हबीब म्हेंनी/विकिमीडिया कॉमन्स, CC बाय-एसए

आजकाल, होस्टिंगवर सर्व्हर वाढवणे ही काही मिनिटांची आणि काही माऊस क्लिकची बाब आहे. पण लॉन्च झाल्यानंतर लगेचच, तो स्वतःला प्रतिकूल वातावरणात सापडतो, कारण तो रॉकर डिस्कोमधील निष्पाप मुलीप्रमाणे संपूर्ण इंटरनेटसाठी खुला असतो. स्कॅनर ते त्वरीत शोधतील आणि हजारो आपोआप स्क्रिप्ट केलेले बॉट्स शोधतील जे असुरक्षा आणि चुकीची कॉन्फिगरेशन शोधत असलेल्या नेटवर्कला शोधून काढतील. मूलभूत संरक्षणाची खात्री करण्यासाठी तुम्ही लाँच झाल्यानंतर लगेचच काही गोष्टी केल्या पाहिजेत.

सामग्री

• गैर-रूट वापरकर्ता
• SSH पासवर्ड ऐवजी की
• फायरवॉल
• Fail2Ban
• स्वयंचलित सुरक्षा अद्यतने
• डीफॉल्ट पोर्ट बदलत आहे

गैर-रूट वापरकर्ता

पहिली पायरी म्हणजे स्वतःसाठी रूट नसलेला वापरकर्ता तयार करणे. मुद्दा असा आहे की वापरकर्ता root सिस्टममध्ये पूर्ण विशेषाधिकार आणि जर तुम्ही त्याला दूरस्थ प्रशासनाची परवानगी दिली तर तुम्ही हॅकरसाठी एक वैध वापरकर्तानाव सोडून अर्धे काम कराल.

म्हणून, तुम्हाला दुसरा वापरकर्ता तयार करणे आवश्यक आहे, आणि रूटसाठी SSH द्वारे दूरस्थ प्रशासन अक्षम करणे आवश्यक आहे.

कमांडद्वारे नवीन वापरकर्ता सुरू होतो useradd:

useradd [options] <username>

त्यानंतर कमांडसह पासवर्ड जोडला जातो passwd:

passwd <username>

शेवटी, या वापरकर्त्याला एका गटात जोडले जाणे आवश्यक आहे ज्याला उन्नत आदेश कार्यान्वित करण्याचा अधिकार आहे sudo. Linux वितरणावर अवलंबून, हे भिन्न गट असू शकतात. उदाहरणार्थ, CentOS आणि Red Hat मध्ये, वापरकर्त्यास गटामध्ये जोडले जाते wheel:

usermod -aG wheel <username>

उबंटूमध्ये ते ग्रुपमध्ये जोडले जाते sudo:

usermod -aG sudo <username>

SSH पासवर्ड ऐवजी की

ब्रूट फोर्स किंवा पासवर्ड लीकेज हा एक मानक हल्ला वेक्टर आहे, म्हणून SSH (Secure Shell) मध्ये पासवर्ड ऑथेंटिकेशन अक्षम करणे आणि त्याऐवजी की ऑथेंटिकेशन वापरणे चांगले.

SSH प्रोटोकॉलच्या अंमलबजावणीसाठी विविध कार्यक्रम आहेत, जसे की lsh и ड्रॉपबियर, परंतु सर्वात लोकप्रिय OpenSSH आहे. उबंटूवर ओपनएसएसएच क्लायंट स्थापित करणे:

sudo apt install openssh-client

सर्व्हर स्थापना:

sudo apt install openssh-server

उबंटू सर्व्हरवर SSH डिमन (sshd) सुरू करत आहे:

sudo systemctl start sshd

प्रत्येक बूटवर डिमन स्वयंचलितपणे सुरू करा:

sudo systemctl enable sshd

हे नोंद घ्यावे की OpenSSH च्या सर्व्हर भागामध्ये क्लायंट भाग समाविष्ट आहे. म्हणजे, माध्यमातून openssh-server तुम्ही इतर सर्व्हरशी कनेक्ट करू शकता. शिवाय, तुमच्या क्लायंट मशीनवरून, तुम्ही रिमोट सर्व्हरवरून थर्ड-पार्टी होस्टवर एसएसएच बोगदा सुरू करू शकता आणि नंतर तृतीय-पक्ष होस्ट रिमोट सर्व्हरला विनंतीचा स्रोत मानेल. आपल्या सिस्टमला मास्क करण्यासाठी एक अतिशय सुलभ वैशिष्ट्य. अधिक तपशीलांसाठी लेख पहा "व्यावहारिक टिपा, उदाहरणे आणि SSH बोगदे".

क्लायंट मशीनवर, संगणकाशी रिमोट कनेक्शनची शक्यता टाळण्यासाठी (सुरक्षेच्या कारणास्तव) पूर्ण वाढ झालेला सर्व्हर स्थापित करण्यात सहसा काही अर्थ नाही.

म्हणून, तुमच्या नवीन वापरकर्त्यासाठी, तुम्हाला प्रथम त्या संगणकावर SSH की व्युत्पन्न कराव्या लागतील ज्यावरून तुम्ही सर्व्हरमध्ये प्रवेश कराल:

ssh-keygen -t rsa

सार्वजनिक की फाईलमध्ये संग्रहित केली जाते .pub आणि यादृच्छिक वर्णांच्या स्ट्रिंगसारखे दिसते जे सुरू होते ssh-rsa.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname

त्यानंतर, रूट अंतर्गत, वापरकर्त्याच्या होम डिरेक्टरीमध्ये सर्व्हरवर एक SSH निर्देशिका तयार करा आणि फाइलमध्ये SSH सार्वजनिक की जोडा. authorized_keys, Vim सारखे मजकूर संपादक वापरून:

mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keys

vim /home/user_name/.ssh/authorized_keys

शेवटी, फाइलसाठी योग्य परवानग्या सेट करा:

chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keys

आणि या वापरकर्त्याची मालकी बदला:

chown -R username:username /home/username/.ssh

क्लायंटच्या बाजूने, तुम्हाला प्रमाणीकरणासाठी गुप्त कीचे स्थान निर्दिष्ट करणे आवश्यक आहे:

ssh-add DIR_PATH/keylocation

आता तुम्ही ही की वापरून वापरकर्ता नावाखाली सर्व्हरवर लॉग इन करू शकता:

ssh [username]@hostname

अधिकृततेनंतर, तुम्ही फाइल्स, युटिलिटी कॉपी करण्यासाठी scp कमांड वापरू शकता sshfs फाइल सिस्टम किंवा निर्देशिका दूरस्थपणे माउंट करण्यासाठी.

खाजगी कीच्या अनेक बॅकअप प्रती बनविण्याचा सल्ला दिला जातो, कारण जर तुम्ही पासवर्ड ऑथेंटिकेशन अक्षम केले आणि ते गमावले तर तुम्हाला तुमच्या स्वतःच्या सर्व्हरवर लॉग इन करण्याचा कोणताही मार्ग नसेल.

वर नमूद केल्याप्रमाणे, SSH मध्ये तुम्हाला रूटसाठी प्रमाणीकरण अक्षम करणे आवश्यक आहे (यामुळे आम्ही नवीन वापरकर्ता सुरू केला आहे).

CentOS/Red Hat वर आम्हाला ओळ सापडते PermitRootLogin yes कॉन्फिगरेशन फाइलमध्ये /etc/ssh/sshd_config आणि ते बदला:

PermitRootLogin no

उबंटू वर ओळ ​​जोडा PermitRootLogin no कॉन्फिगरेशन फाइलवर 10-my-sshd-settings.conf:

sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

नवीन वापरकर्ता त्यांच्या की वापरून प्रमाणीकरण करत असल्याची पडताळणी केल्यानंतर, तुम्ही पासवर्ड गळती किंवा ब्रूट फोर्सचा धोका दूर करण्यासाठी पासवर्ड ऑथेंटिकेशन अक्षम करू शकता. आता, सर्व्हरमध्ये प्रवेश करण्यासाठी, आक्रमणकर्त्याला खाजगी की मिळवणे आवश्यक आहे.

CentOS/Red Hat वर आम्हाला ओळ सापडते PasswordAuthentication yes कॉन्फिगरेशन फाइलमध्ये /etc/ssh/sshd_config आणि ते याप्रमाणे बदला:

PasswordAuthentication no

उबंटू वर ओळ ​​जोडा PasswordAuthentication no दाखल करण्याचा 10-my-sshd-settings.conf:

sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

SSH द्वारे द्वि-घटक प्रमाणीकरण सक्षम करण्याच्या सूचनांसाठी, पहा येथे.

फायरवॉल

फायरवॉल हे सुनिश्चित करते की आपण थेट परवानगी दिलेल्या पोर्टवरील रहदारी सर्व्हरवर जाईल. हे इतर सेवांसह चुकून सक्षम केलेल्या बंदरांच्या शोषणापासून संरक्षण करते, ज्यामुळे आक्रमण पृष्ठभाग मोठ्या प्रमाणात कमी होतो.

फायरवॉल स्थापित करण्यापूर्वी, तुम्हाला SSH वगळण्याच्या सूचीमध्ये समाविष्ट केले आहे आणि अवरोधित केले जाणार नाही याची खात्री करणे आवश्यक आहे. अन्यथा, फायरवॉल सुरू केल्यानंतर, आम्ही सर्व्हरशी कनेक्ट होऊ शकणार नाही.

उबंटू वितरण अनकंप्लिकेटेड फायरवॉलसह येते (यूएफडब्ल्यू), आणि CentOS/Red Hat सह - फायरवालल्ड.

उबंटूवरील फायरवॉलमध्ये SSH ला अनुमती देणे:

sudo ufw allow ssh

CentOS/Red Hat वर कमांड वापरा firewall-cmd:

sudo firewall-cmd --zone=public --add-service=ssh --permanent

या प्रक्रियेनंतर, आपण फायरवॉल सुरू करू शकता.

CentOS/Red Hat वर, firewalld साठी systemd सेवा सुरू करा:

sudo systemctl start firewalld
sudo systemctl enable firewalld

उबंटूवर आम्ही खालील कमांड वापरतो:

sudo ufw enable

Fail2Ban

सेवा Fail2Ban सर्व्हरवरील लॉगचे विश्लेषण करते आणि प्रत्येक IP पत्त्यावरून प्रवेश करण्याच्या प्रयत्नांची संख्या मोजते. सेटिंग्ज एका ठराविक अंतरासाठी किती प्रवेश प्रयत्नांना परवानगी आहे याचे नियम निर्दिष्ट करतात - त्यानंतर हा IP पत्ता निर्दिष्ट कालावधीसाठी अवरोधित केला जातो. उदाहरणार्थ, 5 तासांच्या आत 2 अयशस्वी SSH प्रमाणीकरण प्रयत्नांना अनुमती देऊ या, त्यानंतर दिलेला IP पत्ता 12 तासांसाठी ब्लॉक करा.

CentOS आणि Red Hat वर Fail2Ban स्थापित करणे:

sudo yum install fail2ban

उबंटू आणि डेबियन वर स्थापना:

sudo apt install fail2ban

लाँच:

systemctl start fail2ban
systemctl enable fail2ban

प्रोग्राममध्ये दोन कॉन्फिगरेशन फाइल्स आहेत: /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf. बंदी निर्बंध दुसऱ्या फाईलमध्ये निर्दिष्ट केले आहेत.

एसएसएचसाठी जेल डीफॉल्ट सेटिंग्जसह डीफॉल्टनुसार सक्षम आहे (5 प्रयत्न, मध्यांतर 10 मिनिटे, 10 मिनिटांसाठी बंदी).

[DEFAULT] ignorecommand=bantime=10m findtime=10m maxretry=5

SSH व्यतिरिक्त, Fail2Ban nginx किंवा Apache वेब सर्व्हरवरील इतर सेवांचे संरक्षण करू शकते.

स्वयंचलित सुरक्षा अद्यतने

आपल्याला माहिती आहे की, सर्व प्रोग्राम्समध्ये नवीन असुरक्षा सतत आढळतात. माहिती प्रकाशित झाल्यानंतर, लोकप्रिय शोषण पॅकमध्ये शोषण जोडले जातात, जे सलग सर्व सर्व्हर स्कॅन करताना हॅकर्स आणि किशोरवयीन मुलांद्वारे मोठ्या प्रमाणावर वापरले जातात. म्हणून, सुरक्षा अद्यतने दिसताच ते स्थापित करणे खूप महत्वाचे आहे.

उबंटू सर्व्हरवर, स्वयंचलित सुरक्षा अद्यतने डीफॉल्टनुसार सक्षम केली जातात, त्यामुळे पुढील कारवाईची आवश्यकता नाही.

CentOS/Red Hat वर तुम्हाला अनुप्रयोग स्थापित करणे आवश्यक आहे dnf-स्वयंचलित आणि टाइमर चालू करा:

sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer

टाइमर तपासणी:

sudo systemctl status dnf-automatic.timer

डीफॉल्ट पोर्ट बदलत आहे

टेलनेट (पोर्ट 1995) आणि एफटीपी (पोर्ट 23) बदलण्यासाठी एसएसएच 21 मध्ये विकसित केले गेले होते, म्हणून कार्यक्रमाचे लेखक, तातू इलटोनेन डीफॉल्टनुसार पोर्ट 22 निवडले, आणि IANA ने मंजूर केले आहे.

साहजिकच, सर्व आक्रमणकर्त्यांना माहित असते की SSH कोणत्या पोर्टवर चालू आहे - आणि सॉफ्टवेअर आवृत्ती शोधण्यासाठी, मानक रूट पासवर्ड तपासण्यासाठी आणि इतर मानक पोर्टसह ते स्कॅन करा.

मानक पोर्ट बदलणे - गोंधळ - अनेक वेळा कचरा रहदारीचे प्रमाण, लॉगचा आकार आणि सर्व्हरवरील भार कमी करते आणि आक्रमण पृष्ठभाग देखील कमी करते. जरी काही "अस्पष्टतेतून संरक्षण" या पद्धतीवर टीका करा (अस्पष्टतेद्वारे सुरक्षा). याचे कारण असे की या तंत्राचा मूलभूत विरोध आहे आर्किटेक्चरल संरक्षण. म्हणून, उदाहरणार्थ, यूएस नॅशनल इन्स्टिट्यूट ऑफ स्टँडर्ड्स अँड टेक्नॉलॉजी इन "सर्व्हर सुरक्षा मार्गदर्शक" ओपन सर्व्हर आर्किटेक्चरची गरज सूचित करते: "प्रणालीची सुरक्षा त्याच्या घटकांच्या अंमलबजावणीच्या गुप्ततेवर अवलंबून नसावी," दस्तऐवज म्हणते.

सैद्धांतिकदृष्ट्या, डीफॉल्ट पोर्ट बदलणे हे ओपन आर्किटेक्चरच्या सरावाच्या विरुद्ध आहे. परंतु सराव मध्ये, दुर्भावनापूर्ण रहदारीचे प्रमाण प्रत्यक्षात कमी होते, म्हणून हे एक सोपे आणि प्रभावी उपाय आहे.

निर्देश बदलून पोर्ट नंबर कॉन्फिगर केला जाऊ शकतो Port 22 कॉन्फिगरेशन फाइलमध्ये / etc / ssh / sshd_config. हे पॅरामीटरद्वारे देखील सूचित केले जाते -p <port> в एसएसडी. SSH क्लायंट आणि प्रोग्राम्स sftp पर्यायाला देखील समर्थन द्या -p <port>.

पॅरामीटर -p <port> कमांडसह कनेक्ट करताना पोर्ट नंबर निर्दिष्ट करण्यासाठी वापरला जाऊ शकतो ssh लिनक्स मध्ये. IN sftp и scp पॅरामीटर वापरले जाते -P <port> (राजधानी पी). कमांड लाइन इंस्ट्रक्शन कॉन्फिगरेशन फाइल्समधील कोणतेही मूल्य ओव्हरराइड करते.

अनेक सर्व्हर असल्यास, लिनक्स सर्व्हरचे संरक्षण करण्यासाठी यापैकी जवळजवळ सर्व क्रिया स्क्रिप्टमध्ये स्वयंचलित केल्या जाऊ शकतात. परंतु जर एकच सर्व्हर असेल तर प्रक्रिया व्यक्तिचलितपणे नियंत्रित करणे चांगले.

जाहिरातींच्या अधिकारांवर

ऑर्डर करा आणि लगेच सुरू करा! व्हीडीएसची निर्मिती कोणतेही कॉन्फिगरेशन आणि कोणत्याही ऑपरेटिंग सिस्टमसह एका मिनिटात. कमाल कॉन्फिगरेशन तुम्हाला पूर्णत: 128 CPU कोर, 512 GB RAM, 4000 GB NVMe वर येण्याची परवानगी देईल. महाकाव्य 🙂

स्त्रोत: www.habr.com