kdpv - Reuters
Haddii aad kireysato server, markaa si buuxda uma maamuli kartid. Tani waxay ka dhigan tahay in wakhti kasta dad si gaar ah u tababaran ay u iman karaan martigeliyaha oo ku weydiin karaan inaad bixiso mid ka mid ah xogtaada. Oo martigeliyaha ayaa dib u soo celin doona haddii dalabka loo qaabeeyey sida sharcigu qabo.
Runtii ma rabto in diiwaanka server-kaaga ama xogta isticmaalaha ay u daadato cid kale. Suurtagal maaha in la dhiso difaac ku habboon. Waa wax aan macquul aheyn in aad naftaada ka ilaaliso martigeliyaha leh hypervisor-ka oo ku siinaya mishiinka farsamada. Laakin waxa laga yaabaa in ay suurtagal noqon doonto in la yareeyo khataraha. Sirta baabuurta kirada ah maaha wax faa'iido leh sida ay u muuqato jaleecada hore. Isla mar ahaantaana, aan eegno hanjabaadaha ka soo saarida xogta server-yada jireed.
Qaabka hanjabaada
Sida caadiga ah, martigeliyaha ayaa isku dayi doona inuu ilaaliyo danaha macmiilka sida ugu macquulsan sharciga. Haddii warqadda ka timid mas'uuliyiinta rasmiga ah ay codsadeen oo keliya diiwaannada gelitaanka, martigeliyaha kuma siin doono qashinka dhammaan mashiinnada farsamada gacanta ee xogta macluumaadka. Ugu yaraan waa in aanay noqon. Haddii ay weydiiyaan dhammaan xogta, martigeliyaha ayaa koobi doona saxanadaha farsamada leh dhammaan faylasha mana ogaan doontid waxa ku saabsan.
Iyadoo aan loo eegin xaaladdu, hadafkaaga ugu weyn waa inaad ka dhigto weerarka mid adag oo qaali ah. Inta badan waxaa jira saddex doorasho oo khatar ah.
Rasmi ah
Inta badan, warqad warqad ah ayaa loo diraa xafiiska rasmiga ah ee martigeliyaha iyada oo shuruud looga baahan yahay in la bixiyo xogta lagama maarmaanka ah iyada oo la raacayo qawaaniinta khuseeya. Haddii wax walba si sax ah loo sameeyo, martigeliyaha wuxuu bixiyaa diiwaannada gelitaanka lagama maarmaanka ah iyo xogta kale ee maamulka rasmiga ah. Caadi ahaan waxay ku weydiiyaan kaliya inaad soo dirto xogta lagama maarmaanka ah.
Mararka qaarkood, haddii ay lagama maarmaan noqoto, wakiillada hay'adaha fulinta sharciga waxay si shakhsi ah u yimaadaan xarunta xogta. Tusaale ahaan, marka aad leedahay server adiga kuu gaar ah iyo xogta halkaas waxaa loo qaadan karaa oo kaliya jir ahaan.
Dhammaan dalalka, helitaanka hantida gaarka ah, samaynta baaritaannada iyo hawlaha kale waxay u baahan yihiin caddaynta in xogta ay ku jirto macluumaad muhiim ah oo loogu talagalay baaritaanka dembiga. Intaa waxaa dheer, waaran baaritaan oo la fuliyay si waafaqsan dhammaan xeerarka ayaa loo baahan yahay. Waxaa laga yaabaa inay jiraan nuances la xidhiidha sifooyinka sharciga deegaanka. Waxa ugu muhiimsan ee aad u baahan tahay inaad fahamto waa haddii dariiqa rasmiga ah uu sax yahay, wakiilada xarumaha xogta ma ogolaan doonaan qofna inuu dhaafo albaabka.
Waxaa intaa dheer, wadamada intooda badan si fudud uma soo saari kartid qalabka socda. Tusaale ahaan, Ruushka, ilaa dhammaadka 2018, sida ku cad Qodobka 183 ee Xeerka Habka Ciqaabta ee Xiriirka Ruushka, qaybta 3.1, waxaa la dammaanad qaaday in inta lagu jiro qalalka, qabashada warbaahinta kaydinta elektaroonigga ah lagu fuliyay ka qaybgalka ee takhasuska. Codsiga milkiilaha sharciga ah ee warbaahinta kaydinta elektaroonigga ah ee la qabtay ama mulkiilaha macluumaadka ku jira iyaga, khabiirka ka qaybqaadanaya qabashada, iyadoo ay joogaan markhaatiyaal, nuqullo macluumaadka warbaahinta kaydinta elektaroonigga ah ee la qabtay si loo gaarsiiyo warbaahinta kale ee elektiroonigga ah.
Kadib, nasiib daro, qodobkan ayaa laga saaray maqaalka.
Qarsoodi iyo mid aan rasmi ahayn
Kani waa dhulkii ay ka shaqayn jireen saaxiibada sida gaarka ah u tababaran ee ka socda NSA, FBI, MI5 iyo ururada kale ee saddexda xarfo ah. Inta badan, sharciyada dalalku waxay siinayaan awoodo aad u ballaaran qaab-dhismeedkan. Waxaa intaa dheer, waxaa jira ku dhawaad had iyo jeer mamnuucid sharciyeed kasta oo si toos ah ama si dadban shaaca looga qaado xaqiiqada dhabta ah ee wada shaqaynta hay'adaha fulinta sharciga. Waxaa jira kuwo la mid ah Ruushka .
Haddii ay dhacdo khatar noocaas oo kale ah xogtaada, waxa hubaal ah in laga saari doono. Intaa waxaa dheer, marka lagu daro qalal fudud, dhammaan arsenal-ka aan rasmiga ahayn ee dhabarka, dayacanka eber-maalin, ka saarida xogta RAM ee mashiinka farsamadaada, iyo farxado kale ayaa loo isticmaali karaa. Xaaladdan oo kale, martigeliyaha ayaa ku qasbanaan doona inuu caawiyo khabiirada fulinta sharciga intii suurtagal ah.
Shaqaale aan damiir lahayn
Dadka oo dhan isku si uma wada fiicna. Mid ka mid ah maamulayaasha xarumaha xogta ayaa laga yaabaa inuu go'aansado inuu sameeyo lacag dheeraad ah oo uu iibiyo xogtaada. Horumarin dheeraad ah waxay ku xiran tahay awoodiisa iyo gelitaankiisa. Waxa ugu dhibka badan ayaa ah in maamulaha marin u hela konsole-ka wax-qabadka uu si buuxda u maamulo mishiinnadaada. Had iyo jeer waxaad qaadi kartaa sawir sawir ah oo ay la socdaan dhammaan waxa ku jira RAM ka dibna si tartiib ah u darso.
VDS
Markaa waxaad haysataa mishiin dalwad ah oo martigeliyaha ku siiyay. Sideed u hirgelin kartaa sirta si aad naftaada u ilaaliso? Dhab ahaantii, ficil ahaan waxba. Waxaa intaa dheer, xitaa server-ka gaarka ah ee qof kale ayaa laga yaabaa inuu ku dhammaado inuu noqdo mashiinka farsamada kaas oo la geliyo qalabka lagama maarmaanka ah.
Haddii hawsha nidaamka fogaantu aysan ahayn kaydinta xogta, laakiin si loo sameeyo xisaabaadka qaarkood, markaa ikhtiyaarka kaliya ee la shaqeynta mashiinka aan la aamini karin ayaa noqon doona in la fuliyo. . Xaaladdan oo kale, nidaamku wuxuu fulin doonaa xisaabinta iyada oo aan awood u lahayn inuu fahmo waxa dhabta ah ee uu qabanayo. Nasiib darro, kharashka dheeraadka ah ee hirgelinta sirta noocaas ah ayaa aad u sarreeya taas oo isticmaalkooda dhabta ah uu hadda ku kooban yahay hawlo cidhiidhi ah.
Intaa waxaa dheer, waqtigan marka mashiinka farsamada uu shaqeynayo oo uu qabanayo qaar ka mid ah ficillada, dhammaan mugga sirta ah ayaa ku jira xaalad la heli karo, haddii kale OS si fudud uma awoodi doono inuu la shaqeeyo. Tani waxay ka dhigan tahay in helitaanka konsole-ka-khudbadeynta, aad had iyo jeer qaadi karto sawir-qaade mashiinka ordaya oo aad ka soo saartid dhammaan furayaasha RAM.
Iibiyeyaal badan ayaa isku dayay inay abaabulaan sirta qalabka RAM si xitaa martigeliyaha uusan u helin xogtan. Tusaale ahaan, Intel Software Extensions Technology Extensions, kaas oo habeeya aagagga goobta ciwaanka farsamada ee laga ilaaliyo akhrinta iyo qorista meel ka baxsan aaggan hababka kale, oo ay ku jiraan nidaamka hawlgalka kernel. Nasiib darro, ma awoodi doontid inaad si buuxda u aaminto tignoolajiyadan, maadaama aad ku koobnaan doonto mashiinka farsamada gacanta. Intaa waxaa dheer, tusaalayaal diyaarsan ayaa horay u jiray farsamadan. Weli, siraynta mashiinnada farsamada ma aha mid aan macno lahayn sida ay u muuqato.
Waxaan ku qarinay xogta VDS
Aan isla markaaba ballan-qaado in wax kasta oo aan hoos ku sameyno aysan u dhigmin ilaalin buuxda. Kormeeraha ayaa kuu oggolaanaya inaad sameyso nuqullada lagama maarmaanka ah adiga oo aan joojin adeegga iyo adoon ogaanin.
- Haddii, marka la codsado, martigeliyaha uu wareejiyo sawirka "qabow" ee mashiinkaaga farsamada, markaa waxaad tahay mid badbaado leh. Tani waa dhacdada ugu badan.
- Haddii martigeliyaha uu ku siiyo sawir buuxa oo mashiinka ordaya, markaa wax walba waa xun yihiin. Dhammaan xogta waxaa lagu dhejin doonaa nidaamka qaab cad. Intaa waxaa dheer, waxay suurtogal noqon doontaa in la mariyo RAM iyada oo la raadinayo furayaasha gaarka ah iyo xogta la midka ah.
Sida caadiga ah, haddii aad ka soo dejisay OS-ka sawirka vaniljka, martigeliyaha ma laha marin xidid. Had iyo jeer waxaad ku dhejin kartaa warbaahinta sawirka samatabbixinta oo waxaad bedeli kartaa erayga sirta ah ee xididka adoo xoqaya jawiga mashiinka farsamada. Laakiin tani waxay u baahan doontaa reboot, kaas oo la ogaan doono. Waxaa dheer, dhammaan qaybaha siraysan ee rakiban waa la xidhi doonaa.
Si kastaba ha noqotee, haddii keenista mashiinka farsamada uusan ka iman sawirka vaniljka, laakiin ka yimid mid horay loo sii diyaariyay, ka dibna martigeliyaha wuxuu inta badan ku dari karaa xisaab mudnaan leh si uu u caawiyo xaalad degdeg ah oo macmiilka ah. Tusaale ahaan, si aad u bedesho erayga sirta ah ee la illoobay.
Xitaa haddii ay dhacdo sawir-qaadis dhammaystiran, wax walba maaha kuwo murugo leh. Weeraryahanku ma heli doono faylal sir ah haddii aad ka soo dhejiso nidaamka faylka fog ee mishiin kale. Haa, aragti ahaan, waxaad ka soo saari kartaa qashinka RAM oo aad ka soo saari kartaa furayaasha sirta ah halkaas. Laakiin ficil ahaan tani maaha mid aad u fudud oo aad uma badna in geeddi-socodku dhaafo wareejinta faylka fudud.
Dalbo baabuur
Ujeedooyinkayada tijaabada ah, waxaan soo galeynaa mishiin fudud . Uma baahnid ilo badan, markaa waxaan qaadan doonaa ikhtiyaarka bixinta megahertz iyo taraafikada dhabta ah ee la kharash gareeyay. Kaliya ku filan inaad la ciyaarto.
dm-crypt-ka caadiga ah ee qaybta oo dhan ma furmin. Sida caadiga ah, saxanka waxaa lagu bixiyaa hal gabal, oo leh xididka qaybta oo dhan. Yaraynta qaybta ext4 ee xidid-ku-xidhan waa leben dammaanad qaaday halkii ay ka ahaan lahayd nidaamka faylalka. Waxaan isku dayay) Daftu waxba ma tarin.
Abuuritaanka weel crypto
Sidaa darteed, ma qarin doono qaybta oo dhan, laakiin waxaan isticmaali doonaa weelasha crypto faylka, kuwaas oo la xisaabiyay oo la isku halayn karo VeraCrypt. Ujeedooyinkayada tani waa ku filan tahay. Marka hore, waxaan ka soo saarnay oo ku rakibnay xirmada nooca CLI ee bogga rasmiga ah. Waxaad isla markaa hubin kartaa saxeexa.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Hadda waxaanu ku samayn doonaa weelka laftiisa meel gurigayaga ka mid ah si aanu gacanta ugu dhejino marka dib loo bilaabo. Xulashada isdhexgalka, deji cabbirka weelka, erayga sirta ah iyo algorithms sirta. Waxaad dooran kartaa xarafka wadaniga ah Grasshopper iyo shaqada hash Stribog.
veracrypt -t -c ~/my_super_secretHadda aynu rakibno nginx, ku dheji weelka oo ku buuxi macluumaadka sirta ah.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngAynu wax yar saxno /var/www/html/index.nginx-debian.html si aad u hesho bogga la rabo oo aad hubiso.
Isku xidh oo hubi
Weelka waa la rakibay, xogta waa la heli karaa oo waa la diraa.
Oo halkan waa mashiinka ka dib reboot. Xogta si ammaan ah ayaa loogu kaydiyaa ~/my_super_secret.
Haddii aad runtii u baahan tahay oo aad rabto hardcore, markaa waxaad sir kartaa OS oo dhan si marka aad dib u bilowdo ay u baahan tahay isku xirka ssh oo geli erayga sirta ah. Tani waxay sidoo kale ku filnaan doontaa xaaladda si fudud uga noqoshada "xogta qabow". Halkan iyo sirta diskooga fog. Inkasta oo kiiska VDS ay adag tahay oo aan loo baahnayn.
Bir qaawan
Ma fududa inaad ku rakibto serverkaaga xarun xogeed. Qof kale u heellan ayaa laga yaabaa inuu noqdo mashiinka farsamada gacanta kaas oo dhammaan aaladaha lagu wareejiyo. Laakiin wax xiiso leh oo ku saabsan ilaalinta waxay bilaabataa marka aad fursad u hesho inaad dhigto server-kaaga jireed ee lagu kalsoon yahay ee xarun xogeed. Halkan waxa aad si buuxda u isticmaali kartaa dm-crypt dhaqameed, VeraCrypt ama sir kasta oo kale oo aad doorato.
Waxaad u baahan tahay inaad fahamto in haddii wadarta sirta la fuliyo, server-ku ma awoodi doono inuu iskii u soo kabsado ka dib dib-u-kicinta. Waxay noqon doontaa lagama maarmaan in kor loo qaado xidhiidhka IP-KVM, IPMI ama interface kale oo la mid ah. Ka dib markaa waxaan gacanta ku galnaa furaha master-ka. Nidaamku wuxuu u eg yahay si-si loo eego sii wadida iyo u dulqaadashada qaladka, laakiin ma jiraan beddello gaar ah haddii xogtu aad u qiimo badan tahay.
Ncipher nShield F3 Module Security Hardware
Ikhtiyaarka ka jilicsan ayaa u malaynaya in xogta la sir yahay oo furuhu uu si toos ah ugu yaalo serverka laftiisa HSM gaar ah (Module Security Hardware). Sida caadiga ah, kuwani waa aalado aad u shaqeeya oo aan bixinaynin oo kaliya qalabka loo yaqaan 'cryptography', laakiin sidoo kale waxay leeyihiin habab lagu ogaanayo isku dayga jabsiga jirka. Haddii qof uu bilaabo inuu ku gadaaman yahay server-kaaga oo wata xagal, HSM oo leh sahay koronto oo madax banaan ayaa dib u dajin doona furayaasha uu ku kaydiyo xusuusta. Weeraryahanku wuxuu heli doonaa hilibka duqadda ah ee qarsoon. Xaaladdan oo kale, dib u soo kabashada ayaa si toos ah u dhici karta.
Qaadida furayaasha ayaa aad uga dhakhso badan kana door bini'aadantinimo ka badan kicinta bamka kulaylka ama xiraha korantada. Aaladahan oo kale, waxaa kugu garaaci doona waqti aad u dheer deriskaaga meesha lagu kaydiyo ee xarunta xogta. Intaa waxaa dheer, in kiiska isticmaalka sir ku saabsan warbaahinta lafteeda, waxaad la kulmi kartaa wax dulsaar ah. Waxaasoo dhan waxay si hufan ugu dhacaan OS-ka. Run, kiiskan waa inaad ku kalsoon tahay Samsung shuruudaha leh oo aad rajaynaysaa inay leedahay AES256 daacad ah, oo aan ahayn banal XOR.
Isla mar ahaantaana, waa in aynaan iloobin in dhammaan dekedaha aan loo baahnayn ay tahay in ay jir ahaan naafo yihiin ama si fudud loogu buuxiyo dhismo. Haddii kale, waxaad siinaysaa weeraryahannada fursad ay ku fuliyaan . Haddii aad leedahay PCI Express ama Thunderbolt oo soo baxaysa, oo ay ku jiraan USB oo taageerayaasheeda, waad nugul tahay. Qofka wax weeraraya waxa uu awood u yeelan doonaa in uu weerar ka geysto dekadahan oo uu si toos ah u galo xusuusta furaha.
Nooc aad u casri ah, weeraryahanku wuxuu awoodi doonaa inuu qaado weerarka kabaha qabow. Isla mar ahaantaana, waxay si fudud ugu shubtaa qayb wanaagsan oo nitrogen dareere ah server-kaaga, waxay ka saartaa ulaha xusuusta barafaysan waxayna ka qaadaysaa iyaga oo wata furayaasha oo dhan. Badanaa, buufin joogto ah oo qaboojinta iyo heerkulka ku dhow -50 darajo ayaa ku filan in la qaado weerar. Waxa kale oo jira doorasho sax ah. Haddii aadan curyaamin raritaanka aaladaha dibadda, markaa algoorithmiyaha weerarka ayaa noqon doona mid ka sii fudud:
- Qabooji ulaha xusuusta adigoon furin kiiska
- Ku xidh USB-gaaga bootable flash drive
- Isticmaal tas-hiilaadka gaarka ah si aad xogta uga saartid RAM-ka ka badbaaday dib-u-bilawga qaboojinta awgeed.
Qaybi oo guuleysta
Hagaag, waxaan haysanaa mashiinada farsamada gacanta, laakiin waxaan jeclaan lahaa inaan si uun u yareeyo halista daadinta xogta.
Waxaad, mabda 'ahaan, isku dayi kartaa inaad dib u eegis ku sameyso qaab-dhismeedka oo aad u qaybiso kaydinta xogta iyo habaynta dhammaan awoodaha kala duwan. Tusaale ahaan, dhinaca hore ee leh furayaasha sirta ah waxay ka timid martigeliyaha Czech Republic, iyo dhabarka dambe ee xogta sir leh waa meel Ruushka ah. Marka laga hadlayo isku dayga caadiga ah ee qalal, aad bay ugu adag tahay in hay'adaha fulinta sharciga ay awoodaan inay tan isku mar ka fuliyaan meelo kala duwan. Intaa waxaa dheer, tani qayb ahaan waxay naga cayminaysaa xaaladda sawir-qaadista.
Hagaag, ama waxaad tixgelin kartaa ikhtiyaarka gebi ahaanba saafiga ah - Dhammaadka-ilaa-dhamaadka sirta. Dabcan, tani waxay ka baxsan tahay baaxadda qeexitaanka mana tilmaamayso xisaabinta xisaabinta dhinaca mashiinka fog. Si kastaba ha ahaatee, tani waa ikhtiyaar si fiican loo aqbali karo marka ay timaado kaydinta iyo wada shaqaynta xogta. Tusaale ahaan, tan si ku habboon ayaa looga hirgeliyay Nextcloud. Isla mar ahaantaana, isku-dubbarididda, nuqul-ururinta iyo wax-soo-saarka kale ee dhinaca server-ka ma tagi doono.
Wadarta
Ma jiraan habab sugan oo dhammaystiran. Ujeedadu waa si fudud in weerarka laga dhigo mid ka qiimo badan faa'iidada suurtagalka ah.
Qaar ka mid ah dhimista khatarta helitaanka xogta goobta farsamada waxaa lagu gaari karaa in la isku daro sirta iyo kaydinta goonida ah ee martigeliyayaasha kala duwan.
Ikhtiyaar badan ama ka yar oo la isku halayn karo waa inaad isticmaasho server-kaaga qalabkaaga.
Laakin martigeliyaha weli waa in lagu aamino si uun ama si kale. Warshadaha oo dhan waxay ku tiirsan yihiin tan.
Source: www.habr.com