সুরক্ষিতভাবে একটি ব্যক্তিগত ডেবিয়ান সংগ্রহস্থলে অ্যাক্সেসকে সীমাবদ্ধ করুন

9

আমি একটি ব্যক্তিগত ডেবিয়ান সংগ্রহস্থলের অ্যাক্সেসকে সীমাবদ্ধ করার জন্য এবং এটির সাথে ইন্টারঅ্যাক্টিভভাবে প্রমাণীকরণ করতে সক্ষম হওয়ার জন্য একটি পদ্ধতি খুঁজছিলাম (যেমন কোনও স্ক্রিপ্ট ব্যবহার করে)

আমি সবচেয়ে দরকারী নিবন্ধটি খুঁজে পেয়েছি যদি বাস্তবে ডেবিয়ান প্রশাসনের সাইট থেকে পাওয়া যায় তবে সুরক্ষিত পদ্ধতিতে ssh এবং পাবলিক / প্রাইভেট কীগুলি ব্যবহার করা হয়। এটি দুর্দান্ত কাজ করে তবে প্রতিটি হোস্টের সার্বজনীন কী সফলভাবে প্রমাণীকরণের জন্য দূরবর্তী অনুমোদিত_কিজি ফাইলের মধ্যে থাকা দরকার। এটি ssh: // এ পাসওয়ার্ড দেওয়ার বিষয়ে কিছুই বলে না তবে আমি মনে করি এটি সম্ভব হওয়া উচিত।

আপনি অন্যান্য বিকল্প চেষ্টা করেছেন (উদাহরণস্বরূপ ftps)?

আগাম ধন্যবাদ

— Humber,
সূত্র

উপরের নিবন্ধটিতে আমার যে সমস্যাটি রয়েছে তা হ'ল এটি কেবল এপিটি সংগ্রহস্থল অ্যাক্সেস দেয় না - এটি আমার এপিটি সংগ্রহস্থল মেশিনে শেল অ্যাক্সেস দেয়। এটি অগ্রহণযোগ্য ঝুঁকি।

— ববডুলিটল

5

আপনি যদি সর্বদা apt-getহাত দিয়ে আপনার সার্ভারগুলিতে চালান ( apt-getক্রন দ্বারা চালিত কোনও স্বয়ংক্রিয় কমান্ড নেই ), তবে আপনি ssh এজেন্ট ফরওয়ার্ডিং ব্যবহার বিবেচনা করতে পারেন । এটি আপনার পরিচালিত সার্ভারের জন্য একটি পাবলিক / প্রাইভেট কী-কেয়ার পরিচালনা করা এড়ানো যায় এবং এটি প্রতিটি সার্ভারে ব্যক্তিগত কীগুলি রেখে যাওয়ার চেয়ে সম্ভবত নিরাপদ।

প্রাথমিক কনফিগারেশন - আপনি যে সার্ভারগুলি পরিচালনা করতে চান তার সাথে সংযুক্ত হন এবং এর মতো কিছু যুক্ত করুন /etc/apt/sources.list(উদাহরণস্বরূপ ধরে নেওয়া হয় আপনি আপনার সার্ভারগুলিকে managerঅ্যাকাউন্টে সংযুক্ত করতে চান ):

    deb ssh://manager@my.repository.org/path other stuff

আপনার নিজের কম্পিউটারে ব্যক্তিগত / পাবলিক কীগুলির একটি জুড়ি তৈরি করুন, johndoeউদাহরণস্বরূপ (আপনার কম্পিউটারটি ডেবিয়ানে চালিত হয়: যদি তা না হয় তবে আপনি এটি ডেবিয়ান সার্ভার থেকে পরিচালনায় উত্সর্গ করতে পারেন):
```
ssh-keygen
```
এটি একটি শক্তিশালী কীফ্রেস দ্বারা সুরক্ষিত আছে তা নিশ্চিত করুন
আপনার পাবলিক কীটি সংগ্রহস্থল সার্ভারে অনুলিপি করুন /home/manager/.ssh/authorized_keys:
```
ssh-copy-id manager@my.repository.org
```

একবার পরিচালনা অধিবেশন

টাইপ করে আপনার মেশিনে ssh এজেন্ট শুরু করুন:
```
eval `ssh-agent`
```
এজেন্টে আপনার কী যুক্ত করুন (এটিতে আপনার পাসফ্রেজের প্রয়োজন হবে):
```
ssh-add
```

একটি সার্ভার পরিচালনা করা হচ্ছে

আপনি যে সার্ভারটি ব্যবহার করে পরিচালনা করতে চান তার সাথে সংযুক্ত হন ssh -A( -Aএজেন্ট ফরওয়ার্ডিং সক্রিয় করে ):
```
ssh -A some.server.org
```
রুটে স্যুইচ করুন (আপনি যদি ব্যবহার করতে চান তবে আপনাকে sudoকনফিগার /etc/sudoersকরতে sudoহবে বা অন্যথায় এজেন্ট ফরোয়ার্ডিং ভেঙে ফেলবে, এটি পড়ুন ):
```
su
```
এজেন্ট ফরোয়ার্ডিংয়ের জন্য আপনাকে আবার আপনার পাসওয়ার্ড টাইপ না করেই ssh ব্যবহার করে সংগ্রহস্থলের পরিচালক অ্যাকাউন্টে সংযোগ করতে সক্ষম হওয়া উচিত। সুতরাং, apt-getঠিক কাজ করা উচিত:
```
apt-get udate
```

আপনার পরিচালনা অধিবেশন শেষ

আপনি একবার আপনার সার্ভার পরিচালনা করা শেষ করে, এজেন্ট থেকে আপনার কীগুলি সরান:
```
ssh-add -D
```

সুবিধাদি

খুব বেশি প্রাথমিক কনফিগারেশন প্রয়োজন হয় না
কেবলমাত্র একটি ব্যক্তিগত কী প্রয়োজন
ব্যক্তিগত কী একটি শক্তিশালী পাসফ্রেজ দ্বারা সুরক্ষিত
যদি কেউ আপনার সার্ভারের কোনওটিতে রুট অ্যাক্সেস অর্জন করে তবে তাদের আপনার সংগ্রহস্থল সার্ভারে তাত্ক্ষণিকভাবে অ্যাক্সেস পাবেন না।
- মনে রাখবেন যে হ্যাকার যদি ধৈর্যশীল এবং যোগ্য হন তবে আপনি এজেন্ট-ফরওয়ার্ডিং ব্যবহার করে সার্ভারের সাথে সংযোগ স্থাপন না করা পর্যন্ত তিনি অপেক্ষা করতে পারেন এবং আপনার সংগ্রহস্থল সার্ভারটিতে অ্যাক্সেস পাওয়ার জন্য তিনি ফরোয়ার্ডিং পদ্ধতিটি হাইজ্যাক করতে পারেন।
- এটি রোধ করতে সহায়তা করতে, আপনি ssh-askআপনার কী ব্যবহারের প্রতিটি প্রয়াস গ্রহণ / প্রত্যাখ্যান করতে ব্যবহার করতে পারেন।
- যাই হোক, হ্যাকার হবে না ব্যক্তিগত কী নিজেই অ্যাক্সেস লাভ: তিনি শুধু অর্ডার করার জন্য ফরওয়ার্ডিং প্রক্রিয়া হাইজ্যাক করতে সক্ষম হবে ব্যবহার চাবি, এবং শুধুমাত্র সময় আপনি সার্ভারের সাথে সংযুক্ত।

— MiniQuark
সূত্র

ধন্যবাদ আবার মিনিকিয়ার্ক। প্রকৃতপক্ষে, আপডেটগুলি অযৌক্তিক, তবে এটি একটি দুর্দান্ত পদ্ধতি যা আমি পরীক্ষার উদ্দেশ্যে আবেদন করতে পারি।

— হাম্বার

আমার আনন্দ! :) খুশী যদি এটি সাহায্য করে।

— MiniQuark

4

এটি করার একটি উপায় হ'ল কেবলমাত্র একটি নির্দিষ্ট আইপি-র সংগ্রহস্থল অ্যাক্সেস করার অনুমতি দেওয়া। এটি ল্যান এবং ভিপিএন এর জন্য খুব ভাল কাজ করে।

সহজ এবং দক্ষ।

— আন্টোইন বেনকামাউন
সূত্র

1

ধন্যবাদ আন্তোইন :)। আসলে, আমার কাছে এখন যে সংগ্রহস্থল রয়েছে তা সেই পদ্ধতিটি ব্যবহার করে (একটি ওপেনভিপিএন সংযোগের উপরে HTTP) ব্যবহারযোগ্য। আমি ভিপিএনভুক্ত আইপিগুলিকে সীমাবদ্ধ করি। এখানে অপূর্ণতাটি হ'ল প্রতিটি হোস্টকে রেপো অ্যাক্সেস করার জন্য ভিপিএন এর সাথে সংযুক্ত হওয়া দরকার, এতে কিছুটা বিরক্তিকর হয় (বেশ কয়েকটি শংসাপত্র / কীগুলি পরিচালনা করুন)। প্রশ্নে তা উল্লেখ না করার জন্য দুঃখিত।

— হাম্বার

সত্য, এটি ওপেনভিপিএন পরিচালনা করা বিরক্তিকর তবে এটি আপনার সংগ্রহস্থলের সুরক্ষা পরিচালনা করা খুব সহজ করে তোলে। এছাড়াও, ব্যবহারকারীদের একবার ভিপিএন এর ভিতরে শংসাপত্র নিয়ে বিরক্ত করতে হবে না।

— এন্টোইন বেনেকমুন

2

SSH + + পাবলিক / প্রাইভেট চাবি সমাধান নয় যে খারাপ:

ক্লায়েন্ট মেশিনে রুট হিসাবে লগইন করুন
টাইপ ssh-keygen, তারপরssh-copy-id your_login@your.repository.org
সম্পাদনা করুন /etc/apt/sources.listএবং এর মতো কিছু যুক্ত করুন:
```
deb ssh://your_login@your.repository.org/path other stuff
```

মঞ্জুর, এটিতে আপনার প্রতিটি সার্ভারের পাবলিক কীটি সার্ভারের ~/.ssh/authorized_keysফাইলে রাখা দরকার, তবে এটি এত জটিল নয় (উপরে দেখুন) এবং এটি আপনাকে কোনও সময় কোনও সার্ভারকে অনুমতি দেয় বা না দেয় তার উপর নিয়ন্ত্রণ দেয় (আপনি কোনও কী মুছে ফেলতে পারেন যে কোনও সময় authorized_keys)।

— MiniQuark
সূত্র

ধন্যবাদ MiniQuark। হ্যাঁ, এই সমাধানটি তেমন খারাপ নয়, তবে ওপেনশ সার্ভারে পাসওয়ার্ড প্রমাণীকরণ অক্ষম করা থাকলে ssh-copy-id কাজ করে না। আমি ভেবেছিলাম প্রতিটি ক্লায়েন্টের কাছে একই কী ফাইলটি ব্যবহার করতে সক্ষম হওয়ার জন্য সংগ্রহস্থলটি ব্যবহার করে। আরও সুরক্ষার জন্য, ন্যূনতম অনুমতি সহ ব্যবহারকারী ব্যবহার করা হবে। এটি শংসাপত্রগুলি ভাগ করার প্রায় একই almost আমি বর্তমানে কীভাবে আচরণ / কাজ করে তা পরীক্ষা করার জন্য এই পদ্ধতিটি পরীক্ষা করছি।

— হাম্বার

1

আপনি লগইন / পাসওয়ার্ড (প্রাথমিক প্রমাণীকরণ) দ্বারা সুরক্ষিত আপনার সংগ্রহস্থলটিতে কোনও https অ্যাক্সেস সেটআপ করতে পারেন। সমস্যাটি হ'ল আপনার ক্লিয়ারটেক্সট লগইন / পাসওয়ার্ডটি প্রবেশ করতে হবে /etc/apt/sources.list(দ্রষ্টব্য: লগইন / পাসওয়ার্ডের পরিবর্তে প্রবেশের অনুমতি দেওয়ার জন্য একটি প্যাচ রয়েছে/root/.netrc )।

— MiniQuark
সূত্র

এটি সম্ভবত সেরা সমাধান, এটি নেটআরসিও নয় তবে /etc/apt/auth.conf। দস্তাবেজগুলি এখানে: manpages.debian.org/testing/apt/apt_auth.conf.5.en.html

— নিকোলি

0

আপনার প্রশ্নের লিঙ্কটি একাধিক পদ্ধতি দেখায়। আপনি 2 নম্বর, https + বেসিক প্রমাণীকরণ চান।

— জাস্টিন
সূত্র

ধন্যবাদ জাস্টিন আমি মনে করি যে অ্যাপ্লিকেশন সহ https পরিবহণ কেবল তখনই কাজ করে যদি অ্যাপ্ট-ট্রান্সপোর্ট-https ইনস্টল থাকে। এটি একটি আকর্ষণীয় বিকল্প। একমাত্র ত্রুটিটি সোর্স.লিস্টের শংসাপত্রগুলি

— হাম্বার

chmod 600 /etc/apt/sources.list

— জাস্টিন