পোর্ট 22 এ কোনও এসএসএইচ সুরক্ষিত করার জন্য কি খুব শক্ত পাসওয়ার্ড স্থাপন করা যথেষ্ট?

8

অনুমান করে যে আমার কাছ থেকে কেউই সত্যিকারের পাসওয়ার্ড চুরি করতে পারে না, খুব শক্তিশালী ব্যবহার করে স্ট্যান্ডার্ড পোর্টে এসএসএইচ চালিয়ে আমার সার্ভারটি ফাটানোর জন্য এসএসএইচ ব্যবহার করা কার্যত অসম্ভব (বড় আকারের 24 টি চিহ্ন, ছোট হাতের সংখ্যা, প্রথম বন্ধনী, আন্ডারস্কোর, ডলার, পিরিয়ডস ইত্যাদি এবং কোনও মানুষের ভাষার শব্দ) পাসওয়ার্ড নেই?

security  ssh 
ইভান
সূত্র
2
আমি এটি একটি উত্তর হিসাবে পোস্ট করব না কারণ অনেক লোক মনে হয় যে কোনও কারণে আমার সাথে একমত নয়, তবে বন্দরটি মানহীন কিছুতে পরিবর্তন করা আক্রমণ আক্রমণকে হ্রাস করতে সহায়তা করবে। প্রকৃত সুরক্ষা সরবরাহ করার জন্য আপনাকে অবশ্যই শক্তিশালী পাসওয়ার্ড ব্যবহার করতে হবে এবং সার্ভারটি আপ টু ডেট রাখতে হবে তবে এটি খোলা পোর্টগুলির জন্য সাধারণ স্ক্যানগুলি এড়াতে সহায়তা করবে।
পল ক্রুন

উত্তর:

3

যদিও বিরল, এখনও 0-দিনের শোষণ রয়েছে ... তাই আপনি কখনই জানেন না। সম্ভবত আপনি পোর্ট 22 এ অ্যাক্সেস সীমাবদ্ধ করতে পারেন [ফায়ারওয়াল স্তরে] কেবল কয়েকটি হোস্ট / নেটওয়ার্কের মধ্যে?

বা হতে পারে আপনি সুরক্ষা-যদিও-অস্পষ্টতার পথে যেতে পারেন এবং বন্দর নক্খ প্রয়োগ করতে পারেন ?

pQd
সূত্র
1
আমি মনে করি পোর্ট নকিং তখন সেরা ধারণা। নেটওয়ার্ক / হোস্টকে সীমাবদ্ধ করা একটি মজুদ, আমি খুব মোবাইল এবং বিভিন্ন ওয়াইফাই এবং 3 জি নেটওয়ার্ক ব্যবহার করার ঝোঁক।
ইভান
8

মনে রাখবেন যে আপনার পাসওয়ার্ডটি খুব শক্তিশালী হতে পারে অন্য ব্যবহারকারীদের সম্ভবত সত্যিই দুর্বল পাসওয়ার্ড থাকতে পারে। রাখুন AllowGroupsবা AllowUsersমধ্যে /etc/ssh/sshd_configঅন্য ব্যবহারকারীদের জন্য SSH অ্যাক্সেস বন্ধ স্যুইচ।

এছাড়াও মনে রাখবেন যে আপনার পাসওয়ার্ডটি খুব বেশি নিরাপদ হতে পারে : এই পাসওয়ার্ডটি প্রায় অবশ্যই লেখা থাকবে।

বলেছিলেন যে আমি মনে করি আপনি বেশ নিরাপদ; আপনি যদি পোর্ট নকটিংয়ের সাথে একত্রিত হন বা তাই আপনি খুব নিরাপদ।

মরিৎজ দুজনেই
সূত্র
1
অনুমতিপ্রাপ্ত ব্যবহারকারীদের জন্য +1 ... অবশ্যই একটি প্লাস।
পল ক্রুন
1
এবং ভাল পরিমাপের জন্য
ব্যর্থ2ban
4

এটি সমস্ত নির্ভর করে যে কোনও আক্রমণকারী লগইনগুলির জন্য আপনার টিসিপি / 22 বন্দরে কত দ্রুত হাতুড়ি করতে পারে। আপনি যদি এই জাতীয় পুনরাবৃত্তি সংযোগগুলি বন্ধ করতে কিছু ব্যবহার না করে থাকেন তবে সময়ে কোনও পাসওয়ার্ড সন্ধান করা যেতে পারে। এই ক্ষেত্রে, সময় খুব দীর্ঘ সময় হবে। ধ্রুব হাতুড়ি মাস। এসএসএইচ লগগুলিতে আমি নির্দিষ্ট অ্যাকাউন্টগুলির বিরুদ্ধে সামান্য নির্দেশিত হাতুড়ি তৈরি করতে দেখেছি এবং দুর্বল পাসওয়ার্ডগুলির সন্ধানের জন্য প্রচুর দরজা নক করে দেখেছি।

তবে, আপনি ধরে নিতে পারবেন না যে সমস্ত আক্রমণকারী নৈমিত্তিক। আপনাকে বিশেষভাবে টার্গেট করে এমন কারও জন্য কয়েক মাস অপেক্ষা করার জন্য বিনিয়োগ থাকতে হবে It's এটি এমন কারণগুলির জন্য যেখানে সম্ভব সেখানে শেয়ার-কীটি পছন্দ করা হয়। আপনি যে পাসওয়ার্ডটি বর্ণনা করেছেন তা সম্ভবত তিন-নাইন ক্র্যাক করা অসম্ভব (যুক্তিসঙ্গত সময়ের মধ্যে)। আমি পাঁচ নাইন জন্য আমার দম রাখা হবে না।

sysadmin1138
সূত্র
1
"এটি সমস্ত নির্ভর করে যে কোনও আক্রমণকারী লগইনগুলির জন্য আপনার টিসিপি / 22 বন্দরে কত দ্রুত হাতুড়ি করতে পারে you're আপনি যদি এই জাতীয় পুনরাবৃত্তি সংযোগগুলি বন্ধ করার জন্য কিছু ব্যবহার না করেন" - এটি কি আজকাল ডিফল্টরূপে সমস্ত সাধারণ ডিস্ট্রোজে সেট আপ হয় না?
ইভান
2
@ ইভান হতাশ, না, এটি না। apt-get install denyhosts(ডেবিয়ান ভিত্তিক) pkg_add -r denyhosts(ফ্রিবিএসডি) একটি তাজা বাক্সে করা প্রথম কাজগুলির মধ্যে একটি।
পিট
2
সর্বদা না। উবুন্টুর ডিফল্টরূপে এটি নেই এবং ওপেনসুএস বা ফেডোরা / সেন্টোসও নেই। পূর্ব-নির্মিত প্যাকেজগুলি তিনটিই বিদ্যমান, তবে এটি চালু করার জন্য আপনাকে ইতিবাচক পদক্ষেপ নিতে হবে।
sysadmin1138
3

অস্বীকৃতি ব্যবহার করুন। পাসওয়ার্ডের পরিবর্তে কী ভিত্তিক লগইন ব্যবহারের বিষয়টি বিবেচনা করুন।

পিট
সূত্র
হ্যাঁ, আমি একটি কী (এবং একটি ভাল এলোমেলো-প্রতীকী পাসফ্রেজ সহ, কেবল আমার মনে লেখা এবং একটি মেয়াদোত্তীর্ণ তারিখ যা বোঝায়) ব্যবহার করি। তবে ব্যবহারকারীর জন্য এখনও একটি পাসওয়ার্ড রয়েছে যা আমি বর্ণনা করার মতোভাবে সেট করেছি।
ইভান
1

আপনার কনফিগারেশনে যোগ করার জন্য এসএসডিডি একটি অ-মানক পোর্টে স্থানান্তর করা সম্ভবত তুচ্ছ হবে এবং এটি সম্ভবত এসএসএস বট ট্র্যাফিকের 99% নির্মূল করবে। আপনি এত সহজে আড়াল করতে পারলে কেন সমস্ত হিংস্র বাহিনীর আক্রমণগুলিতে নিজেকে প্রকাশ করবেন। ;-)

আমি সাধারণত এসএসএইচডি কনফিগার করার জন্য কেবল এসএসএইচ কী-ভিত্তিক প্রমাণীকরণ ব্যবহার করার পরামর্শ দিই, যদি এটি বড় আকারের ইন্টারনেটে প্রকাশিত হয়। আপনি যতক্ষণ না আপনার ব্যক্তিগত কীটি সুরক্ষিত রাখবেন ততক্ষণ খারাপ লোকদের পক্ষে সার্ভারের মাধ্যমে আপনাকে প্রমাণীকরণ করা প্রায় অসম্ভব।

অন্য একজন ভাষ্যকার যেমন ইতিমধ্যে চিহ্নিত করেছেন, এটি আপনাকে sshd এ 0 দিনের শোষণের বিরুদ্ধে সুরক্ষা দেয় না। ফায়ারওয়াল বিধিগুলির মাধ্যমে সংযোগের জন্য কেবল এমন মেশিনগুলিতে ট্র্যাফিক সীমাবদ্ধ করা সর্বদা একটি ভাল ধারণা।

প্যাট্রিক হেকেনলিভলি
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.