|
এবার আমরা একটি সংক্ষিপ্ত এবং সহজ টিপস এটি আমাদের উন্নতি করতে সহায়তা করবে নিরাপত্তা সঙ্গে আমাদের দূরবর্তী সংযোগ , SSH. |
ওপেনএসএইচ, যা এসএনএইচ সংযোগগুলি পরিচালনা করতে জিএনইউ / লিনাক্স সিস্টেম দ্বারা সরবরাহ করা প্যাকেজ, এর বিভিন্ন ধরণের বিকল্প রয়েছে। বই পড়া এসএসএইচ সুরক্ষিত শেল এবং ম্যানুয়াল পৃষ্ঠাগুলি আমি -F বিকল্পটি পেয়েছি, যা এসএসএইচ ক্লায়েন্টকে / etc / ssh ডিরেক্টরিতে ডিফল্টরূপে প্রাপ্ত কনফিগারেশন ফাইলটি ব্যবহার করতে বলে।
আমরা এই বিকল্পটি কীভাবে ব্যবহার করব?
নিম্নরূপ:
ssh -F / পাথ / to_ আপনার / কনফিগারেশন / ফাইল ব্যবহারকারী @ আইপি / হোস্ট
উদাহরণস্বরূপ, যদি আমাদের ডেস্কটপে my_config নামে একটি কাস্টম কনফিগারেশন ফাইল থাকে এবং আমরা ব্যবহারকারী কার্লোসের সাথে আইপি 192.168.1.258 এর সাথে কম্পিউটারে সংযোগ স্থাপন করতে চাই, তবে আমরা নিম্নলিখিত আদেশটি ব্যবহার করব:
ssh -F ~ / ডেস্কটপ / my_config কার্লোস@192.168.1.258
এটি কীভাবে সংযোগের সুরক্ষায় সহায়তা করে?
মনে রাখবেন যে কোনও আক্রমণকারী আমাদের সিস্টেমে থাকা অবস্থায় সাথে সাথে প্রশাসকের বিশেষাধিকারগুলি পাওয়ার চেষ্টা করবে যদি সে ইতিমধ্যে তাদের কাছে না থাকে, সুতরাং নেটওয়ার্কে থাকা সমস্ত মেশিনের সাথে সংযোগ স্থাপনের জন্য তার পক্ষে এসএসএস কার্যকর করা বেশ সহজ হবে। এটি এড়াতে, আমরা / etc / ssh / ssh_config ফাইলটি ভুল মানগুলির সাথে কনফিগার করতে পারি এবং যখন আমরা এসএসএইচের মাধ্যমে সংযোগ করতে চাই আমরা এমন কনফিগারেশন ফাইলটি ব্যবহার করব যা আমরা কেবল এমন একটি স্থানে সংরক্ষণ করব যা আমরা জানি (এমনকি বাহ্যিক স্টোরেজ ডিভাইসেও), বলুন, আমাদের অন্ধকারের দ্বারা সুরক্ষা দেওয়া হত। এইভাবে আক্রমণকারীটি হতবাক হয়ে যাবে যে তিনি এসএসএইচ ব্যবহার করে সংযোগ করতে পারবেন না এবং তিনি ডিফল্ট কনফিগারেশন ফাইলের মধ্যে উল্লিখিত অনুসারে সংযোগগুলি তৈরি করার চেষ্টা করেছিলেন, তাই যা ঘটছে তা উপলব্ধি করা তার পক্ষে কঠিন হবে এবং আমরা তাকে অনেক জটিল করে তুলব চাকরীটি.
এটি এসএসএইচ সার্ভারের শ্রবণ পোর্টটি পরিবর্তন করতে, এসএসএইচ 1 অক্ষম করে, কোন ব্যবহারকারীরা সার্ভারের সাথে সংযোগ করতে পারে তা নির্দিষ্ট করে, কোন আইপি বা আইপিগুলির পরিসর সার্ভারের সাথে সংযুক্ত হতে পারে এবং অন্যান্য টিপস যা আমরা খুঁজে পেতে পারি তা স্পষ্টভাবে মঞ্জুরি দেয় http://www.techtear.com/2007/04/08/trucos-y-consejos-para-asegurar-ssh-en-linux তারা আমাদের এসএসএইচ সংযোগগুলির সুরক্ষা বাড়ানোর অনুমতি দেবে।
উপরে বর্ণিত সমস্ত কিছুই এক লাইনে করা যায়। আমার স্বাদের জন্য প্রতিবার এসএসএইচ দিয়ে রিমোট পিসিতে লগ ইন করার চেষ্টা করার সময় একাধিক বিকল্পের সাথে একটি বৃহত লাইন লিখতে পারাটা আমাদের জন্য অত্যন্ত ক্লান্তিকর হবে, উদাহরণস্বরূপ, আমি আপনাকে যা বলছি তার নিচের নমুনা হবে:
ssh -p 1056 -c ব্লোফিশ -সি-এল কার্লোস-কি -আই নিজে 192.168.1.258
-p দূরবর্তী হোস্টে সংযোগ করতে পোর্টটি নির্দিষ্ট করে।
-c সেশনটি কীভাবে এনক্রিপ্ট করা হবে তা সুনির্দিষ্ট করে।
-সি ইঙ্গিত দেয় যে অধিবেশনটি সংকুচিত করা উচিত।
-l ব্যবহারকারীকে দূরবর্তী হোস্টে লগ ইন করতে ইঙ্গিত করে।
-Q ইঙ্গিত দেয় যে ডায়াগনস্টিক বার্তাগুলি দমন করা হয়েছে।
-i ফাইলটি (ব্যক্তিগত কী) দিয়ে চিহ্নিত করার ইঙ্গিত দেয়
আমাদের এটিও মনে রাখতে হবে যে প্রতিবার আমাদের প্রয়োজন অনুযায়ী পুরো কমান্ডটি টাইপ করা এড়াতে আমরা টার্মিনালের ইতিহাস ব্যবহার করতে পারি, আক্রমণকারীও যে কোনও সুবিধা নিতে পারে, তাই আমি এটি সুপারিশ করব না, অন্তত ব্যবহারের ক্ষেত্রে এসএসএইচ সংযোগগুলি।
যদিও সুরক্ষা সমস্যাটি এই বিকল্পটির একমাত্র সুবিধা নয়, আমি অন্যদের সম্পর্কে ভাবতে পারি, যেমন প্রতিটি সার্ভারের সাথে আমরা সংযোগ করতে চাইছি তার জন্য একটি কনফিগারেশন ফাইল থাকা, তাই আমরা যতবার সংযোগ করতে চাইলে আমরা বিকল্পগুলি লেখা এড়াতে পারি একটি নির্দিষ্ট কনফিগারেশন সহ একটি সার্ভার এসএসএইচ।
আপনার বিভিন্ন কনফিগারেশন সহ বেশ কয়েকটি সার্ভার থাকলে -F বিকল্পটি ব্যবহার করা খুব কার্যকর হতে পারে। অন্যথায়, সমস্ত সেটিংস মনে রাখতে হবে, যা কার্যত অসম্ভব। সমাধানটি হ'ল প্রতিটি সার্ভারের প্রয়োজনীয়তা অনুসারে একটি কনফিগারেশন ফাইল প্রস্তুত করা, সেই সার্ভারগুলিতে সুবিধামত এবং অ্যাক্সেস নিশ্চিত করা।
এই লিঙ্কে http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config আপনি কীভাবে এসএসএইচ ক্লায়েন্ট কনফিগারেশন ফাইল সম্পাদনা করবেন তা জানতে পারেন।
মনে রাখবেন, এটি এসএসএইচ সুরক্ষিত করার জন্য আমরা যে কয়েকশ 'টি খুঁজে পেতে পারি তার মধ্যে আরও একটি টিপ, সুতরাং আপনি যদি সুরক্ষিত দূরবর্তী সংযোগ রাখতে চান তবে আপনাকে অবশ্যই ওপেনএসএইচ আমাদের যে সম্ভাবনা দেয় তা একত্রিত করতে হবে।
এই মুহুর্তে, আমি আশা করি এই তথ্যটি আপনার কিছুটা কাজে আসবে এবং পরের সপ্তাহে এসএসএইচ সুরক্ষা সম্পর্কে আরও একটি পোস্টের জন্য অপেক্ষা করবেন।
আগ্রহী অবদান রাখো?
কি? আমি মনে করি আপনি অন্য পোস্টে উল্লেখ করেছেন, কারণ আপনি কী উল্লেখ করেছেন তা আমি বুঝতে পারি না। এই পোস্টটি একটি কম্পিউটারের সাথে সংযোগ স্থাপনের সময় প্রয়োগ করার জন্য একটি ছোট্ট টিপ দেয়, এটির কোনও কনফিগারেশন পরিবর্তন করার বিষয়টি উল্লেখ করে না, বা যদি কেউ প্রবেশ করতে সক্ষম হয় তবে কোনও সমস্যার সমাধান করতে পারে না। ধারণাটি হ'ল কম্পিউটারের মধ্যে যোগাযোগ সুরক্ষিত করা, ডিফল্ট প্যারামিটারগুলি বাইপাস করে যেগুলি উপযুক্ত স্তরের সুরক্ষার প্রস্তাব না দেয়।
আক্রমণকে সীমাবদ্ধ করতে পোর্ট-নকিং আকর্ষণীয় (এটি তাদের পুরোপুরি প্রতিরোধ করে না, তবে এটি তার কাজটি করে), যদিও আমি এটি ব্যবহার করতে কিছুটা অস্বস্তি বোধ করি ... এটি হতে পারে যে এর সাথে আমার খুব বেশি অভিজ্ঞতা নাও থাকতে পারে।
অনেকগুলি প্রোগ্রাম রয়েছে যা আইপি দ্বারা অ্যাক্সেস ব্লক করতে লগগুলি স্ক্যান করে যখন ভুল লগিনগুলি সনাক্ত করা হয়।
সবচেয়ে নিরাপদ বিষয় হ'ল কী ফাইলগুলি ব্যবহার করে পাসওয়ার্ডহীন লগইন ব্যবহার করা।
গ্রিটিংস!
কি? আমি মনে করি আপনি অন্য পোস্টে উল্লেখ করেছেন, কারণ আপনি কী উল্লেখ করেছেন তা আমি বুঝতে পারি না। এই পোস্টটি একটি কম্পিউটারের সাথে সংযোগ স্থাপনের সময় প্রয়োগ করার জন্য একটি ছোট্ট টিপ দেয়, এটির কোনও কনফিগারেশন পরিবর্তন করার বিষয়টি উল্লেখ করে না, বা যদি কেউ প্রবেশ করতে সক্ষম হয় তবে কোনও সমস্যার সমাধান করতে পারে না। ধারণাটি হ'ল কম্পিউটারের মধ্যে যোগাযোগ সুরক্ষিত করা, ডিফল্ট প্যারামিটারগুলি বাইপাস করে যেগুলি উপযুক্ত স্তরের সুরক্ষার প্রস্তাব না দেয়।
আক্রমণকে সীমাবদ্ধ করতে পোর্ট-নকিং আকর্ষণীয় (এটি তাদের পুরোপুরি প্রতিরোধ করে না, তবে এটি তার কাজটি করে), যদিও আমি এটি ব্যবহার করতে কিছুটা অস্বস্তি বোধ করি ... এটি হতে পারে যে এর সাথে আমার খুব বেশি অভিজ্ঞতা নাও থাকতে পারে।
অনেকগুলি প্রোগ্রাম রয়েছে যা আইপি দ্বারা অ্যাক্সেস ব্লক করতে লগগুলি স্ক্যান করে যখন ভুল লগিনগুলি সনাক্ত করা হয়।
সবচেয়ে নিরাপদ বিষয় হ'ল কী ফাইলগুলি ব্যবহার করে পাসওয়ার্ডহীন লগইন ব্যবহার করা।
গ্রিটিংস!
এছাড়াও ssh ~ / .ssh / কনফিগারেশনে ডিফল্ট ব্যবহারকারী কনফিগারেশনটি সন্ধান করবে
ডেমনটি না কনফিগার করা থাকলে, তবে ডিফল্টরূপে এটি হয়।
-M বিকল্পের সাথে হ্যাশগুলির জন্য ব্যবহৃত অ্যালগরিদমটি বিবেচনায় নেওয়া গুরুত্বপূর্ণ; আমি সেরা সুরক্ষার প্রস্তাব দেয় এমন হওয়ার জন্য hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 সুপারিশ করি। সাবধানতা অবলম্বন করুন, কারণ ডিফল্টরূপে এটি MD5 ব্যবহার করে (বা sha1 আশা করি) !! সেই জিনিসগুলি কি বোঝা যাচ্ছে না…।
যাইহোক, একটি ভাল ধারণা এটি দিয়ে চালানো হবে:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C আইপি
-c এর সাহায্যে আপনি ব্যবহৃত এনক্রিপশন অ্যালগরিদম নির্দিষ্ট করেন, যেখানে সিটিআর (কাউন্টার মোড) সর্বাধিক প্রস্তাবিত (aes256-ctr এবং aes196-ctr), এবং যদি সিবিসি (সিফার-ব্লক চেইনিং) না হয়: aes256-cbc, aes192- সিবিসি, ব্লোফিশ-সিবিসি, কাস্ট 128-সিবিসি
গ্রিটিংস!
এছাড়াও ssh ~ / .ssh / কনফিগারেশনে ডিফল্ট ব্যবহারকারী কনফিগারেশনটি সন্ধান করবে
ডেমনটি না কনফিগার করা থাকলে, তবে ডিফল্টরূপে এটি হয়।
-M বিকল্পের সাথে হ্যাশগুলির জন্য ব্যবহৃত অ্যালগরিদমটি বিবেচনায় নেওয়া গুরুত্বপূর্ণ; আমি সেরা সুরক্ষার প্রস্তাব দেয় এমন হওয়ার জন্য hmac-sha2-512, hmac-sha2-256, hmac-ripemd160 সুপারিশ করি। সাবধানতা অবলম্বন করুন, কারণ ডিফল্টরূপে এটি MD5 ব্যবহার করে (বা sha1 আশা করি) !! সেই জিনিসগুলি কি বোঝা যাচ্ছে না…।
যাইহোক, একটি ভাল ধারণা এটি দিয়ে চালানো হবে:
ssh -p PORT -c aes256-ctr -m hmac-sha2-512 -C আইপি
-c এর সাহায্যে আপনি ব্যবহৃত এনক্রিপশন অ্যালগরিদম নির্দিষ্ট করেন, যেখানে সিটিআর (কাউন্টার মোড) সর্বাধিক প্রস্তাবিত (aes256-ctr এবং aes196-ctr), এবং যদি সিবিসি (সিফার-ব্লক চেইনিং) না হয়: aes256-cbc, aes192- সিবিসি, ব্লোফিশ-সিবিসি, কাস্ট 128-সিবিসি
গ্রিটিংস!
আমি যা চেয়েছিলাম তা হ'ল কেউই আমার পিসি অ্যাক্সেস করতে এবং এটি দূর থেকে নিয়ন্ত্রণ করতে পারে না
তারপরে আপনার কথায় আমি বুঝতে পারি যে আমি যদি বন্দরটি না খোলাম তবে অন্তত এইভাবে কোনও প্রবেশাধিকার নেই
উত্তর দেওয়ার জন্য মুরসি!
হ্যালো
আমি কিছু কৌশল অনুসরণ করেছি এবং আমার একটি প্রশ্ন আছে! বিকল্পগুলির মধ্যে থেকে আমিও পরিবর্তন করেছি
অপরটির জন্য বন্দরটি fromতিহ্যবাহী থেকে আলাদা। আমি যদি রাউটারে সেই বন্দরটি না খোলেন তবে তাদের পক্ষে আমার পিসির সাথে সংযোগ স্থাপন করা কি অসম্ভব? অথবা এটি অন্য কোনও বন্দরে পুনর্নির্দেশ করা হবে?
আমার কোনও দূরবর্তী সংযোগ তৈরি করার দরকার নেই তাই আমি বন্দরটি খুলতে বা এটিকে অবরুদ্ধ করে রেখে দিলে কী আরও কার্যকর হবে তা জানতে চেয়েছিলাম।
আমি উত্তর অপেক্ষা!
> সবচেয়ে নিরাপদ বিষয় হ'ল কী ফাইলগুলি ব্যবহার করে পাসওয়ার্ডহীন লগইন ব্যবহার করা।
আমি ঠিক যা বলতে চাইছিলাম ... বিভিন্ন কম্পিউটারে লগ ইন করার একমাত্র উপায় হ'ল একটি চাবি যা আপনার ঘাড়ে ঝুলন্ত পেনড্রাইভে রয়েছে with
আক্রমণকারী একটি পাসওয়ার্ড ক্র্যাক জোর করার চেষ্টা করে তার পুরো জীবন নষ্ট করতে পারে এবং কখনই বুঝতে পারে না যে তার পাসওয়ার্ড ছাড়া একটি এক্সডি ফাইলের প্রয়োজন নেই।
আমি সুরক্ষা এবং নেটওয়ার্কগুলিতে বিশেষজ্ঞ নই তবে পাসওয়ারলেস লগইন করে আপনার সুরক্ষা ব্যবস্থা লঙ্ঘন করার জন্য আপনার মাউন্ট করার মুহুর্তে আপনার পেনড্রাইভে সংরক্ষিত কীটি অনুলিপি করার জন্য কেবল একটি স্ক্রিপ্ট তৈরি করা যথেষ্ট, তাই কয়েক সেকেন্ডের মধ্যে আপনি সার্ভারের রিমোটে আপনার নিজস্ব কী দিয়ে অ্যাক্সেস পান (এবং অবশ্যই পাসওয়ার্ডের প্রয়োজন ছাড়াই), পাসওয়ার্ডহীন সমস্যা হ'ল এটি আপনাকে একটি ভুয়া সুরক্ষা বোধ করে, যেহেতু আপনি স্ক্রিপ্টের কয়েকটি লাইন দিয়ে দেখতে পাচ্ছেন আপনার রিমোট সার্ভারগুলির নিয়ন্ত্রণ নেওয়া খুব সহজ হবে। মনে রাখবেন যে কোনও আক্রমণকারী আপনার সুরক্ষা লঙ্ঘনের আরও ছোট উপায় থাকলে পাসওয়ার্ড ক্র্যাক করার চেষ্টা করা সময় বা সংস্থান নষ্ট করবে না। আমি আপনাকে সুপারিশ করি যে এসএসএইচ আপনাকে টিসিপি র্যাপার্সের মতো একটি ভাল ফায়ারওয়াল কনফিগার করার এবং যুক্ত করার অনুমতি দেয় এমন কমপক্ষে 20 টি বিকল্প ব্যবহার করুন এবং তারপরেও আপনার সার্ভারটি 100% সুরক্ষিত হবে না, সুরক্ষার ক্ষেত্রে সবচেয়ে খারাপ শত্রুটিকে বিশ্বাস করা হচ্ছে।
এটি আকর্ষণীয়, যদিও আমি আসল উপকারের বিষয়ে নিশ্চিত নই, যদিও কোনও আক্রমণকারী ইতিমধ্যে দলে যোগ দিয়েছিল তখন আমরা কিছুটা সমস্যা তৈরি করার বিষয়ে কথা বলছি এবং প্রশাসকদের আরও জটিলতা যুক্ত করছি।
সন্দেহজনক ক্রিয়াকলাপ, বা আক্রমণকারীর ক্রিয়াগুলিকে সীমাবদ্ধ করে এমন কিছু ধরণের স্যান্ডবক্স সম্পর্কে সতর্ক করতে (এবং পদক্ষেপ নেওয়া?) সতর্ক করার জন্য আমি আরও হানিপোট কৌশলটি দরকারী বলে মনে করি।
অথবা আমি অন্যান্য ধরণের কৌশলগুলির সন্ধান করব যা এন্ট্রি প্রতিরোধ করে, যেমন পোর্ট-নকিং।
এছাড়াও, এটি ভাগ করে নেওয়ার এবং বিতর্ক খোলার জন্য ধন্যবাদ।