ডেবিয়ান সার্ভারটি সুরক্ষিত করতে আপনি কী পদক্ষেপ গ্রহণ করেন? [বন্ধ]

66

আমি একটি ডেবিয়ান সার্ভার ইনস্টল করছি যা সরাসরি ইন্টারনেটের সাথে যুক্ত। অবশ্যই আমি এটি যথাসম্ভব সুরক্ষিত করতে চাই। আমি আপনাকে বলছি / গালগুলি এটির সুরক্ষার জন্য আপনার ধারণাগুলি যুক্ত করুন এবং আপনি এটির জন্য কোন প্রোগ্রাম ব্যবহার করেন।

ফায়ারওয়াল হিসাবে আপনি কী ব্যবহার করেন তা কভার করার জন্য আমি এই প্রশ্নের একটি অংশ চাই কেবল আইপটিবলগুলি ম্যানুয়ালি কনফিগার করা হয়েছে বা আপনাকে সহায়তা করার জন্য আপনি কোনও ধরণের সফ্টওয়্যার ব্যবহার করেন? সবচেয়ে ভাল উপায় কি? সমস্ত কিছু অবরুদ্ধ করুন এবং কেবল যা প্রয়োজন তার অনুমতি দিন? এই বিষয়টির নতুনদের জন্য কি ভাল টিউটোরিয়াল থাকতে পারে?

আপনি কি আপনার এসএসএইচ বন্দরটি পরিবর্তন করেন? ব্রুটফোর্স আক্রমণ প্রতিরোধ করতে আপনি কি Fail2Ban এর মতো সফটওয়্যার ব্যবহার করেন ?

linux  security  debian  firewall 
পিটার মর্টেনসেন
সূত্র
1
জিজ্ঞাসা
1
উবুন্টু ইউবিডব্লিউ ডেবিয়ান দেয় না;) আমি লোকেরা সেগুলি নিজেই কনফিগার করে বা ফায়ার হোলের মতো কোনও সফটওয়্যার ব্যবহার করছিল কিনা তা আমি ক্ষতবিক্ষত করেছিলাম
টমাসাচাফ
আমি সর্বদা নিজেকে iptables নিয়ম লেখার প্রবণতা রেখেছি। আমার কাছে একটি বয়লার প্লেট রয়েছে যা সমস্ত টুকরোগুলি, ক্রিসমাস প্যাকেট ইত্যাদির মতো করে দেয় that এর বাইরে যে কোনও কিছুই সিস্টেম নির্দিষ্ট, এবং সাধারণত সুন্দর ডাং ছোট। আমি iptables, btw ব্যবহার করার সময় টুকরো টুকরো টুকরো টানতে পারি না। কিছু কারণে আমি এখনও গবেষণা করি নি, iptables কেবল প্রথম খণ্ডটি পরীক্ষা করে, এবং অন্ধভাবে পরীক্ষা না করেই বাকিগুলি পাস করে। আমার মনে, এটি টুকরো টিকে দায়বদ্ধ করে তোলে।
স্কট প্যাক
3
উহম ... দেবিয়ান উফডব্লিউ করেছে packages.debian.org/ufw
womble

উত্তর:

50

বাধ্যতামূলক:

  • বিশেষজ্ঞ মোড সহ সিস্টেমের ইনস্টলেশন, কেবলমাত্র আমার প্রয়োজন প্যাকেজগুলি
  • iptables'input এ ডিফল্ট নীতি সহ হস্ত লিখিত ফায়ারওয়াল: ড্রপ, এসএসএইচ, এইচটিটিপি বা অন্য যে কোনও দেওয়া সার্ভারের অ্যাক্সেসের অনুমতি দেওয়া হচ্ছে
  • এসএসএইচের জন্য ফেলাইল 2 [এবং কখনও কখনও এফটিপি / এইচটিটিপি / অন্যান্য - প্রসঙ্গে নির্ভর করে]
  • রুট লগইনগুলি অক্ষম করুন, সাধারণ ব্যবহারকারী এবং সুডো ব্যবহার করে বল প্রয়োগ করুন
  • কাস্টম কার্নেল [শুধু পুরানো অভ্যাস]
  • তফসিল সিস্টেম আপগ্রেড

অতিরিক্তভাবে প্যারানিয়া স্তরের উপর নির্ভর করে:

  • কয়েকটি অনুমোদিত গন্তব্য / পোর্ট ছাড়া আউটপুট নেওয়ার নীতি ছেড়ে দিন
  • integritফাইল সিস্টেম ওয়্যারের কিছু অংশ [যন্ত্রের বাইরে রাখা চেকসাম সহ] সংশোধন করা হয়নি কিনা তা পরীক্ষা করার জন্য, উদাহরণস্বরূপ ট্রিপওয়ায়ার
  • কমপক্ষে বাইরে থেকে সিস্টেমের এনএম্যাপের সাহায্যে নির্ধারিত স্ক্যান
  • অজানা নিদর্শনগুলির জন্য স্বয়ংক্রিয় লগ চেকিং [তবে এটি বেশিরভাগ ক্ষেত্রে হার্ডওয়্যার ত্রুটি বা কিছু ছোট ক্রাশ সনাক্তকরণ]
  • চক্রোতকিতের নির্ধারিত রান
  • /etc/passwdনতুন ব্যবহারকারীদের যুক্ত করার জন্য অবিচ্ছেদ্য বৈশিষ্ট্যটি আরও কিছুটা কঠিন
  • / tmp noexec দিয়ে মাউন্ট করা হয়েছে
  • পোর্ট নকআর বা এসএসএইচ পোর্টগুলি খোলার অন্যান্য অ-মানক উপায় [যেমন ওয়েব সার্ভারে 'সিক্রেট' ওয়েব পৃষ্ঠাগুলি দেখা পৃষ্ঠাটি দেখে এমন একটি আইপি ঠিকানা থেকে সীমিত সময়ের জন্য আগত এসএসএইচ সংযোগের অনুমতি দেয়। আপনি যদি সংযুক্ত হয়ে থাকেন, -m state --satete ESTABLISHEDততক্ষণ আপনি যখন কোনও একক এসএসএইচ সেশন ব্যবহার করেন ততক্ষণ প্যাকেট প্রবাহের অনুমতি দেওয়ার জন্য যত্ন নিন]

যে জিনিসগুলি আমি নিজে করি না তা বোঝার জন্য:

  • কার্নেলের জন্য গ্রসিকিউরিটি
  • রিমোট সিসলগ তাই সিস্টেম আপস হয়ে গেলে লগগুলি ওভাররাইট করা যায় না
  • কোনও এসএসএইচ লগইন সম্পর্কে সতর্কতা
  • rkhunter কনফিগার করুন এবং সময় সময় এটি চালানোর জন্য সেট আপ
পিকিউ
সূত্র
4
সিস্টেমের বিরুদ্ধে এই সমস্ত চালিত BASTILLE করার পরে আর কিছু দেখার জন্য। আমি একটি সম্পূর্ণ বোর করারও পরামর্শ দিচ্ছি, পাশাপাশি সিস্টেমের নেসাস স্ক্যানও পরীক্ষা করে নিচ্ছি; তারপরে যা কিছু সতর্ক করে তা ঠিক করুন।
স্কট প্যাক 21
13
একটি কাস্টম কার্নেল সংকলন আপনি কী করছেন তা যদি না জেনে থাকে তবে সুরক্ষা সুবিধা সরবরাহ করে না। আপনি এটি প্যাকেজ ম্যানেজমেন্ট সিস্টেমের মধ্যে না রাখলে এটিকে আপ টু ডেট রাখার ক্ষেত্রেও অবহেলা করবেন, যার ফলে নিরাপত্তার অবনতি ঘটবে।
অ্যাডাম গিবিন্স 21
3
অস্পষ্টতার মাধ্যমে সুরক্ষার জন্য -১। অন্যথায় শালীন উত্তর।
dwc
@ অ্যাডাম - হ্যাঁ, আমি এটি জানি, তবুও আমি মনোলিথিক কার্নেল পছন্দ করি যা কেবলমাত্র আমার প্রয়োজনীয় অংশগুলিতে থাকে। এটি সম্ভবত খুব পিছিয়ে, তবে আমি এটি করছি do @ ডাব্লুসি - এটি কেবলমাত্র একটি অতিরিক্ত পদক্ষেপ যা কেবল একটি আইসিং বা আমরা যেমন অপ্রীতিকর দুর্গন্ধযুক্ত জিনিসের স্তূপের উপরে চেরি বলি।
pQd
1
এবং আপনার অর্থ sudo নয় -
ল্যাপটপ 6006
18

আপনার মেশিনটি ফায়ারওয়াল করার জন্য একটি নোট ...

  • একটি শ্বেতলিস্ট ব্যবহার করুন, কালো তালিকাভুক্ত নয় - অর্থাত্ সমস্ত কিছু অবরুদ্ধ করুন এবং আপনার যা প্রয়োজন তা কেবল মঞ্জুরি দিন, সমস্ত কিছু অস্বীকার করুন।
  • জিইউআই / এনসিউস বা অন্যথায় এমন কোনও সফ্টওয়্যার ব্যবহার করবেন না যা আপনার জন্য ফায়ারওয়াল লেখার কাজটি করার চেষ্টা করে। যদি আপনি তা করেন তবে আপনি সফ্টওয়্যারটিকে আপনার জন্য অনুমান করার অনুমতি দিবেন - আপনার সেই ঝুঁকি নেওয়ার দরকার নেই এবং করা উচিত নয়। এটিকে নিজেই কনফিগার করুন, যদি আপনি অনিশ্চিত হন তবে এটি অক্ষম করুন - এটির প্রয়োজন হলে খুব শীঘ্রই আপনি তা আবিষ্কার করতে পারেন। যদি এটি ইতিমধ্যে একটি আপ এবং চলমান সিস্টেম এবং আপনি ট্র্যাফিক ব্যাহত করতে না পারেন (দুর্ঘটনাক্রমে এটি ব্লক করে), তবে tcpdump চালান (ফাইলের কাছে ফেলা) এবং নমুনা নিন - পরে সেগুলি অধ্যয়ন করুন এবং তারপরে বৈধ এবং কোনটি নয় তা বের করুন।
  • আমি ব্যক্তিগতভাবে একটি অ-মানক বন্দরটিতে কোনও পরিষেবা চালানোর কোনও বিন্দু দেখতে পাচ্ছি না, সরঞ্জামগুলি আজকাল এতটা মূ are় নয় যে ধরে নেওয়া যায় যে 22 পোর্টে কিছু চলছে, উদাহরণস্বরূপ, তবে এটি অবশ্যই এসএসএস হওয়া উচিত, অন্যথায় নয় - উদাহরণস্বরূপ amap, এবং nmapএর -Aবিকল্প। এই কথাটি বলার পরে, আপনি নিজের চোখ থেকে নিজেকে লুকানোর জন্য আপনার পরিষেবাগুলি (এবং সম্ভবত উদ্বিগ্ন হওয়া উচিত) সংশোধন করতে পারেন, উদাহরণস্বরূপ, নিম্নলিখিতটি আক্রমণকারীকে OpenSSHআপনি যে চালাচ্ছেন তার সঠিক সংস্করণটি জানতে দেবে , তারপরে তারা অনুসন্ধানের সন্ধান করতে পারে যে সঠিক সংস্করণ। আপনি যদি এই জাতীয় জিনিসগুলি গোপন করেন তবে আপনি তাদের পক্ষে আরও শক্ত করে তুলবেন।
    [মূল @ উদ-ওলিস -1 উহটবিন] # টেলনেট লোকালহোস্ট 22
    127.0.0.1 চেষ্টা করছেন ...
    লোকালহোস্ট.লোকাল্ডোমাইন (127.0.0.1) এর সাথে সংযুক্ত।
    পালানোর চরিত্রটি '^]'।
    Ssh-2.0-OpenSSH_3.9p1
  • আপনার সমস্ত পাবলিক পরিষেবাগুলি আপ টু ডেট রাখুন এবং সর্বশেষতম সুরক্ষা প্যাচগুলির সাথে প্যাচ করুন।
  • গেটওয়ে সার্ভারে নিজেই কোনও ডেটা সংরক্ষণ করবেন না, তারা যখন এই মেশিনে প্রবেশ করতে পরিচালিত হবে তখন আপনি সময় কিনে ফেলবেন এবং আপনি কোনও একটি বা দুটি পরিষেবা এবং কিছু সময় হারাবেন, তবে ডেটা নয়।

নীচের লাইনটি হ'ল আপনি কখনই 100% সুরক্ষিত কোনও কিছুই তৈরি করতে সফল হবেন না - এটি সম্ভব নয় - সুতরাং এটির উদ্দেশ্যটি যতটা সম্ভব নিরাপদ - যদি এটি আপনার সিস্টেমকে ভেঙে ফেলার জন্য খুব বেশি প্রচেষ্টা করা হয় তবে এটি যথেষ্ট ভাল এবং বেশিরভাগ ল্যামার make স্ক্রিপ্ট-কিডিস পরবর্তী সিস্টেমে চলে যাবে।

  • iptables যে কোনও লিনাক্স সিস্টেমে যাওয়ার উপায় - তবে এটি নিজে কনফিগার করুন।

কখনও কখনও এমন কোনও "সুরক্ষা সফ্টওয়্যার" ব্যবহার করবেন না যা উন্মুক্ত মানের উপর ভিত্তি করে না - সেগুলি খারাপ লেখা হয় এবং হ্যাক হয়ে যায় ("যদি" তবে এটি "কখন" নয়)। ওপেন সোর্স এবং ওপেন প্রোটোকলগুলি জনসাধারণের তদন্তের জন্য উন্মুক্ত এবং একটি পরিণত এবং নির্ভরযোগ্য পণ্য হিসাবে রূপান্তরিত হয়; বদ্ধ সোর্স সফ্টওয়্যার বেশিরভাগই কিভাবে মহান / নিরাপদ-এ-পণ্যের লেখক আত্মবিশ্বাস উপর নির্ভর তারা একটি পৃথিবী পূর্ণ চোখের বনাম চোখের অল্প সংখ্যক অর্থাত - মনে হয় এটা।

আশা করি এইটি কাজ করবে :)

জাক্সিজ্
সূত্র
"... চোখের একটি ছোট সংখ্যক বনাম চোখ ভরা পৃথিবী" " - আমি যথেষ্ট "কর্পোরেশনগুলি" এটি উপলব্ধি করতে চাই, তবে অস্পষ্টতার মাধ্যমে সুরক্ষা প্রবণতাটিকে অনুসরণ করা বলে মনে হচ্ছে। হ্যাঁ, মানহীন বন্দরটিতে ssh এর মতো পরিষেবা চালানো কোনও নির্ধারিত আক্রমণকারীকে দূরে রাখবে না। তবে রাখা হবে স্ক্রিপ্ট দূরে ছেলেপুলে - কেউ বন্দর 22. উপর IP ঠিকানা একটি সীমার উপর একটি আক্রমণ অভিধান চলমান
L0neRanger
12
  • রুট লগইন অক্ষম করুন
  • পাসওয়ার্ড দ্বারা লগইন অক্ষম করুন (শুধুমাত্র পাবলিক-কী দ্বারা লগইন করার অনুমতি দিন)
  • এসএসএইচ পোর্ট পরিবর্তন করুন

  • অস্বীকৃতি (বা অনুরূপ) ব্যবহার করুন

  • আপনার নিজস্ব আইপটবলস স্ক্রিপ্ট লিখুন (যাতে আপনি ঠিক কী নিয়ন্ত্রণ করতে চান তা নিয়ন্ত্রণ করতে পারেন এবং সমস্ত কিছু বাদ দিতে পারেন)

  • এসএসএল / টিএলএস সুরক্ষিত যোগাযোগের ব্যবহারকে বাধ্য করুন এবং বৈধ, অ-মেয়াদোত্তীর্ণ এবং স্বাক্ষরযুক্ত শংসাপত্রগুলি নিশ্চিত করুন

  • সমস্ত বাহ্যিক পরিষেবাদির জন্য কঠোর শংসাপত্র যাচাইকরণ চালু করুন (উদাহরণস্বরূপ, যখন অন্য কোনও মেশিনে এলডিএপি সার্ভার দিয়ে ব্যবহারকারীদের প্রমাণীকরণ করা হয়)
এক্স-পথ
সূত্র
আপনি পাসওয়ার্ড প্রমাণকে অক্ষম করার জন্য একটি উত্সাহ পাবেন।
ডারোবার্ট
6

একটি সাধারণ সূচনা পয়েন্ট হিসাবে, আমি ইন্টারনেট সুরক্ষা কেন্দ্রের মানদণ্ড / গাইডগুলি অনুসরণ করি , যা সুরক্ষা সর্বোত্তম অনুশীলনের বিস্তৃত সংকলন। দেখে মনে হচ্ছে না যে তাদের ডেবিয়ান মানদণ্ডটি কিছু সময় আপডেট হয়েছে তবে পদক্ষেপগুলির একটি সাধারণ ওভারভিউ হল:

  • সর্বশেষ ওএস প্যাচ / প্যাকেজ প্রয়োগ করুন
  • সিস্টেম / কার্নেল / প্রক্রিয়া অ্যাকাউন্টিং সক্ষম করুন।
  • ম্যাক সক্ষম করুন (যেমন, সেলইনাক্স বা অ্যাপআর্মার)।
  • হোস্ট-ভিত্তিক ফায়ারওয়াল সক্ষম করুন (iptables)।
  • এপিটি উত্স যাচাই করুন। তালিকা (কীগুলি সঠিক, উত্সগুলি বিশ্বাসযোগ্য)
  • নেটওয়ার্ক পরিষেবাগুলি ন্যূনতম করুন, প্রয়োজনীয় না সমস্ত কিছু অক্ষম করুন এবং ফায়ারওয়াল কী।
  • সিস্টেম অ্যাক্সেসকে আরও সীমাবদ্ধ করতে TCPWrappers ব্যবহার করুন।
  • কেবল এনক্রিপ্ট করা নেটওয়ার্ক প্রোটোকল ব্যবহার করুন, এনক্রিপ্ট করা পরিষেবাগুলি অক্ষম করুন (টেলনেট, এফটিপি, ইত্যাদি)।
  • কেবল এসএসএইচে দূরবর্তী অ্যাক্সেস কনফিগার করুন।
  • ব্যবহারকারীর লগইন পাসওয়ার্ডগুলি অক্ষম করুন এবং কী-ভিত্তিক প্রমাণীকরণের প্রয়োজন।
  • ফাইল সিস্টেম শেয়ারিং (এনএফএস, এসএমবি) অক্ষম করুন।
  • দূরবর্তী / কেন্দ্রিয়ায়িত সিস্টেম লগিং সক্ষম করুন (এবং নিয়মিত লগগুলি পর্যালোচনা করুন!)।
  • একটি BIOS / ফার্মওয়্যার স্তরের পাসওয়ার্ড সেট করুন।
  • একটি বুটলোডার পাসওয়ার্ড সেট করুন।
  • সিস্টেমের ব্যাকআপগুলি কনফিগার করুন, একটি দুর্যোগ পুনরুদ্ধার পরিকল্পনা এবং পরীক্ষা করুন যে ব্যাকআপগুলি বৈধ, এবং যে কর্মীরা বিপর্যয় পুনরুদ্ধারের পদ্ধতিগুলি জানেন!

সিআইএসিকিউরিটি বেঞ্চমার্কগুলিতে সিস্টেমে প্রয়োগ করার জন্য নির্দিষ্ট কমান্ড এবং কনফিগারেশন ফাইল সহ এই সমস্ত বিভিন্ন সেটিংসে প্রচুর সংস্থান রয়েছে।

jtimberman
সূত্র
5

আমি সরাসরি ইন্টারনেটে কোনও মেশিন সংযুক্ত না করার পরামর্শ দেব। মেশিন এবং ইন্টারনেটের মধ্যে এক ধরণের ফায়ারওয়াল রাখুন। এটি আপনাকে সার্ভারে বেশি চাপ না দিয়ে সুরক্ষা এবং নেটওয়ার্ক মনিটরিং করতে দেয়। ব্যক্তিগতভাবে, আমি নেটওয়ার্ক এবং ফাংশন বিভাগকে ঘন ঘন নেটওয়ার্ক সমস্যার সমাধান সহজতর করে দেখি, যদিও মাঝে মাঝে অতিরিক্ত জটিলতা বিশ্লেষণকে আরও কঠিন করে তোলে।

সুরক্ষিত, তবে পরিচালনা করতে সবচেয়ে বিরক্তিকর, ফায়ারওয়াল নীতি হ'ল সমস্তটিকে অস্বীকার করা এবং কেবলমাত্র ট্র্যাফিকের জন্য আপনাকে অবশ্যই অনুমতি দেওয়া উচিত। এটি বিরক্তিকর, কারণ নেটওয়ার্কের পরিবর্তনের প্রয়োজন হিসাবে একজনের প্রায়শই ফায়ারওয়াল নীতি আপডেট করা প্রয়োজন।

আমি সার্ভারে কিছু ধরণের ইন্টারফেস ফায়ারওয়ালিং ব্যবহার করার পরামর্শ দেব - গভীরতার প্রতিরক্ষা এটিই মূল। প্রশাসনিক সম্পর্কিত পরিষেবার জন্য অ-মানক বন্দর ব্যবহার করা ক্ষতিগ্রস্থ হয় না। ব্যর্থ 2ban ঠিক আছে। আরও ধারণা পেতে সার্ভারফল্টে সুরক্ষা অ্যাপ্লিকেশনগুলি সম্পর্কে সুনির্দিষ্ট প্রশ্নগুলি অনুসরণ করুন।

সুরক্ষা দুটি হাইকার এবং ভাল্লুকের কৌতুকের মতো - যদিও কেউ কখনই নিখুঁত সুরক্ষা অর্জন করতে পারে না, অন্য ছেলেদের তুলনায় এটি আরও কঠিন লক্ষ্য হতে সহায়ক।

pcapademic
সূত্র
সুন্দর উত্তরের জন্য +1। আমার অবশ্যই উল্লেখ করতে হবে যে আপনি যদি ডানদিকে এসে থাকেন তবে ডিফল্ট অস্বীকার পরিচালনা করতে বিরক্তিকর নয়। অবশ্যই আপনি অবশ্যই জানেন আপনি কি অনুমতি দিচ্ছেন, তাই না? আসলে, এটি নীতি বিবৃতি হিসাবে সরল ভাষায় লেখা উচিত। যদি আপনি এটি স্বাভাবিক রুটিন হিসাবে না করেন তবে আপনি প্রশাসক হিসাবে আপনার কাজ করছেন না। আপনি যদি হন তবে ফায়ারওয়াল বিধিগুলি আপডেট করা সহজ বিষয়।
dwc
খুব ভাল পয়েন্ট। প্রতিটি সংস্থার সরল ভাষা সুরক্ষা নীতি বিবৃতি থাকা উচিত। সংস্থার প্রয়োজনের পরিবর্তন হিসাবে, নীতি বিবরণীটি আপডেট করা উচিত। যদি কেবল অ্যাডমিনের ফায়ারওয়াল বিধি বাস্তবায়ন এবং সিওয়াইএ পরিকল্পনা করার জন্য, কোনও পরিচালনা ব্যবস্থা প্রশাসনের পক্ষ থেকে সুরক্ষা নিয়ে ভাবতে বিরক্ত না হলেও এমন নীতি বিবৃতি বজায় রাখে।
pcapademic
4

কিছু লোক সিকিওরিং ডেবিয়ান ম্যানুয়ালটিতে নির্দেশ করেছেন । এটি সামরিক প্রয়োজনীয়তা বাদে সমস্ত কিছুর জন্য পুরোপুরি পর্যাপ্ত হওয়া উচিত।

অনেক লোক মনে করেন যে হাস্যকরভাবে ভৌগলিক হওয়া দুর্দান্ত বা পেশাদার বা কিছু or এটি নয় , এটি অন্যান্য প্রশাসকদের জন্য কেবল বিরক্তিকর এবং আপনার ব্যবহারকারীদের জন্য একদম নিপীড়নমূলক । ভিজিটর অ্যাডমিনদের জন্য দরকারী মনে করার জন্য বেশিরভাগ স্টাফটি হ'ল জাল ব্যস্ততা, তবে বাস্তবে সহায়ক নয়, যেহেতু যথাযথভাবে আপডেট হওয়া সিস্টেম এবং / বা কোনও অভ্যন্তরীণ উত্স থেকে আসল সুরক্ষা লঙ্ঘনের কারণ হতে পারে।

এটি বলেছিল, আমি ইন্টারনেটের যে কোনও কিছুই বাদ দিয়ে স্থানীয় নেটওয়ার্কে কোনও কিছুর উপর বিশ্বাস না করা আমার অন্যতম কৌশল হিসাবে বিবেচনা করি। অতএব, আমি এমনকি স্থানীয় নেটওয়ার্কে প্রমাণীকরণের জন্য সমস্ত কিছু কনফিগার করে থাকি। আমি আইপিএসসি ব্যবহার করে প্রতিটি কম্পিউটারের মধ্যে সমস্ত ট্র্যাফিক এনক্রিপ্ট করে প্রমাণীকরণ করি।

আমি আমার সমস্ত সার্ভারের জন্য ফুল-ডিস্ক এনক্রিপশনে রূপান্তর করার প্রক্রিয়াধীন।

আমি কেবলমাত্র পরিষেবাগুলি ব্যবহার করি। আমার ফায়ারওয়াল নেই; আমি যে পরিষেবাদিগুলির আমার কাছে প্রমাণীকরণের প্রয়োজন হয় সেগুলি কনফিগার করি বা সেগুলি (প্রোগ্রামের নিজস্ব কনফিগারেশন বা টিসিপি-মোড়ক দ্বারা) নির্দিষ্ট আইপিগুলিতে সীমাবদ্ধ করি। Iptables ব্যবহার করে আমার কেবলমাত্র একবারে ব্লক করা দরকার ছিল memcached, কারণ এটির কোনও কনফিগারেশন ফাইল নেই, এবং টিসিপি-র‌্যাপার ব্যবহার করেনি।

আমি আমার অ্যাকাউন্টগুলির জন্য ভাল, এলোমেলোভাবে উত্পন্ন পাসওয়ার্ড ব্যবহার করি এবং যারা পাসওয়ার্ড জানে না তাদেরকে রাখার জন্য আমার এসএসএইচ সার্ভারের (এবং অন্যান্য সমস্ত পরিষেবা) বিশ্বাস করি। fail2banকেবলমাত্র লগ ফাইলের জন্য সীমিত স্থান সহ, আইএমও। (এগুলিতে বিশ্বাস রাখতে সক্ষম হওয়ার জন্য আপনার যথেষ্ট ভাল পাসওয়ার্ড থাকা উচিত))

টেডি
সূত্র
3

Www.debian.org/doc/manouts/securing-debian-howto/ এ কীভাবে তা যাবেন

আমি ব্যক্তিগতভাবে এসএস পোর্টটি পরিবর্তন করি এবং ফেল2ban + অস্বীকৃতি ব্যবহার করি। এবং যা প্রয়োজন হয় না তা আমি অবরুদ্ধ করে রেখেছি। আপনি যত কম ব্লক করবেন আপনার চিন্তা করতে হবে।

বিহং ডি
সূত্র
4
বিতৃষ্ণা। "এসএসএইচ পোর্ট পরিবর্তন করা" পর্যন্ত আপনি আমাকে রেখেছিলেন। কোন লাভ নেই। বিশেষত যখন কোনও জো তার হাতে যথেষ্ট সময় নিয়ে স্ক্মোই আপনাকে পোর্ট করতে পারে এবং তাত্ক্ষণিকভাবে এসএসএইচ পোর্টটি কী চলছে তা আবিষ্কার করতে পারে। এটি সংযোগের সাথে সাথেই পরিষেবার নাম (এবং সার্ভার সংস্করণ) ঘোষণা করে।
ম্যাট সিমন্স
3
হ্যাঁ, আমি জানি যে কেউ আপনাকে স্ক্যান করতে পোর্ট করতে পারে এবং সঠিক বন্দরটি সন্ধান করতে পারে। তবে বেশিরভাগ আক্রমণ ডিফল্ট বন্দরে। পোর্ট পরিবর্তন করে কিছু পরিসংখ্যান পাওয়ার চেষ্টা করুন।
বিহং ডি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.