हबीब मेन्नी/विकिमिडिया कमन्स, CC BY-SA

आजकल, होस्टिङमा सर्भर उठाउनु केही मिनेट र केही माउस क्लिकको कुरा हो। तर प्रक्षेपण पछि तुरुन्तै, उसले आफूलाई एक शत्रुतापूर्ण वातावरणमा भेट्टाउँछ, किनकि ऊ रकर डिस्कोमा निर्दोष केटी जस्तै सम्पूर्ण इन्टरनेटमा खुला छ। स्क्यानरहरूले यसलाई छिट्टै फेला पार्नेछ र हजारौं स्वचालित रूपमा लिपिबद्ध बटहरू पत्ता लगाउनेछन् जसले नेटवर्कलाई कमजोरीहरू र गलत कन्फिगरेसनहरू खोज्दै स्काउर गर्दछ। आधारभूत सुरक्षा सुनिश्चित गर्नको लागि तपाईंले सुरु गरेपछि गर्नै पर्ने केही कुराहरू छन्।

सामग्रीहरू

• गैर-रूट प्रयोगकर्ता
• SSH पासवर्डहरूको सट्टा कुञ्जीहरू
• फायरवाल
• फेल २ बान
• स्वचालित सुरक्षा अपडेटहरू
• पूर्वनिर्धारित पोर्टहरू परिवर्तन गर्दै

गैर-रूट प्रयोगकर्ता

पहिलो चरण भनेको आफ्नो लागि गैर-रूट प्रयोगकर्ता सिर्जना गर्नु हो। बिन्दु यो हो कि प्रयोगकर्ता root प्रणालीमा पूर्ण विशेषाधिकारहरू, र यदि तपाईंले उसलाई टाढाको प्रशासनलाई अनुमति दिनुभयो भने, तपाईंले ह्याकरको लागि आधा काम गर्नुहुनेछ, उसको लागि वैध प्रयोगकर्ता नाम छोडेर।

त्यसकारण, तपाईंले अर्को प्रयोगकर्ता सिर्जना गर्न आवश्यक छ, र रूटको लागि SSH मार्फत रिमोट प्रशासन असक्षम गर्नुहोस्।

एक नयाँ प्रयोगकर्ता आदेश द्वारा सुरु हुन्छ useradd:

useradd [options] <username>

त्यसपछि आदेशको साथ यसको लागि पासवर्ड थपिएको छ passwd:

passwd <username>

अन्तमा, यो प्रयोगकर्तालाई उच्च आदेशहरू कार्यान्वयन गर्ने अधिकार भएको समूहमा थप्न आवश्यक छ sudo। लिनक्स वितरणमा निर्भर गर्दै, यी फरक समूहहरू हुन सक्छन्। उदाहरणका लागि, CentOS र Red Hat मा, प्रयोगकर्ता समूहमा थपिएको छ wheel:

usermod -aG wheel <username>

Ubuntu मा यो समूहमा थपिएको छ sudo:

usermod -aG sudo <username>

SSH पासवर्डहरूको सट्टा कुञ्जीहरू

ब्रुट फोर्स वा पासवर्ड लीक एक मानक आक्रमण भेक्टर हो, त्यसैले SSH (Secure Shell) मा पासवर्ड प्रमाणीकरण असक्षम गर्नु र यसको सट्टा कुञ्जी प्रमाणीकरण प्रयोग गर्नु उत्तम हुन्छ।

SSH प्रोटोकल लागू गर्न विभिन्न कार्यक्रमहरू छन्, जस्तै lsh и ड्रपबियर, तर सबैभन्दा लोकप्रिय OpenSSH हो। Ubuntu मा OpenSSH क्लाइन्ट स्थापना गर्दै:

sudo apt install openssh-client

सर्भर स्थापना:

sudo apt install openssh-server

Ubuntu सर्भरमा SSH डेमन (sshd) सुरु गर्दै:

sudo systemctl start sshd

प्रत्येक बुटमा स्वचालित रूपमा डेमन सुरु गर्नुहोस्:

sudo systemctl enable sshd

यो ध्यान दिनुपर्छ कि OpenSSH को सर्भर भागले ग्राहक भाग समावेश गर्दछ। अर्थात्, मार्फत openssh-server तपाईं अन्य सर्भर जडान गर्न सक्नुहुन्छ। यसबाहेक, तपाइँको क्लाइन्ट मेसिनबाट, तपाइँ रिमोट सर्भरबाट तेस्रो-पक्ष होस्टमा SSH सुरुङ सुरु गर्न सक्नुहुन्छ, र त्यसपछि तेस्रो-पक्ष होस्टले रिमोट सर्भरलाई अनुरोधहरूको स्रोतको रूपमा विचार गर्नेछ। तपाइँको प्रणाली मास्क गर्न को लागी एक धेरै सजिलो सुविधा। विवरणको लागि लेख हेर्नुहोस् "व्यावहारिक सुझावहरू, उदाहरणहरू, र SSH टनेलहरू".

क्लाइन्ट मेसिनमा, कम्प्युटरमा रिमोट जडानको सम्भावनालाई रोक्नको लागि (सुरक्षा कारणहरूका लागि) सामान्यतया पूर्ण सर्भर स्थापना गर्न कुनै अर्थ छैन।

त्यसोभए, तपाईंको नयाँ प्रयोगकर्ताको लागि, तपाईंले पहिले कम्प्युटरमा SSH कुञ्जीहरू उत्पन्न गर्न आवश्यक छ जसबाट तपाईंले सर्भर पहुँच गर्नुहुनेछ:

ssh-keygen -t rsa

सार्वजनिक कुञ्जी फाइलमा भण्डार गरिएको छ .pub र सुरु हुने अनियमित वर्णहरूको स्ट्रिङ जस्तो देखिन्छ ssh-rsa.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname

त्यसपछि, रूट बाट, प्रयोगकर्ताको गृह डाइरेक्टरीमा सर्भरमा SSH डाइरेक्टरी सिर्जना गर्नुहोस् र फाइलमा SSH सार्वजनिक कुञ्जी थप्नुहोस्। authorized_keys, Vim जस्तै पाठ सम्पादक प्रयोग गरेर:

mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keys

vim /home/user_name/.ssh/authorized_keys

अन्तमा, फाइलको लागि सही अनुमतिहरू सेट गर्नुहोस्:

chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keys

र यस प्रयोगकर्तालाई स्वामित्व परिवर्तन गर्नुहोस्:

chown -R username:username /home/username/.ssh

ग्राहक पक्षमा, तपाईंले प्रमाणीकरणको लागि गोप्य कुञ्जीको स्थान निर्दिष्ट गर्न आवश्यक छ:

ssh-add DIR_PATH/keylocation

अब तपाइँ यो कुञ्जी प्रयोग गरेर प्रयोगकर्ता नाम अन्तर्गत सर्भरमा लग इन गर्न सक्नुहुन्छ:

ssh [username]@hostname

प्राधिकरण पछि, तपाइँ फाइलहरू, उपयोगिता प्रतिलिपि गर्न scp आदेश प्रयोग गर्न सक्नुहुन्छ sshfs टाढाबाट फाइल प्रणाली वा डाइरेक्टरीहरू माउन्ट गर्न।

निजी कुञ्जीका धेरै जगेडा प्रतिलिपिहरू बनाउन सल्लाह दिइन्छ, किनकि यदि तपाईंले पासवर्ड प्रमाणीकरण असक्षम गर्नुभयो र यसलाई हराउनुभयो भने, तपाइँसँग तपाइँको आफ्नै सर्भरमा लगइन गर्ने कुनै पनि तरिका हुनेछैन।

माथि उल्लेख गरिए अनुसार, SSH मा तपाईंले रूटको लागि प्रमाणीकरण असक्षम गर्न आवश्यक छ (यो कारण हो कि हामीले नयाँ प्रयोगकर्ता सुरु गरेका छौं)।

CentOS/Red Hat मा हामी लाइन फेला पार्छौं PermitRootLogin yes कन्फिगरेसन फाइलमा /etc/ssh/sshd_config र यसलाई परिवर्तन गर्नुहोस्:

PermitRootLogin no

Ubuntu मा लाइन थप्नुहोस् PermitRootLogin no कन्फिगरेसन फाइलमा 10-my-sshd-settings.conf:

sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

नयाँ प्रयोगकर्ताले तिनीहरूको कुञ्जीबाट प्रमाणीकरण गर्दैछ भनी पुष्टि गरेपछि, तपाईंले पासवर्ड लिकेज वा ब्रूट फोर्सको जोखिम हटाउन पासवर्ड प्रमाणीकरण असक्षम गर्न सक्नुहुन्छ। अब, सर्भर पहुँच गर्नको लागि, एक आक्रमणकर्ताले एक निजी कुञ्जी प्राप्त गर्न आवश्यक छ।

CentOS/Red Hat मा हामी लाइन फेला पार्छौं PasswordAuthentication yes कन्फिगरेसन फाइलमा /etc/ssh/sshd_config र यसलाई यसरी परिवर्तन गर्नुहोस्:

PasswordAuthentication no

Ubuntu मा लाइन थप्नुहोस् PasswordAuthentication no फाइल गर्न 10-my-sshd-settings.conf:

sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

SSH मार्फत दुई-कारक प्रमाणीकरण सक्षम गर्ने निर्देशनहरूको लागि, हेर्नुहोस् यहाँ.

फायरवाल

फायरवालले सुनिश्चित गर्दछ कि तपाईले सिधै अनुमति दिनुभएको पोर्टहरूमा ट्राफिक मात्र सर्भरमा जान्छ। यसले पोर्टहरूको शोषणबाट जोगाउँछ जुन दुर्घटनावश अन्य सेवाहरूसँग सक्षम पारिएको छ, जसले आक्रमणको सतहलाई धेरै कम गर्छ।

फायरवाल स्थापना गर्नु अघि, तपाईंले SSH बहिष्करण सूचीमा समावेश गरिएको छ र अवरुद्ध गरिने छैन भनेर सुनिश्चित गर्न आवश्यक छ। अन्यथा, फायरवाल सुरु गरेपछि, हामी सर्भरमा जडान गर्न सक्षम हुनेछैनौं।

Ubuntu वितरण Uncomplicated फायरवाल (यूएफडब्ल्यू), र CentOS/Red Hat संग - फायरवाल्ड.

Ubuntu मा फायरवालमा SSH लाई अनुमति दिँदै:

sudo ufw allow ssh

CentOS/Red Hat मा आदेश प्रयोग गर्नुहोस् firewall-cmd:

sudo firewall-cmd --zone=public --add-service=ssh --permanent

यो प्रक्रिया पछि, तपाईं फायरवाल सुरु गर्न सक्नुहुन्छ।

CentOS/Red Hat मा, firewalld को लागि systemd सेवा सुरु गर्नुहोस्:

sudo systemctl start firewalld
sudo systemctl enable firewalld

Ubuntu मा हामी निम्न आदेश प्रयोग गर्छौं:

sudo ufw enable

फेल २ बान

सेवा फेल २ बान सर्भरमा लगहरू विश्लेषण गर्दछ र प्रत्येक IP ठेगानाबाट पहुँच प्रयासहरूको संख्या गणना गर्दछ। सेटिङहरूले एक निश्चित अन्तरालको लागि कति पहुँच प्रयासहरू अनुमति दिइन्छ भनेर नियमहरू निर्दिष्ट गर्दछ - जस पछि यो IP ठेगाना निर्दिष्ट समयको लागि अवरुद्ध हुन्छ। उदाहरणका लागि, २ घण्टा भित्र ५ असफल SSH प्रमाणीकरण प्रयासहरूलाई अनुमति दिनुहोस्, त्यसपछि दिइएको IP ठेगानालाई १२ घण्टासम्म रोक्नुहोस्।

CentOS र Red Hat मा Fail2Ban स्थापना गर्दै:

sudo yum install fail2ban

Ubuntu र Debian मा स्थापना:

sudo apt install fail2ban

सुरुवात:

systemctl start fail2ban
systemctl enable fail2ban

कार्यक्रममा दुई कन्फिगरेसन फाइलहरू छन्: /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf। प्रतिबन्ध प्रतिबन्धहरू दोस्रो फाइलमा निर्दिष्ट गरिएको छ।

SSH का लागि जेल पूर्वनिर्धारित सेटिङहरूसँग पूर्वनिर्धारित रूपमा सक्षम गरिएको छ (५ प्रयास, अन्तराल १० मिनेट, १० मिनेटको लागि प्रतिबन्ध)।

[DEFAULT] ignorecommand=bantime=10m findtime=10m maxretry=5

SSH को अतिरिक्त, Fail2Ban ले nginx वा Apache वेब सर्भरमा अन्य सेवाहरू सुरक्षित गर्न सक्छ।

स्वचालित सुरक्षा अपडेटहरू

तपाईलाई थाहा छ, सबै कार्यक्रमहरूमा नयाँ कमजोरीहरू निरन्तर भेटिन्छन्। जानकारी प्रकाशित भएपछि, लोकप्रिय शोषण प्याकहरूमा शोषणहरू थपिन्छन्, जुन ह्याकरहरू र किशोरहरूले पङ्क्तिमा सबै सर्भरहरू स्क्यान गर्दा व्यापक रूपमा प्रयोग गर्छन्। तसर्थ, सुरक्षा अपडेटहरू देखा पर्ने बित्तिकै स्थापना गर्न धेरै महत्त्वपूर्ण छ।

Ubuntu सर्भरमा, स्वचालित सुरक्षा अपडेटहरू पूर्वनिर्धारित रूपमा सक्षम हुन्छन्, त्यसैले कुनै थप कार्य आवश्यक पर्दैन।

CentOS/Red Hat मा तपाईंले अनुप्रयोग स्थापना गर्न आवश्यक छ dnf-स्वचालित र टाइमर खोल्नुहोस्:

sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer

टाइमर जाँच:

sudo systemctl status dnf-automatic.timer

पूर्वनिर्धारित पोर्टहरू परिवर्तन गर्दै

SSH 1995 मा टेलनेट (पोर्ट 23) र ftp (पोर्ट 21) लाई प्रतिस्थापन गर्न विकसित गरिएको थियो, त्यसैले कार्यक्रमका लेखक, Tatu Iltonen पूर्वनिर्धारित रूपमा पोर्ट 22 चयन गरियो, र IANA द्वारा अनुमोदन गरिएको छ।

स्वाभाविक रूपमा, सबै आक्रमणकारीहरूलाई थाहा छ कुन पोर्ट SSH मा चलिरहेको छ - र यसलाई सफ्टवेयर संस्करण पत्ता लगाउन, मानक रूट पासवर्डहरू जाँच गर्न, र यस्तै अन्य मानक पोर्टहरूसँगै स्क्यान गर्नुहोस्।

मानक पोर्टहरू परिवर्तन गर्दै - अस्पष्टता - धेरै पटक फोहोर ट्राफिकको मात्रा, लगहरूको आकार र सर्भरमा लोड घटाउँछ, र आक्रमणको सतहलाई पनि कम गर्दछ। यद्यपि केही "अस्पष्टता मार्फत संरक्षण" को यो विधिको आलोचना गर्नुहोस् (अस्पष्टता मार्फत सुरक्षा)। कारण यो प्रविधि मौलिक विरोध छ वास्तु संरक्षण। तसर्थ, उदाहरणका लागि, यूएस नेशनल इन्स्टिच्युट अफ स्ट्यान्डर्ड्स एन्ड टेक्नोलोजी इन "सर्भर सुरक्षा गाइड" खुला सर्भर आर्किटेक्चरको आवश्यकतालाई संकेत गर्दछ: "प्रणालीको सुरक्षाले यसको कम्पोनेन्टहरूको कार्यान्वयनको गोपनीयतामा भर पर्नु हुँदैन," कागजातले भन्छ।

सैद्धान्तिक रूपमा, पूर्वनिर्धारित पोर्टहरू परिवर्तन गर्नु खुला वास्तुकलाको अभ्यास विरुद्ध हो। तर व्यवहारमा, दुर्भावनापूर्ण ट्राफिकको मात्रा वास्तवमा कम भएको छ, त्यसैले यो एक सरल र प्रभावकारी उपाय हो।

पोर्ट नम्बर निर्देशन परिवर्तन गरेर कन्फिगर गर्न सकिन्छ Port 22 कन्फिगरेसन फाइलमा / etc / ssh / sshd_config। यो पनि प्यारामिटर द्वारा संकेत गरिएको छ -p <port> в ssh। SSH ग्राहक र कार्यक्रमहरू sftp विकल्पलाई पनि समर्थन गर्दछ -p <port>.

परिमिति -p <port> आदेशसँग जडान गर्दा पोर्ट नम्बर निर्दिष्ट गर्न प्रयोग गर्न सकिन्छ ssh लिनक्स मा। IN sftp и scp प्यारामिटर प्रयोग गरिन्छ -P <port> (पूँजी P)। कमाण्ड लाइन निर्देशनले कन्फिगरेसन फाइलहरूमा कुनै पनि मान ओभरराइड गर्छ।

यदि त्यहाँ धेरै सर्भरहरू छन् भने, लिनक्स सर्भरलाई सुरक्षित गर्न यी सबै कार्यहरू स्क्रिप्टमा स्वचालित हुन सक्छन्। तर त्यहाँ एक मात्र सर्भर छ भने, त्यसपछि यो म्यानुअल रूपमा प्रक्रिया नियन्त्रण गर्न राम्रो छ।

विज्ञापनको अधिकारमा

अर्डर गर्नुहोस् र तुरुन्तै सुरु गर्नुहोस्! VDS को निर्माण कुनै पनि कन्फिगरेसन र एक मिनेट भित्र कुनै पनि अपरेटिङ सिस्टमसँग। अधिकतम कन्फिगरेसनले तपाईंलाई पूर्ण रूपमा आउन अनुमति दिन्छ - 128 CPU कोर, 512 GB RAM, 4000 GB NVMe। महाकाव्य 🙂

स्रोत: www.habr.com