இப்போதெல்லாம், ஹோஸ்டிங்கில் ஒரு சேவையகத்தை உயர்த்துவது என்பது இரண்டு நிமிடங்கள் மற்றும் சில மவுஸ் கிளிக்குகளின் விஷயம். ஆனால் தொடங்கப்பட்ட உடனேயே, அவர் ஒரு விரோதமான சூழலில் தன்னைக் காண்கிறார், ஏனென்றால் அவர் ராக்கர் டிஸ்கோவில் ஒரு அப்பாவி பெண்ணைப் போல முழு இணையத்திற்கும் திறந்திருக்கிறார். ஸ்கேனர்கள் அதை விரைவாகக் கண்டுபிடித்து, பாதிப்புகள் மற்றும் தவறான உள்ளமைவுகளைத் தேடும் நெட்வொர்க்கைத் தேடும் ஆயிரக்கணக்கான தானாக ஸ்கிரிப்ட் செய்யப்பட்ட போட்களைக் கண்டறியும். அடிப்படை பாதுகாப்பை உறுதிசெய்ய, ஏவப்பட்ட உடனேயே நீங்கள் செய்ய வேண்டிய சில விஷயங்கள் உள்ளன.
உங்களுக்கான ரூட் அல்லாத பயனரை உருவாக்குவது முதல் படி. பயனாளர் என்பதுதான் புள்ளி root கணினியில் முழுமையான சலுகைகள், மற்றும் நீங்கள் அவரை தொலை நிர்வாகத்தை அனுமதித்தால், நீங்கள் ஹேக்கருக்கு பாதி வேலையைச் செய்வீர்கள், அவருக்கு சரியான பயனர்பெயரை விட்டுவிடுவீர்கள்.
எனவே, நீங்கள் மற்றொரு பயனரை உருவாக்கி, ரூட்டிற்காக SSH வழியாக தொலை நிர்வாகத்தை முடக்க வேண்டும்.
கட்டளை மூலம் புதிய பயனர் தொடங்கப்படுகிறார் useradd:
useradd [options] <username>
பின்னர் கட்டளையுடன் கடவுச்சொல் சேர்க்கப்படும் passwd:
passwd <username>
இறுதியாக, இந்த பயனரை உயர்த்தப்பட்ட கட்டளைகளை இயக்க உரிமை உள்ள குழுவில் சேர்க்கப்பட வேண்டும் sudo. லினக்ஸ் விநியோகத்தைப் பொறுத்து, இவை வெவ்வேறு குழுக்களாக இருக்கலாம். எடுத்துக்காட்டாக, CentOS மற்றும் Red Hat இல், பயனர் குழுவில் சேர்க்கப்படுகிறார் wheel:
usermod -aG wheel <username>
உபுண்டுவில் இது குழுவில் சேர்க்கப்பட்டுள்ளது sudo:
usermod -aG sudo <username>
SSH கடவுச்சொற்களுக்குப் பதிலாக விசைகள்
ப்ரூட் ஃபோர்ஸ் அல்லது பாஸ்வேர்டு கசிவுகள் ஒரு நிலையான தாக்குதல் வெக்டராகும், எனவே SSH (Secure Shell) இல் கடவுச்சொல் அங்கீகாரத்தை முடக்கிவிட்டு, அதற்குப் பதிலாக முக்கிய அங்கீகாரத்தைப் பயன்படுத்துவது சிறந்தது.
SSH நெறிமுறையை செயல்படுத்த பல்வேறு திட்டங்கள் உள்ளன lsh и டிராப்பியர், ஆனால் மிகவும் பிரபலமானது OpenSSH ஆகும். உபுண்டுவில் OpenSSH கிளையண்டை நிறுவுதல்:
sudo apt install openssh-client
சேவையக நிறுவல்:
sudo apt install openssh-server
உபுண்டு சர்வரில் SSH டீமனை (sshd) தொடங்குதல்:
sudo systemctl start sshd
ஒவ்வொரு துவக்கத்திலும் தானாக டீமானைத் தொடங்கவும்:
sudo systemctl enable sshd
OpenSSH இன் சேவையக பகுதி கிளையன்ட் பகுதியை உள்ளடக்கியது என்பதை கவனத்தில் கொள்ள வேண்டும். அதாவது, மூலம் openssh-server நீங்கள் மற்ற சேவையகங்களுடன் இணைக்க முடியும். மேலும், உங்கள் கிளையன்ட் மெஷினிலிருந்து, ரிமோட் சர்வரிலிருந்து மூன்றாம் தரப்பு ஹோஸ்டுக்கு SSH டன்னலைத் தொடங்கலாம், பின்னர் மூன்றாம் தரப்பு ஹோஸ்ட் ரிமோட் சர்வரை கோரிக்கைகளின் ஆதாரமாகக் கருதும். உங்கள் கணினியை மறைப்பதற்கு மிகவும் எளிமையான அம்சம். விவரங்களுக்கு கட்டுரையைப் பார்க்கவும் "நடைமுறை உதவிக்குறிப்புகள், எடுத்துக்காட்டுகள் மற்றும் SSH சுரங்கங்கள்".
கிளையன்ட் கணினியில், கணினியுடன் (பாதுகாப்பு காரணங்களுக்காக) தொலைநிலை இணைப்பு சாத்தியத்தைத் தடுக்க முழு அளவிலான சேவையகத்தை நிறுவுவதில் பொதுவாக அர்த்தமில்லை.
எனவே, உங்கள் புதிய பயனருக்கு, நீங்கள் முதலில் சேவையகத்தை அணுகும் கணினியில் SSH விசைகளை உருவாக்க வேண்டும்:
ssh-keygen -t rsa
பொது விசை ஒரு கோப்பில் சேமிக்கப்படுகிறது .pub மற்றும் தொடங்கும் சீரற்ற எழுத்துக்களின் சரம் போல் தெரிகிறது ssh-rsa.
பின்னர், ரூட்டின் கீழ் இருந்து, பயனரின் ஹோம் டைரக்டரியில் உள்ள சர்வரில் ஒரு SSH கோப்பகத்தை உருவாக்கி, கோப்பில் SSH பொது விசையைச் சேர்க்கவும். authorized_keys, Vim போன்ற உரை திருத்தியைப் பயன்படுத்துதல்:
கிளையன்ட் பக்கத்தில், அங்கீகாரத்திற்கான ரகசிய விசையின் இருப்பிடத்தை நீங்கள் குறிப்பிட வேண்டும்:
ssh-add DIR_PATH/keylocation
இப்போது நீங்கள் இந்த விசையைப் பயன்படுத்தி பயனர்பெயரின் கீழ் சேவையகத்தில் உள்நுழையலாம்:
ssh [username]@hostname
அங்கீகாரத்திற்குப் பிறகு, நீங்கள் கோப்புகளை நகலெடுக்க scp கட்டளையைப் பயன்படுத்தலாம், பயன்பாடு sshfs ஒரு கோப்பு முறைமை அல்லது கோப்பகங்களை தொலைவிலிருந்து ஏற்றுவதற்கு.
தனிப்பட்ட விசையின் பல காப்பு பிரதிகளை உருவாக்குவது நல்லது, ஏனென்றால் நீங்கள் கடவுச்சொல் அங்கீகாரத்தை முடக்கி அதை இழந்தால், உங்கள் சொந்த சேவையகத்தில் உள்நுழைய உங்களுக்கு எந்த வழியும் இருக்காது.
மேலே குறிப்பிட்டுள்ளபடி, SSH இல் நீங்கள் ரூட்டிற்கான அங்கீகாரத்தை முடக்க வேண்டும் (நாங்கள் ஒரு புதிய பயனரைத் தொடங்குவதற்கு இதுவே காரணம்).
CentOS/Red Hat இல் நாம் வரியைக் காண்கிறோம் PermitRootLogin yes config கோப்பில் /etc/ssh/sshd_config மற்றும் அதை மாற்றவும்:
PermitRootLogin no
உபுண்டுவில் வரியைச் சேர்க்கவும் PermitRootLogin no config கோப்புக்கு 10-my-sshd-settings.conf:
புதிய பயனர் தங்கள் விசையுடன் அங்கீகரிக்கிறார் என்பதைச் சரிபார்த்த பிறகு, கடவுச்சொல் கசிவு அல்லது முரட்டுத்தனமான ஆபத்தை அகற்ற கடவுச்சொல் அங்கீகாரத்தை முடக்கலாம். இப்போது, சேவையகத்தை அணுக, தாக்குபவர் தனிப்பட்ட விசையைப் பெற வேண்டும்.
CentOS/Red Hat இல் நாம் வரியைக் காண்கிறோம் PasswordAuthentication yes config கோப்பில் /etc/ssh/sshd_config மற்றும் இதை இப்படி மாற்றவும்:
PasswordAuthentication no
உபுண்டுவில் வரியைச் சேர்க்கவும் PasswordAuthentication no தாக்கல் செய்ய 10-my-sshd-settings.conf:
SSH வழியாக இரு காரணி அங்கீகாரத்தை இயக்குவதற்கான வழிமுறைகளுக்கு, பார்க்கவும் இங்கே.
ஃபயர்வால்
நீங்கள் நேரடியாக அனுமதிக்கும் போர்ட்களின் ட்ராஃபிக் மட்டுமே சர்வருக்குச் செல்லும் என்பதை ஃபயர்வால் உறுதி செய்கிறது. இது மற்ற சேவைகளுடன் தற்செயலாக இயக்கப்பட்ட துறைமுகங்களின் சுரண்டலுக்கு எதிராக பாதுகாக்கிறது, இது தாக்குதல் மேற்பரப்பை வெகுவாகக் குறைக்கிறது.
ஃபயர்வாலை நிறுவும் முன், SSH விலக்கு பட்டியலில் சேர்க்கப்பட்டுள்ளதா மற்றும் தடுக்கப்படாது என்பதை உறுதி செய்ய வேண்டும். இல்லையெனில், ஃபயர்வாலைத் தொடங்கிய பிறகு, நாங்கள் சேவையகத்துடன் இணைக்க முடியாது.
உபுண்டு விநியோகம் சிக்கலற்ற ஃபயர்வாலுடன் வருகிறது (ufw), மற்றும் CentOS/Red Hat உடன் - firewalld.
உபுண்டுவில் ஃபயர்வாலில் SSH ஐ அனுமதிக்கிறது:
sudo ufw allow ssh
CentOS/Red Hat இல் கட்டளையைப் பயன்படுத்தவும் firewall-cmd:
உபுண்டுவில் நாம் பின்வரும் கட்டளையைப் பயன்படுத்துகிறோம்:
sudo ufw enable
Fail2Ban
சேவை Fail2Ban சர்வரில் உள்ள பதிவுகளை பகுப்பாய்வு செய்து ஒவ்வொரு ஐபி முகவரியிலிருந்தும் அணுகல் முயற்சிகளின் எண்ணிக்கையை கணக்கிடுகிறது. ஒரு குறிப்பிட்ட இடைவெளியில் எத்தனை அணுகல் முயற்சிகள் அனுமதிக்கப்படுகின்றன என்பதற்கான விதிகளை அமைப்புகள் குறிப்பிடுகின்றன - அதன் பிறகு இந்த ஐபி முகவரி ஒரு குறிப்பிட்ட காலத்திற்கு தடுக்கப்படும். எடுத்துக்காட்டாக, 5 மணிநேரத்திற்குள் 2 தோல்வியுற்ற SSH அங்கீகார முயற்சிகளை அனுமதிப்போம், பின்னர் கொடுக்கப்பட்ட IP முகவரியை 12 மணிநேரத்திற்குத் தடுப்போம்.
நிரலில் இரண்டு உள்ளமைவு கோப்புகள் உள்ளன: /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf. தடை கட்டுப்பாடுகள் இரண்டாவது கோப்பில் குறிப்பிடப்பட்டுள்ளன.
SSH க்கு கூடுதலாக, Fail2Ban ஆனது nginx அல்லது Apache இணைய சேவையகத்தில் பிற சேவைகளைப் பாதுகாக்க முடியும்.
தானியங்கி பாதுகாப்பு புதுப்பிப்புகள்
உங்களுக்குத் தெரியும், எல்லா நிரல்களிலும் புதிய பாதிப்புகள் தொடர்ந்து காணப்படுகின்றன. தகவல் வெளியிடப்பட்ட பிறகு, பிரபலமான சுரண்டல் தொகுப்புகளில் சுரண்டல்கள் சேர்க்கப்படுகின்றன, அவை ஹேக்கர்கள் மற்றும் இளைஞர்களால் ஒரு வரிசையில் அனைத்து சேவையகங்களையும் ஸ்கேன் செய்யும் போது பெருமளவில் பயன்படுத்தப்படுகின்றன. எனவே, பாதுகாப்பு புதுப்பிப்புகள் தோன்றியவுடன் அவற்றை நிறுவுவது மிகவும் முக்கியம்.
உபுண்டு சர்வரில், தானியங்கி பாதுகாப்பு புதுப்பிப்புகள் முன்னிருப்பாக இயக்கப்படும், எனவே மேற்கொண்டு எந்த நடவடிக்கையும் தேவையில்லை.
CentOS/Red Hat இல் நீங்கள் பயன்பாட்டை நிறுவ வேண்டும் dnf-தானியங்கி மற்றும் டைமரை இயக்கவும்:
SSH 1995 இல் டெல்நெட் (போர்ட் 23) மற்றும் ftp (போர்ட் 21) ஆகியவற்றை மாற்றுவதற்காக உருவாக்கப்பட்டது, எனவே திட்டத்தின் ஆசிரியர் டாட்டு இல்டோனென் முன்னிருப்பாக போர்ட் 22 தேர்ந்தெடுக்கப்பட்டது, மற்றும் IANA ஆல் அங்கீகரிக்கப்பட்டது.
இயற்கையாகவே, SSH எந்த போர்ட்டில் இயங்குகிறது என்பதை அனைத்து தாக்குபவர்களும் அறிந்திருக்கிறார்கள் - மேலும் மென்பொருள் பதிப்பைக் கண்டறிய, நிலையான ரூட் கடவுச்சொற்களைச் சரிபார்க்க மற்றும் பலவற்றிற்கு மற்ற நிலையான போர்ட்களுடன் அதை ஸ்கேன் செய்யவும்.
நிலையான துறைமுகங்களை மாற்றுவது - தெளிவற்ற தன்மை - பல முறை குப்பைப் போக்குவரத்தின் அளவு, பதிவுகளின் அளவு மற்றும் சர்வரில் உள்ள சுமை ஆகியவற்றைக் குறைக்கிறது, மேலும் தாக்குதல் மேற்பரப்பைக் குறைக்கிறது. இருந்தாலும் சில "தெளிவின் மூலம் பாதுகாப்பு" என்ற இந்த முறையை விமர்சிக்கவும் (தெளிவின் மூலம் பாதுகாப்பு). காரணம், இந்த நுட்பம் அடிப்படைக்கு எதிரானது கட்டிடக்கலை பாதுகாப்பு. எனவே, எடுத்துக்காட்டாக, அமெரிக்க தேசிய தரநிலைகள் மற்றும் தொழில்நுட்ப நிறுவனம் "சர்வர் பாதுகாப்பு வழிகாட்டி" திறந்த சேவையக கட்டமைப்பின் அவசியத்தை குறிக்கிறது: "ஒரு கணினியின் பாதுகாப்பு அதன் கூறுகளை செயல்படுத்தும் இரகசியத்தை நம்பியிருக்கக்கூடாது" என்று ஆவணம் கூறுகிறது.
கோட்பாட்டளவில், இயல்புநிலை துறைமுகங்களை மாற்றுவது திறந்த கட்டிடக்கலை நடைமுறைக்கு எதிரானது. ஆனால் நடைமுறையில், தீங்கிழைக்கும் போக்குவரத்தின் அளவு உண்மையில் குறைக்கப்படுகிறது, எனவே இது ஒரு எளிய மற்றும் பயனுள்ள நடவடிக்கையாகும்.
அளவுரு -p <port> கட்டளையுடன் இணைக்கும்போது போர்ட் எண்ணைக் குறிப்பிட பயன்படுத்தலாம் ssh லினக்ஸில். IN வெளியிடுகிறீர்கள் и scp அளவுரு பயன்படுத்தப்படுகிறது -P <port> (மூலதனம் பி). கட்டளை வரி அறிவுறுத்தல் உள்ளமைவு கோப்புகளில் உள்ள எந்த மதிப்பையும் மீறுகிறது.
பல சேவையகங்கள் இருந்தால், லினக்ஸ் சேவையகத்தைப் பாதுகாப்பதற்கான இந்த நடவடிக்கைகள் அனைத்தும் ஸ்கிரிப்ட்டில் தானியங்கு செய்யப்படலாம். ஆனால் ஒரே ஒரு சேவையகம் இருந்தால், செயல்முறையை கைமுறையாக கட்டுப்படுத்துவது நல்லது.
விளம்பரம் உரிமைகள் மீது
உடனே ஆர்டர் செய்து வேலை செய்யுங்கள்! VDS உருவாக்கம் எந்த உள்ளமைவு மற்றும் எந்த இயக்க முறைமையுடனும் ஒரு நிமிடத்திற்குள். 128 சிபியு கோர்கள், 512 ஜிபி ரேம், 4000 ஜிபி என்விஎம்இ - அதிகபட்ச உள்ளமைவு உங்களை முழுமையாகப் பெற அனுமதிக்கும். காவியம் 🙂