ਹਬੀਬ ਮੇਂਨੀ/ਵਿਕੀਮੀਡੀਆ ਕਾਮਨਜ਼, CC BY-SA

ਅੱਜਕੱਲ੍ਹ, ਹੋਸਟਿੰਗ 'ਤੇ ਸਰਵਰ ਨੂੰ ਵਧਾਉਣਾ ਕੁਝ ਮਿੰਟਾਂ ਅਤੇ ਕੁਝ ਮਾਊਸ ਕਲਿੱਕਾਂ ਦਾ ਮਾਮਲਾ ਹੈ। ਪਰ ਲਾਂਚ ਦੇ ਤੁਰੰਤ ਬਾਅਦ, ਉਹ ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ ਵਿਰੋਧੀ ਮਾਹੌਲ ਵਿੱਚ ਪਾਉਂਦਾ ਹੈ, ਕਿਉਂਕਿ ਉਹ ਇੱਕ ਰੌਕਰ ਡਿਸਕੋ ਵਿੱਚ ਇੱਕ ਮਾਸੂਮ ਕੁੜੀ ਵਾਂਗ ਪੂਰੇ ਇੰਟਰਨੈਟ ਲਈ ਖੁੱਲ੍ਹਾ ਹੈ। ਸਕੈਨਰ ਇਸ ਨੂੰ ਜਲਦੀ ਲੱਭ ਲੈਣਗੇ ਅਤੇ ਹਜ਼ਾਰਾਂ ਸਵੈਚਲਿਤ ਤੌਰ 'ਤੇ ਸਕ੍ਰਿਪਟ ਕੀਤੇ ਬੋਟਾਂ ਦਾ ਪਤਾ ਲਗਾ ਲੈਣਗੇ ਜੋ ਕਮਜ਼ੋਰਤਾਵਾਂ ਅਤੇ ਗਲਤ ਸੰਰਚਨਾਵਾਂ ਦੀ ਭਾਲ ਕਰ ਰਹੇ ਨੈੱਟਵਰਕ ਨੂੰ ਸਕੋਰ ਕਰਦੇ ਹਨ। ਮੁਢਲੀ ਸੁਰੱਖਿਆ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਤੁਹਾਨੂੰ ਲਾਂਚ ਕਰਨ ਤੋਂ ਤੁਰੰਤ ਬਾਅਦ ਕੁਝ ਚੀਜ਼ਾਂ ਕਰਨੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ।

ਸਮੱਗਰੀ

• ਗੈਰ-ਰੂਟ ਉਪਭੋਗਤਾ
• SSH ਪਾਸਵਰਡ ਦੀ ਬਜਾਏ ਕੁੰਜੀਆਂ
• ਫਾਇਰਵਾਲ
• ਫੇਲ 2 ਬੈਨ
• ਆਟੋਮੈਟਿਕ ਸੁਰੱਖਿਆ ਅੱਪਡੇਟ
• ਡਿਫੌਲਟ ਪੋਰਟਾਂ ਨੂੰ ਬਦਲਣਾ

ਗੈਰ-ਰੂਟ ਉਪਭੋਗਤਾ

ਪਹਿਲਾ ਕਦਮ ਆਪਣੇ ਲਈ ਇੱਕ ਗੈਰ-ਰੂਟ ਉਪਭੋਗਤਾ ਬਣਾਉਣਾ ਹੈ। ਬਿੰਦੂ ਇਹ ਹੈ ਕਿ ਉਪਭੋਗਤਾ root ਸਿਸਟਮ ਵਿੱਚ ਪੂਰਨ ਅਧਿਕਾਰ, ਅਤੇ ਜੇਕਰ ਤੁਸੀਂ ਉਸਨੂੰ ਰਿਮੋਟ ਪ੍ਰਸ਼ਾਸਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਹੈਕਰ ਲਈ ਅੱਧਾ ਕੰਮ ਕਰੋਗੇ, ਉਸਦੇ ਲਈ ਇੱਕ ਵੈਧ ਉਪਭੋਗਤਾ ਨਾਮ ਛੱਡ ਕੇ.

ਇਸ ਲਈ, ਤੁਹਾਨੂੰ ਇੱਕ ਹੋਰ ਉਪਭੋਗਤਾ ਬਣਾਉਣ ਦੀ ਲੋੜ ਹੈ, ਅਤੇ ਰੂਟ ਲਈ SSH ਦੁਆਰਾ ਰਿਮੋਟ ਪ੍ਰਸ਼ਾਸਨ ਨੂੰ ਅਯੋਗ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।

ਇੱਕ ਨਵਾਂ ਉਪਭੋਗਤਾ ਕਮਾਂਡ ਦੁਆਰਾ ਸ਼ੁਰੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ useradd:

useradd [options] <username>

ਫਿਰ ਕਮਾਂਡ ਨਾਲ ਇਸਦੇ ਲਈ ਇੱਕ ਪਾਸਵਰਡ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ passwd:

passwd <username>

ਅੰਤ ਵਿੱਚ, ਇਸ ਉਪਭੋਗਤਾ ਨੂੰ ਇੱਕ ਸਮੂਹ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ ਹੈ ਜਿਸ ਕੋਲ ਉੱਚਿਤ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦਾ ਅਧਿਕਾਰ ਹੈ sudo. ਲੀਨਕਸ ਡਿਸਟਰੀਬਿਊਸ਼ਨ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹੋਏ, ਇਹ ਵੱਖ-ਵੱਖ ਗਰੁੱਪ ਹੋ ਸਕਦੇ ਹਨ। ਉਦਾਹਰਨ ਲਈ, CentOS ਅਤੇ Red Hat ਵਿੱਚ, ਉਪਭੋਗਤਾ ਨੂੰ ਸਮੂਹ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ wheel:

usermod -aG wheel <username>

ਉਬੰਟੂ ਵਿੱਚ ਇਸਨੂੰ ਸਮੂਹ ਵਿੱਚ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ sudo:

usermod -aG sudo <username>

SSH ਪਾਸਵਰਡ ਦੀ ਬਜਾਏ ਕੁੰਜੀਆਂ

ਬਰੂਟ ਫੋਰਸ ਜਾਂ ਪਾਸਵਰਡ ਲੀਕ ਇੱਕ ਸਟੈਂਡਰਡ ਅਟੈਕ ਵੈਕਟਰ ਹਨ, ਇਸਲਈ SSH (ਸੁਰੱਖਿਅਤ ਸ਼ੈੱਲ) ਵਿੱਚ ਪਾਸਵਰਡ ਪ੍ਰਮਾਣੀਕਰਨ ਨੂੰ ਅਯੋਗ ਕਰਨਾ ਅਤੇ ਇਸਦੀ ਬਜਾਏ ਕੁੰਜੀ ਪ੍ਰਮਾਣੀਕਰਨ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਸਭ ਤੋਂ ਵਧੀਆ ਹੈ।

SSH ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਕਈ ਪ੍ਰੋਗਰਾਮ ਹਨ, ਜਿਵੇਂ ਕਿ lsh и ਡਰਾਪਬੇਅਰ, ਪਰ ਸਭ ਤੋਂ ਵੱਧ ਪ੍ਰਸਿੱਧ OpenSSH ਹੈ। ਉਬੰਟੂ 'ਤੇ OpenSSH ਕਲਾਇੰਟ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨਾ:

sudo apt install openssh-client

ਸਰਵਰ ਸਥਾਪਨਾ:

sudo apt install openssh-server

ਉਬੰਟੂ ਸਰਵਰ 'ਤੇ SSH ਡੈਮਨ (sshd) ਸ਼ੁਰੂ ਕਰਨਾ:

sudo systemctl start sshd

ਹਰ ਬੂਟ 'ਤੇ ਡੈਮਨ ਨੂੰ ਆਟੋਮੈਟਿਕਲੀ ਸ਼ੁਰੂ ਕਰੋ:

sudo systemctl enable sshd

ਇਹ ਨੋਟ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ OpenSSH ਦੇ ਸਰਵਰ ਹਿੱਸੇ ਵਿੱਚ ਕਲਾਇੰਟ ਹਿੱਸਾ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ। ਹੈ, ਦੁਆਰਾ openssh-server ਤੁਸੀਂ ਹੋਰ ਸਰਵਰਾਂ ਨਾਲ ਜੁੜ ਸਕਦੇ ਹੋ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਤੁਹਾਡੀ ਕਲਾਇੰਟ ਮਸ਼ੀਨ ਤੋਂ, ਤੁਸੀਂ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਇੱਕ ਤੀਜੀ-ਧਿਰ ਹੋਸਟ ਲਈ ਇੱਕ SSH ਸੁਰੰਗ ਸ਼ੁਰੂ ਕਰ ਸਕਦੇ ਹੋ, ਅਤੇ ਫਿਰ ਤੀਜੀ-ਧਿਰ ਹੋਸਟ ਰਿਮੋਟ ਸਰਵਰ ਨੂੰ ਬੇਨਤੀਆਂ ਦੇ ਸਰੋਤ ਵਜੋਂ ਵਿਚਾਰ ਕਰੇਗਾ। ਤੁਹਾਡੇ ਸਿਸਟਮ ਨੂੰ ਮਾਸਕ ਕਰਨ ਲਈ ਇੱਕ ਬਹੁਤ ਹੀ ਆਸਾਨ ਵਿਸ਼ੇਸ਼ਤਾ. ਵੇਰਵਿਆਂ ਲਈ ਲੇਖ ਦੇਖੋ "ਵਿਹਾਰਕ ਸੁਝਾਅ, ਉਦਾਹਰਨਾਂ, ਅਤੇ SSH ਟਨਲ".

ਇੱਕ ਕਲਾਇੰਟ ਮਸ਼ੀਨ 'ਤੇ, ਕੰਪਿਊਟਰ ਨਾਲ ਰਿਮੋਟ ਕਨੈਕਸ਼ਨ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਰੋਕਣ ਲਈ (ਸੁਰੱਖਿਆ ਕਾਰਨਾਂ ਕਰਕੇ) ਇੱਕ ਪੂਰਾ ਸਰਵਰ ਸਥਾਪਤ ਕਰਨ ਦਾ ਆਮ ਤੌਰ 'ਤੇ ਕੋਈ ਮਤਲਬ ਨਹੀਂ ਹੁੰਦਾ।

ਇਸ ਲਈ, ਤੁਹਾਡੇ ਨਵੇਂ ਉਪਭੋਗਤਾ ਲਈ, ਤੁਹਾਨੂੰ ਪਹਿਲਾਂ ਕੰਪਿਊਟਰ 'ਤੇ SSH ਕੁੰਜੀਆਂ ਬਣਾਉਣ ਦੀ ਲੋੜ ਹੈ ਜਿਸ ਤੋਂ ਤੁਸੀਂ ਸਰਵਰ ਤੱਕ ਪਹੁੰਚ ਕਰੋਗੇ:

ssh-keygen -t rsa

ਜਨਤਕ ਕੁੰਜੀ ਇੱਕ ਫਾਈਲ ਵਿੱਚ ਸਟੋਰ ਕੀਤੀ ਜਾਂਦੀ ਹੈ .pub ਅਤੇ ਬੇਤਰਤੀਬ ਅੱਖਰਾਂ ਦੀ ਇੱਕ ਸਤਰ ਵਰਗਾ ਦਿਸਦਾ ਹੈ ਜੋ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ssh-rsa.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname

ਫਿਰ, ਰੂਟ ਦੇ ਹੇਠਾਂ ਤੋਂ, ਉਪਭੋਗਤਾ ਦੀ ਹੋਮ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਸਰਵਰ ਉੱਤੇ ਇੱਕ SSH ਡਾਇਰੈਕਟਰੀ ਬਣਾਓ ਅਤੇ SSH ਪਬਲਿਕ ਕੁੰਜੀ ਨੂੰ ਫਾਈਲ ਵਿੱਚ ਜੋੜੋ। authorized_keys, ਵਿਮ ਵਰਗੇ ਟੈਕਸਟ ਐਡੀਟਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ:

mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keys

vim /home/user_name/.ssh/authorized_keys

ਅੰਤ ਵਿੱਚ, ਫਾਈਲ ਲਈ ਸਹੀ ਅਨੁਮਤੀਆਂ ਸੈਟ ਕਰੋ:

chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keys

ਅਤੇ ਇਸ ਉਪਭੋਗਤਾ ਲਈ ਮਲਕੀਅਤ ਬਦਲੋ:

chown -R username:username /home/username/.ssh

ਕਲਾਇੰਟ ਸਾਈਡ 'ਤੇ, ਤੁਹਾਨੂੰ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਗੁਪਤ ਕੁੰਜੀ ਦਾ ਸਥਾਨ ਨਿਰਧਾਰਤ ਕਰਨ ਦੀ ਲੋੜ ਹੈ:

ssh-add DIR_PATH/keylocation

ਹੁਣ ਤੁਸੀਂ ਇਸ ਕੁੰਜੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਉਪਭੋਗਤਾ ਨਾਮ ਦੇ ਹੇਠਾਂ ਸਰਵਰ ਵਿੱਚ ਲੌਗਇਨ ਕਰ ਸਕਦੇ ਹੋ:

ssh [username]@hostname

ਅਧਿਕਾਰ ਤੋਂ ਬਾਅਦ, ਤੁਸੀਂ ਫਾਈਲਾਂ, ਉਪਯੋਗਤਾ ਨੂੰ ਕਾਪੀ ਕਰਨ ਲਈ scp ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ sshfs ਇੱਕ ਫਾਇਲ ਸਿਸਟਮ ਜਾਂ ਡਾਇਰੈਕਟਰੀਆਂ ਨੂੰ ਰਿਮੋਟਲੀ ਮਾਊਂਟ ਕਰਨ ਲਈ।

ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀ ਦੀਆਂ ਕਈ ਬੈਕਅੱਪ ਕਾਪੀਆਂ ਬਣਾਉਣ ਦੀ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ, ਕਿਉਂਕਿ ਜੇਕਰ ਤੁਸੀਂ ਪਾਸਵਰਡ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਅਸਮਰੱਥ ਕਰਦੇ ਹੋ ਅਤੇ ਇਸਨੂੰ ਗੁਆ ਦਿੰਦੇ ਹੋ, ਤਾਂ ਤੁਹਾਡੇ ਕੋਲ ਆਪਣੇ ਸਰਵਰ ਵਿੱਚ ਲੌਗਇਨ ਕਰਨ ਦਾ ਕੋਈ ਤਰੀਕਾ ਨਹੀਂ ਹੋਵੇਗਾ।

ਜਿਵੇਂ ਉੱਪਰ ਦੱਸਿਆ ਗਿਆ ਹੈ, SSH ਵਿੱਚ ਤੁਹਾਨੂੰ ਰੂਟ ਲਈ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਅਯੋਗ ਕਰਨ ਦੀ ਲੋੜ ਹੈ (ਇਹੀ ਕਾਰਨ ਹੈ ਕਿ ਅਸੀਂ ਇੱਕ ਨਵਾਂ ਉਪਭੋਗਤਾ ਸ਼ੁਰੂ ਕੀਤਾ ਹੈ)।

CentOS/Red Hat 'ਤੇ ਸਾਨੂੰ ਲਾਈਨ ਮਿਲਦੀ ਹੈ PermitRootLogin yes ਸੰਰਚਨਾ ਫਾਇਲ ਵਿੱਚ /etc/ssh/sshd_config ਅਤੇ ਇਸਨੂੰ ਬਦਲੋ:

PermitRootLogin no

ਉਬੰਟੂ 'ਤੇ ਲਾਈਨ ਜੋੜੋ PermitRootLogin no ਸੰਰਚਨਾ ਫਾਇਲ ਨੂੰ 10-my-sshd-settings.conf:

sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

ਇਹ ਪੁਸ਼ਟੀ ਕਰਨ ਤੋਂ ਬਾਅਦ ਕਿ ਨਵਾਂ ਉਪਭੋਗਤਾ ਆਪਣੀ ਕੁੰਜੀ ਨਾਲ ਪ੍ਰਮਾਣਿਤ ਕਰ ਰਿਹਾ ਹੈ, ਤੁਸੀਂ ਪਾਸਵਰਡ ਲੀਕ ਹੋਣ ਜਾਂ ਬਰੂਟ ਫੋਰਸ ਦੇ ਜੋਖਮ ਨੂੰ ਖਤਮ ਕਰਨ ਲਈ ਪਾਸਵਰਡ ਪ੍ਰਮਾਣੀਕਰਨ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾ ਸਕਦੇ ਹੋ। ਹੁਣ, ਸਰਵਰ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ, ਇੱਕ ਹਮਲਾਵਰ ਨੂੰ ਇੱਕ ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ।

CentOS/Red Hat 'ਤੇ ਸਾਨੂੰ ਲਾਈਨ ਮਿਲਦੀ ਹੈ PasswordAuthentication yes ਸੰਰਚਨਾ ਫਾਇਲ ਵਿੱਚ /etc/ssh/sshd_config ਅਤੇ ਇਸਨੂੰ ਇਸ ਤਰ੍ਹਾਂ ਬਦਲੋ:

PasswordAuthentication no

ਉਬੰਟੂ 'ਤੇ ਲਾਈਨ ਜੋੜੋ PasswordAuthentication no ਫਾਈਲ ਕਰਨ ਲਈ 10-my-sshd-settings.conf:

sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

SSH ਦੁਆਰਾ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਸਮਰੱਥ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ਾਂ ਲਈ, ਵੇਖੋ ਇੱਥੇ.

ਫਾਇਰਵਾਲ

ਫਾਇਰਵਾਲ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਸਿਰਫ਼ ਉਹਨਾਂ ਪੋਰਟਾਂ 'ਤੇ ਟ੍ਰੈਫਿਕ ਜੋ ਤੁਸੀਂ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਇਜਾਜ਼ਤ ਦਿੰਦੇ ਹੋ ਸਰਵਰ 'ਤੇ ਜਾਵੇਗਾ। ਇਹ ਉਹਨਾਂ ਬੰਦਰਗਾਹਾਂ ਦੇ ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਚਾਉਂਦਾ ਹੈ ਜੋ ਗਲਤੀ ਨਾਲ ਦੂਜੀਆਂ ਸੇਵਾਵਾਂ ਦੇ ਨਾਲ ਸਮਰੱਥ ਹੁੰਦੀਆਂ ਹਨ, ਜੋ ਹਮਲੇ ਦੀ ਸਤਹ ਨੂੰ ਬਹੁਤ ਘਟਾਉਂਦੀਆਂ ਹਨ।

ਫਾਇਰਵਾਲ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ, ਤੁਹਾਨੂੰ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਦੀ ਲੋੜ ਹੈ ਕਿ SSH ਨੂੰ ਅਪਵਾਦ ਸੂਚੀ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਬਲੌਕ ਨਹੀਂ ਕੀਤਾ ਜਾਵੇਗਾ। ਨਹੀਂ ਤਾਂ, ਫਾਇਰਵਾਲ ਸ਼ੁਰੂ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਅਸੀਂ ਸਰਵਰ ਨਾਲ ਜੁੜਨ ਦੇ ਯੋਗ ਨਹੀਂ ਹੋਵਾਂਗੇ।

ਉਬੰਟੂ ਵੰਡ ਅਸਪਸ਼ਟ ਫਾਇਰਵਾਲ (ufw), ਅਤੇ CentOS/Red Hat ਨਾਲ - ਫਾੱਲਵਾਲਲਡ.

ਉਬੰਟੂ 'ਤੇ ਫਾਇਰਵਾਲ ਵਿੱਚ SSH ਦੀ ਆਗਿਆ ਦੇਣਾ:

sudo ufw allow ssh

CentOS/Red Hat 'ਤੇ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰੋ firewall-cmd:

sudo firewall-cmd --zone=public --add-service=ssh --permanent

ਇਸ ਵਿਧੀ ਤੋਂ ਬਾਅਦ, ਤੁਸੀਂ ਫਾਇਰਵਾਲ ਸ਼ੁਰੂ ਕਰ ਸਕਦੇ ਹੋ.

CentOS/Red Hat 'ਤੇ, ਫਾਇਰਵਾਲਡ ਲਈ ਸਿਸਟਮਡ ਸੇਵਾ ਸ਼ੁਰੂ ਕਰੋ:

sudo systemctl start firewalld
sudo systemctl enable firewalld

ਉਬੰਟੂ 'ਤੇ ਅਸੀਂ ਹੇਠ ਲਿਖੀ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਾਂ:

sudo ufw enable

ਫੇਲ 2 ਬੈਨ

ਸੇਵਾ ਫੇਲ 2 ਬੈਨ ਸਰਵਰ 'ਤੇ ਲਾਗਾਂ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਦਾ ਹੈ ਅਤੇ ਹਰੇਕ IP ਪਤੇ ਤੋਂ ਪਹੁੰਚ ਕੋਸ਼ਿਸ਼ਾਂ ਦੀ ਗਿਣਤੀ ਕਰਦਾ ਹੈ। ਸੈਟਿੰਗਾਂ ਨਿਯਮਾਂ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ ਕਿ ਇੱਕ ਨਿਸ਼ਚਿਤ ਅੰਤਰਾਲ ਲਈ ਕਿੰਨੀਆਂ ਪਹੁੰਚ ਕੋਸ਼ਿਸ਼ਾਂ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ - ਜਿਸ ਤੋਂ ਬਾਅਦ ਇਹ IP ਪਤਾ ਇੱਕ ਨਿਸ਼ਚਿਤ ਸਮੇਂ ਲਈ ਬਲੌਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਉਦਾਹਰਨ ਲਈ, ਆਓ 5 ਘੰਟਿਆਂ ਦੇ ਅੰਦਰ 2 ਅਸਫਲ SSH ਪ੍ਰਮਾਣੀਕਰਨ ਕੋਸ਼ਿਸ਼ਾਂ ਦੀ ਇਜਾਜ਼ਤ ਦੇਈਏ, ਫਿਰ ਦਿੱਤੇ IP ਐਡਰੈੱਸ ਨੂੰ 12 ਘੰਟਿਆਂ ਲਈ ਬਲੌਕ ਕਰੋ।

CentOS ਅਤੇ Red Hat 'ਤੇ Fail2Ban ਇੰਸਟਾਲ ਕਰਨਾ:

sudo yum install fail2ban

ਉਬੰਟੂ ਅਤੇ ਡੇਬੀਅਨ 'ਤੇ ਸਥਾਪਨਾ:

sudo apt install fail2ban

ਲਾਂਚ ਕਰੋ:

systemctl start fail2ban
systemctl enable fail2ban

ਪ੍ਰੋਗਰਾਮ ਦੀਆਂ ਦੋ ਸੰਰਚਨਾ ਫਾਈਲਾਂ ਹਨ: /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf. ਪਾਬੰਦੀ ਪਾਬੰਦੀਆਂ ਦੂਜੀ ਫਾਈਲ ਵਿੱਚ ਦਰਸਾਈਆਂ ਗਈਆਂ ਹਨ।

SSH ਲਈ ਜੇਲ੍ਹ ਡਿਫੌਲਟ ਸੈਟਿੰਗਾਂ (5 ਕੋਸ਼ਿਸ਼ਾਂ, ਅੰਤਰਾਲ 10 ਮਿੰਟ, 10 ਮਿੰਟ ਲਈ ਪਾਬੰਦੀ) ਦੇ ਨਾਲ ਮੂਲ ਰੂਪ ਵਿੱਚ ਸਮਰੱਥ ਹੈ।

[DEFAULT] ignorecommand=bantime=10m findtime=10m maxretry=5

SSH ਤੋਂ ਇਲਾਵਾ, Fail2Ban nginx ਜਾਂ Apache ਵੈੱਬ ਸਰਵਰ 'ਤੇ ਹੋਰ ਸੇਵਾਵਾਂ ਦੀ ਰੱਖਿਆ ਕਰ ਸਕਦਾ ਹੈ।

ਆਟੋਮੈਟਿਕ ਸੁਰੱਖਿਆ ਅੱਪਡੇਟ

ਜਿਵੇਂ ਕਿ ਤੁਸੀਂ ਜਾਣਦੇ ਹੋ, ਸਾਰੇ ਪ੍ਰੋਗਰਾਮਾਂ ਵਿੱਚ ਨਵੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਲਗਾਤਾਰ ਪਾਈਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਜਾਣਕਾਰੀ ਪ੍ਰਕਾਸ਼ਿਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਪ੍ਰਸਿੱਧ ਸ਼ੋਸ਼ਣ ਪੈਕ ਵਿੱਚ ਸ਼ੋਸ਼ਣ ਸ਼ਾਮਲ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਜੋ ਕਿ ਹੈਕਰਾਂ ਅਤੇ ਕਿਸ਼ੋਰਾਂ ਦੁਆਰਾ ਇੱਕ ਕਤਾਰ ਵਿੱਚ ਸਾਰੇ ਸਰਵਰਾਂ ਨੂੰ ਸਕੈਨ ਕਰਨ ਵੇਲੇ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਵਰਤੇ ਜਾਂਦੇ ਹਨ। ਇਸ ਲਈ, ਸੁਰੱਖਿਆ ਅਪਡੇਟਾਂ ਦੇ ਪ੍ਰਗਟ ਹੁੰਦੇ ਹੀ ਇੰਸਟੌਲ ਕਰਨਾ ਬਹੁਤ ਮਹੱਤਵਪੂਰਨ ਹੈ।

ਉਬੰਟੂ ਸਰਵਰ 'ਤੇ, ਸਵੈਚਲਿਤ ਸੁਰੱਖਿਆ ਅੱਪਡੇਟ ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ ਸਮਰਥਿਤ ਹੁੰਦੇ ਹਨ, ਇਸ ਲਈ ਕਿਸੇ ਹੋਰ ਕਾਰਵਾਈ ਦੀ ਲੋੜ ਨਹੀਂ ਹੁੰਦੀ ਹੈ।

CentOS/Red Hat 'ਤੇ ਤੁਹਾਨੂੰ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਇੰਸਟਾਲ ਕਰਨ ਦੀ ਲੋੜ ਹੈ dnf-ਆਟੋਮੈਟਿਕ ਅਤੇ ਟਾਈਮਰ ਚਾਲੂ ਕਰੋ:

sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer

ਟਾਈਮਰ ਜਾਂਚ:

sudo systemctl status dnf-automatic.timer

ਡਿਫੌਲਟ ਪੋਰਟਾਂ ਨੂੰ ਬਦਲਣਾ

SSH ਨੂੰ 1995 ਵਿੱਚ ਟੇਲਨੈੱਟ (ਪੋਰਟ 23) ਅਤੇ ftp (ਪੋਰਟ 21) ਨੂੰ ਬਦਲਣ ਲਈ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਸੀ, ਇਸ ਲਈ ਪ੍ਰੋਗਰਾਮ ਦੇ ਲੇਖਕ, ਟੈਟੂ ਇਲਟੋਨੇਨ ਮੂਲ ਰੂਪ ਵਿੱਚ ਪੋਰਟ 22 ਨੂੰ ਚੁਣਿਆ ਗਿਆ ਹੈ, ਅਤੇ IANA ਦੁਆਰਾ ਮਨਜ਼ੂਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਕੁਦਰਤੀ ਤੌਰ 'ਤੇ, ਸਾਰੇ ਹਮਲਾਵਰ ਜਾਣਦੇ ਹਨ ਕਿ ਕਿਹੜੀ ਪੋਰਟ SSH 'ਤੇ ਚੱਲ ਰਹੀ ਹੈ - ਅਤੇ ਸਾਫਟਵੇਅਰ ਸੰਸਕਰਣ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ, ਸਟੈਂਡਰਡ ਰੂਟ ਪਾਸਵਰਡਾਂ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ, ਅਤੇ ਇਸ ਤਰ੍ਹਾਂ ਦੇ ਹੋਰ ਹੋਰ ਮਿਆਰੀ ਪੋਰਟਾਂ ਦੇ ਨਾਲ ਇਸਨੂੰ ਸਕੈਨ ਕਰੋ।

ਸਟੈਂਡਰਡ ਪੋਰਟਾਂ ਨੂੰ ਬਦਲਣਾ - ਗੁੰਝਲਦਾਰ ਹੋਣਾ - ਕਈ ਵਾਰ ਕੂੜੇ ਦੇ ਟ੍ਰੈਫਿਕ ਦੀ ਮਾਤਰਾ, ਲੌਗਸ ਦੇ ਆਕਾਰ ਅਤੇ ਸਰਵਰ 'ਤੇ ਲੋਡ ਨੂੰ ਘਟਾਉਂਦਾ ਹੈ, ਅਤੇ ਹਮਲੇ ਦੀ ਸਤਹ ਨੂੰ ਵੀ ਘਟਾਉਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ ਕੁਝ "ਅਸਪਸ਼ਟਤਾ ਦੁਆਰਾ ਸੁਰੱਖਿਆ" ਦੇ ਇਸ ਢੰਗ ਦੀ ਆਲੋਚਨਾ ਕਰੋ (ਅਸਪੱਸ਼ਟਤਾ ਦੁਆਰਾ ਸੁਰੱਖਿਆ). ਕਾਰਨ ਇਹ ਹੈ ਕਿ ਇਹ ਤਕਨੀਕ ਬੁਨਿਆਦੀ ਦਾ ਵਿਰੋਧ ਕਰਦੀ ਹੈ ਆਰਕੀਟੈਕਚਰਲ ਸੁਰੱਖਿਆ. ਇਸ ਲਈ, ਉਦਾਹਰਨ ਲਈ, ਯੂਐਸ ਨੈਸ਼ਨਲ ਇੰਸਟੀਚਿਊਟ ਆਫ਼ ਸਟੈਂਡਰਡਜ਼ ਐਂਡ ਟੈਕਨਾਲੋਜੀ ਵਿੱਚ "ਸਰਵਰ ਸੁਰੱਖਿਆ ਗਾਈਡ" ਇੱਕ ਓਪਨ ਸਰਵਰ ਆਰਕੀਟੈਕਚਰ ਦੀ ਲੋੜ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ: "ਇੱਕ ਸਿਸਟਮ ਦੀ ਸੁਰੱਖਿਆ ਨੂੰ ਇਸਦੇ ਭਾਗਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੀ ਗੁਪਤਤਾ 'ਤੇ ਭਰੋਸਾ ਨਹੀਂ ਕਰਨਾ ਚਾਹੀਦਾ," ਦਸਤਾਵੇਜ਼ ਕਹਿੰਦਾ ਹੈ।

ਸਿਧਾਂਤਕ ਤੌਰ 'ਤੇ, ਡਿਫਾਲਟ ਪੋਰਟਾਂ ਨੂੰ ਬਦਲਣਾ ਓਪਨ ਆਰਕੀਟੈਕਚਰ ਦੇ ਅਭਿਆਸ ਦੇ ਵਿਰੁੱਧ ਹੈ। ਪਰ ਅਭਿਆਸ ਵਿੱਚ, ਖਤਰਨਾਕ ਟ੍ਰੈਫਿਕ ਦੀ ਮਾਤਰਾ ਅਸਲ ਵਿੱਚ ਘੱਟ ਜਾਂਦੀ ਹੈ, ਇਸਲਈ ਇਹ ਇੱਕ ਸਧਾਰਨ ਅਤੇ ਪ੍ਰਭਾਵੀ ਉਪਾਅ ਹੈ.

ਪੋਰਟ ਨੰਬਰ ਨੂੰ ਡਾਇਰੈਕਟਿਵ ਬਦਲ ਕੇ ਕੌਂਫਿਗਰ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ Port 22 ਸੰਰਚਨਾ ਫਾਇਲ ਵਿੱਚ / etc / ssh / sshd_config. ਇਹ ਪੈਰਾਮੀਟਰ ਦੁਆਰਾ ਵੀ ਦਰਸਾਇਆ ਗਿਆ ਹੈ -p <port> в sshd. SSH ਕਲਾਇੰਟ ਅਤੇ ਪ੍ਰੋਗਰਾਮ sftp ਵਿਕਲਪ ਦਾ ਵੀ ਸਮਰਥਨ ਕਰਦਾ ਹੈ -p <port>.

ਪੈਰਾਮੀਟਰ -p <port> ਕਮਾਂਡ ਨਾਲ ਜੁੜਨ ਵੇਲੇ ਪੋਰਟ ਨੰਬਰ ਦੇਣ ਲਈ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ ssh ਲੀਨਕਸ ਵਿੱਚ. IN sftp и scp ਪੈਰਾਮੀਟਰ ਵਰਤਿਆ ਗਿਆ ਹੈ -P <port> (ਪੂੰਜੀ ਪੀ). ਕਮਾਂਡ ਲਾਈਨ ਹਦਾਇਤ ਸੰਰਚਨਾ ਫਾਈਲਾਂ ਵਿੱਚ ਕਿਸੇ ਵੀ ਮੁੱਲ ਨੂੰ ਓਵਰਰਾਈਡ ਕਰਦੀ ਹੈ।

ਜੇਕਰ ਬਹੁਤ ਸਾਰੇ ਸਰਵਰ ਹਨ, ਤਾਂ ਲੀਨਕਸ ਸਰਵਰ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਇਹਨਾਂ ਵਿੱਚੋਂ ਲਗਭਗ ਸਾਰੀਆਂ ਕਾਰਵਾਈਆਂ ਨੂੰ ਇੱਕ ਸਕ੍ਰਿਪਟ ਵਿੱਚ ਸਵੈਚਲਿਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਪਰ ਜੇ ਸਿਰਫ ਇੱਕ ਸਰਵਰ ਹੈ, ਤਾਂ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਹੱਥੀਂ ਨਿਯੰਤਰਿਤ ਕਰਨਾ ਬਿਹਤਰ ਹੈ.

ਇੱਕ ਇਸ਼ਤਿਹਾਰ ਦੇ ਤੌਰ ਤੇ

ਆਰਡਰ ਕਰੋ ਅਤੇ ਤੁਰੰਤ ਸ਼ੁਰੂ ਕਰੋ! VDS ਦੀ ਰਚਨਾ ਕਿਸੇ ਵੀ ਸੰਰਚਨਾ ਅਤੇ ਕਿਸੇ ਵੀ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਨਾਲ ਇੱਕ ਮਿੰਟ ਦੇ ਅੰਦਰ। ਵੱਧ ਤੋਂ ਵੱਧ ਸੰਰਚਨਾ ਤੁਹਾਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਨਾਲ ਆਉਣ ਦੀ ਇਜਾਜ਼ਤ ਦੇਵੇਗੀ - 128 CPU ਕੋਰ, 512 GB RAM, 4000 GB NVMe। ਮਹਾਂਕਾਵਿ 🙂

ਸਰੋਤ: www.habr.com