د پورټ دستکول: غوره امنیت چې تاسو یې کولی شئ په خپل کمپیوټر یا سرور کې ولرئ (د ځای پرځای کولو + تشکیل)

اعتصابونه (په انګلیسي کې درشل ټکول) دا بې له شکه یو عمل دی چې موږ ټول چې سرورونه اداره کوو باید ښه پوه شي ، دلته زه په تفصیل سره تشریح کوم چې دا څه دی او د دې پلي کولو او تنظیم کولو څرنګوالی 😉

همدا اوس زموږ څخه څوک چې سرور اداره کوي پدې سرور کې SSH لاسرسی لري ، ځینې موږ د SSH ډیفالټ پورټ بدل کړو او دا نور 22 بندر نه کاروي او نور یې په ساده ډول ورته پریږدي (یو څه وړاندیز نه کیږي) ، په هرصورت سرور سرور د ځینې بندر له لارې SSH لاسرسی وړ کړی او دا دمخه زیان رسونکی دی.

con درشل ټکول موږ لاندې ترلاسه کولی شو:

1. د ایس ایس ایچ لاسرسی د هیڅ بندر لخوا ندی فعال شوی. که موږ د 9191 بندر لپاره SSH تنظیم کړی وي (د مثال په توګه) دا بندر (9191) به د هرچا لپاره وتړل شي.
2. که یو څوک غواړي چې د SSH لخوا سرور ته لاسرسی ولري ، په څرګنده توګه ، دوی به ونشي کولی ، ځکه چې د 9191 پورټ بند دی ... مګر ، که موږ یو جادو یا پټه ترکیب وکاروو ، نو بندر به پرانیستل شي ، د مثال په توګه:

1. زه د سرور 7000 بندر ته ټیلنټ
2. زه د سرور 8000 بندر لپاره بل ټیلنټ ترسره کوم
3. زه د سرور 9000 بندر ته بل ټیلنټ ترسره کوم
4. سرور کشف کوي چې یو څوک پټ ترکیب رامینځته کړی (پدې ترتیب کې ټچ بندرونه 7000 ، 8000 او 9000) او د 9191 پورټ به خلاص کړي نو د ننوتلو غوښتنه د SSH لخوا کیږي (دا به دا یوازې د هغه IP لپاره خلاص کړي چې مرکب یې جوړ کړی و اطمینان وړ).
5. اوس د SSH بندولو لپاره زه یوازې د 3500 پورټ ته ټیلنټ
6. زه به د 4500 بندر ته بل ټیلنټ وکړم
7. او په نهایت کې د 5500 بندر ته بل ټیلنټ
8. د دې بل پټ ترکیب ترسره کول چې سرور کشف کوي نو 9191 بندر به بیا وتړي.

په بل عبارت ، دا نور هم په ساده ډول تشریح کول ...

con درشل ټکول زموږ سرور ممکن ځینې بندیزونه وتړي ، مګر کله چې سرور له هغې څخه کشف کړي X IP د درست بندر ترکیب جوړ شوی و (تشکیلات مخکې په ترتیب دوتنه کې ټاکل شوي) به ځانته یو څه قومانده اجرا کړي.کمانډ په شکل دوتنه کې هم ټاکل شوي).

ایا دا نه پوهیږي؟ 🙂

د پورټ ناکینګ لپاره ډیمون څنګه نصب کړئ؟

زه دا د کڅوړې سره کوم کاکډ، کوم چې موږ ته به د پلي کولو او تنظیم کولو خورا خورا خورا ساده او ګړندي لاره کې اجازه راکړي درشل ټکول.

کڅوړه نصب کړئ: knockd

د دستک سره د پورټ ناکینګ تنظیم کولو څرنګوالی؟

یوځل نصب شو موږ د دې تنظیم کولو ته ځو ، د دې لپاره موږ فایل (د ریښی په توګه) ترمیم کوو /etc/knockd.conf:

nano /etc/knockd.conf

لکه څنګه چې تاسو پدې فایل کې لیدلی شئ دمخه دمخه ډیفالټ ترتیب شتون لري:

 د ډیفالټ ترتیبات تشریح کول واقعیا اسانه دي.

- لومړی، کارول پدې معنی چې د فعالیت ثبت کول (لوګ) موږ به وکاروو / var / log / syslog.
- دوهم ، په برخه کې [openSSH] دا چیرې چې په ښکاره ډول د SSH خلاصولو لارښوونې پرمخ ځي ، لومړی موږ د بندرونو ترتیب لرو (د پټو ترکیب) چې د ډیفالټ لخوا ترتیب شوی (د بندر 7000 ، پورټ 8000 او په پای کې د پورټ 9000). په ښکاره ډول بندرونه بدل کیدی شي (په حقیقت کې زه وړاندیز کوم) په ورته توګه دوی 3 نه وي ، دوی کولی شي ډیر یا لږ وي ، دا تاسو پورې اړه لري.
- دریم، seq_timeout = 5 معنی د هغه وخت لپاره چې د پټې بندر د ترکیب ترکیب لپاره انتظار و ایستل شي. په ډیفالټ ډول دا 5 ثانیو ته تنظیم شوی ، پدې معنی چې یوځل چې موږ د بندر دستګیر په لاره اچولو پیل وکړو (دا دی ، کله چې موږ 7000 پورټ ته ټیلنټ کوو) موږ د درست ترتیب پای ته رسولو لپاره اعظمي حد کې 5 ثانیې لرو ، که 5 ثانیې تېرې شوې وي او موږ بشپړه کړې نه وي. د بندر دستکول نو دا به په ساده ډول داسې وي چې دا ترتیب غیرقانوني و.
- څلورم، د قوماندې دا ډیر وضاحت ته اړتیا نلري. دا به په ساده ډول هغه قومانده وي چې سرور به یې اجرا کړي کله چې دا پورته تعریف شوي ترکیب کشف کړي. هغه کمانډ چې د ډیفالټ په واسطه تنظیم شوی وي څه چې دا کوي د خلاص بندر 22 دی (دا پورټ ستاسو د SSH یو لپاره بدل کړئ) یوازې IP ته چې د بندرونو سم ترکیب رامینځته کړی.
- پنځم، tcpflags = syn د دې کرښې سره موږ د پاکټونو ډول مشخص کوو چې سرور به د ټوټې کولو بندر لپاره د اعتبار په توګه وپیژني.

بیا د SSH وتړلو لپاره برخه شتون لري ، چې د ډیفالټ ترتیب د پورته بندرونو ورته ترتیب څخه پرته بل څه ندي مګر په مخالف ترتیب کې.

دلته د یو څه تعدیلاتو سره ترتیب دی:

 د ګوټ ګوټ ډیمون څنګه پیل کړئ؟

د دې د پیل لپاره موږ باید لومړی فایل ترمیم کړو (د ریښې په توګه) / etc / default / knockd:

nano /etc/default/knockd

هلته موږ د 12 شمیره لاین بدل کوو چې وايي: «START_KNOCKD = 0»او دا 0 ته 1 ته بدل کړئ ، موږ به لرو:«START_KNOCKD = 1«

یوځل چې دا اوس ترسره شي نو موږ دا په ساده ډول پیل کوو:

service knockd start

او voila ، دا تنظیم شوی او کار کوي.

پورټ د ټټ وهلو سره چلول او روان!

لکه څنګه چې تاسو کولی شئ په تیرو ترتیباتو کې وګورئ ، که د پورټ دستګ د 1000 پورټ لپاره رامینځته شوی وي ، نو بیا 2000 ته او په پای کې تر 3000 پورې نو بیا 2222 پورټ (زما SSH) به خلاص شي ، دلته به یو بل کمپیوټر اجرایوي پورټ دستک وي:

یوځل چې زه په [نه] په نهم نمبر ، د نمبر 1 او په آخر کې د نمبر 2 باندې فشار ورکړئ ، نو بندر به یې خلاص شي ، دلته یې ونوست:

لکه څنګه چې تاسو لیدلی شئ ، کله چې د 1000 دستګاه ماتول ، مرحله 1 راجستر شوی و ، نو په 2000 کې به دا مرحله 2 وي او په پای کې به د 3 سره 3000 وي ، کله چې دا کار کوي ، هغه قومانده چې ما په .conf کې اعلان کړې اجرا شوې او همداسې ده. .

بیا د بندر د بندولو لپاره دا به یوازې د 9000 ، 8000 او په پای کې 7000 ټکول وي ، دلته ننوتل دي:

او ښه دلته د کارولو توضیحات پای ته رسیږي 😀

لکه څنګه چې تاسو لیدلی شئ ، پورټ ناکینګ واقعیا په زړه پورې او ګټور دی ، ځکه چې که څه هم موږ نه غواړو د بندرونو له ټاکلو ترکیب وروسته بندر خلاص کړو ، هغه قومانده یا حکم چې سرور به یې اجرا کوي ممکن توپیر ولري ، دا دی ... پرځای. د بندرګاه پرانيستل موږ کولی شو د پروسې د وژلو اعلان وکړو ، د اپاچ یا میس کیو ایل په څیر یو خدمت ودروو ، نور ... حد ستاسو تصور دی.

د پورټ ناکینګ یوازې هغه وخت کار کوي کله چې تاسو فزیکي سرور ولرئ یا کله چې مجازی سرور KVM ټیکنالوژي وي. که ستاسو VPS (مجازی سرور) OpenVZ وي نو د پورټ دستکول زه فکر نه کوم چې دا ستاسو لپاره کار کوي ځکه چې تاسو نشئ کولی په مستقیم ډول iptables مینځپانګه کړئ

ښه او تر دې دمه مقاله ... زه تر دې دمه پدې مسله کې ماهر نه یم مګر ما غوښتل چې دا په زړه پورې پروسه تاسو سره شریکه کړم.

سلامونه 😀


د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

27 نظرونه ، خپل پریږدئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي. اړین برخو سره په نښه شوي دي *

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.

  1.   ایرونوموجز dijo

    عالي مقاله ، دا خورا په زړه پورې ده او زه نه پوهیږم چې دا شتون لري ... دا به غوره وي که تاسو د سیسادمین نوي زیږون لپاره مقالې وساتئ او دا چې 😀

    سلامونه او مننه ^ _ ^

    1.    KZKG ^ ګارا dijo

      د نظر لپاره مننه.
      هو ... دا هغه څه دي چې د فیکو په DNS کې مقالو سره ، زه نه غواړم د LOL شاته پاتې شم !!!

      په جدي ډول هیڅ نه. څو میاشتې دمخه ما د پورټ ناکینګ په اړه یو څه واوریدل او سمدلاسه یې زما پام ځان ته واړاوه ، مګر له هغه وخته چې ما فکر کاوه دا خورا پیچلي وي په هغه وخت کې چې ما پریکړه نه وه کړې چې دننه لاړ شم ، یوازې پرون ما د ریپو څخه ځینې کڅوړې بیاکتنه وکړه چې وموندله او. پریکړه یې وکړه چې دا هڅه وکړئ ، او دلته ټیوټوریل دی.

      ما تل د تخنیکي مقالو لیکل خوښ کړي ، ځینې ممکن په زړه پوري نه وي مګر ... زه امید لرم چې نور یې are وي

      مننه!

    2.    ماریو dijo

      سلام ، زه پوهیږم چې دا مقاله د یو څه وخت لپاره وه مګر زه خپله پوښتنه لیږم ترڅو وګورم چې څوک کولی شي دا زما لپاره حل کړي.
      حقیقت دا دی چې ما د خپل رسبري لپاره د بندر دستک پلي کړی چې د امنیت ښه کولو هڅه یې وکړم کله چې زه له ځایي شبکې څخه بهر وصل کیږم. د دې کار کولو لپاره زه باید 7000-9990 روټر ته د بندرونو سلسله خلاصه کړم چې ماشین ته یې لارښود. ایا دا خوندي دي چې دا روټونه د دې بندرونو خلاص کړي یا ، برعکس ، کله چې د لا ډیر امنیت درلودو هڅه کیږي ، ایا زه مخالف کار کوم؟

      سلامونه او مننه

  2.   eVeR dijo

    ښه ، زه د کلونو لپاره یو سیستمین یم او هغه یې نه پیژنم.
    یوه پوښتنه ... تاسو څنګه "ټوپونه" کوئ؟
    ایا تاسو د دې بندرونو پروړاندې تبلیغ کوئ؟ ټیلنټ تاسو ته څه ځواب درکوي؟ یا دلته د ځینې "دستک" څپې قوماندې شتون لري؟
    عالي عالي مقاله ده. په زړه پوری. ډیره مننه

    1.    KZKG ^ ګارا dijo

      ما د ټیلنټ سره ازموینه وکړه او هرڅه یې په حیرانتیا سره کار وکړ ... مګر ، په جنجالي ډول د 'ټک' قوماندې شتون لري ، یو سړی ټکوي نو تاسو کولی شئ وګورئ 😉

      ټیلنټ واقعیا ماته ځواب نه رسوي ، د DROP پالیسي سره ایپيټابیلونه دا هیڅکله ځواب نه ورکوي او ټیلنټ هلته د یو څه ځواب لپاره انتظار کوي (کوم چې به هیڅکله ونه رسیږي) ، مګر ګوته ډیممون به ګوته وپیژني که څه هم هیڅ ځواب ورنکړي. دا 😀

      ستاسو د نظر لپاره ډیره مننه ، دا د خوښۍ ځای دی چې پوهیږم چې زما مقالې لاهم ^ _ ^ خوښوي

  3.   st0rmt4il dijo

    په خوښیو کې اضافه شوي! : ډي!

    Gracias!

    1.    KZKG ^ ګارا dijo

      مننه 😀

  4.   ډانټر dijo

    اه امنیت ، دا خوندور احساس کله چې موږ کمپیوټر د پلمې لپاره خوندي کوو ، او بیا ورځې / اونۍ وروسته له یو څه لرې ځای څخه د نښلولو هڅه کوو موږ نشو ترلاسه کولی ځکه چې د اور ډزو د "هیڅ چا لپاره" حالت کې ندي ، دې ته بهر بهر پاتې کېدل ویل کیږي قلعه د سیسادمینونو په اصطلاح کې. 😉

    له همدې امله دا پوسټ خورا ګټور دی ، د ټوټک سره تاسو کولی شئ له هرځای څخه لاسرسی ومومئ چې کولی شي ستاسو سیمه ایز شبکې ته پاکټ ولیږي ، او برید کونکي علاقه له لاسه ورکوي کله چې دوی ګوري چې د بندر بندر تړل شوی ، زه فکر نه کوم چې دوی به ټک وکړي د بندر د پرانيستلو لپاره ځانی ځواک.

  5.   مانویل dijo

    ای ، مقاله عالي ده.

    یو شی: ایا دا د ځایی شبکې څخه بهر وصل کیدو لپاره خدمت کوي؟

    زه دا وایم ځکه چې زه د بندرونو تړل شوي ماین سره روټر لرم هغه یو چې د ssh سره مطابقت لري چې سرور ته لارښود شوی.

    زه تصور کوم چې د دې لپاره چې د دې لپاره د ځایی شبکې څخه کار واخیستل شي ، نو دا به اړینه وي چې د راورټر بندرونه د پورټ نوکینګ سره خلاص وي او دا سرور ته هم اړوي.

    م ...

    زه نه پوهیږم د دې کولو لپاره څومره خوندي دی.

    ته څه فکر کوی؟

    1.    KZKG ^ ګارا dijo

      زه ډیر ډاډه نه یم ، ما ازموینه نه ده کړې مګر زه فکر کوم چې هو ، تاسو باید په راوټر کې بندرونه پرانیزئ که نه نو تاسو نشئ کولی چې سرور وټکوی.

      ازموینه په روټر کې د بندرونو له پرانیستلو پرته ترسره کړئ ، که دا ستاسو لپاره کار ونکړي دا د شرم خبره ده ، ځکه چې زه له تاسو سره موافق یم ، نو دا مشوره نه ده چې دا بندونه په راورټر کې خلاص کړئ.

      1.    مانویل dijo

        په حقیقت کې ، موږ باید بندرګاه خلاص کړو او هغه کمپیوټر ته یې واړوو چې موږ تلیفون کوو.

        رحم.

  6.   ربابا 08 dijo

    ډیره مننه! زه یوازې د شبکې زده کړې پیل کوم او دا درسونه زما لپاره عالي دي! د پوهې د شریکولو لپاره د وخت اخیستلو لپاره مننه

    1.    KZKG ^ ګارا dijo

      ما د نړیوال لینکس ټولنې سره د کلونو په اوږدو کې ډیر څه زده کړل ... د څو کلونو لپاره ما غوښتل چې هم برخه واخلم ، له همدې امله زه لیکم write

  7.   جانس 981 dijo

    له تاسو څخه ډیره مننه ، تاسو نه پوهیږئ چې دا څنګه ما سره مرسته کوي ، زه د سرور ترتیب کولو په اړه یم او دا زما لپاره لوی روان دی.

    مننه!

    1.    KZKG ^ ګارا dijo

      دا هغه څه دي چې موږ یې لپاره یو ، د مرستې لپاره 😉

  8.   ژان وینټورا dijo

    غوره مقاله! زه پدې اړه هیڅ معلومات نلرم او دا زما سره ډیره مرسته کوي (زه د ریک سپیس کاروم چې KVM کاروم ، نو دا زما لپاره د دستکشې په څیر مناسب دی!). په غوره کې اضافه شوی.

    1.    KZKG ^ ګارا dijo

      د تبصره کولو لپاره مننه 🙂

  9.   الګابې dijo

    لکه څنګه چې تل له لاریونکس موږ سره د غوره لارښوونو سره عالي پوسټ راوړي چې واقعیا یې په عمل کې ګټور دي ، د شریکولو لپاره مننه! 🙂

    1.    KZKG ^ ګارا dijo

      ستاسو د نظر مننه 🙂
      هو ، موږ تل هڅه کوو چې د پوهې لپاره هغه تنده پوره کړو چې زموږ لوستونکي یې لري 😀

  10.   ټمبلک dijo

    په زړه پوری ، زه په اختیار نه پوهیږم.
    مستقیم زما د چاپ کتابتون کې غوړ کولو ته لاړشئ.
    Gracias!

    1.    KZKG ^ ګارا dijo

      زما لپاره خوشحاله 😀
      مننه!

  11.   فریډریک. د. ویلډز توجګ dijo

    سلامونه KZKG ^ ګارا !!! تاسو وخندل. د سرورونو خوندي کولو لپاره ستره مقاله. هیڅ @٪ * & ^ نظر نشته چې داسې شی شتون لري. زه به یې هڅه وکړم. مننه

  12.   سپین ږیری dijo

    دا عالي دی…. ^ - ^

  13.   زده کړه dijo

    سلام ، تاسو کولی شئ تشریح کړئ چې دا په سینټوس 5.x کې څنګه نصب کړئ؟

    ما RPM ډاونلوډ کړی دی:
    http://pkgs.repoforge.org/knock/knock-0.5-3.el5.rf.x86_64.rpm

    لګول شوی:
    rpm -i knock-0.5-3.el5.rf.x86_64.rpm

    د 15 ثانیو وختونو او بندرونو سره د ترتیب کولو فایل تنظیم کړئ چې زه یې زما vps ته د ssh لخوا د نښلولو لپاره کاروم

    شیطان پیل کیږي:
    / usr / sbin / کڅوړه او

    زه ټیلنټ او هیڅ شی بندر نه بندوي ، د ډیفالټ په واسطه بندر خلاص دی ، مګر دا نږدې ندی.

    ایا زه کوم غلط کار کوم؟

  14.   هولا dijo

    ایم ایم ایم ، دې بندرونو ته د ټیل نینټ غوښتنې کولی شي زموږ د محلي شبکې د ادارې لخوا اداره شي ، یا زموږ د خدماتو چمتو کونکي لخوا ، نه؟ دا به بهرني وګړي منع کړي مګر دوی نه ، نو که دوی غواړي زموږ بندر فعال کړي دوی دا کولی شي ځکه چې وګورئ غوښتنې چې موږ یې کوو ، ملی ایم ایم راځئ چې ووایو چې دا ساتي مګر 100 not نه

    1.    رابرتو dijo

      دا کیدی شي ، مګر زه فکر نه کوم چې دوی به تصور وکړي چې ځانګړي ټیلنټ د X عمل ترسره کوي. غیر لدې چې دوی ګوري چې ورته ټیلنیټ نمونې تعقیب شوي.

  15.   پابلو آنډریس ډیاز ارمبورو dijo

    په زړه پوری مقاله ، زه یوه پوښتنه لرم. زه فکر کوم د ترتیب کولو فایل په عکس کې ستونزه شتون لري ، ځکه چې که تاسو ښه تحلیل وکړئ ، نو د قوماندې په دواړو کرښو کې تاسو په Iptables کې ACCEPT کاروئ. زه فکر کوم یو باید ACCEPT وي او بل باید رد شي.

    نور نو ، عالي نوښت. نورو ته د خپلې پوهې تشریح کولو لپاره د وخت اخیستلو لپاره ډیره مننه.

    مننه!