Habib M'henni / Wikimedia Commons, CC BY-SA

សព្វថ្ងៃនេះ ការបង្កើន server នៅលើ hosting គឺត្រូវចំណាយពេលពីរបីនាទី និងចុច mouse ពីរបី។ ប៉ុន្តែភ្លាមៗបន្ទាប់ពីការបើកដំណើរការ គាត់ឃើញខ្លួនឯងនៅក្នុងបរិយាកាសអរិភាព ពីព្រោះគាត់បើកចំហចំពោះអ៊ីនធឺណិតទាំងមូលដូចជាក្មេងស្រីស្លូតត្រង់នៅក្នុងឌីស្កូរ៉ុក។ ម៉ាស៊ីនស្កែននឹងស្វែងរកវាយ៉ាងឆាប់រហ័ស ហើយរកឃើញរូបយន្តដែលសរសេរដោយស្វ័យប្រវត្តិរាប់ពាន់ដែលវាយលុកបណ្តាញដែលកំពុងស្វែងរកភាពងាយរងគ្រោះ និងការកំណត់មិនត្រឹមត្រូវ។ មានរឿងមួយចំនួនដែលអ្នកគួរធ្វើភ្លាមៗបន្ទាប់ពីការបើកដំណើរការ ដើម្បីធានាបាននូវការការពារជាមូលដ្ឋាន។

មាតិកា

អ្នកប្រើប្រាស់ដែលមិនមែនជា root
គ្រាប់ចុចជំនួសឱ្យពាក្យសម្ងាត់ SSH
ជញ្ជាំងភ្លើង
FX2Ban ។
ការធ្វើបច្ចុប្បន្នភាពសុវត្ថិភាពដោយស្វ័យប្រវត្តិ
ការផ្លាស់ប្តូរច្រកលំនាំដើម

អ្នកប្រើប្រាស់ដែលមិនមែនជា root

ជំហានដំបូងគឺបង្កើតអ្នកប្រើប្រាស់ដែលមិនមែនជា root សម្រាប់ខ្លួនអ្នក។ ចំណុចសំខាន់គឺអ្នកប្រើប្រាស់ root សិទ្ធិដាច់ខាតនៅក្នុងប្រព័ន្ធ ហើយប្រសិនបើអ្នកអនុញ្ញាតឱ្យគាត់គ្រប់គ្រងពីចម្ងាយ នោះអ្នកនឹងធ្វើការងារពាក់កណ្តាលសម្រាប់ពួក Hacker ដោយទុកឈ្មោះអ្នកប្រើប្រាស់ត្រឹមត្រូវសម្រាប់គាត់។

ដូច្នេះ អ្នកត្រូវបង្កើតអ្នកប្រើប្រាស់ផ្សេងទៀត ហើយបិទការគ្រប់គ្រងពីចម្ងាយតាមរយៈ SSH សម្រាប់ root ។

អ្នកប្រើប្រាស់ថ្មីត្រូវបានចាប់ផ្តើមដោយពាក្យបញ្ជា useradd:

useradd [options] <username>

បន្ទាប់មកពាក្យសម្ងាត់ត្រូវបានបន្ថែមសម្រាប់វាដោយប្រើពាក្យបញ្ជា passwd:

passwd <username>

ចុងក្រោយ អ្នកប្រើប្រាស់នេះត្រូវបន្ថែមទៅក្រុមដែលមានសិទ្ធិប្រតិបត្តិពាក្យបញ្ជាកម្រិតខ្ពស់ sudoអាស្រ័យលើការចែកចាយ Linuxទាំងនេះអាចជាក្រុមផ្សេងៗគ្នា។ ឧទាហរណ៍ ក្នុង CentOS និងអ្នកប្រើប្រាស់ Red Hat ត្រូវបានបន្ថែមទៅក្នុងក្រុម wheel:

usermod -aG wheel <username>

В Ubuntu គាត់ត្រូវបានបន្ថែមទៅក្នុងក្រុម sudo:

usermod -aG sudo <username>

គ្រាប់ចុចជំនួសឱ្យពាក្យសម្ងាត់ SSH

Brute force ឬការលេចធ្លាយពាក្យសម្ងាត់គឺជាវ៉ិចទ័រវាយប្រហារស្តង់ដារ ដូច្នេះវាជាការល្អបំផុតក្នុងការបិទការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់នៅក្នុង SSH (Secure Shell) ហើយប្រើការផ្ទៀងផ្ទាត់គន្លឹះជំនួសវិញ។

មានកម្មវិធីផ្សេងៗសម្រាប់អនុវត្តពិធីការ SSH ដូចជា លស и ទម្លាក់ប៉ុន្តែ OpenSSH ដែលពេញនិយមបំផុត។ ការដំឡើងកម្មវិធី OpenSSH នៅលើ Ubuntu:

sudo apt install openssh-client

ការដំឡើងម៉ាស៊ីនមេ៖

sudo apt install openssh-server

កំពុងដំណើរការដេមិន SSH (sshd) នៅលើម៉ាស៊ីនបម្រើក្រោម Ubuntu:

sudo systemctl start sshd

ចាប់ផ្តើមដេមិនដោយស្វ័យប្រវត្តិនៅលើរាល់ការចាប់ផ្ដើម៖

sudo systemctl enable sshd

វាគួរតែត្រូវបានកត់សម្គាល់ថាផ្នែកម៉ាស៊ីនមេនៃ OpenSSH រួមបញ្ចូលផ្នែកម៉ាស៊ីនភ្ញៀវ។ នោះគឺតាមរយៈ openssh-server អ្នកអាចភ្ជាប់ទៅម៉ាស៊ីនមេផ្សេងទៀត។ លើសពីនេះទៅទៀត ពីម៉ាស៊ីនភ្ញៀវរបស់អ្នក អ្នកអាចចាប់ផ្តើមផ្លូវរូងក្រោមដី SSH ពីម៉ាស៊ីនមេពីចម្ងាយទៅកាន់ម៉ាស៊ីនភាគីទីបី ហើយបន្ទាប់មកម៉ាស៊ីនភាគីទីបីនឹងចាត់ទុកម៉ាស៊ីនមេពីចម្ងាយជាប្រភពនៃសំណើ។ មុខងារងាយស្រួលសម្រាប់បិទបាំងប្រព័ន្ធរបស់អ្នក។ សូមមើលអត្ថបទសម្រាប់ព័ត៌មានលម្អិត "គន្លឹះជាក់ស្តែង ឧទាហរណ៍ និងផ្លូវរូងក្រោមដី SSH".

នៅលើម៉ាស៊ីនភ្ញៀវ ជាធម្មតាវាគ្មានន័យទេក្នុងការដំឡើងម៉ាស៊ីនមេពេញលេញ ដើម្បីការពារលទ្ធភាពនៃការតភ្ជាប់ពីចម្ងាយទៅកុំព្យូទ័រ (សម្រាប់ហេតុផលសុវត្ថិភាព)។

ដូច្នេះ សម្រាប់អ្នកប្រើប្រាស់ថ្មីរបស់អ្នក ដំបូងអ្នកត្រូវបង្កើតកូនសោ SSH នៅលើកុំព្យូទ័រ ដែលអ្នកនឹងចូលប្រើម៉ាស៊ីនមេ៖

ssh-keygen -t rsa

សោសាធារណៈត្រូវបានរក្សាទុកក្នុងឯកសារ .pub ហើយមើលទៅដូចជាខ្សែអក្សរចៃដន្យដែលចាប់ផ្តើមជាមួយ ssh-rsa.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname

បន្ទាប់មក ពីក្រោម root បង្កើតថត SSH នៅលើ server នៅក្នុង home directory របស់អ្នកប្រើប្រាស់ ហើយបន្ថែម SSH public key ទៅក្នុង file authorized_keysដោយប្រើកម្មវិធីនិពន្ធអត្ថបទដូចជា Vim៖

mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keys

vim /home/user_name/.ssh/authorized_keys

ជាចុងក្រោយ កំណត់ការអនុញ្ញាតត្រឹមត្រូវសម្រាប់ឯកសារ៖

chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keys

និងប្តូរកម្មសិទ្ធិជូនអ្នកប្រើប្រាស់នេះ៖

chown -R username:username /home/username/.ssh

នៅខាងអតិថិជន អ្នកត្រូវបញ្ជាក់ទីតាំងនៃសោសម្ងាត់សម្រាប់ការផ្ទៀងផ្ទាត់៖

ssh-add DIR_PATH/keylocation

ឥឡូវនេះ អ្នកអាចចូលទៅម៉ាស៊ីនមេក្រោមឈ្មោះអ្នកប្រើដោយប្រើគន្លឹះនេះ៖

ssh [username]@hostname

បន្ទាប់ពីការអនុញ្ញាត អ្នកអាចប្រើពាក្យបញ្ជា scp ដើម្បីចម្លងឯកសារ ឧបករណ៍ប្រើប្រាស់ sshfs ដើម្បីភ្ជាប់ប្រព័ន្ធឯកសារ ឬថតពីចម្ងាយ។

វាត្រូវបានណែនាំឱ្យធ្វើច្បាប់ចម្លងបម្រុងទុកជាច្រើននៃសោឯកជន ពីព្រោះប្រសិនបើអ្នកបិទការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់ ហើយបាត់បង់វា នោះអ្នកនឹងមិនមានវិធីណាមួយដើម្បីចូលទៅក្នុងម៉ាស៊ីនមេផ្ទាល់ខ្លួនរបស់អ្នកទាល់តែសោះ។

ដូចដែលបានរៀបរាប់ខាងលើនៅក្នុង SSH អ្នកត្រូវបិទការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវសម្រាប់ root (នេះជាហេតុផលដែលយើងចាប់ផ្តើមអ្នកប្រើប្រាស់ថ្មី)។

នៅលើ CentOS/មួកក្រហម ស្វែងរកបន្ទាត់ PermitRootLogin yes នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ /etc/ssh/sshd_config ហើយផ្លាស់ប្តូរវា៖

PermitRootLogin no

នៅលើ Ubuntu បន្ថែមបន្ទាត់មួយ PermitRootLogin no ទៅឯកសារកំណត់រចនាសម្ព័ន្ធ 10-my-sshd-settings.conf:

sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

បន្ទាប់ពីផ្ទៀងផ្ទាត់ថាអ្នកប្រើប្រាស់ថ្មីកំពុងផ្ទៀងផ្ទាត់ដោយប្រើសោរបស់ពួកគេ អ្នកអាចបិទការផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់ ដើម្បីលុបបំបាត់ហានិភ័យនៃការលេចធ្លាយពាក្យសម្ងាត់ ឬកម្លាំងអាក្រក់។ ឥឡូវនេះ ដើម្បីចូលប្រើម៉ាស៊ីនមេ អ្នកវាយប្រហារនឹងត្រូវទទួលបានសោឯកជន។

នៅលើ CentOS/មួកក្រហម ស្វែងរកបន្ទាត់ PasswordAuthentication yes នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ /etc/ssh/sshd_config ហើយផ្លាស់ប្តូរវាដូចនេះ៖

PasswordAuthentication no

នៅលើ Ubuntu បន្ថែមបន្ទាត់មួយ PasswordAuthentication no ទៅកាន់ឯកសារ 10-my-sshd-settings.conf:

sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

សម្រាប់ការណែនាំអំពីការបើកដំណើរការការផ្ទៀងផ្ទាត់ពីរកត្តាតាមរយៈ SSH សូមមើល នៅទីនេះ.

ជញ្ជាំងភ្លើង

ជញ្ជាំងភ្លើងធានាថាមានតែចរាចរនៅលើច្រកដែលអ្នកអនុញ្ញាតដោយផ្ទាល់នឹងទៅកាន់ម៉ាស៊ីនមេ។ វាការពារប្រឆាំងនឹងការកេងប្រវ័ញ្ចនៃច្រកដែលត្រូវបានបើកដោយចៃដន្យជាមួយនឹងសេវាកម្មផ្សេងទៀត ដែលកាត់បន្ថយផ្ទៃនៃការវាយប្រហារយ៉ាងខ្លាំង។

មុនពេលដំឡើងជញ្ជាំងភ្លើង អ្នកត្រូវប្រាកដថា SSH ត្រូវបានបញ្ចូលក្នុងបញ្ជីដកចេញ ហើយនឹងមិនត្រូវបានរារាំងទេ។ បើមិនដូច្នោះទេ បន្ទាប់ពីចាប់ផ្តើមជញ្ជាំងភ្លើង យើងនឹងមិនអាចភ្ជាប់ទៅម៉ាស៊ីនមេបានទេ។

ជាមួយនឹងការចែកចាយ Ubuntu ជញ្ជាំងភ្លើងដែលមិនស្មុគស្មាញនឹងមកដល់ (វ៉ោវ) និងជាមួយ CentOS/មួកក្រហម — ភ្លើងឆេះ.

អនុញ្ញាតឱ្យ SSH នៅក្នុងជញ្ជាំងភ្លើងបើក Ubuntu:

sudo ufw allow ssh

នៅលើ CentOS/Red Hat ប្រើពាក្យបញ្ជា firewall-cmd:

sudo firewall-cmd --zone=public --add-service=ssh --permanent

បន្ទាប់ពីនីតិវិធីនេះអ្នកអាចចាប់ផ្តើមជញ្ជាំងភ្លើង។

នៅលើ CentOS/Red Hat ចាប់ផ្តើមសេវាកម្ម systemd សម្រាប់ firewalld៖

sudo systemctl start firewalld
sudo systemctl enable firewalld

នៅលើ Ubuntu យើងប្រើពាក្យបញ្ជានេះ៖

sudo ufw enable

FX2Ban ។

RЎRμSЂRІRёSЃ FX2Ban ។ វិភាគកំណត់ហេតុនៅលើម៉ាស៊ីនមេ និងរាប់ចំនួននៃការប៉ុនប៉ងចូលប្រើពីអាសយដ្ឋាន IP នីមួយៗ។ ការកំណត់បញ្ជាក់ច្បាប់សម្រាប់ចំនួនការប៉ុនប៉ងចូលប្រើដែលត្រូវបានអនុញ្ញាតសម្រាប់ចន្លោះពេលជាក់លាក់មួយ - បន្ទាប់ពីនោះអាសយដ្ឋាន IP នេះត្រូវបានរារាំងក្នុងរយៈពេលជាក់លាក់មួយ។ ជាឧទាហរណ៍ សូមអនុញ្ញាតឱ្យមានការព្យាយាមផ្ទៀងផ្ទាត់ SSH ដែលបរាជ័យចំនួន 5 ដងក្នុងរយៈពេល 2 ម៉ោង បន្ទាប់មកបិទអាសយដ្ឋាន IP ដែលបានផ្តល់ឱ្យរយៈពេល 12 ម៉ោង។

កំពុងដំឡើង Fail2Ban នៅលើ CentOS និងមួកក្រហម៖

sudo yum install fail2ban

ការដំឡើងនៅលើ Ubuntu и Debian:

sudo apt install fail2ban

បើកដំណើរការ៖

systemctl start fail2ban
systemctl enable fail2ban

កម្មវិធីនេះមានឯកសារកំណត់រចនាសម្ព័ន្ធពីរ៖ /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf. ការហាមឃាត់ត្រូវបានបញ្ជាក់នៅក្នុងឯកសារទីពីរ។

គុកសម្រាប់ SSH ត្រូវបានបើកតាមលំនាំដើមជាមួយនឹងការកំណត់លំនាំដើម (5 ដង ចន្លោះពេល 10 នាទី ហាមប្រើ 10 នាទី)។

[លំនាំដើម] ignorecommand=bantime=10m findtime=10m maxretry=5

បន្ថែមពីលើ SSH Fail2Ban អាចការពារសេវាកម្មផ្សេងទៀតនៅលើ nginx ឬ Apache web server។

ការធ្វើបច្ចុប្បន្នភាពសុវត្ថិភាពដោយស្វ័យប្រវត្តិ

ដូចដែលអ្នកបានដឹងហើយថាភាពងាយរងគ្រោះថ្មីត្រូវបានរកឃើញឥតឈប់ឈរនៅក្នុងកម្មវិធីទាំងអស់។ បន្ទាប់ពីព័ត៌មានត្រូវបានបោះពុម្ពផ្សាយ ការកេងប្រវ័ញ្ចត្រូវបានបញ្ចូលទៅក្នុងកញ្ចប់កេងប្រវ័ញ្ចដ៏ពេញនិយម ដែលត្រូវបានប្រើប្រាស់យ៉ាងច្រើនដោយពួក Hacker និងក្មេងជំទង់នៅពេលស្កេនម៉ាស៊ីនមេទាំងអស់ជាប់គ្នា។ ដូច្នេះ វាមានសារៈសំខាន់ខ្លាំងណាស់ក្នុងការដំឡើងការអាប់ដេតសុវត្ថិភាពភ្លាមៗនៅពេលដែលវាលេចឡើង។

នៅលើម៉ាស៊ីនមេ Ubuntu ការអាប់ដេតសុវត្ថិភាពដោយស្វ័យប្រវត្តិត្រូវបានបើកតាមលំនាំដើមនៅក្នុងការកំណត់រចនាសម្ព័ន្ធ ដូច្នេះមិនចាំបាច់មានសកម្មភាពបន្ថែមទេ។

នៅលើ CentOS/Red Hat ត្រូវការដំឡើងកម្មវិធី dnf-ស្វ័យប្រវត្តិ ហើយបើកកម្មវិធីកំណត់ម៉ោង៖

sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer

ពិនិត្យម៉ោងកំណត់៖

sudo systemctl status dnf-automatic.timer

ការផ្លាស់ប្តូរច្រកលំនាំដើម

SSH ត្រូវបានបង្កើតឡើងក្នុងឆ្នាំ 1995 ដើម្បីជំនួស telnet (port 23) និង ftp (port 21) ដូច្នេះអ្នកនិពន្ធកម្មវិធី Tatu Iltonen បានជ្រើសរើសច្រក 22 តាមលំនាំដើមហើយត្រូវបានអនុម័តដោយ IANA ។

តាមធម្មជាតិ អ្នកវាយប្រហារទាំងអស់ដឹងថាច្រក SSH មួយណាកំពុងដំណើរការ ហើយស្កែនវាជាមួយច្រកស្តង់ដារដែលនៅសល់ ដើម្បីស្វែងរកកំណែកម្មវិធី ដើម្បីពិនិត្យមើលពាក្យសម្ងាត់ root ស្តង់ដារជាដើម។

ការផ្លាស់ប្តូរច្រកស្តង់ដារ - ភាពច្របូកច្របល់ - ជាច្រើនដងកាត់បន្ថយបរិមាណនៃចរាចរសំរាម ទំហំនៃកំណត់ហេតុ និងការផ្ទុកនៅលើម៉ាស៊ីនមេ ហើយក៏កាត់បន្ថយផ្ទៃវាយប្រហារផងដែរ។ ទោះបីជាមួយចំនួន រិះគន់វិធីសាស្រ្តនៃ "ការការពារតាមរយៈការមិនច្បាស់លាស់" (សុវត្ថិភាពតាមរយៈភាពមិនច្បាស់លាស់) ។ ហេតុផលគឺថាបច្ចេកទេសនេះគឺផ្ទុយទៅនឹងមូលដ្ឋានគ្រឹះ ការការពារស្ថាបត្យកម្ម. ដូច្នេះ ជាឧទាហរណ៍ វិទ្យាស្ថានស្តង់ដារ និងបច្ចេកវិទ្យាជាតិរបស់សហរដ្ឋអាមេរិក ក្នុង "មគ្គុទ្ទេសក៍សុវត្ថិភាពម៉ាស៊ីនមេ" បង្ហាញពីតម្រូវការសម្រាប់ស្ថាបត្យកម្មម៉ាស៊ីនមេបើកចំហ៖ "សុវត្ថិភាពនៃប្រព័ន្ធមិនគួរពឹងផ្អែកលើការសម្ងាត់នៃការអនុវត្តសមាសធាតុរបស់វាទេ" ។

តាមទ្រឹស្តី ការផ្លាស់ប្តូរច្រកលំនាំដើមគឺប្រឆាំងនឹងការអនុវត្តនៃស្ថាបត្យកម្មបើកចំហ។ ប៉ុន្តែនៅក្នុងការអនុវត្តជាក់ស្តែងបរិមាណនៃចរាចរព្យាបាទត្រូវបានកាត់បន្ថយ ដូច្នេះនេះគឺជាវិធានការសាមញ្ញ និងមានប្រសិទ្ធភាព។

លេខច្រកអាចត្រូវបានកំណត់រចនាសម្ព័ន្ធដោយការផ្លាស់ប្តូរការណែនាំ Port 22 នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ / etc / ssh / sshd_config. វាក៏ត្រូវបានចង្អុលបង្ហាញដោយប៉ារ៉ាម៉ែត្រផងដែរ។ -p <port> в sshd. ម៉ាស៊ីនភ្ញៀវ SSH និងកម្មវិធី sftp គាំទ្រជម្រើសផងដែរ។ -p <port>.

ប៉ារ៉ាម៉ែត្រ -p <port> អាចត្រូវបានប្រើដើម្បីបញ្ជាក់លេខច្រកនៅពេលភ្ជាប់ជាមួយពាក្យបញ្ជា ssh в Linux។ នេះ sftp и scp ប៉ារ៉ាម៉ែត្រត្រូវបានប្រើ -P <port> (រាជធានី P) ។ ការណែនាំបន្ទាត់ពាក្យបញ្ជាបដិសេធតម្លៃណាមួយនៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ។

ប្រសិនបើមានម៉ាស៊ីនមេច្រើន សកម្មភាពសុវត្ថិភាពស្ទើរតែទាំងអស់នេះ Linuxម៉ាស៊ីនមេអាចត្រូវបានធ្វើស្វ័យប្រវត្តិនៅក្នុងស្គ្រីបមួយ។ ប៉ុន្តែប្រសិនបើមានម៉ាស៊ីនមេតែមួយ វាជាការប្រសើរក្នុងការគ្រប់គ្រងដំណើរការដោយដៃ។

អំពីសិទ្ធិផ្សព្វផ្សាយ

បញ្ជាទិញហើយចាប់ផ្តើមភ្លាមៗ! ការបង្កើត VDS ការកំណត់រចនាសម្ព័ន្ធណាមួយ និងជាមួយប្រព័ន្ធប្រតិបត្តិការណាមួយក្នុងរយៈពេលមួយនាទី។ ការកំណត់រចនាសម្ព័ន្ធអតិបរមានឹងអនុញ្ញាតឱ្យអ្នកចេញបានពេញលេញបំផុត - ស្នូលស៊ីភីយូ 128, RAM 512 GB, 4000 GB NVMe ។ វីរភាព🙂

ប្រភព: www.habr.com