अपने घर के सर्वर को बाहरी हमलों से बचाएं।

@Jlcmux

5 मिनट

आज, मैं आपको कुछ सुझाव दूंगा कि कैसे अधिक सुरक्षित होम सर्वर (या थोड़ा बड़ा) हो। लेकिन इससे पहले कि वे मुझे जिंदा फाड़ देते।

पूरी तरह सुरक्षित नहीं है

इस अच्छी तरह से परिभाषित आरक्षण के साथ, मैं जारी हूं।

मैं भागों से जा रहा हूँ और मैं प्रत्येक प्रक्रिया को बहुत सावधानी से समझाने वाला नहीं हूँ। मैं केवल इसका उल्लेख करूंगा या किसी एक चीज को स्पष्ट करूंगा, इसलिए वे Google को स्पष्ट विचार के साथ जा सकते हैं कि वे क्या खोज रहे हैं।

स्थापना से पहले और उसके दौरान

  • यह अत्यधिक अनुशंसित है कि सर्वर को यथासंभव "न्यूनतम" के रूप में स्थापित किया जाए। इस तरह हम सेवाओं को चलने से रोकते हैं जो हमें पता भी नहीं है कि वे क्या हैं, या वे किस लिए हैं। यह सुनिश्चित करता है कि सभी सेटअप अपने आप चलता है।
  • यह अनुशंसा की जाती है कि सर्वर का उपयोग रोजमर्रा के कार्य केंद्र के रूप में न किया जाए। (जिसके साथ आप यह पोस्ट पढ़ रहे हैं। उदाहरण के लिए)
  • मुझे उम्मीद है कि सर्वर में ग्राफिकल वातावरण नहीं है

विभाजन।

  • यह अनुशंसा की जाती है कि उपयोगकर्ता द्वारा उपयोग किए जाने वाले फ़ोल्डर जैसे "/ होम /" / "tmp /" "/ var / tmp /" "/ opt /" को सिस्टम एक से अलग विभाजन में सौंपा जाए।
  • महत्वपूर्ण फ़ोल्डर जैसे "/ var / log" (जहां सभी सिस्टम लॉग संग्रहीत हैं) को एक अलग विभाजन पर रखा जाता है।
  • अब, सर्वर के प्रकार पर निर्भर करता है, उदाहरण के लिए यदि यह एक मेल सर्वर है। फ़ोल्डर "/var/mail और / या /var/spool/mail»एक अलग विभाजन होना चाहिए।

कुंजिका।

यह किसी के लिए कोई रहस्य नहीं है कि सिस्टम उपयोगकर्ताओं और / या अन्य प्रकार की सेवाओं का पासवर्ड जो उनका उपयोग करते हैं, सुरक्षित होना चाहिए।

सिफारिशें हैं:

  • जिसमें शामिल नहीं है: आपका नाम, आपके पालतू जानवर का नाम, रिश्तेदारों का नाम, विशेष तिथियां, स्थान आदि। निष्कर्ष के तौर पर। पासवर्ड में आपसे संबंधित कुछ भी नहीं होना चाहिए, या कुछ भी जो आपको या आपके दैनिक जीवन को घेरे हुए है, और न ही यह खाते से संबंधित कुछ भी होना चाहिए।  उदाहरण: ट्विटर # 123।
  • पासवर्ड को मापदंडों का भी पालन करना चाहिए जैसे: अपरकेस, लोअरकेस, संख्या और विशेष वर्ण को मिलाएं।  उदाहरण: DiAFsd · $ 354 $

सिस्टम स्थापित करने के बाद

  • यह कुछ व्यक्तिगत है। लेकिन मुझे ROOT उपयोगकर्ता को हटाना और किसी अन्य उपयोगकर्ता को सभी विशेषाधिकार निर्दिष्ट करना पसंद है, इसलिए मैं उस उपयोगकर्ता के हमलों से बचता हूं। बहुत आम हो रहा है।
/ Etc / sudoers फ़ाइल को संपादित किया जाना चाहिए। वहां हम उस उपयोगकर्ता को जोड़ते हैं जिसे हम ROOT बनना चाहते हैं और फिर हम अपने पुराने Super User (ROOT) को हटा देते हैं
  • यह एक मेलिंग सूची की सदस्यता के लिए बहुत व्यावहारिक है जहां वे आपके द्वारा उपयोग किए जाने वाले वितरण के सुरक्षा कीड़े की घोषणा करते हैं। ब्लॉग के अलावा, बुगज़िला या अन्य उदाहरण जो आपको संभावित बग की चेतावनी दे सकते हैं।
  • हमेशा की तरह, सिस्टम के निरंतर अद्यतन के साथ-साथ इसके घटकों की भी सिफारिश की जाती है।
  • कुछ लोग सलाह देते हैं कि ग्रब या LILO और हमारे BIOS को पासवर्ड से सुरक्षित करें।
  • "चेज" जैसे उपकरण हैं जो उपयोगकर्ताओं को हर बार अपना पासवर्ड बदलने के लिए मजबूर करने की अनुमति देते हैं, न्यूनतम समय के अलावा उन्हें ऐसा करने के लिए इंतजार करना होगा और अन्य विकल्प।

हमारे पीसी को सुरक्षित करने के कई तरीके हैं। उपरोक्त सभी एक सेवा स्थापित करने से पहले थे। और बस कुछ बातों का उल्लेख करें।

काफी व्यापक मैनुअल हैं जो पढ़ने लायक हैं। संभावनाओं के इस विशाल समुद्र के बारे में जानने के लिए .. समय के साथ आप एक चीज या दूसरी सीख लेते हैं। और आपको एहसास होगा कि यह हमेशा गायब है .. हमेशा ...

अब थोड़ा और सुनिश्चित करते हैं सेवाएँ मेरी पहली सिफारिश हमेशा है: «प्रभावी सम्मेलनों के लिए नहीं है»। हमेशा सेवा कॉन्फ़िगरेशन फ़ाइल पर जाएं, प्रत्येक पैरामीटर के बारे में थोड़ा पढ़ें और इसे स्थापित करने के रूप में न छोड़ें। यह हमेशा इसके साथ समस्याएं लाता है।

तथापि:

SSH (/ etc / ssh / sshd_config)

एसएसएच में हम कई काम कर सकते हैं ताकि उल्लंघन करना इतना आसान न हो।

उदाहरण के लिए:

- रूट लॉगिन की अनुमति न दें (यदि आपने इसे नहीं बदला है तो):

"PermitRootLogin no"

-पासवर्ड को खाली न रहने दें।

"PermitEmptyPasswords no"

जहां यह सुनता है बंदरगाह को बदल दें।

"Port 666oListenAddress 192.168.0.1:666"

-कुछ यूजर्स को ही अधिकृत करें।

"AllowUsers alex ref me@somewhere"   मुझे @ कहीं भी उस उपयोगकर्ता को हमेशा एक ही आईपी से कनेक्ट करने के लिए मजबूर करना है।

विशिष्ट समूहों को सुरक्षित रखें।

"AllowGroups wheel admin"

युक्तियाँ।

  • यह काफी सुरक्षित है और चेरोट के माध्यम से ssh उपयोगकर्ताओं को पिंजरे में रखना भी अनिवार्य है।
  • आप फाइल ट्रांसफर को डिसेबल भी कर सकते हैं।
  • विफल लॉगिन प्रयासों की संख्या को सीमित करें।

लगभग आवश्यक उपकरण।

Fail2ban: यह उपकरण जो रेपो में है, हमें कई प्रकार की सेवाओं "एफ़टीपी, एसएचएस, अपाचे ... आदि" तक पहुँचने की संख्या को सीमित करने की अनुमति देता है, आईपी पर प्रतिबंध लगाता है जो प्रयासों की सीमा से अधिक है।

कठोर: वे ऐसे उपकरण हैं जो हमें फायरवॉल और / या अन्य उदाहरणों के साथ "इंस्टॉलेशन" करने की अनुमति देते हैं। उनमें से "कठोर बनाना और बैस्टिल लिनक्स«

घुसपैठिया डिटेक्टर: कई NIDS, HIDS और अन्य उपकरण हैं जो हमें लॉग और अलर्ट के माध्यम से हमलों से खुद को रोकने और बचाने की अनुमति देते हैं। कई अन्य साधनों के बीच। मौजूद "OSSEC«

निष्कर्ष के तौर पर। यह एक सुरक्षा मैनुअल नहीं था, बल्कि वे एक काफी सुरक्षित सर्वर रखने के लिए मदों की एक श्रृंखला थी।

व्यक्तिगत सलाह के रूप में। लॉग्स को देखने और विश्लेषण करने के तरीके के बारे में बहुत कुछ पढ़ें, और आइए कुछ Iptables nerds बनें। इसके अलावा, सर्वर पर जितना अधिक सॉफ्टवेयर इंस्टॉल किया जाता है, उतना ही कमजोर हो जाता है, उदाहरण के लिए एक सीएमएस को अच्छी तरह से प्रबंधित किया जाना चाहिए, इसे अपडेट करना और हम किस तरह के प्लगइन्स जोड़ते हैं, इस पर एक अच्छा नज़र रखना।

बाद में मैं कुछ विशिष्ट कैसे सुनिश्चित करने के बारे में एक पोस्ट भेजना चाहता हूं। अगर मैं अधिक जानकारी दे सकता हूं और अभ्यास कर सकता हूं।


अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।

  1.   एलिनक्स कहा
    पूर्व 11 साल

    पसंदीदा में सहेजा गया!

    नमस्ते!

    इलिंक्स को उत्तर दें
  2.   इवान बर्रा कहा
    पूर्व 11 साल

    उत्कृष्ट टिप्स, पिछले साल, मैंने कई महत्वपूर्ण सुरक्षा और निगरानी प्रणालियों में एक "महत्वपूर्ण राष्ट्रीय एयरलाइन" स्थापित किया और मुझे यह जानकर आश्चर्य हुआ कि उपकरणों में कई मिलियन डॉलर के दसियों (SUN Solaris, Red Hat, VM WARE, Windows) के बावजूद सर्वर, ओरेकल डीबी, आदि), नाडा सुरक्षा।

    मैंने Nagios, Nagvis, Centreon PNP4Nagios, Nessus और OSSEC का उपयोग किया, रूट पासवर्ड सार्वजनिक ज्ञान था, ठीक है, एक साल में सभी को साफ किया गया था, जो कि बहुत सारा पैसा कमाने के लायक था, लेकिन इस प्रकार के अनुभव का एक बहुत कुछ भी था चीज़। यह उन सभी को ध्यान में रखने के लिए कभी भी दर्द नहीं करता है जो आपने अभी-अभी समझाया है।

    नमस्ते.

    इवान बर्रा को जवाब दें
  3.   ब्लेयर पास्कल कहा
    पूर्व 11 साल

    अच्छा लगा। मेरे पसंदीदा के लिए प्रत्यक्ष।

    ब्लेयर पास्कल को उत्तर दें
  4.   guzman6001 कहा
    पूर्व 11 साल

    शानदार लेख ... <३

    उत्तर के लिए guzman6001
  5.   जुआन इग्नेसियो कहा
    पूर्व 11 साल

    चे, अगली बार आप यह बताना जारी रख सकते हैं कि ओसेक या अन्य साधनों का उपयोग कैसे करें! बहुत अच्छा पोस्ट! कृपया और ज्यादा!

    जुआन इग्नासियो को उत्तर दें
    1.    इवान बर्रा कहा
      पूर्व 11 साल

      फरवरी में, मेरी छुट्टी के लिए, मैं एक Nagios पोस्ट और निगरानी उपकरणों के साथ सहयोग करना चाहता हूं।

      नमस्ते.

      इवान बर्रा को जवाब दें
  6.   कोरत्सुकी कहा
    पूर्व 11 साल

    अच्छा लेख, मैंने अपने पीसी की मरम्मत करने की योजना बनाई थी ताकि एक अधिक व्यापक टिलिन लिखा जा सके, लेकिन आप मुझसे आगे निकल गए। अच्छा योगदान!

    कोरत्सुकी का जवाब
  7.   आर्टुरो मोलिना कहा
    पूर्व 11 साल

    मैं घुसपैठ करने वालों के लिए समर्पित एक पोस्ट भी देखना चाहूंगा। इस तरह मैं इसे पसंदीदा में जोड़ता हूं।

    आर्टुरो मोलिना का जवाब