نن ورځ ، په کوربه توب کې د سرور تنظیم کول د څو دقیقو او د موږک څو کلیکونو مسله ده. مګر د پیل څخه سمدلاسه وروسته ، هغه ځان په دښمنانه چاپیریال کې ومومي ، ځکه چې هغه د راکر ډیسکو کې د یوې معصومې انجلۍ په څیر ټول انټرنیټ ته خلاص دی. سکینر به دا ژر تر ژره ومومي او په زرګونو اتوماتیک سکریپټ شوي بوټونه کشف کړي چې د زیان منونکو او غلط تشکیلاتو په لټه کې شبکه ګړندي کوي. دلته یو څو شیان شتون لري چې تاسو باید د پیل کولو وروسته سمدلاسه ترسره کړئ ترڅو لومړني محافظت ډاډمن کړئ.
منځپانګې
غیر ریښی کاروونکي د SSH پاسورډونو پرځای کیلي فایروال فیل 2 بین اتوماتیک امنیتي تازه معلومات د ډیفالټ بندرونو بدلول
غیر ریښی کاروونکي
لومړی شی چې تاسو یې کولو ته اړتیا لرئ د غیر روټ کارونکي رامینځته کول دي. ټکی دا دی چې کاروونکي root
په سیسټم کې مطلق امتیازات، او که تاسو هغه ته د لیرې ادارې اجازه ورکړئ، نو تاسو به د هیکر لپاره نیم کار ترسره کړئ، د هغه لپاره یو باوري کارن نوم پریږدي.
له همدې امله ، تاسو اړتیا لرئ یو بل کارن رامینځته کړئ ، او د روټ لپاره د SSH له لارې ریموټ اداره غیر فعال کړئ.
یو نوی کارن د کمانډ سره رامینځته کیږي useradd
:
useradd [options] <username>
بیا د کمانډ سره د دې لپاره پاسورډ اضافه شوی passwd
:
passwd <username>
په نهایت کې ، دا کارونکي باید یوې ډلې ته اضافه شي چې د لوړ امتیازاتو سره د امرونو اجرا کولو حق لري sudo
. د لینکس توزیع پورې اړه لري، دا ممکن مختلف ګروپونه وي. د مثال په توګه، په CentOS او Red Hat کې یو کاروونکي په ګروپ کې اضافه کیږي wheel
:
usermod -aG wheel <username>
په اوبنټو کې دا په ګروپ کې اضافه شوی sudo
:
usermod -aG sudo <username>
د SSH پاسورډونو پرځای کیلي
د بروټ ځواک یا د پاسورډ لیک یو معیاري برید ویکتور دی ، نو دا به غوره وي چې په SSH (Secure Shell) کې د پټنوم تصدیق غیر فعال کړئ او پرځای یې کلیدي تصدیق وکاروئ.
د SSH پروتوکول پلي کولو لپاره مختلف پروګرامونه شتون لري، لکه
sudo apt install openssh-client
د سرور نصب کول:
sudo apt install openssh-server
په اوبنټو سرور کې د SSH ډیمون (sshd) پیل کول:
sudo systemctl start sshd
په اتوماتيک ډول په هر بوټ کې ډیمون پیل کړئ:
sudo systemctl enable sshd
دا باید په یاد ولرئ چې د OpenSSH سرور برخه کې د پیرودونکي برخه شامله ده. يعنې، له لارې openssh-server
تاسو کولی شئ د نورو سرورونو سره وصل شئ. سربیره پردې ، ستاسو د پیرودونکي ماشین څخه تاسو کولی شئ د ریموټ سرور څخه د دریمې ډلې کوربه ته د SSH تونل لانچ کړئ ، او بیا د دریمې ډلې کوربه به ریموټ سرور د غوښتنو سرچینه وګڼي. ستاسو د سیسټم ماسک کولو لپاره خورا اسانه فعالیت. د نورو جزیاتو لپاره، مقاله وګورئ.
په کمپیوټر کې د ریموټ اتصال احتمال مخنیوي لپاره د پیرودونکي ماشین کې د بشپړ سرور نصبولو لپاره معمولا هیڅ معنی نلري (د امنیت دلایلو لپاره).
نو، ستاسو د نوي کاروونکي لپاره، تاسو باید لومړی په کمپیوټر کې د SSH کیلي تولید کړئ چې تاسو به یې سرور ته لاسرسی ومومئ:
ssh-keygen -t rsa
عامه کیلي په فایل کې ساتل کیږي .pub
او د تصادفي حروفونو تار په څیر ښکاري چې پیل کیږي ssh-rsa
.
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname
بیا ، د روټ په توګه ، د کارونکي کور لارښود کې په سرور کې د SSH لارښود رامینځته کړئ او فایل ته د SSH عامه کیلي اضافه کړئ authorized_keys
د متن ایډیټر کارول لکه ویم:
mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keys
vim /home/user_name/.ssh/authorized_keys
په نهایت کې ، د فایل لپاره سم اجازې تنظیم کړئ:
chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keys
او دې کارونکي ته ملکیت بدل کړئ:
chown -R username:username /home/username/.ssh
د پیرودونکي اړخ کې ، تاسو اړتیا لرئ د تصدیق لپاره د پټ کیلي موقعیت مشخص کړئ:
ssh-add DIR_PATH/keylocation
اوس تاسو کولی شئ د دې کیلي په کارولو سره د کارونکي نوم لاندې سرور ته ننوځئ:
ssh [username]@hostname
د واک ورکولو وروسته ، تاسو کولی شئ د فایلونو کاپي کولو لپاره د scp کمانډ وکاروئ ، یوټیلیټ
دا مشوره ورکول کیږي چې د شخصي کیلي ډیری بیک اپ کاپيونه رامینځته کړئ ، ځکه چې که تاسو د پټنوم تصدیق غیر فعال کړئ او له لاسه ورکړئ ، نو تاسو به هیڅ لاره ونه لرئ چې په خپل سرور کې ننوتنه وکړئ.
لکه څنګه چې پورته یادونه وشوه، په SSH کې تاسو اړتیا لرئ د روټ لپاره تصدیق غیر فعال کړئ (د دې دلیل لپاره موږ یو نوی کارن جوړ کړ).
په CentOS/Red Hat کې موږ لاین پیدا کوو PermitRootLogin yes
د تشکیلاتو فایل کې /etc/ssh/sshd_config
او بدل یې کړئ:
PermitRootLogin no
په اوبنټو کې لاین اضافه کړئ PermitRootLogin no
د ترتیب فایل ته 10-my-sshd-settings.conf
:
sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf
د تاییدولو وروسته چې نوی کارن د دوی د کیلي په کارولو سره تصدیق شوی، تاسو کولی شئ د پټنوم تصدیق غیر فعال کړئ ترڅو د پټنوم لیک یا وحشي ځواک خطر له منځه یوسي. اوس ، سرور ته د لاسرسي لپاره ، برید کونکی به اړتیا ولري شخصي کیلي ترلاسه کړي.
په CentOS/Red Hat کې موږ لاین پیدا کوو PasswordAuthentication yes
د تشکیلاتو فایل کې /etc/ssh/sshd_config
او دا په لاندې ډول بدل کړئ:
PasswordAuthentication no
په اوبنټو کې لاین اضافه کړئ PasswordAuthentication no
دوسیه کول 10-my-sshd-settings.conf
:
sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf
د SSH له لارې د دوه فاکتور تصدیق کولو څرنګوالي په اړه لارښوونو لپاره ، وګورئ
فایروال
د اور وژونکي ډاډ ورکوي چې یوازې په بندرونو کې ترافیک چې تاسو یې مستقیم اجازه ورکوئ سرور ته به ځي. دا د بندرونو د استخراج پروړاندې ساتي چې په ناڅاپي ډول د نورو خدماتو لخوا فعال شوي ، کوم چې د برید سطح خورا کموي.
د فایر وال نصبولو دمخه، تاسو اړتیا لرئ ډاډ ترلاسه کړئ چې SSH د اخراج په لیست کې شامل شوی او بلاک به نه شي. که نه نو، د فایروال پیل کولو وروسته، موږ به د سرور سره وصل نشو.
د اوبنټو توزیع د غیر پیچلي فایر وال سره راځي (
په اوبنټو کې د فایر وال کې SSH ته اجازه ورکول:
sudo ufw allow ssh
په CentOS/Red Hat کې موږ کمانډ کاروو firewall-cmd
:
sudo firewall-cmd --zone=public --add-service=ssh --permanent
د دې کړنالرې وروسته، تاسو کولی شئ د اور وژنې پیل کړئ.
په CentOS/Red Hat کې موږ د فایروالډ لپاره سیسټمډ خدمت پیل کوو:
sudo systemctl start firewalld
sudo systemctl enable firewalld
په اوبنټو کې موږ لاندې کمانډ کاروو:
sudo ufw enable
فیل 2 بین
خدمت
په CentOS او Red Hat کې د Fail2Ban نصب کول:
sudo yum install fail2ban
په اوبنټو او دیبیان کې نصب کول:
sudo apt install fail2ban
پیل:
systemctl start fail2ban
systemctl enable fail2ban
برنامه دوه تشکیلاتي فایلونه لري: /etc/fail2ban/fail2ban.conf
и /etc/fail2ban/jail.conf
. د بندیز محدودیتونه په دویم فایل کې مشخص شوي.
د SSH لپاره جیل د ډیفالټ ترتیباتو سره د ډیفالټ لخوا فعال شوی (5 هڅې ، وقفه 10 دقیقې ، د 10 دقیقو لپاره بندیز).
[DEFAULT] ignorecommand = bantime = 10m findtime = 10m maxretry = 5
د SSH سربیره، Fail2Ban کولی شي په نګینکس یا اپاچی ویب سرور کې نور خدمات خوندي کړي.
اتوماتیک امنیتي تازه معلومات
لکه څنګه چې تاسو پوهیږئ، نوي زیانمننې په دوامداره توګه په ټولو برنامو کې موندل کیږي. وروسته له دې چې معلومات خپاره شي، استحصال په مشهور استحصال پیکونو کې اضافه کیږي، کوم چې په پراخه توګه د هیکرانو او ځوانانو لخوا کارول کیږي کله چې ټول سرورونه په قطار کې سکین کوي. له همدې امله ، دا خورا مهم دي چې د امنیت تازه معلومات ژر تر ژره نصب کړئ کله چې دوی شتون ولري.
د اوبنټو سرورونه د ډیفالټ لخوا فعال شوي اتوماتیک امنیت تازه معلومات لري ، نو اضافي ګامونو ته اړتیا نشته.
په CentOS/Red Hat کې تاسو اړتیا لرئ غوښتنلیک نصب کړئ
sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer
د ټایمر چک:
sudo systemctl status dnf-automatic.timer
د ډیفالټ بندرونو بدلول
SSH په 1995 کې د telnet (پورټ 23) او ftp (پورټ 21) ځای په ځای کولو لپاره رامینځته شوی و ، نو د برنامې لیکوال ټاټو ایلتونین دی
په طبیعي ډول، ټول برید کونکي پوهیږي چې کوم بندر SSH روان دی - او دا د نورو معیاري بندرونو سره سکین کړئ ترڅو د سافټویر نسخه ومومئ، د معیاري روټ پاسورډونه چیک کړئ، او داسې نور.
د معیاري بندرونو بدلول - خنډ کول - د جنک ترافیک حجم ، د لاګونو اندازه او په سرور کې بار څو ځله کموي ، او د برید سطح هم کموي. که څه هم ځینې
په تیوري کې، د ډیفالټ بندرونو بدلول د پرانیستې معمارۍ عملونو سره مخالف دي. مګر په عمل کې، د ناوړه ټرافیک حجم په حقیقت کې کمیږي، نو دا یو ساده او مؤثره اندازه ده.
د پورټ شمیره د لارښود بدلولو سره تنظیم کیدی شي Port 22
د تشکیلاتو فایل کې -p <port>
в -p <port>
.
پارسيم -p <port>
د پورټ شمیره مشخص کولو لپاره کارول کیدی شي کله چې د کمانډ په کارولو سره وصل کیږي ssh
په لینکس کې. IN scp
پیرامیټر کارول کیږي -P <port>
(سرمایه P). د کمانډ لاین څخه دا مشخص کول د تشکیلاتو فایلونو کې کوم ارزښت له پامه غورځوي.
که چیرې ډیری سرورونه شتون ولري ، د لینکس سرور ساتلو لپاره نږدې دا ټولې کړنې په سکریپټ کې اتومات کیدی شي. مګر که چیرې یوازې یو سرور شتون ولري ، نو دا به غوره وي چې په لاسي ډول پروسه کنټرول کړئ.
د اعلاناتو حقونه
امر وکړئ او سمدلاسه کار پیل کړئ!
سرچینه: www.habr.com