আমি কীভাবে এসএসএস সুরক্ষা বাড়িয়ে তুলতে পারি? আমার কী এবং পাসওয়ার্ড উভয়ই প্রয়োজন?

16

আমার কাছে সার্ভারের একটি ছোট নেটওয়ার্ক রয়েছে এবং আমি সাধারণ সুরক্ষা বাড়াতে চাই। আমার কাছে ভিপিএন স্থাপনের জন্য পর্যাপ্ত সময় / অর্থ / প্যারানোইয়া নেই - আমি আমার সিস্টেমের সুরক্ষা বাড়ানোর একটি প্রাথমিক উপায় কী?

একটি জিনিস প্রয়োজন যে ব্যবহারকারীরা উভয়ই তাদের কী প্রেরণ এবং একটি পাসওয়ার্ড প্রবেশ করানো প্রয়োজন। এটি গুগল করা খুব কঠিন কারণ "ssh কী পাসওয়ার্ড" সম্পর্কে সবকিছু পাসওয়ার্ড ছাড়াই ছাঁটাই সম্পর্কে। :-)

আমি সর্বদা খেলনা করতে চাই এমন একটি স্কিমের প্রয়োজন হয় যে আগত সংযোগগুলি কেবল ডায়ানডস আইপি ঠিকানার একটি শ্বেত তালিকা থেকে আসে। আমি জানি কিছু নিরাপত্তা প্রধান এই ধারণার চিন্তায় বমি করবে, তবে বিষয়টির সত্যতা হ'ল এটি কোনও বাক্সকে কাজে লাগাতে খুব গুরুত্বপূর্ণ জটিলতা যুক্ত করবে।

আপনি কি মনে করেন? কি কি আছে?

security ssh

— জন বাচির
সূত্র

আপনি অনুমতিপ্রাপ্ত ব্যবহারকারীদের বা অস্বীকারকারীর নির্দেশাবলী ব্যবহার করে সংযোগ করার অনুমতিপ্রাপ্ত ব্যবহারকারীর তালিকাকেও সীমাবদ্ধ করতে পারেন। এই পোস্টে আরও বিশদ ।

— ফ্রেড

8

পাসওয়ার্ড এবং কী সহ লগইন "ঠিক কী সাথে" এর মতই। কী তৈরির সময় আপনাকে পাসফ্রেজ লিখতে বলা হয়। যদি আপনি এটি খালি ছেড়ে রাখেন, আপনাকে একটি পাসওয়ার্ড জিজ্ঞাসা করা হবে না। আপনি যদি কিছু পাসফ্রেজ পূরণ করেন তবে লগইন করতে চাইলে আপনাকে সর্বদা এটির জন্য জিজ্ঞাসা করা হবে।

আপনি যদি সুরক্ষা সম্পর্কে উদ্বিগ্ন হন তবে এই ফোরামে ট্রিলিয়ন বার উল্লিখিত এই পরামর্শগুলির মধ্যে কয়েকটি বিবেচনা করুন:

মূলের জন্য ssh লগইন অক্ষম করুন
কেবল সংজ্ঞায়িত আইপি ঠিকানাগুলি থেকে এসএসএস অ্যাক্সেসের মঞ্জুরি দিন (আইপেটেবলস, হোস্ট.নিগল, ...)
অন্য বন্দরে ssh বন্দর সরান (আরও অস্পষ্টতা তারপরে সুরক্ষা তবে এটি কার্যকর)
বিদেশী লগইন প্রচেষ্টা নিরীক্ষণ এবং সেই অনুযায়ী প্রতিক্রিয়া
আপনার সিস্টেমকে আপ টু ডেট রাখুন

ইত্যাদি ইত্যাদি

আপডেট: ওপেনএসএসএইচ সার্ভারের সাথে কীভাবে জনসাধারণের কী এবং স্থানীয় সিস্টেমের পাসওয়ার্ড উভয়ের প্রয়োজন তা জানতে দয়া করে এখানে উত্তরটি দেখুন ।

— mkudlacek
সূত্র

আপনার সমস্ত টিপসের জন্য ধন্যবাদ, সেগুলি সন্ধান করবে। যদি কী এবং পাসওয়ার্ড উভয়ই প্রয়োজন হয়, তবে কোনও শোষক যদি কোনও পাসওয়ার্ড বের করে (যেমন ব্যবহারকারী অন্য কোথাও এটি সুরক্ষিত করে যে এটি নিরাপদ করে) তবে তারা কীটি ছাড়া প্রবেশ করতে পারে না এবং যদি শোষক ব্যবহারকারীর মেশিন থেকে কীটি চুরি করে তবে , তারা পাসওয়ার্ড না জেনে প্রবেশ করতে পারে না… তাই না?

— জন বাচির

12

এটি একই না. আপনার যদি কেবল কী প্রয়োজন হয় তবে সার্ভারটি কীটিতে কোনও পাসওয়ার্ড শক্তি নীতি প্রয়োগ করতে পারে না। অসাবধান ব্যবহারকারীর কাছে ক্লায়েন্টের কাছে একটি এনক্রিপ্ট করা ব্যক্তিগত কী থাকতে পারে যা কীটি চুরি হয়ে গেলে আপনার সার্ভারকে দুর্বল করে দেয়।

— 200_সুসেসি

এমকুডলেসেক - আমি হোস্ট সম্পর্কে আগে জানতাম না allow গ্রীষ্ম সম্পর্কে গুগল করে মনে হচ্ছে, আমার ডাইন্ডেন্স হোয়াইটলিস্ট ধারণাটি এত মূর্খ নয় বলে মনে হয়, আমি চেষ্টা করে দেখব।

— জন বাচির

1

200_সাক্সেস - তাই কী কী এবং পাসওয়ার্ড উভয়েরই দরকার?

— জন বাচির

যারা ডেকে আনে এবং ব্যর্থ হন তাদের লক আউট করতে সহায়তা করতে আমি DenyHosts অ্যাপ্লিকেশনটিও ব্যবহার করি। কালো তালিকাভুক্ত লোকদের একটি দুর্দান্ত সামান্য প্রো-অ্যাক্টিভ স্বয়ংক্রিয় পদ্ধতি ..

— জেমস টি স্নেল

6

একটি ধারণা যেটি আমি আকর্ষণীয় পেয়েছি তা হ'ল পোর্ট নোকিং - মূলত, এসএসএস সংযোগ স্থাপনের জন্য আপনাকে প্রথমে অন্যান্য বন্দরগুলির ক্রম অনুসন্ধান করতে হবে, এসএসএস সার্ভারের একটি সংযোগের অনুরোধ স্বীকৃতি দেওয়ার আগে। যদি পোর্টগুলির সঠিক ক্রম ব্যবহার না করা হয় তবে কোনও প্রতিক্রিয়া নেই, সুতরাং এটি কার্যকরভাবে দেখে মনে হচ্ছে যে কোনও এসএস সার্ভার চলছে না। পোর্টগুলির ক্রমটি অনুকূলিতকরণযোগ্য এবং আপনার লক্ষ্যযুক্ত ব্যবহারকারীদের সাথে ভাগ করা যায়; অন্য প্রত্যেকে কার্যকরভাবে সংযোগ করতে অক্ষম হবে।

আমি নিজে এটি চেষ্টা করে দেখিনি, তবে যা শুনেছি তা থেকে (যা আসলে খুব বেশি নয়) ওভারহেড উপেক্ষিত নয় এবং এটি আপনার দৃশ্যমানতার প্রোফাইলকে অত্যন্ত কমিয়ে দেয়।

— weiji
সূত্র

আপনি যদি "সাধারণ সুরক্ষা বৃদ্ধি" করতে চান তবে আমি এটি সহ যাব তবে আপনার পরিবর্তে সম্ভবত বিশেষ সুরক্ষা সমস্যাগুলি সমাধান করার চেষ্টা করা উচিত।

— স্টিফান থাইবার্গ

আমি যে সকল সাইটে প্রবেশ করেছি সেগুলিতে আমি এটি ব্যবহার করি এবং এটি খুব কার্যকর ইমো।

— সাইরেক্স

এটি কি 4 অক্ষরের দীর্ঘতর পাসওয়ার্ড রাখার মতো জিনিস নয়?

— জন বাখির

আসলে তা না. এখানে 65536 বন্দর এবং 26 টি চিঠি রয়েছে। এছাড়াও আপনার কোনও নকশার অনুক্রম রয়েছে এবং আপনি স্ট্যান্ডার্ড ফায়ারওয়ালিং কৌশলগুলি ব্যবহার করে পুনরায় চেষ্টাগুলিকে সীমাবদ্ধ করতে পারেন। এটি প্রতি সেফ সুরক্ষা নয়, তবে এটি ভাল।

— সাইরেক্স

ভাল তবে 8 বা 12 অক্ষর আর দীর্ঘ :

— জন বাচির

3

সরাসরি এসএসএইচে সক্ষম করার সাথে সম্পর্কিত প্যাচগুলি এবং প্রচুর প্রাসঙ্গিক আলোচনার:

https://bugzilla.mindrot.org/show_bug.cgi?id=983

এটি ForceCommandকনফিগারেশন বিকল্পের ব্যবহারের সাথে একত্রে পাসওয়ার্ড যাচাইকরণ স্ক্রিপ্ট করেও কোনও পরিবর্তন ছাড়াই করা যায় ।

http://www.tuxz.net/blog/archives/2010/03/17/how_to_quickly_setup_two-factor_ssh_authentication/

পরিশেষে, যদিও এর জন্য কোনও মডিউল বিদ্যমান নেই, আপনি যদি জনসাধারণের কী প্রমাণীকরণকে পিএএম-তে সরিয়ে নিয়ে যান তবে পিএএম প্রমাণীকরণটিকে সফল হিসাবে বিবেচনা করার আগে আপনাকে উভয় পদক্ষেপটি পাস করতে সক্ষম হবেন।

— জেফ ফেরল্যান্ড
সূত্র

2

শুধু ব্যবহার

RequiredAuthentications publickey, password

মধ্যে sshd_configআপনি ssh.com থেকে sshd কমান্ড ব্যবহার করছেন কিনা তা। এই বৈশিষ্ট্যটি ওপেনএসএইচএইচ-তে উপলব্ধ নয়।

— ফ্লাভিও বোটেলহো
সূত্র

RequiredAuthentications

— ওপেনএসএসএইচে

আপনি কি জানেন যে কোন এসএসডি বাস্তবায়নগুলি এটি সমর্থন করে?

— জন বাচির

টেকটিকা এসএসএইচ সার্ভার এটি সমর্থন করে। বিটিডাব্লু: তাদের মন্তব্যের জবাব দেওয়ার সময় @nameOfUser ব্যবহার করুন, এইভাবে তাদের উত্তর সম্পর্কে অবহিত করা হবে

— হুবার্ট কারিও

ওপেনএসএসএইচ

— সেরেন ল্যাভবর্গ

1

সুরক্ষা বাড়ানোর জন্য আপনি ওয়ান-টাইম পাসওয়ার্ডও ব্যবহার করতে পারেন । এটি ব্যবহারকারীদের একটি অনিরাপদ টার্মিনাল থেকে লগইন করার অনুমতি দেবে, যদি এরপরে তারা পরবর্তী পাসওয়ার্ড তৈরি করে তবে একটি কীলগার থাকতে পারে। এছাড়াও এমন পাসওয়ার্ড জেনারেটর রয়েছে যা পুরানো জাভা এমআইডিপি ফোনে ইনস্টল করা যেতে পারে, আপনি সর্বদা আপনার সাথে রাখেন।

— মরিয়ার্টি প্রফেসর ড
সূত্র

হ্যাঁ, আমার ব্যক্তিগত সার্ভারে আমি আমার পাসওয়ার্ড ছাড়াও ইউবিকি টোকেন ব্যবহার করি। টোকেনটি এক-সময় পাসওয়ার্ড তৈরি করে। উভয় প্রমাণীকরণ করা প্রয়োজন। বিকল্পভাবে, আমি যদি কোনও এসএসএইচ কী দিয়ে প্রমাণীকরণ করি তবে আমি পাসওয়ার্ড / ওটিপি জোড়াকে বাইপাস করার অনুমতি দিই। ইউবিকি সস্তা এবং পাম, লিনাক্সের এক্সটেনসিবল অথেন্টিকেশন সিস্টেমের সাথে এটি সংহত করার জন্য প্রচুর সফ্টওয়্যার রয়েছে।

— মার্টিজন হিমেলস

1

আমি আপনাকে সুপারিশ করব যে আপনি কখনই কোনও এসএসডিডি, আরডিপি বা কোনও আইপি নিষেধাজ্ঞা ছাড়াই এই জাতীয় পরিচালনার পরিষেবা পরিচালনা করবেন না। প্রকৃতপক্ষে, আমি ভিপিএন এর সাথে সংযোগকারী প্রশাসকদের এই জাতীয় পরিষেবাগুলিতে অ্যাক্সেস সীমাবদ্ধ করার পরামর্শ দেব।

— 3molo
সূত্র

1

আপনার কী এবং পাসওয়ার্ড উভয়ই প্রয়োজন সম্পর্কে আপনার মূল প্রশ্নটি সম্পর্কে, আপনি যদি আরএইচইএল বা সেন্টোস 6.3 চালাচ্ছেন তবে এটি এখন উপযুক্ত pos RHEL 6.3 রিলিজ নোট এটি বর্ণনা, এটি আপনার sshd_config এই যোগ করার ব্যাপার

RequiredAuthentications2 publickey,password

— মার্ক ম্যাকিনস্ট্রি
সূত্র

0

আমি দৃm়ভাবে 3 মোলোর সাথে একমত ওপেনএসএসএইচ লিনাক্স এবং ইউনিক্সের ডিফল্ট এসএসএইচ সার্ভার। আমাদের এটি পরিবর্তন করার কোনও কারণ নেই, বিশেষত সুরক্ষার জন্য। ভিপিএন সেরা সমাধান হওয়া উচিত, যা আমাদের ট্র্যাফিক এনক্রিপ্ট করতে পারে এবং ২-পদক্ষেপের পাসওয়ার্ড অনুমোদন সরবরাহ করতে পারে।

— mcsrainbow
সূত্র

0

কেন কেউ এটি উল্লেখ করেছে তা নিশ্চিত নয় তবে - আপনার ডিফল্ট 1024 বিটের চেয়ে দীর্ঘতর কীগুলি উত্পন্ন করার বিষয়টি নিশ্চিত করা উচিত যা আর নিরাপদ বলে মনে করা হয় না।

— mnmnc
সূত্র