বন্য অঞ্চলে প্রচুর পরিমাণে রাস্পবেরি পিস এবং এগুলির বৃহত গোষ্ঠীগুলি একটিরূপে কনফিগার করা হয়েছে (যখন একটি নতুন-ফ্ল্যাশড এসডি কার্ড কয়েকটি উপলব্ধ চিত্রগুলির মধ্যে একটিতে ইনস্টল করা হয়), তারা সম্ভবত তাদের জন্য লোভনীয় লক্ষ্য হতে পারে বোটনেটস সহ ম্যালওয়্যার

এটি প্রশমিত করার জন্য কী করা যেতে পারে?

এটি যুক্তিসঙ্গতভাবে সুপরিচিত যে "পাই" ব্যবহারকারীর (ডেবিয়ান) এবং "মূল" (আর্চ।) এর পাসওয়ার্ড পরিবর্তন করা উচিত তবে অন্যান্য সিস্টেম অ্যাকাউন্টগুলির (যেমন "tli", "pnd"?) তাদের কোনওটির কী আছে? সর্বজনীন পাসওয়ার্ড যা সম্ভবত সমস্ত ইউনিটের জন্য একই?

এবং পাই এর জন্য উপলব্ধ এসডি চিত্রগুলিতে ইনস্টল করা অন্যান্য প্যাকেজগুলিতে এমন কোনও দুর্বলতা রয়েছে কি (উদাহরণস্বরূপ হার্ডওয়্যার সীমাবদ্ধতার কারণে বা packages প্যাকেজগুলির কাটা ডাউন সংস্করণ?)

বিশেষত আমি sshমাইএসকিএল এবং অন্য কোনও পরিষেবাদি সম্পর্কে উদ্বিগ্ন যা একটি নতুন ইনস্টল করা চিত্রটিতে চলছে।

স্টক ডেবিয়ান স্কুইজ চিত্র সম্পর্কে এখন অবধি যে বিষয়গুলি আমি লক্ষ্য করেছি:

• / ইত্যাদি / ছায়ায় পাই অ্যাকাউন্ট (বিল্ডবোট ইত্যাদি) নয় এমন অ্যাকাউন্টগুলির জন্য প্রচুর পাসওয়ার্ড হ্যাশ রয়েছে। পাই অ্যাকাউন্টে পাসওয়ার্ডটি পরিবর্তন করুন, স্বাভাবিকভাবেই, আপনি যদি ইতিমধ্যে নিজের নিজের জন্য (বা একটি নতুন ব্যবহারকারী অ্যাকাউন্ট তৈরি করে এবং পাই অ্যাকাউন্টটি মুছে না থাকেন) তবে অন্যান্য এন্ট্রিগুলি সম্পাদনা করে এবং হ্যাশগুলি * s এর সাথে প্রতিস্থাপন করুন। নোট / ইত্যাদি / পাসডাব্লুতে পাই অ্যাকাউন্টের জন্য সদৃশ এন্ট্রি রয়েছে যা অ্যাডুসার / বিভক্তকারীকে নষ্ট করে দেয়, কেবল একটি মুছুন।

• ডিফল্ট ssh ডিমন কনফিগারেশন দূরবর্তী রুট লগইন অনুমতি দেয়। এটি অক্ষম করা উচিত।

• সংযোগগুলির জন্য শোনার জিনিসগুলির সেটটি পরীক্ষা করতে নেটস্পট ব্যবহারের মূল্য; একটি সাধারণ ন্যূনতম ডেবিয়ান নেটস্ট্রিস্টের সাথে তুলনা করে অবাক করা পরিমাণে জিনিস চলছে। সাধারণভাবে একটি ভাল ধারণা মাত্র জিনিস আপনি মরেছে কমাতে এর প্রয়োজন , তাই প্রথম পারেন অক্ষম বা বন্ধ ফায়ারওয়াল সবকিছু হয় তাহলে, শুধুমাত্র সেবা আপনি ইচ্ছাকৃতভাবে পাবলিক ইন্টারনেটে দৃশ্যমান চান (সাধারণত মাত্র SSH অথবা ssh + + HTTP) এক্সপোজ।

• আপনি ইমেজটিতে থাকাগুলি ব্যবহার না করে ssh হোস্ট কীগুলি পরিবর্তন করতে চান (এআইআইআইআই সর্বশেষ চিত্রটি তাদের প্রথম বুটে পুনরায় জেনারেট করে)

দুর্বলতাগুলি সমাধান করার জন্য অনেকগুলি উপায় রয়েছে, তবে আপনার প্রথমে জানা উচিত লিনাক্স অন্যান্য অপারেটিং সিস্টেমগুলির মতো অনুপ্রবেশের পক্ষে খুব বেশি সংবেদনশীল নয়। এটি মূলত ম্যালওয়ারের অভাবের কারণে যা * এনআইএক্সকে লক্ষ্য করে। তবুও, আপনি যে পদ্ধতিতে আপনার সিস্টেম অ্যাক্সেস করতে পারবেন সে সম্পর্কে সচেতন হতে চান want

পাসওয়ার্ড

প্রথমত আপনার যে কোনও ব্যবহারকারীর জন্য লগইন করতে সক্ষম তাদের ডিফল্ট পাসওয়ার্ডগুলি পরিবর্তন করা উচিত। ডেবিয়ানের জন্য এটি কেবলমাত্র ডিফল্ট ব্যবহারকারী পাই । আর্চ লিনাক্সের জন্য এটি সুপার ব্যবহারকারী রুট । passwdকমান্ড লাইনে টাইপ করে ব্যবহারকারী হিসাবে লগ ইন করার সময় পাসওয়ার্ডগুলি পরিবর্তন করা হয়।

একটি সুরক্ষিত পাসওয়ার্ড নীতি উত্সাহিত করা হয়েছে, কারণ এটি আপনার ডিফল্ট ব্যবহারকারীর উপর বর্বর বলের অভিধান আক্রমণ চালানো মোটামুটি সহজ। একটি শালীন, মাঝারি দৈর্ঘ্যের পাসওয়ার্ড চয়ন করুন।

দুর্বোধ্যতা

দূরবর্তী অ্যাক্সেস সম্ভবত সর্বাধিক গুরুত্বপূর্ণ সুরক্ষা গর্ত। আমরা এখানে যা ব্যবহার করতে পারি তার নাম সুরক্ষা দেওয়া অস্পষ্ট । আক্রমণের একটি সাধারণ পদ্ধতি হ'ল খোলা বন্দরের জন্য আইপি অ্যাড্রেসগুলির একটি ব্যাপ্তি স্ক্যান করা। সুতরাং আমরা নিতে পারি সবচেয়ে সহজ কাউন্টারমেজারগুলির মধ্যে একটি হ'ল এমন একটি ব্যবহারকারী যিনি ডিফল্ট পোর্টগুলি ব্যবহার করেন না ।

এখানে যা করা দরকার তা হ'ল সাধারণভাবে ব্যবহৃত প্রোটোকলগুলির জন্য ডিফল্ট পোর্টগুলি পরিবর্তন করা। উদাহরণস্বরূপ, ডিফল্ট এসএসএইচ পোর্টটি 22 এবং এফটিপি 21 হয় my

সংযোগ সুরক্ষা

প্রথমত, সর্বাধিক গুরুত্বপূর্ণ সুরক্ষা উদ্বেগ হ'ল মূল অ্যাকাউন্টটি এসএসএইচের মাধ্যমে লগ ইন করতে সক্ষম হওয়া উচিত নয় । আপনি /etc/ssh/sshd_configএই লাইনটি মন্তব্য করে বা মুছে ফেলাতে রুট লগইনটি অক্ষম করতে পারেন :

PermitRootLogin yes

এটি ডিফল্ট হিসাবে সেট করা উচিত, তবে এটি নিশ্চিত করা ভাল।

আপনি যদি এসএসএইচ ব্যবহার করেন, এবং মাঝারি আক্রমণে, আপনার পাসওয়ার্ডের বিরুদ্ধে অভিধান আক্রমণে মানুষ সম্পর্কে উদ্বিগ্ন থাকেন তবে আপনি ব্যবহার করতে পারেন SSH Keys।

পাসওয়ার্ড প্রমাণীকরণের চেয়ে কী-ভিত্তিক প্রমাণীকরণের বেশ কয়েকটি সুবিধা রয়েছে, উদাহরণস্বরূপ মূল মানগুলি সরল পাসওয়ার্ডের তুলনায় জোর করা শক্তভাবে কার্যকর difficult

এসএসএইচ কী প্রমাণীকরণ সেট আপ করতে আপনার প্রথমে কী জোড় তৈরি করতে হবে। এটি আপনার ক্লায়েন্ট মেশিনে (মেশিন যার সাহায্যে আপনি পাই অ্যাক্সেস করতে চান) খুব সহজেই সম্পন্ন হয়।

# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/pi/.ssh/id_rsa):

Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/pi/.ssh/id_rsa.
Your public key has been saved in /home/pi/.ssh/id_rsa.pub.

আপনি দেখতে পাচ্ছেন, এটি ব্যক্তিগত ফাইল id_rsaএবং সর্বজনীন কী দুটি ফাইল তৈরি করেছে id_rsa.pub।

ব্যক্তিগত কীটি কেবল আপনার কাছেই পরিচিত এবং এটি নিরাপদে রক্ষা করা উচিত । বিপরীতে, পাবলিক কী আপনি যে কোনও এসএসএইচ সার্ভারের সাথে সংযোগ করতে চান তার সাথে অবাধে ভাগ করা যায় be

সুতরাং আমরা যা করতে চাই তা হল পাবলিক কীটি রাস্পবেরি পাইতে অনুলিপি করা । আমরা এটি খুব সহজেই করতে পারি:

ssh-copy-id pi@address

কোথায় piরাস্পবেরী Pi ব্যবহারকারীর নাম, এবং addressPi এর আইপি ঠিকানা।

আমি পুনরাবৃত্তি করব, আমরা পাবলিক কী বিতরণ করব । প্রাইভেট কী আপনার। কীটি ছেড়ে দেওয়ার জন্য এটিতে শক্তভাবে ধরে থাকুন যাতে সিস্টেমের সুরক্ষা ভঙ্গ হয়।

আর্চ উইকি কিভাবে এই কাজ করে উপর একটি চমৎকার বিবরণ রয়েছে:

যখন কোনও এসএসএইচ সার্ভারের ফাইলটিতে আপনার সর্বজনীন কী থাকে এবং আপনি কোনও সংযোগের জন্য অনুরোধ করতে দেখেন, এটি আপনাকে একটি চ্যালেঞ্জ তৈরি এবং প্রেরণ করতে আপনার সর্বজনীন কী ব্যবহার করে। এই চ্যালেঞ্জটি কোডেড বার্তার মতো এবং সার্ভার আপনাকে অ্যাক্সেস দেওয়ার আগে এটি অবশ্যই যথাযথ প্রতিক্রিয়ার সাথে মিলিত হতে হবে। এই কোডেড বার্তাটি কী বিশেষত সুরক্ষিত করে তা হ'ল এটি কেবল ব্যক্তিগত কী সহ যে কেউ বুঝতে পারে। বার্তাটি এনক্রিপ্ট করতে সর্বজনীন কী ব্যবহার করা যেতে পারে, তবে এটি একই বার্তাটি ডিক্রিপ্ট করতে ব্যবহার করা যায় না। কেবলমাত্র আপনি, ব্যক্তিগত কী এর ধারক, চ্যালেঞ্জটি সঠিকভাবে বুঝতে এবং সঠিক প্রতিক্রিয়া তৈরি করতে সক্ষম হবেন।

পাবলিক কী প্রমাণীকরণের সুরক্ষা সম্পর্কিত আরও তথ্যের জন্য, উইকিপিডিয়ায় একটি সম্পূর্ণ ব্যাখ্যা রয়েছে ।

এসএসএইচ সুরক্ষার জায়গায় আপনি একটি অজানা পরিমাণ এনক্রিপ্টড, সুরক্ষিত ডেটা স্থানান্তর করতে পারেন। ব্যবহারিকভাবে প্রয়োজনে অন্য প্রতিটি বন্দর সংযোগ এসএসএইচের মাধ্যমে রুট করা যেতে পারে। আপনি এসএসএইচের মাধ্যমে এক্স সেশনটি ফরোয়ার্ড করতে পারেন যাতে এটি অন্য কোনও মেশিনে প্রদর্শিত হয়।

একটি আকর্ষণীয় উদাহরণ হিসাবে, গতকাল আমি আমার ডেস্কটপে একলিপস চালাচ্ছিলাম, এটি আমার রাস্পবেরি পাইতে দেখছিলাম এবং আমার নেটবুক থেকে মাউস এবং কীবোর্ডটি নিয়ন্ত্রণ করছি। এসএসএইচ এর শক্তি।

অনুমতিসমূহ

ফাইল অনুমতিগুলি লিনাক্স সুরক্ষা সিস্টেমের ক্রুक्स। আপনার ফাইলগুলি এবং ফোল্ডারগুলি কারা দেখতে পারে তা তারা প্রভাবিত করে এবং আপনার ডেটা সুরক্ষায় খুব গুরুত্বপূর্ণ হতে পারে। উদাহরণস্বরূপ, সাধারণ ব্যবহারকারী হিসাবে রাস্পবেরি পাইতে লগ ইন করুন এবং রান করুন:

cat /etc/shadow

shadowফাইল সিস্টেম ব্যবহারকারীদের জন্য এনক্রিপ্ট করা পাসওয়ার্ড রয়েছে, তাই আমরা কটাক্ষপাত করা যে কেউ সম্পর্কে শুধু চাই চাই! সুতরাং আপনার এই প্রতিক্রিয়াটি দেখতে হবে:

cat: /etc/shadow: Permission denied

ফাইলের অনুমতিগুলি একবার দেখে আপনি এটি দেখতে পাচ্ছেন:

ls -l /etc/shadow
-rw------- 1 root root 821 Jun 11 22:13 /etc/shadow

এটি আমাদের জানায় যে ফাইলটি মূলের মালিকানাধীন, এবং কেবলমাত্র মালিকের পঠন / লেখার অনুমতি রয়েছে। আসুন যে আউটপুট ভেঙে দিন।

-rw-------

এটি অনুমতিগুলির অবস্থা। প্রথম বিট আমাদের ফাইলের ধরণ ( -নিয়মিত ফাইলের অর্থ) বলে। পরবর্তী তিনটি বিট ফাইলের মালিকের কাছে উপলব্ধ ক্রিয়াগুলি উপস্থাপন করে । দ্বিতীয় তিনটি বিট গ্রুপটি উপস্থাপন করে এবং চূড়ান্ত তিনটি অন্য বা অন্য সবার জন্য । সুতরাং সম্পূর্ণ অনুমতি সহ একটি ডিরেক্টরি এটি দেখতে হবে:

drwxrwxrwx  10 root root   280 Jun 20 11:40 tmp/

এটি মালিক, গোষ্ঠী এবং অন্য প্রত্যেকের জন্য অনুমতি পড়ুন, লিখুন এবং সম্পাদন করুন।

পরের গুরুত্বপূর্ণ অংশটি হল দুটি নাম। আমাদের ক্ষেত্রে root root। প্রথম ব্যবহারকারী ফাইলটির মালিক । দ্বিতীয় ইউজারগ্রুপ । উদাহরণস্বরূপ এটি দেখতে সাধারণ হবে:

drwxr-xr-x  10 pi users   280 Jun 20 11:40 home/pi

এটি piতার নিজের ডিরেক্টরিতে ব্যবহারকারীর জন্য পড়া / লেখার অ্যাক্সেস এবং অন্যান্য সমস্ত ব্যবহারকারীর জন্য পঠনের অ্যাক্সেসের অনুমতি দেবে would

অনুমতিগুলি প্রায়শই অষ্টাল মানগুলি ব্যবহার করে উল্লেখ করা হয় এবং নিয়ন্ত্রিত হয়। উদাহরণস্বরূপ, আমরা কেবলমাত্র মালিকের জন্য rw সেট করতে চাইলে আমরা টাইপ করব:

chmod 600 /path/to/file

লিনাক্স ফাইল অনুমতি সম্পর্কে আরও তথ্যের জন্য এটি একটি প্রাথমিক ধারণা, এখানে একটি ভাল নিবন্ধ good

ফাইল এবং ফোল্ডারগুলি সুরক্ষিত করার সময় এই বোঝাপড়াটি গুরুত্বপূর্ণ। উদাহরণস্বরূপ, বলুন আমরা সবেমাত্র এসএসএইচ কীগুলি সেট আপ করেছি। আমরা অবশ্যই আমাদের ~/.sshডিরেক্টরিতে অন্য কোনও ব্যবহারকারীর দেখতে চাই না বা তারা আমাদের ব্যক্তিগত কী নিতে সক্ষম হবে। এইভাবে আমরা তাদের পড়ার সুযোগগুলি সরিয়ে ফেলি:

chmod 700 ~/.ssh
ls -la ~/.ssh 
drwx------   2 james users  4096 Jun 18 03:05 .

আমি আশা করি এটি লিনাক্স সুরক্ষিত করার সাথে আপনার কিছু উদ্বেগ সরিয়ে দেবে। এটি থেকে আপনি দেখতে সক্ষম হবেন যে এটি একটি দুর্দান্ত সুরক্ষিত সিস্টেম এবং আপনি যদি সতর্ক হন তবে আপনার কোনও সুরক্ষা সমস্যা নেই।

ব্রুটফোর্স আক্রমণ প্রতিরোধ করতে, আপনি ইনস্টল এবং কনফিগার করতে পারেন fail2ban। এটি লগ ফাইলগুলি পার্স করবে (যেমন /var/log/auth.log) এবং বেশ কয়েকটি লগইন প্রচেষ্টা ব্যর্থ হয়েছে কিনা তা সনাক্ত করার চেষ্টা করবে। তারপরে, এটি স্বয়ংক্রিয়ভাবে সোর্স আইপি ঠিকানাগুলি নিষিদ্ধ করবে iptables।

ইন্টারনেটের চারপাশে একগুচ্ছ হাওটো রয়েছে।