវត្តនៃស្ថាបត្យកម្មបើកចំហ។ ប៉ុន្តែនៅក្នុងការអនុវត្តជាក់ស្តែងបរិមាណនៃចរាចរព្យាបាទត្រូវបានកាត់បន្ថយ ដូច្នេះនេះគឺជាវិធានការសាមញ្ញ និងមានប្រសិទ្ធភាព។

លេខច្រកអាចត្រូវបានកំណត់រចនាសម្ព័ន្ធដោយការផ្លាស់ប្តូរការណែនាំ Port 22 នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ / etc / ssh / sshd_config. វាក៏ត្រូវបានចង្អុលបង្ហាញដោយប៉ារ៉ាម៉ែត្រផងដែរ។ -p <port> в sshd. ម៉ាស៊ីនភ្ញៀវ SSH និងកម្មវិធី sftp គាំទ្រជម្រើសផងដែរ។ -p <port>.

ប៉ារ៉ាម៉ែត្រ -p <port> អាចត្រូវបានប្រើដើម្បីបញ្ជាក់លេខច្រកនៅពេលភ្ជាប់ជាមួយពាក្យបញ្ជា ssh នៅក្នុងលីនុច។ IN sftp и scp ប៉ារ៉ាម៉ែត្រត្រូវបានប្រើ -P <port> (រាជធានី P) ។ ការណែនាំបន្ទាត់ពាក្យបញ្ជាបដិសេធតម្លៃណាមួយនៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ។

ប្រសិនបើមានម៉ាស៊ីនមេច្រើន សកម្មភាពទាំងនេះស្ទើរតែទាំងអស់ដើម្បីការពារម៉ាស៊ីនមេលីនុចអាចដំណើរការដោយស្វ័យប្រវត្តិក្នុងស្គ្រីប។ ប៉ុន្តែប្រសិនបើមានម៉ាស៊ីនមេតែមួយ នោះវាជាការប្រសើរក្នុងការគ្រប់គ្រងដំណើរការដោយដៃ។

អំពីសិទ្ធិផ្សព្វផ្សាយ

បញ្ជាទិញហើយចាប់ផ្តើមភ្លាមៗ! ការបង្កើត VDS ការកំណត់រចនាសម្ព័ន្ធណាមួយ និងជាមួយប្រព័ន្ធប្រតិបត្តិការណាមួយក្នុងរយៈពេលមួយនាទី។ ការកំណត់រចនាសម្ព័ន្ធអតិបរមានឹងអនុញ្ញាតឱ្យអ្នកចេញបានពេញលេញបំផុត - ស្នូលស៊ីភីយូ 128, RAM 512 GB, 4000 GB NVMe ។ វីរភាព🙂

ប្រភព: www.habr.com