ব্রুটোফোর্সের বিরুদ্ধে এসএসএইচ সার্ভার সুরক্ষিত করা

আমার কাছে একটু এসভিএন সার্ভার রয়েছে, পুরানো ডেল অপটিপ্লেক্স চলমান ডেবিয়ান। আমার সার্ভারে আমার উচ্চ চাহিদা নেই, কারণ এটি কেবলমাত্র একটি সামান্য এসভিএন সার্ভার ... তবে এটি নিরাপদ থাকতে চান।

আমি সবেমাত্র আমার সার্ভারটিকে আরও নতুন এবং আরও ভাল অপটিপ্লেক্সে নবায়ন করেছি এবং পুরানো সার্ভারটিতে কিছুটা সন্ধান করতে শুরু করেছি। সমস্যাগুলির পরে আমি এটি নামিয়েছি। আমি যখন লগগুলি পরীক্ষা করি, এটির নিষ্ঠুরতার প্রচেষ্টায় পরিপূর্ণ এবং যে কোনওরকমভাবে আমার মেশিনে প্রবেশ করতে সফল হয়েছে। এই ব্যক্তি দুটি ডায়ার "রুট" এবং "অদলবদল 1" বা কিছু দিয়ে "নারকগোসিস" নামে কিছু অতিরিক্ত ভলিউম তৈরি করেছিলেন। তারা কেন এবং কী করে তা সত্যই জানেন না, তবে নিশ্চিত এটি পুনরায় ঘটতে বাধা দিতে চান। আমি এটিকে কিছুটা অদ্ভুত বলে মনে করি কারণ আমি কয়েক মাস বা তার বেশি সময় ধরে আমার পাসওয়ার্ডটি পরিবর্তন করেছি এবং পাসওয়ার্ডগুলি সর্বদা এলোমেলো চিঠি এবং সংখ্যা একসাথে রাখা হয় ... খুব সহজেই জোর করা যায় না।

আমি জানি যে আমি লগ ইন থেকে রুটকে আটকাতে পারি, এবং sudoers ব্যবহার করতে পারি ... এবং এসএসএইচ পোর্টটি পরিবর্তন করতে পারি, তবে আমি আরও কী করতে পারি?

সুতরাং আমার কয়েকটি প্রশ্ন আছে:

1. X পরিমাণে ভুল চেষ্টা করার পরে আমি কীভাবে 5 মিনিটের জন্য লগ ইন রোধ করতে পারি? বা ধীরে ধীরে প্রতিটি ভুল চেষ্টা করার পরে চেষ্টা করে?

2. কেন্দ্রীয় ব্ল্যাকলিস্টের এমন কোনও ধরণ রয়েছে যা কোনও সার্ভারের সাথে সংযুক্ত হতে পারে? এমন একটি ব্ল্যাকলিস্ট যা "অনিরাপদ" এবং আইপি অ্যাড্রেসের ট্র্যাক রাখে এবং কখনও অ্যাক্সেস দেওয়া উচিত নয়?

3. আমার সার্ভারে সুরক্ষা প্রয়োগ করতে আমি আরও কী করতে পারি?

আমি আগে বলেছি, আমি আপাচে (www-ডেটা ব্যবহারকারী সমস্যা?), এসএনএন, মাইএসকিএল, পিএইচপি, পিএইচপিএমএডমিন, হডসনের সাথে ডেবিয়ান 5 চালাচ্ছি। এটি 80, 443, 8080, 8180, 23 এবং 22-তে পোর্ট ফরওয়ার্ডিং সহ একটি হোম নেটওয়ার্কে রয়েছে।

Fail2ban এবং পোর্ট নকিং আপনার বেশিরভাগ প্রয়োজনের সমাধান করা উচিত।

আপনার এসএসএইচ পোর্ট পরিবর্তন করা এবং কেবল কী-ভিত্তিক প্রমাণীকরণের অনুমতি দেওয়াও সুপারিশ করা হয়।

এটি যুক্তিযুক্ত হতে পারে যে অতিরিক্ত সুরক্ষা ব্যবস্থা যোগ করার ক্ষেত্রে আপনি হ্রাসকারী রিটার্নের পর্যায়ে পৌঁছতে পারেন, তবে আবার, আপনি কখন "যথেষ্ট নিরাপদ" থাকবেন তা সিদ্ধান্ত নেওয়া আপনার পক্ষে up

রুট লগইনকে অস্বীকার করা ভাল ধারণা।

সুরক্ষিত পাসওয়ার্ড এবং কী-প্রমাণীকরণের বিকল্প নেই। বলা হচ্ছে, যে ব্যবহারকারীরা অনেকবার প্রমাণীকরণের চেষ্টা করে তাদের আইপি নিষিদ্ধ করার জন্য ফয়েল 2 ব্যান একটি দুর্দান্ত সরঞ্জাম। এটি বেশিরভাগ ডিস্ট্রোসের জন্য পূর্ব-নির্মিত প্যাকেজ হিসাবেও উপলব্ধ। সতর্কতা অবলম্বন করুন, আপনি দুর্ঘটনাক্রমে নিজেকে নিষিদ্ধ করতে পারেন, তাই নিশ্চিত হয়ে নিন যে আপনার কাছে খুব সহজেই সাদা তালিকাভুক্ত আইপি রয়েছে বা সহজ কনসোল অ্যাক্সেস ...

আপনার জিজ্ঞাসিত সমস্ত কিছু কীভাবে কনফিগার করা যায় তার Fail2Ban এর বেশ কয়েকটি ভাল উদাহরণ রয়েছে ... তবে এটিতে খারাপ ঠিকানাগুলির সর্বজনীন সংগ্রহশালা নেই। আমি মনে করি না যে অন্য আইপি (ডিএইচসিপি পুনর্নবীকরণ / বট-নেট আক্রমণ / ইত্যাদি ...) পাওয়ার স্বাচ্ছন্দ্যের কারণে এমন কোনও সংগ্রহস্থল কোথাও রয়েছে। আমি সাধারণ 'অ্যাডমিনিস্ট্রেটর' টাইপ ব্যবহারকারীর নাম (রুট / অ্যাডমিন / অ্যাডমিনিস্ট্রেটর / সিসপ / ইত্যাদি) ব্যবহার করে এসএসএসের মাধ্যমে লগ ইন নিষ্ক্রিয় করব কারণ এগুলি সর্বাধিক সাধারণভাবে নিষিদ্ধ।

আমি এর সাথে বর্বর বাহিনীর আক্রমণ বন্ধ করেছি:

• fail2ban
• sshd.config:
  • পাসওয়ার্ডপ্রমাণ নং
  • পারমিটরটলগিন নং
• আইপিটিবেলের সাথে এসএসএইচ সংযোগের হার সীমাবদ্ধ করা হচ্ছে ( http://www.debian-administration.org/articles/187 )

এখানে বেশ কয়েকটি ভাল প্রস্তাব দেওয়া হয়েছে। আমি শ্রদ্ধার সাথে পরামর্শ দিচ্ছি যে তিনটি জিনিসের এটি তুলনামূলক সুরক্ষিত করা উচিত:

1. একটি এলোমেলো উঁচু বন্দরে sshd চালান। বটগুলি সাধারণত 22 পোর্ট এবং 2222 এর মতো 22 বন্দরের পরিবর্তনের পরে চলে যায়।
2. Sshd কনফিগারেশনে পাসওয়ার্ড ভিত্তিক প্রমাণীকরণ অক্ষম করুন:

UsePAM নং

3. প্রাক-ভাগ করা এসএসএইচ কী জোড়ার মাধ্যমে কেবল এই সাইটের সাথে প্রমাণীকরণ করুন। পিকেআই ভিত্তিক প্রমাণীকরণের সাথে শুরু করতে ম্যান এসএস-কিজেন।

আশাকরি এটা সাহায্য করবে.

আমি বরাবরই সিএসএফ / এলএফডি-র একটি বড় অনুরাগী হয়েছি যা ব্রুটেফোর্স, পোর্টস্ক্যান এবং অন্যান্য কিছু বিকল্পের জন্য চেষ্টা করা লোকের আইপি ঠিকানাগুলি ব্লক করতে পারে। এটি মূলত আইপি টেবিলগুলির জন্য একটি বিশাল পার্ল-র্যাপার, তবে কনফিগারেশন ফাইলটি পড়া খুব কঠিন নয় এবং ডকুমেন্টেশনটি খারাপ নয়।

আপনি sshguard দেখতে পারেন। আমি এটি ব্যবহার করি নি তবে ভাল জিনিস শুনেছি।

সূত্র:
http://isc.sans.edu/diary.html?storyid=9370

http://www.sshguard.net/

http://www.sshguard.net/docs/faqs/

"শ্যাশগার্ড তাদের লগিং ক্রিয়াকলাপ থেকে সার্ভারগুলি পর্যবেক্ষণ করে log দৃmer় এবং দৃmer়। "

আমার ডিফল্ট পোর্টে একটি এসএসএইচ সার্ভার ইন্টারনেটের সাথে সংযুক্ত আছে এবং কখনও সমস্যাগুলির মুখোমুখি হয়নি ..

• tcp_wrappers (যেমন।
• tcp_wrappers এর সাথে এই আইপ্যাটিবলগুলি আমার র্যান্ডম পোর্ট স্ক্যান / ব্রুটফোর্স প্রচেষ্টাগুলির প্রায় 99% মুছে ফেলেছে .. কেবলমাত্র সেই সমস্যাটি আপনি জানতে পারবেন যে আপনি সেই আইপি / আইপি রেঞ্জগুলির অনুমতি দেওয়ার জন্য কোথা থেকে সংযুক্ত হবেন ... আমি কেবল তাই করেছি আমার আইপি রেঞ্জগুলি দেখতে এবং সেগুলিকে অনুমতি দেওয়ার জন্য আমার আশেপাশের জনপ্রিয় সরবরাহকারীদের উপর নজর রাখার জন্য most
• পারমিটরটলগিন-পাসওয়ার্ড ছাড়াই (যেমন কেবল পাস-বাক্যাংশের সাহায্যে এনক্রিপ্ট করা কেবল আরএসএ / ডিএসএ কী কী) অটোমেটেড কাজের জন্য আশ্চর্যজনকভাবে কাজ করে .. যখন আমি ইন্টারঅ্যাক্ট করতে লগইন করি আমি স্পষ্টতই আমার অ্যাকাউন্ট (নিয়মিত) ব্যবহার করি যা সুডো অ্যাক্সেসের সাথে কনফিগার করা আছে
• sudoers
• ধ্রুবক আপডেট .. আমি সমস্ত সুরক্ষা / সমালোচনামূলক আপডেট সহ এই বক্সটি ঘন ঘন আপডেট করি
• পাসওয়ার্ড / পাসফ্রেজ পরিবর্তন
• আমার কোনও সমস্যা হয়েছে কিনা তা দেখতে বার বার চক্রোতকিট চালান .. (এই ফাংশনটি সম্পাদন করার জন্য বেশ কয়েকটি আছে)

আশা করি এটা সাহায্য করবে!

এটি করার আরও একটি ভাল উপায় আছে, ব্যর্থ 2ban ব্যবহারের অর্থ আপনাকে একটি অ্যাপ্লিকেশন যুক্ত করতে হবে এবং এটি অ্যাপ্লিকেশন স্তরে কাজ করে।

আপনি যদি iptables ব্যবহার করেন তবে এটি আরও কার্যকর কারণ এটি নেটওয়ার্ক স্তরটিতে কাজ করে এবং আপনাকে কোনও অতিরিক্ত অ্যাপ্লিকেশন ইনস্টল করতে হবে না।

Iptables সাম্প্রতিক মডিউলটি ব্যবহার করুন http://www.snowman.net/projects/ipt_recent/

iptables -N SSHSCAN
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSHSCAN
iptables -A SSHSCAN -m recent --set --name SSH
iptables -A SSHSCAN -m recent --update --seconds 300 --hitcount 3 --name SSH -j LOG --log-level info --log-prefix "SSH SCAN blocked: "
iptables -A SSHSCAN -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP
iptables -A SSHSCAN -j ACCEPT

একটি বিকল্প (অন্যান্য সুরক্ষা ব্যবস্থা ছাড়াও ব্যবহার করা যেতে পারে) 22-র ব্যতীত অন্য কোনও বন্দরে শোনার জন্য এসএসডি করা হয়েছে I আমি নিজে চেষ্টা করে দেখিনি, তবে শুনেছি এটি বট দ্বারা খাঁটি আক্রমণাত্মক হামলার সংখ্যা হ্রাস করে।

আমার অবশ্যই জোর দিতে হবে যে এটি সত্যিকারের সুরক্ষা নয়, কেবল স্বয়ংক্রিয় জন্তু বাহিনীর আক্রমণগুলির সংখ্যা হ্রাস করে। আমার ধারণা অনুযায়ী প্রতিটি বন্দর চেক করার জন্য খুব বেশি কাজ।

এখানে এমন কিছু উল্লেখ করা হয়নি যা প্রকৃতপক্ষে ফায়ারওয়ালের মাধ্যমে অ্যাক্সেসকে সীমাবদ্ধ করে রাখা উচিত। এটি প্রতিটি পরিস্থিতিতে উপযুক্ত নয়, তবে আপনি যদি কোনও স্ট্যাটিক আইপি দিয়ে একটি সামঞ্জস্যপূর্ণ অবস্থান থেকে হোস্টের সাথে সংযোগ স্থাপন করেন তবে আপনি কেবল এই আইপি ব্যতীত এসএসএইচকে পুরোপুরি অবরুদ্ধ করতে পারেন। এটি নিশ্চিত করবে যে অনুপ্রবেশকারীরা প্রবেশ করতে পারবে না I যেমনটা আমি উল্লেখ করেছি, এটি সর্বদা প্রতিটি পরিস্থিতির সাথে খাপ খায় না, বিশেষত যদি আপনার আইপি গতিশীল থাকে এবং প্রায়শই পরিবর্তন হয়।

ড্যানিহোস্টস, http://denyhosts.sourceforge.net/ , আমার ভাগ্য ভাল একটি ভাল প্রকল্প। আপনি যদি সিঙ্ক্রোনাইজ করার জন্য অস্বীকারকারী সেট আপ করেন তবে এটি নিষিদ্ধকারীদের ব্যবহার করে অন্যান্য সিস্টেমে সংঘর্ষ করতে হয়েছিল এমন নিষেধাজ্ঞার তালিকায় যুক্ত করতে নতুন আইপি ডাউনলোড করবে। এটি এমন আইপিগুলির মেয়াদও শেষ করে যা কিছুক্ষণের জন্য জোর চেষ্টা করার চেষ্টা করে না।

পাবলিক কী প্রমাণীকরণ ব্যবহার করা এবং পাসওয়ার্ড লগিং অক্ষম করা সম্ভবত আপনি সবচেয়ে ভাল করতে পারেন। যে কোনও হিংস্র বাহিনীর আক্রমণকে পরাস্ত করে।

আমার জন্য কি কার্যকর হয়েছে:

1. অন্যরা যেমন বলেছে, কোনও রুট লগইন নেই, sshd_config- এ পাসওয়ার্ডঅথেন্টিকেশন (শুধুমাত্র লগইন ডাব্লু / কীগুলি) সেট করা নেই

2. কেবল এক বা দু'জন ব্যবহারকারীকেই এসএসএসের মাধ্যমে লগ ইন করার অনুমতি দেওয়া হয়েছিল এবং তাদের অর্ধ-অস্পষ্ট নামগুলি পাওয়া গেছে যা সাধারণ ব্রুট-ফোর্স সরঞ্জাম ব্যবহারকারী নাম তালিকায় নেই (যেমন, "অ্যাডমিন" বা "অ্যাপাচি" বা "ওয়েব" বা " জনি ")

3. সীমাবদ্ধ ফায়ারওয়াল বিধি (মূলত, সমস্ত কিছুই অবরুদ্ধ তবে আমার পরিষেবা পোর্ট এবং এসএসএস)। আমি এমনকি পিংকে আরও সীমাবদ্ধ করি, আরও বেশি অপরিশোধিত স্ক্যানগুলি বন্ধ করতে (আমার অংশীদারের চাগ্রিনের কাছে অনেকটা))।

4. আমার ওয়েব হোস্টে, আমি নির্দিষ্ট কয়েকটি আইপি ঠিকানার অ্যাক্সেসকে সীমাবদ্ধ করি না - তবে দেখে মনে হচ্ছে এটি আপনার পক্ষে কোনও বিকল্প নয়। অবশ্যই আমাদের সমস্ত হোস্টে এটি নিজে করতে পারি না। আপনি "পোর্ট-নকিং" সন্ধান করতেও পারেন।

5. এবং আমার প্রিয়: ওএসএসইসি'র সক্রিয় প্রতিক্রিয়া মডিউলটিও অন্যান্য ত্রুটিগুলির বিষয়ে প্রচুর জোরের শর্ত ও সতর্কতাগুলিকে অবরুদ্ধ করতে। এটি y সময়ের পরিমাণে এক্স অবৈধ লগইনগুলি সনাক্ত করে এবং তারপরে একটি নির্দিষ্ট সময়ের জন্য (একটি iptables ফায়ারওয়াল-ড্রপ কমান্ডের মাধ্যমে) অবরুদ্ধ করে। আমি মজাদার জন্য এখন প্রায় 12 ঘন্টা অবরুদ্ধ করছি। :)

আমি এখানে ভুল জিনিসটি খুব বেশি ব্লক না করি তা নিশ্চিত করার জন্য আমি এখানে যা করি তা হ'ল /etc/ossec.conf এ, আমি একটি উচ্চ স্তরের সক্রিয় প্রতিক্রিয়া সেট করি (যা ডিফল্ট কনফিগারেশনে বিদ্যমান নেই) এবং তারপরে sshd_rules.xML এর মাধ্যমে যান এবং যে স্তরটি আমি ব্লক করতে চাই সেগুলি নির্ধারণ করুন এবং প্রয়োজন হিসাবে ব্লক বনাম সতর্কতার জন্য থ্রেশহোল্ডগুলি সংশোধন করুন।

আপনি যদি আপাচি চালাচ্ছেন তবে আপনি অ্যাপাচি-বিধি লঙ্ঘনকারী জিনিসগুলিও ব্লক করতে পারেন। আমি কেবল নাট ইস্যুর কারণে এইগুলিতে বাধা দিচ্ছি না, আমি একটি সম্পূর্ণ বিশ্ববিদ্যালয় বা অন্য কোনও কিছুকে অবরুদ্ধ করার বিষয়ে ভাবতে চাই। :) তদ্ব্যতীত, আপনি লগ ফাইলগুলিতে কিছু শর্ত অবরুদ্ধ করতে কাস্টম বিধি লিখতে পারেন, যা সত্যই সহায়ক হতে পারে।