রিমোট রুট লগইন

8

আমি জানি যে কোনও সার্ভারকে সুরক্ষিত করার জন্য আপনি প্রথম যে কোনও কাজটি করেন তা হ'ল রিমোট রুট লগইনকে অস্বীকার করা।

পাসওয়ার্ডগুলি বেশ দুর্বল; লোকেরা কেবল ssh কী বা অন্যান্য পাসওয়ার্ড-কম পদ্ধতির মাধ্যমে রুট লগইনকে অনুমতি দেওয়ার বিষয়ে কী ভাবেন।

কোন পদ্ধতিগুলি সেরা? ঝুঁকি না রাখাই ভাল? Ssh-ing একটি গৌণ অ্যাকাউন্টের সাথে এবং su -সত্যিই কোনও সুরক্ষা যুক্ত ব্যবহার করছে?

সার্ভারফ্লট.কমের লোকেরা কীভাবে একটি দূরবর্তী সার্ভারে রুট অ্যাক্সেস করতে পারে?

linux  security  ssh  login  root 
Kousha
সূত্র

উত্তর:

9

বেশিরভাগ অংশে রিমোট রুট লগইনগুলি বাস্তবে অক্ষম করে কিছুটা অর্জন করা যায়। এটি প্রান্তিকভাবে এমন একটি নীতি কার্যকর করতে সহায়তা করে যা প্রশাসকদের তাদের নিজস্ব অ্যাকাউন্টের মাধ্যমে লগ ইন করে এবং suপ্রয়োজনীয় হিসাবে রুট করতে (বা sudoসম্ভবত sudoshআপনার নীতিগুলির উপর নির্ভর করে ব্যবহার করুন)।

অত্যন্ত দীর্ঘ এবং জটিল রুট পাসওয়ার্ড তৈরি করা (এতক্ষণ কার্যকর যে আপনি এখনও আপনার পাসওয়ার্ডগুলির জন্য প্রাচীন ডিইএস + 12-বিট লবণের হ্যাশিং ব্যবহার করছেন না) এই জাতীয় নীতি প্রয়োগের ক্ষেত্রে প্রায় কার্যকর is

আমি পরিচিত এমন একটি সাইটের একটি সিস্টেম ছিল যার মাধ্যমে অনন্য পাসওয়ার্ডগুলি এলোমেলোভাবে প্রতিটি হোস্টের জন্য তৈরি করা হয়েছিল, একটি ডাটাবেসে সংরক্ষণ করা হয়েছিল এবং সিস্টেমে ঠেলাঠেলি করা হয়েছিল। প্রশাসকদের sshতাদের সাধারণ অ্যাকাউন্টগুলির সাথে এবং sudoবেশিরভাগ ক্রিয়াকলাপের জন্য ব্যবহার করা প্রয়োজন । তবে, এসএসএল ভিত্তিক অভ্যন্তরীণ ওয়েব পরিষেবাদির মাধ্যমে মূল পাসওয়ার্ডটি তাদের কাছে অ্যাক্সেসযোগ্য ছিল (যার জন্য তাদের আরএসএ সিকিউরিড টোকেন এবং পিন প্রয়োজন) required একটি রুট পাসওয়ার্ড প্রাপ্তি একটি ন্যায়সঙ্গত প্রবেশ করানো অন্তর্ভুক্ত (সাধারণত একটি প্রতিকার (টিএম) টিকিট সংখ্যার একটি লিঙ্ক) এবং পর্যায়ক্রমে নিরীক্ষিত হয় যেখানে অ্যাক্সেস করে। রুট পাসওয়ার্ড সরাসরি ব্যবহারের কয়েকটি গ্রহণযোগ্য কারণগুলির মধ্যে একটি হ'ল fsckবুট প্রক্রিয়া চলাকালীন যে কোনও সিস্টেমে সিস্টেম বন্ধ করা হয়েছিল ... এবংsuloginফাইল সিস্টেম চেক এবং মেরামতের প্রক্রিয়াগুলি ম্যানুয়ালি চালানোর জন্য একটি আসল রুট পাসওয়ার্ডের প্রয়োজন ছিল। (এটির জন্য বিকল্প পদ্ধতির বিষয়ে কিছু আলোচনা ছিল --- যা লিনাক্সের জন্য তুলনামূলক সহজ, তবে আপনি অনেকগুলি উত্তরাধিকার এইচপি-ইউএক্স, এআইএক্স এবং পুরানো সুনোস এবং সোলারিস সিস্টেমগুলির জন্য অ্যাকাউন্টের জন্য আপনার পদ্ধতিগুলি প্রসারিত করার চেষ্টা করার পরে আরও জটিল হয়ে উঠছেন যে এখনও সেই পরিবেশে উত্পাদন ছিল)।

এমন কোণার কেস রয়েছে যেখানে একটি মূল পাসওয়ার্ড প্রয়োজন --- বা কমপক্ষে সর্বোত্তম উপলব্ধ বিকল্প। আপনি যে ধরণের হুমকির মুখোমুখি হতে পারেন তার বিরুদ্ধে যথেষ্ট শক্তিশালী করার সময় এটি উপলব্ধ রাখা আপনার পক্ষে সাধারণত আপনার সেরা কৌশল।

আমি জানি যে অন্য একটি সাইটের বিকেন্দ্রীভূত অ্যাকাউন্ট পরিচালনার জন্য বরং মার্জিত পদ্ধতির রয়েছে। তাদের ব্যবহারকারীর * এবং sudo- * প্যাকেজ রয়েছে (RPMs মনে করুন) যা সাধারণ প্যাকেজ পরিচালনা পদ্ধতি এবং অটোমেশন অবকাঠামো ব্যবহার করে সিস্টেমে ইনস্টল করা থাকে। তাদের ক্ষেত্রে sudo- * প্যাকেজের সংশ্লিষ্ট ব্যবহারকারী- * প্যাকেজের উপর নির্ভরতা রয়েছে। এটি দুর্দান্ত কারণ এটি আপনাকে স্থানীয় অ্যাকাউন্টগুলির সাথে সমস্ত মেশিনের ক্লাস্টার রাখতে দেয় (সমস্ত অ্যাকাউন্টগুলি প্রশাসক, বিকাশকারী, সহায়তা কর্মী বা "হেডলেস" অ্যাকাউন্ট) এবং এলডিএপি / এনআইএস বা অন্যান্য নেটওয়ার্ক পরিচয় এবং প্রমাণীকরণ পরিষেবাদির উপর নির্ভরতা দূর করে। (এটি সিস্টেমের মধ্যে সংযুক্তিকে হ্রাস করে তাদের উল্লেখযোগ্যভাবে আরও শক্তিশালী করে তোলে)।

আমি মনে করি যে এই পদ্ধতির বিষয়ে আমি পছন্দ করি তা হ'ল এটি নমনীয়তা দেয়। sudoঅ্যাক্সেস সহ যে কেউ সাধারণ ব্যবহারকারী বা অন্য কোনও sudoব্যবহারকারী অ্যাকাউন্ট যুক্ত করার জন্য একটি আদেশ জারি করতে পারে । সুতরাং, আমি যদি টিকিটে কাজ করে থাকি তবে ইতিমধ্যে একটি সিস্টেমে অ্যাক্সেস থাকা লোকদের মধ্যে কেউ আমাকে সহজেই অ্যাক্সেস দিতে পারে। কিছু কেন্দ্রীয় ডাটাবেসে আমাকে কিছু অ্যাক্সেস কন্ট্রোল তালিকায় যুক্ত করার জন্য কোনও টিকিট কিছু কেন্দ্রীভূত অনুমোদনের প্রক্রিয়াটির মাধ্যমে গ্রিন্ড হয় এবং অবশেষে প্রশ্নে সিস্টেমে ফিরে আসা পরিবর্তনটি প্রচার করে। sudoসিস্টেমে অনুমোদিত কোনও -রাই আমাকে অ্যাক্সেস দিতে এবং পরে আমাকে সরাতে পারে। (হ্যাঁ আমি যদি খারাপ হয়ে থাকি এবং তারা আমাকে খেলায়sudoঅ্যাক্সেস বজায় রাখার জন্য আমি দূষিতভাবে জিনিসগুলি সংশোধন করতে পারি ... আসলে এমন কিছু জিনিস রয়েছে যা আমি সাধারণ ব্যবহারকারী হিসাবে এ জাতীয় অপসারণের অতীত অ্যাক্সেস ধরে রাখতে পারি do যাইহোক, এটি হুমকি নয় যা তারা উদ্বিগ্ন। আমার অ্যাক্সেস এখনও অপেক্ষাকৃত কম সংখ্যক সিস্টেমের মধ্যে সীমাবদ্ধ; সুতরাং আপত্তিজনক অ্যাকাউন্টের প্রভাব আমার দেখা সেরকম বেশিরভাগ স্কিমের চেয়ে এখনও সীমাবদ্ধ।

জিম ডেনিস
সূত্র
2

যদি আপনি রিমোট রুট অ্যাক্সেস অক্ষম করেন তবে আপনি প্রত্যন্ত আক্রমণকারীদের সরাসরি রুট হওয়া থেকে বিরত রাখবেন - তাদের অন্য অ্যাকাউন্টটি ভেঙে ফেলতে হবে, মেশিনে অ্যাক্সেস পেতে হবে এবং তারপরে চেষ্টা করে রুটে অ্যাক্সেস পেতে হবে। এটি একটি অতিরিক্ত পদক্ষেপ।

সাধারণত দূরবর্তী অ্যাক্সেসের জন্য রুট অক্ষম থাকে। এসইউ ভাল কাজ করে। যদি সত্যিই কিছু ভেঙে যায় তবে এটি ঠিক করার জন্য বাক্সে সর্বদা সরাসরি অ্যাক্সেস থাকে।

আপনি যদি আরও কঠোর হতে চান - কেবলমাত্র সম্পূর্ণরূপে নিষ্ক্রিয় করুন, এটি সুডোর জন্য রয়েছে। আবার, সেই পদ্ধতির সাহায্যে আপনি এখনও একক ব্যবহারকারী মোডে নেমে রুট অ্যাক্সেস পেতে পারেন - একটি লা উবুন্টু। যদিও, আমি বিশ্বাস করি যে তারা তাদের ডক্স অনুসারে এর জন্য একটি প্যাচড থিম ব্যবহার করেছিল।

এছাড়াও আপনি যদি নিষ্ক্রিয় ব্যবহারকারীদের টার্মিনালগুলি খোলা রাখেন এবং পিসিগুলি খুব বেশি খোলা থাকে তবে আপনি নিষ্ক্রিয় ব্যবহারকারীদের নিষ্ক্রিয় করতে সেটআপ করতে পারেন। আপনি সমস্ত ব্যবহারকারীকে কী ব্যবহার করতে বাধ্য করতে পারেন, তবে কী পরিচালনা করা কঠিন হতে পারে।

ব্রেকগ্লাস টাইপ সিস্টেম হিসাবে একটি একক পাস-থ্রো লগিং হোস্টও সুরক্ষার অতিরিক্ত স্তর এবং নিরীক্ষণের ট্রেইলকে বাধ্য করেছিল।

অ্যালেক্স
সূত্র
2

আমি আপনাকে পরামর্শ দিচ্ছি যে আপনি কনসোলে কেবল রুট অ্যাক্সেসের অনুমতি দেওয়ার জন্য সিস্টেম সেটআপ করুন।

অন্যথায়, পাসওয়ার্ড বিকল্প সহ sudo ব্যবহার করে, নির্বাচিত ব্যবহারকারীদের প্রাইভেট কমান্ডের অ্যাক্সেসের অনুমতি দিন। বিটিডাব্লু, বুঝতে পারেন যে sudo একটি ইউজার অ্যাকাউন্টকে নির্দিষ্ট কমান্ডের মধ্যে সীমাবদ্ধ করতে ডিজাইন করা যেতে পারে যদি আপনি চান। সুডো, সিস্টেম লগে এটি ব্যবহৃত হয়েছিল যে একটি "চিহ্ন" রেখে দেয়। sudo su এর চেয়ে ভাল কারণ রুট পাসওয়ার্ড প্রকাশ পায় না। সুতরাং আপনি রুট পাসওয়ার্ড পরিবর্তন করতে পারেন এবং sudo ব্যবহারকারীর ব্যবহারকারীর জ্ঞানী হতে পারে না।

প্রাইভেট কমান্ডগুলি পেতে সুডোর অনুমোদিত ব্যবহারের সাথে পরিবেশের উপর নির্ভর করে ফ্রিকোয়েন্সি সহ জোর করে পর্যায়ক্রমে পাসওয়ার্ড পরিবর্তন করা উচিত।

mdpc
সূত্র
1
আমি সুডোর সমস্যাটি মনে করি এটি ব্যবহারকারীর সাধারণ পাসওয়ার্ডটি ব্যবহার করে। এ কারণে, যদি অ্যাকাউন্টটি আপোস করা হয় তবে রুট অ্যাক্সেসটি কেবল একটি 'সুডো-এস' দূরে। 'Su' ব্যবহারের জন্য আক্রমণকারী দুটি পাসওয়ার্ড ভাঙার প্রয়োজন।
কাউশা
এছাড়াও, আমার কোনও প্রকারের দূরবর্তী রুট অ্যাক্সেসের প্রয়োজন হবে কারণ এটি একটি হোস্ট করা সার্ভার, এবং আমার শারীরিক কনসোলটিতে অ্যাক্সেস নেই।
কাউশা
যদি আমি মনে করি, আপনি ব্যবহারকারীর অ্যাকাউন্ট ব্যতীত অন্য অ্যাকাউন্টের পাসওয়ার্ড ব্যবহার করতে sudo কনফিগার করতে পারেন।
এমডিপিসি
1

কখনও রুট অনুমতি দেয় না

কীগুলির মাধ্যমে অ্যাক্সেসের অনুমতি দেওয়ার জন্য সিস্টেমটি সেট আপ করুন কেবল কোনও পাসওয়ার্ড নেই

তারপরে রুট অ্যাকাউন্টের মাধ্যমে পরিবর্তন করার অনুমতিপ্রাপ্ত ব্যবহারকারীদের জন্য sudo সেট আপ করুন

drfrog
সূত্র
যদিও আমি বেশিরভাগ পরিস্থিতিতে সম্মত হই, এমন কিছু সময় আছে যে আমি দূরবর্তী রুট অ্যাক্সেসের (বিশেষত কীগুলি ব্যবহার করে) অনুমতি দেওয়ার ক্ষেত্রে ঠিক মনে করি
ম্যাট সিমন্স
আমি বরং মেশিনে রুট অ্যাক্সেসের চেয়ে কিছু করার জন্য অতিরিক্ত সময় নিতে চাইব, এমনকি কোনও লাইভ সার্ভারের লেখার লগগুলিতে কেবলমাত্র একবার নজর দেওয়া থেকে ডাব্লু কীটি সাধারণত কোনওভাবে রাইট লগইনটিকে বাক্সে অ্যাক্সেস পাওয়ার চেষ্টা করার জন্য ব্যবহৃত হচ্ছে দেখায় , প্রায় 90% সমস্ত লগইন প্রচেষ্টা! যদি আপনার কোনও বাক্সে কোনও তথ্য থাকে তবে আপনি চাইছেন না যে কেউ কেবল তার বাক্সটিকে খারাপের জন্য অ্যাক্সেস পেতে কেবল একটি বাক্সটি রুটে খোলার জন্য
রেখেছেন
একটি ডেস্কটপে, হ্যাঁ। তবে একক ব্যবহারকারীর দ্বারা পরিচালিত সার্ভারে সুডোর ব্যবহার কিছুটা "সাইমন বলেছে" খেলার মতো। আইএমও কেবলমাত্র যদি আপনার একাধিক প্রশাসক থাকে এবং আপনি তাদের ক্রিয়াকলাপগুলি লগ করতে চান / চান তবে sudo ব্যবহারকারীদের ব্যবহার বৈধ is তারপরেও, আমি নিশ্চিত নই যে রুট অক্ষম করা প্রয়োজন (যদিও কেবল দূরবর্তী রুট লগইনগুলিকে কী-তে সীমাবদ্ধ রাখা বুদ্ধিমান)।
জেরেমি ডেভিস
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.