ওপেনএসএইচ সহ ভাল অনুশীলন

Alejandro (a.k.a KZKG^Gaara)

3 মিনিট

OpenSSH- র (নিরাপদ শেল খুলুন) অ্যাপ্লিকেশনগুলির একটি সেট যা একটি নেটওয়ার্কের মাধ্যমে এনক্রিপ্ট করা যোগাযোগের অনুমতি দেয় allow প্রোটোকল , SSH। এটি প্রোগ্রামটির একটি নিখরচায় ও মুক্ত বিকল্প হিসাবে তৈরি করা হয়েছিল নিরাপদ শেলযা মালিকানাধীন সফ্টওয়্যার। « উইকিপিডিয়া.

কিছু ব্যবহারকারীরা ভাবতে পারেন যে ভাল অভ্যাসগুলি কেবল সার্ভারে প্রয়োগ করা উচিত এবং এটি ক্ষেত্রে নয়। অনেক জিএনইউ / লিনাক্স বিতরণে ওপেনএসএসএইচ ডিফল্টরূপে অন্তর্ভুক্ত থাকে এবং কিছু বিষয় মনে রাখা উচিত।

নিরাপত্তা

এসএসএইচ কনফিগার করার সময় এই 6 টি গুরুত্বপূর্ণ পয়েন্টগুলি মনে রাখবেন:

  1. একটি শক্তিশালী পাসওয়ার্ড ব্যবহার করুন।
  2. এসএসএইচ এর ডিফল্ট পোর্ট পরিবর্তন করুন।
  3. সর্বদা এসএসএইচ প্রোটোকলের 2 সংস্করণ ব্যবহার করুন।
  4. রুট অ্যাক্সেস অক্ষম করুন।
  5. ব্যবহারকারীর অ্যাক্সেস সীমাবদ্ধ করুন।
  6. কী প্রমাণীকরণ ব্যবহার করুন।
  7. অন্যান্য বিকল্পগুলি

একটি শক্তিশালী পাসওয়ার্ড

একটি ভাল পাসওয়ার্ড হল এমন একটি যেটিতে আলফানিউমেরিক বা বিশেষ অক্ষর, স্পেস, বড় এবং ছোট হাতের অক্ষর... ইত্যাদি থাকে। এখানে DesdeLinux ভালো পাসওয়ার্ড তৈরি করার জন্য আমরা বেশ কিছু পদ্ধতি দেখিয়েছি। পরিদর্শন করতে পারেন এই নিবন্ধটি y এই অন্য.

ডিফল্ট পোর্ট পরিবর্তন করুন

এসএসএইচের জন্য ডিফল্ট পোর্টটি 22 it এটি পরিবর্তন করতে আমাদের কেবল ফাইল সম্পাদনা করতে হবে জন্য / etc / SSH / sshd_config। আমরা বলি রেখার সন্ধান করি:

#Port 22

আমরা এটিকে নিঃশর্ত করি এবং অন্য সংখ্যার জন্য ২২ টি পরিবর্তন করি .. উদাহরণস্বরূপ:

Port 7022

আমরা আমাদের কম্পিউটার / সার্ভারে যে পোর্টগুলি ব্যবহার করছি না তা জানতে আমরা টার্মিনালে চালাতে পারি:

$ netstat -ntap

এখন আমাদের কম্পিউটার বা সার্ভারটি অ্যাক্সেস করতে আমাদের অবশ্যই নিম্নলিখিত -p বিকল্পের সাহায্যে এটি করতে হবে:

$ ssh -p 7022 usuario@servidor

প্রোটোকল 2 ব্যবহার করুন

আমরা এসএসএইচ প্রোটোকলের 2 সংস্করণ ব্যবহার করছি তা নিশ্চিত করার জন্য আমাদের অবশ্যই ফাইলটি সম্পাদনা করতে হবে জন্য / etc / SSH / sshd_config এবং লাইনটি দেখুন যে বলে:

# প্রোটোকল 2

আমরা এটিকে নিরঙ্কুশ করে এবং এসএসএইচ পরিষেবাটি পুনরায় চালু করব।

রুট হিসাবে অ্যাক্সেস অনুমতি দেয় না

রুট ব্যবহারকারীকে এসএসএইচের মাধ্যমে দূর থেকে অ্যাক্সেস করতে সক্ষম হওয়া থেকে রোধ করতে আমরা ফাইলটি সন্ধান করিজন্য / etc / SSH / sshd_config লাইন:

#PermitRootLogin no

এবং আমরা এটি uncomment। আমি মনে করি এটি পরিষ্কার করার উপযুক্ত যে এটি করার আগে আমাদের অবশ্যই নিশ্চিত করতে হবে যে আমাদের ব্যবহারকারীর প্রশাসনিক কাজ সম্পাদনের জন্য প্রয়োজনীয় অনুমতি রয়েছে।

ব্যবহারকারীদের দ্বারা অ্যাক্সেস সীমাবদ্ধ করুন

এসএসএইচ এর মাধ্যমে কেবলমাত্র নির্দিষ্ট বিশ্বস্ত ব্যবহারকারীদের অ্যাক্সেসের অনুমতি দেওয়াও ক্ষতি করে না, তাই আমরা ফাইলে ফিরে আসি জন্য / etc / SSH / sshd_config এবং আমরা লাইনটি যুক্ত করব:

ব্যবহারকারীদের ইলভ ইউজমোস্লিনাক্স কেজকগ্যাগার অনুমতি দিন

স্পষ্টতই, ব্যবহারকারীরা ইলাভ, ইউজমোস্লিনাক্স এবং কেজকগ্গারা এগুলি অ্যাক্সেস করতে সক্ষম হবে।

কী প্রমাণীকরণ ব্যবহার করুন

যদিও এই পদ্ধতিটি সর্বাধিক প্রস্তাবিত, আমাদের অবশ্যই বিশেষ যত্ন নিতে হবে কারণ আমরা পাসওয়ার্ডটি প্রবেশ না করেই সার্ভারটি অ্যাক্সেস করব। এর অর্থ হ'ল কোনও ব্যবহারকারী যদি আমাদের সেশনে প্রবেশ করতে পরিচালিত হয় বা আমাদের কম্পিউটার চুরি হয়ে যায়, আমরা সমস্যায় পড়তে পারি। যাইহোক, এটি কীভাবে করা যায় তা দেখুন।

প্রথমটি হ'ল একজোড়া কী তৈরি করা (সরকারী এবং ব্যক্তিগত):

ssh-keygen -t rsa -b 4096

তারপরে আমরা কম্পিউটার / সার্ভারে আমাদের কীটি পাস করি:

ssh-copy-id -i ~/.ssh/id_rsa.pub elav@200.8.200.7

সবশেষে আমাদের ফাইলটিতে অনিয়ন্ত্রিত থাকতে হবে জন্য / etc / SSH / sshd_config লাইন:

AuthorizedKeysFile .ssh/authorized_keys

অন্যান্য বিকল্পগুলি

ইউকিটারুর অবদান

আমরা অপেক্ষা করার সময়টি হ্রাস করতে পারি যাতে কোনও ব্যবহারকারী সাফল্যের সাথে সিস্টেমে 30 সেকেন্ডে লগ ইন করতে পারে

LoginGraceTime 30

টিসিপি স্পুফিংয়ের মাধ্যমে এসএসআই আক্রমণ এড়াতে, এসএসএসের পাশে এনক্রিপ্ট হওয়া সর্বাধিক 3 মিনিটের জন্য সক্রিয় রেখে, আমরা এই 3 টি বিকল্প সক্রিয় করতে পারি।

টিসিপিকিপএলাইভ কোনও ক্লায়েন্টএলাইভআইন্টারভাল 60 ক্লায়েন্টএলাইভকাউন্টম্যাক্স 3 নেই

Rhosts বা shosts ফাইলগুলির অক্ষম করুন, যা সুরক্ষার কারণে ব্যবহার না করার জন্য অনুরোধ করা হয়েছে।

অগ্রাহ্য করুন হ্যাঁ উপেক্ষা করুন ব্যবহারকারীর জ্ঞাতহোস্টগুলি হ্যাঁ রোস্টসঅথেন্টিকেশন নেই কোনও রোস্টআরএসএ প্রমাণীকরণ নং

লগইন করার সময় ব্যবহারকারীর কার্যকর অনুমতিগুলি পরীক্ষা করে দেখুন।

StrictModes yes

সুযোগ সুবিধার পৃথককরণ সক্ষম করুন।

UsePrivilegeSeparation yes

সিদ্ধান্তে:

এই পদক্ষেপগুলি সম্পাদন করে আমরা আমাদের কম্পিউটার এবং সার্ভারগুলিতে অতিরিক্ত সুরক্ষা যুক্ত করতে পারি, তবে আমাদের কখনই ভুলতে হবে না যে একটি গুরুত্বপূর্ণ কারণ রয়েছে: চেয়ার এবং কীবোর্ড মধ্যে কি। এজন্য আমি পড়ার পরামর্শ দিই এই নিবন্ধটি.

উৎস: হাওটোফর্স


আপনার মন্তব্য দিন

আপনার ইমেল ঠিকানা প্রকাশিত হবে না। প্রয়োজনীয় ক্ষেত্রগুলি দিয়ে চিহ্নিত করা *

*

*

  1. ডেটার জন্য দায়বদ্ধ: মিগুয়েল অ্যাঞ্জেল গাটান
  2. ডেটার উদ্দেশ্য: নিয়ন্ত্রণ স্প্যাম, মন্তব্য পরিচালনা।
  3. আইনীকরণ: আপনার সম্মতি
  4. তথ্য যোগাযোগ: ডেটা আইনি বাধ্যবাধকতা ব্যতীত তৃতীয় পক্ষের কাছে জানানো হবে না।
  5. ডেটা স্টোরেজ: ওসেন্টাস নেটওয়ার্কস (ইইউ) দ্বারা হোস্ট করা ডেটাবেস
  6. অধিকার: যে কোনও সময় আপনি আপনার তথ্য সীমাবদ্ধ করতে, পুনরুদ্ধার করতে এবং মুছতে পারেন।

  1.   ইউকিটারু তিনি বলেন
    পূর্বে 9 বছর

    চমৎকার পোস্ট @ ইলাভ এবং আমি কিছু আকর্ষণীয় জিনিস যুক্ত করছি:

    লগইনগ্র্যাসটাইম 30

    এটি আমাদের অপেক্ষার সময়টি হ্রাস করতে দেয় যাতে কোনও ব্যবহারকারী সাফল্যের সাথে 30 সেকেন্ডে সিস্টেমে লগ ইন করতে পারে

    টিসিপিকিপএলাইভ নং
    ClientAliveInterval 60
    ক্লায়েন্টঅলিভেন্টমাউন্ট এক্সএমএক্সএক্স

    টিসিপি স্পুফিংয়ের মাধ্যমে এসএস আক্রমণ থেকে বাঁচতে এই তিনটি বিকল্প বেশ কার্যকর, এসএসএসের পাশে এনক্রিপ্ট থাকা সর্বাধিক 3 মিনিটের জন্য সক্রিয় রেখে দেওয়া।

    অবহেলা করুন হ্যাঁ
    হ্যাঁ
    রোস্টস অটেনটিকেশন নং
    রোস্টআরএসএ প্রমাণীকরণ নং

    এটি rhosts বা shosts ফাইলগুলির অক্ষম করে, যা সুরক্ষার কারণে ব্যবহার না করার জন্য অনুরোধ করা হয়।

    হুঁ

    এই বিকল্পটি লগইন করার সময় ব্যবহারকারীর কার্যকর অনুমতিগুলি পরীক্ষা করতে ব্যবহৃত হয়।

    হ্যাঁ ব্যবহার করুন

    সুযোগ সুবিধার পৃথককরণ সক্ষম করুন।

    উত্তর ইউকিটারু
    1.    এলাভ তিনি বলেন
      পূর্বে 9 বছর

      ঠিক আছে, কিছুক্ষণের মধ্যে আমি পোস্টটি সম্পাদনা করব এবং এটি পোস্টে যুক্ত করব 😀

      ইলাভকে উত্তর দিন
  2.   ইউজেনিও তিনি বলেন
    পূর্বে 9 বছর

    মন্তব্য না করে যাতে লাইনটি পরিবর্তন না করা হয় তা অনর্থক। মন্তব্য করা রেখাগুলি প্রতিটি বিকল্পের ডিফল্ট মান দেখায় (ফাইলটির শুরুতে স্পষ্টতাটি পড়ুন)। ডিফল্ট ইত্যাদি দ্বারা রুট অ্যাক্সেস অক্ষম করা হয় etc. অতএব, uncommenting এর একেবারে কোনও প্রভাব নেই।

    ইউজিনিওকে উত্তর দিন
    1.    এলাভ তিনি বলেন
      পূর্বে 9 বছর

      # ডিফল্ট sshd_config- এ বিকল্পগুলির জন্য কৌশলটি ব্যবহৃত হয়েছে with
      # ওপেনএসএসএইচ যেখানে তাদের ডিফল্ট মান সহ বিকল্পগুলি নির্দিষ্ট করে
      # সম্ভব, তবে তাদের মন্তব্য করুন leave অনিবন্ধিত বিকল্পগুলি ওভাররাইড করে
      # ডিফল্ট মান।

      হ্যাঁ, তবে উদাহরণস্বরূপ, কীভাবে আমরা জানি যে আমরা প্রোটোকলের কেবলমাত্র 2 সংস্করণ ব্যবহার করছি? কারণ আমরা একই সাথে 1 এবং 2 টি ভালভাবে ব্যবহার করতে পারি। যেমন শেষ লাইনটি বলেছে, উদাহরণস্বরূপ এই বিকল্পটিকে আপত্তিহীন করা, ডিফল্ট বিকল্পটি ওভাররাইট করে। যদি আমরা ডিফল্ট হিসাবে সংস্করণ 2 ব্যবহার করি তবে জরিমানা, তা না হলে আমরা এটি হ্যাঁ বা হ্যাঁ use ব্যবহার করি 😀

      মন্তব্যের জন্য ধন্যবাদ

      ইলাভকে উত্তর দিন
  3.   SLI তিনি বলেন
    পূর্বে 9 বছর

    খুব ভাল নিবন্ধ, আমি বেশ কয়েকটি জিনিস জানতাম তবে একটি জিনিস যা আমার কাছে কখনই পরিষ্কার হয় না তা হ'ল কী ব্যবহার করা, আসলে সেগুলি কী এবং এর কী কী সুবিধা রয়েছে, যদি আমি কী ব্যবহার করি তবে আমি পাসওয়ার্ড ব্যবহার করতে পারি ??? যদি তা হয় তবে কেন এটি সুরক্ষা বাড়ায় এবং যদি না হয় তবে আমি কীভাবে এটি অন্য পিসি থেকে অ্যাক্সেস করব?

    স্লির উত্তর
  4.   অ্যাডিয়ান তিনি বলেন
    পূর্বে 9 বছর

    শুভেচ্ছা, আমি ডেবিয়ান 8.1 ইনস্টল করেছি এবং আমি আমার উইন্ডোজ পিসি থেকে ডাবিয়ান সাথে ডাব্লিয়ান সাথে ডাব্লুআইএনএসসিপির সাথে সংযোগ করতে পারি না, আমাকে কি প্রোটোকল 1 ব্যবহার করতে হবে? কোন সাহায্য .. ধন্যবাদ
    অ্যাডিয়ান

    অ্যাডিয়ানকে উত্তর দিন
  5.   ফ্রাঙ্কসনাব্রিয়া তিনি বলেন
    পূর্বে 9 বছর

    আপনি ওপেনশ্যাশ সম্পর্কে এই ভিডিওটিতে আগ্রহী হতে পারেন https://m.youtube.com/watch?v=uyMb8uq6L54

    ফ্রাঙ্কসানাব্রিয়ার জবাব দিন
  6.   টাইল তিনি বলেন
    পূর্বে 9 বছর

    আমি এখানে কিছু জিনিস চেষ্টা করতে চাই, বেশ কয়েকটি আমি ইতিমধ্যে আর্কি উইকি, অন্যকে অলসতা বা জ্ঞানের অভাবের জন্য ধন্যবাদ দিয়েছি। আমি আমার আরপিআই শুরু করার সময় এটি সংরক্ষণ করব

    টাইলকে উত্তর দিন