কেন ডিফল্ট এসএস পোর্ট পরিবর্তন? [বন্ধ]

আমি লক্ষ্য করেছি যে প্রচুর প্রশাসক ডিফল্ট এসএস পোর্ট পরিবর্তন করে।

এটি করার কোনও যুক্তিযুক্ত কারণ আছে কি?

এটি কিছু লোকের দাবির মতো কার্যকর নয়, তবে এটি কমপক্ষে আপনার লগ ফাইলগুলিতে প্রভাবকে হ্রাস করবে কারণ অনেক ব্রুট ফোর্স লগইন প্রচেষ্টা কেবল এসএসএইচ অন্য কোথাও শুনছে কিনা তা দেখার জন্য স্ক্যান করার চেয়ে ডিফল্ট পোর্টটি ব্যবহার করে। কিছু আক্রমণ এসএসএইচের জন্য অন্য কোথাও স্ক্যান করবে, সুতরাং এটি কোনও রূপালী বুলেট নয়।

যদি আপনার সার্ভারটি কেবল আপনার প্রকল্পগুলির প্রয়োজনগুলি পরিবেশন করার পরিবর্তে কোনও প্রকারের ভাগীদার হোস্ট হতে চলেছে, একটি ডিফল্ট পোর্ট ব্যবহার করা ব্যথা হতে পারে কারণ আপনাকে এটি আপনার ব্যবহারকারীদের বারবার বোঝাতে হবে এবং যখন তারা ভুলে যায় এবং তাদের ক্লায়েন্ট প্রোগ্রামগুলি 22 পোর্টের সাথে সংযোগ করতে ব্যর্থ হয়!

অ-মানক পোর্টে এসএসএইচের আরেকটি সম্ভাব্য সমস্যা হ'ল যদি আপনি কোনও নিষেধাজ্ঞার বাইরে চলে যাওয়া ফিল্টার সেট সহ কোনও ক্লায়েন্টের মুখোমুখি হন, তবে আপনার কাস্টম পোর্টের সাথে সংযোগ স্থাপন করতে পারবেন না কারণ তাদের ফিল্টার কেবল অনুমতি দেয়, উদাহরণস্বরূপ, পোর্টগুলি 22, 53, 80 এবং 443 নতুন বহির্গামী সংযোগের গন্তব্য হবে। এটি অসাধারণ, তবে অবশ্যই শোনা যায় না। অনুরূপ বিষয়ে, কিছু আইএসপি পি-পি সংযোগ এবং থ্রোটল (বা ব্লক) আড়াল করার প্রয়াস হিসাবে সাধারণত যে প্রত্যাশা করা হয় তার ব্যতীত অন্য কোনও বন্দরে এনক্রিপ্ট করা ট্র্যাফিক দেখতে পাবে (পোর্ট 443 বা এইচটিটিপিএস, 22 এসএসএইচ) অসুবিধাজনকভাবে সংযোগ।

সুবিধার জন্য আমি ব্যক্তিগতভাবে এসএসএইচকে স্ট্যান্ডার্ড বন্দরে রাখি। যতক্ষণ না স্বাভাবিক সতর্কতা অবলম্বন করা হয় (শক্ত পাসওয়ার্ড / কী নীতি, রুট লগইনগুলি সীমাবদ্ধ করা, ...) আপনার কোনও উদ্বেগ হওয়ার দরকার নেই এবং আপনি যখন কোনও ব্রুট ফোর্স আক্রমণে আক্রান্ত হন তখন লগ ফাইল বৃদ্ধির সমস্যা যেমন সরঞ্জামগুলি ব্যবহার করে প্রশমিত করা যেতে পারে fial2ban হিসাবে অস্থায়ীভাবে হোস্টগুলিকে অবরুদ্ধ করে যা নির্দিষ্ট সময়ের মধ্যে প্রমাণীকরণের শংসাপত্রগুলির অনেকগুলি খারাপ সেট দেয়।

আপনি যে কোনও বন্দরটি বেছে নিয়েছেন, আপনি যদি 22 থেকে দূরে সরে যান তবে তা নিশ্চিত হয়ে নিন যে এটি 1024 এর নীচে রয়েছে their তাদের ডিফল্ট কনফিগারেশনে বেশিরভাগ ইউনিক্স-এর মতো সেটআপগুলির মধ্যে কেবল রুট (বা মূল গোষ্ঠীর ব্যবহারকারী) 1024 নীচের পোর্টগুলিতে শুনতে পারবেন, তবে যে কোনও ব্যবহারকারী উচ্চ বন্দরগুলিতে শুনতে পারবেন। উচ্চতর বন্দরে এসএসএইচ চালানো কোনও ছদ্মবেশী (বা হ্যাক) ব্যবহারকারীর আপনার এসএসএইচ ডেমন ক্র্যাশ করতে এবং এটিকে তাদের নিজস্ব বা প্রক্সি দিয়ে প্রতিস্থাপনের সুযোগ বাড়িয়ে তোলে।

অস্পষ্টতার মাধ্যমে সুরক্ষার এটি একটি সহজ (তবে আশ্চর্যজনকভাবে কার্যকর) ফর্ম ।

যদি আপনার এসএসএইচ সার্ভারটি 22 পোর্টে না থাকে তবে ডিফল্ট অ্যাকাউন্টগুলিতে দুর্বল পাসওয়ার্ড খুঁজছেন পুরো ইন্টারনেটটি স্ক্যান করে এমন ব্যক্তিরা খুঁজে পাওয়ার সম্ভাবনা খুব কম। আপনি যদি পুরো নেটটি স্ক্যান করছেন তবে আপনি এসএসএইচ সার্ভারটি সন্ধানের জন্য সমস্ত 64 কে সম্ভাব্য পোর্ট পরীক্ষা করতে পারবেন না।

তবে যদি কেউ আপনাকে সক্রিয়ভাবে নির্দিষ্টভাবে লক্ষ্যবস্তু করে তোলে তবে এটি কোনও লাভ দেয় না, যেহেতু একটি সাধারণ এক-অফ nmapস্ক্যানটি পোর্টটি প্রকাশ করবে যেখানে এটি আসলে চলছে।

সত্যিই ব্রুটফোর্স আক্রমণ থেকে বাঁচতে কিছু পদক্ষেপ অনুসরণ করা সর্বদা গুরুত্বপূর্ণ:

• অস্বীকৃতি বা ব্যর্থ 2ban ইনস্টল করুন
• Ssh বন্দরে প্রতি সেকেন্ড সংযোগের সীমাবদ্ধ করুন
• Ssh পোর্ট পরিবর্তন করুন
• রুট লগইন অস্বীকার করা হয়েছে
• পাসওয়ার্ডের পরিবর্তে কী দ্বারা প্রমাণীকরণ সক্ষম করুন

হ্যাঁ এটি উপকারী কারণ এটি কেবল সমস্ত বর্বর আক্রমণ আক্রমণ এড়াতে এবং লগগুলি পরিষ্কার রাখতে সহায়তা করে :)

আপনার উপরের পোর্ট নম্বর হিসাবে, আমি দেখেছি সংস্থাগুলি প্রায়শই প্রায় 1291 ব্যবহার করে। আমি স্ক্রিপ্টগুলির কিছু এড়াতে সহায়তা করার জন্য আরও কিছু উচ্চতর ব্যবহার করি।

রুট এসএসএস লগইন না করা এবং পোর্ট নম্বর এবং সম্ভবত ব্যর্থ 2ban এর মতো কিছু পরিবর্তন করা এবং আপনার সোনালী হওয়া উচিত। ভাল পরিমাপের জন্য iptables যুক্ত করুন এবং আপনাকে আপ টু ডেট রাখুন এবং আপনার কোনও ধরণের সমস্যা হওয়া উচিত নয়।

নন স্ট্যান্ডার্ড এসএস পোর্ট ব্যবহার করতে আরও ব্যাখ্যা এবং ডকুমেন্টেশন প্রয়োজন হবে এবং ইমেলের ইমেলগুলিতে "আমি লগ ইন করতে পারি না" জবাব দেওয়ার প্রয়োজন হয়।

আমি নন-স্ট্যান্ডার্ড পোর্টে এসএসডিডি চালানোর সমস্যার সুবিধাগুলির চেয়ে আরও গুরুত্বপূর্ণ বিবেচনা করি:

• ব্রুট-ফোর্সের 99.9999% আক্রমণ বট দ্বারা সঞ্চালিত হয় যা কেবল 22 বন্দরটি সন্ধান করে এবং অ-মানক বন্দরটি আবিষ্কার করার চেষ্টা করে কখনই অপচয় করে না। বলপূর্বক আক্রমণ ও মত পাল্টা-ব্যবস্থা denyhosts বা fail2ban সম্পদ, আপনি কেবল একটি অ-মানক পোর্ট উপর SSH সার্ভার চলমান দ্বারা সংরক্ষণ করতে হবে যা ব্যবহার করা হবে।
• আপনার সিস্টেমে প্রবেশের চেষ্টা করে বটগুলি সম্পর্কে সমস্ত অকেজো প্রতিবেদন থেকে মুক্তি পাবেন। যদি কোনও আইপি ব্যর্থ লগইন রিপোর্টে প্রদর্শিত হয়, সম্ভাবনা হ'ল এটি একটি মানব।

তদুপরি, আপনি যদি সত্যিই বাজে হতে চান, আপনি সর্বদা স্ট্যান্ডার্ড পোর্ট 22 এ একটি জাল এসএসডি ( ডিনইউজার * সহ ) চালাতে পারবেন , যখন আপনার নিয়মিত এসএসডিডি 54321 বন্দরটিতে চলমান This সমস্ত লগইনকে অস্বীকার করে এমন একটি পরিষেবাতে লগইন করার চেষ্টা করুন, কারণ আপনার আসল এসএসডি পরিষেবাটি অনুসন্ধানের চেষ্টা করার কথা কেউ কখনও ভাববে না ।

আমার 2 সেন্ট।

যে কোনও "সুরক্ষা" কারণে এটি করা বোকাস। এটি অস্পষ্টতার দ্বারা সুরক্ষার সর্বোত্তম উদাহরণ যা সুরক্ষা নয়।

আপনি যদি নিজের লগগুলি কিছুটা হালকা এবং পরিষ্কার রাখতে চান তবে হ্যাঁ এটি কার্যকর কারণ আপনি কোনও পোর্ট নোকিং / স্ক্রিপ্ট-কিড্ডি ব্রুটেফোর্স প্রচেষ্টা পাবেন না।

আমি মানক পোর্ট এবং ব্যবহারের কিছু SSH চালানো হবে fail2ban বা denyhosts অভিধান আক্রমণের সংখ্যা সীমিত করতে।

অন্য বিকল্পটি হ'ল পাসওয়ার্ডগুলি অ্যালোগেটারের সাহায্যে লগইন অক্ষম করা এবং কেবল এস-এস-কীগুলির সাহায্যে লগইনকে মঞ্জুরি দেওয়া।

কারণ সেখানে অনেক খারাপ লোক রয়েছে যারা শোষণের প্রয়াসে খোলা বন্দরের জন্য সমস্ত সার্ভার আইপি স্ক্যান করে। আমি আমার এসএসএইচ বন্দরে হাতুড়ি হামলা চালাতাম যতক্ষণ না আমি এটিকে অন্য কোনও বন্দরে এবং এমন কোনও আইপি-তে স্থানান্তরিত করি যা আমার কোনও ওয়েবসাইটের সাথে লিঙ্কযুক্ত ছিল না।

এটি কার্যকর যে স্ক্রিপ্ট-বটগুলি যা ব্রুট-ফোর্স পাসওয়ার্ড-অনুমানের আক্রমণগুলি চেষ্টা করে সাধারণত পোর্ট 22 এ ফোকাস করে, তাই পোর্টগুলি পরিবর্তন করে সাধারণত এগুলি বন্ধ করে দেয়। অ-স্ট্যান্ডার্ড পোর্টের সাথে সংযোগ স্থাপনের জন্য ssh ক্লায়েন্টদের কনফিগার করার ব্যথার সাথে আপনার সেই ঝুঁকি হ্রাস করার মানটি ভারসাম্য বজায় রাখতে হবে (স্বীকৃতভাবে অনেক ব্যবহারকারী সংযুক্ত না থাকলে খুব বেশি ব্যথা হবে না)।

পর্যায়ক্রমে, আপনি পাসওয়ার্ড প্রমাণীকরণ বন্ধ করে এবং এর পরিবর্তে আরএসএ-কী প্রমাণীকরণের প্রয়োজনীয়তার দ্বারা ব্রুট-ফোর্স ঝুঁকি হ্রাস করতে পারে।

আমি সাধারণত এসএসএইচডি তে বন্দরটি পরিবর্তন করি না, সুতরাং আমি অন্য একটি নম্বর প্রস্তাব করতে পারি না, তবে অন্য নম্বর খুঁজতে সাধারণত ব্যবহৃত বন্দরগুলির তালিকাটি পরীক্ষা করে দেখুন (উদাহরণস্বরূপ এমন একটি যা অন্য কোনও কিছুর দ্বারা ব্যবহৃত হয় না, এবং এটি স্ক্যান হতে পারে) ।

আমি সর্বদা আমার এসএসএইচডিটি 2222 পোর্টটি ব্যবহার করার জন্য পরিবর্তন করি, যাদের আমার সার্ভারে প্রবেশ করা দরকার তাদের সবাই এটি জানেন এবং এটি কোনও গোপন বিষয় নয়। এটি করার মাধ্যমে কোনও সুরক্ষা লাভ একেবারেই নেই (যদি না হ্যাকার পরম মুরন না হয়)।

এ থেকে আমি কেবল লাভটিই হ'ল লেখার লগের 'রুট', 'এলিস', 'বব', 'স্যালি', 'অ্যাডমিন' ইত্যাদির জন্য মিলিয়ন ব্যর্থ লগইন প্রচেষ্টা নেই that

অস্পষ্টতার মাধ্যমে সুরক্ষা অকেজো প্রমাণিত হয়েছে, সাধারণত আমি উপরে উল্লিখিত সমস্ত কারণে স্ট্যান্ডার্ড পোর্টের সাথে এসএসএস অ্যাক্সেস কনফিগার করি (পুনরায় কনফিগারিং, ফায়ারওয়াল এবং প্রক্সি সমস্যাগুলিতে ক্লায়েন্টের সমস্যা ইত্যাদি)।

এটি ছাড়াও আমি সর্বদা রুট লগইন এবং পাসওয়ার্ড প্রমাণীকরণ অক্ষম করি এবং শেষ ধাপ হিসাবে আমি সিসলগে এই বিরক্তিকর বার্তাগুলি থেকে মুক্তি পেতে ব্যর্থ 2ban ব্যবহার করি । ডেবিয়ান / উবুন্টুতে এটি টাইপ করার মতোই সহজ aptitude install fail2ban। ডিফল্ট কনফিগারেশনটি বেশ ভালভাবে কাজ করে তবে আমি সাধারণত কিছু প্যারামিটারগুলিকে আরও নিষিদ্ধ হওয়ার জন্য আরও বেশি সময় নিষিদ্ধ করার সময় (কমপক্ষে একদিন) টিউন করি এবং নিষেধাজ্ঞার জন্য ট্রিগার হিসাবে মাত্র 2 ব্যর্থ প্রমাণীকরণের চেষ্টা করি।

আমি বলব যে এসএসএইচ পোর্ট পরিবর্তন করার সময় আপনি যে জিনিসটিকে সবচেয়ে বেশি সুরক্ষিত করছেন সেটি হ'ল স্বয়ংক্রিয় স্ক্যানগুলি যা মানক ব্যবহারকারীর নাম / পাসওয়ার্ড ব্যবহার করে অ্যাক্সেস অর্জন করবে এবং যদি আপনার পাসওয়ার্ডের নীতিগুলি কঠোর হয় তবে আপনার চিন্তা করার দরকার নেই তাদের।

আপনি যদি নিজের সার্ভারে পাসওয়ার্ড লগইন অক্ষম করেন (যা অত্যন্ত প্রস্তাবিত) তবে এসএসএইচ পোর্ট পরিবর্তন করা সম্পূর্ণ অকেজো use পাসওয়ার্ড লগইনগুলি অক্ষম করে (এবং কী-ভিত্তিক প্রমাণীকরণের প্রয়োজন রয়েছে), আপনি ব্রুট-ফোর্স পাসওয়ার্ডের প্রচেষ্টার সম্ভাবনাটি সরিয়ে ফেলেন, তাই আপনি পোর্ট সংখ্যা দিয়ে ফিউজ করে কোনও কিছু অর্জন করছেন না।

আপনি যদি পাসওয়ার্ড বেস প্রমাণীকরণের অনুমতি অব্যাহত রাখেন, তবে আপনি নিজেকে সফল ব্রুট ফোর্স প্রয়াসের সম্ভাবনায় উন্মুক্ত রেখে চলেছেন বা - আরও সাধারণভাবে আমার অভিজ্ঞতাতে - আপনার পাসওয়ার্ড আপোস করা হচ্ছে কারণ আপনি যখন কোনও সিস্টেম চলমান সময় এটি টাইপ করেন একটি কীলগার।

সাধারণ "অস্পষ্টতার দ্বারা সুরক্ষা" দেখার মতো সত্ত্বেও, আমি এটিকে বুদ্ধিমান বলে অনুমান করছিলাম যেহেতু সম্ভাব্য সমস্ত বন্দরগুলি (k 64 কে) স্ক্যান করা কেবল একটির চেয়ে বেশি ব্যয়বহুল।

তবে আমি যুক্ত করতে পারি যে "পোর্ট নকিং" আরও ভাল।

কোনও উত্তর নয় তবে একটি মন্তব্যের জন্য খুব দীর্ঘ, তাই আমি এই সিডব্লু করব।

আমি এই সম্পর্কে কিছুক্ষণ ধরে ভাবছিলাম এবং এই সিদ্ধান্তে পৌঁছেছি যে অ্যালনিটকের উত্তরের মন্তব্যে জুলিয়ানো যা বলেছে তাতে অনেক সত্যতা রয়েছে। তবুও, আমি দেখতে পাচ্ছি যে 22 বন্দরে এসএসএইচ চালানো কেবল এর বিরুদ্ধে কোনও ধরণের আক্রমণ চালানো খুব সহজ করে তোলে।

এই সমস্যাটি সমাধান করার জন্য আমি আমার অভ্যন্তরীণ এসএসএইচ সার্ভারগুলি 22 পোর্টে চালাচ্ছি এবং ফায়ারওয়ালটি টার্গেট মেশিনে 22-তে উচ্চ বন্দরটি পোর্ট করার জন্য ব্যবহার করব। জুলিয়ানো যেভাবে উল্লেখ করেছে, এটি নিম্ন বন্দরটির সুরক্ষা বজায় রেখে অস্পষ্টতার মধ্য দিয়ে কিছুটা সুরক্ষা দেয়।

অস্পষ্টতার মাধ্যমে সুরক্ষা কোনও নীতি নয় যা আমি সাধারণত সাবস্ক্রাইব করি এবং এটি প্রায়শই চিহ্নিত করা হয় যে একটি সাধারণ পোর্ট স্ক্যান লক্ষ্যবন্দরটি প্রকাশ করে, অস্পষ্টতাকে অকেজো করে তোলে। কর্মক্ষেত্রে এবং বাড়িতে উভয়ই আমার ফায়ারওয়ালগুলি (স্মুথওয়াল এক্সপ্রেস) সমাধান করার জন্য গার্ডিয়ান অ্যাক্টিভ রেসপন্স নামে একটি স্ক্রিপ্ট ব্যবহার করুন যা স্নোর্ট সতর্কতা দ্বারা চালিত হয়। পর্যবেক্ষণ থেকে আমি আপনাকে বলতে পারি যে আপনি যখন একই উত্স থেকে 3 টিরও বেশি আলাদা বন্দর হিট করেন তখন আপনার প্যাকেটগুলি প্রিসেট রিসেটের সময় পর্যন্ত বাদ দেওয়া হয়। এটি একটি পোর্ট স্ক্যান চালানো বরং জটিল এবং চূড়ান্ত সময়সাপেক্ষকে অস্পষ্ট করে তোলে যা আসলে কিছুটা মূল্যবান। প্রকৃতপক্ষে এটি আমাকে অতীতে বহুবার বন্ধ হয়ে যেতে বাধ্য করেছিল যে আমি আমার উত্স (বাড়ি বা অফিস) আইপি ঠিকানার জন্য একটি বাদ রেখেছি set

আপনার সমস্যাটি হ'ল ফায়ারওয়ালটি কেবল নির্দিষ্ট আইপি'র সংযোগ স্থাপনের জন্য সেট আপ করা হয়, এবং বস বাইরে চলে আসার সময় নির্দিষ্ট আইপি খুলতে ক্লান্ত হয়ে পড়ে। আপনি যদি ফায়ারওয়ালে নির্দিষ্ট আইপি লক করে রাখেন তবে পাছায় ব্যথা হতে পারে।

আমি এখানে দুটি বিষয় মনে করি। বন্দর পরিবর্তন করা স্বয়ংক্রিয় আক্রমণ থেকে রক্ষা করে। এটি সম্পর্কে, তবে এটি সেখানে আক্রমণের গড় আক্রমণটির একটি বড় অংশ ... স্বয়ংক্রিয় স্ক্রিপ্ট স্ক্যানিং নেটওয়ার্ক। আপনি যদি ডিফল্ট পোর্ট পরিবর্তন করেন তবে এই আক্রমণগুলি সরাসরি কিছুতেই ছাড়বে না। সুতরাং এটি যে বিষয়ে বোঝার আছে। তবে এটি কোনও নির্দেশিত আক্রমণটির বিরুদ্ধে কিছুই করে না, কারণ আক্রমণকারী কেবলমাত্র নেসাস বা এনএমএএপ থেকে স্ক্যান করতে পারবেন আপনি কোন পোর্ট (গুলি) ব্যবহার করছেন তা নির্ধারণ করতে যদি আপনার কোনও বিশেষ ছোট বন্ধু থাকে যা আপনাকে যথেষ্ট ঘৃণা করে।

দ্বিতীয়ত, আপনি যদি ইউনিক্স-এর মতো সার্ভার ব্যবহার করেন তবে আক্রমণ থামাতে আপনি ড্যানিহোস্টের মতো কোনও ইউটিলিটি ইনস্টল করতে পারেন। যদি আপনি অস্বীকারকারী ইনস্টল করেন, এটি ভুল লগইন প্রচেষ্টাগুলির জন্য পর্যবেক্ষণ করে এবং (আপনি যে সংখ্যা নির্ধারণ করুন) ব্যর্থ প্রয়াসের পরে এটি আপনার নির্দিষ্ট সময়ের জন্য আইপি নিষিদ্ধ করবে। ড্যানিহোস্টগুলি অন্যান্য অস্বীকারকারী হোস্টের সাথেও কথা বলতে পারে এবং নিষেধাজ্ঞার তালিকাগুলি পাশ করতে পারে, সুতরাং যদি কোনও আক্রমণকারী মন্টানার ফ্রেডের লিনাক্স সিস্টেম থেকে লক হয়ে যায় তবে আপনার সিস্টেমটি নিষিদ্ধের জন্য সেই আইপিও পেয়ে যাবে। যতক্ষণ না আপনার ব্যবহারকারীরা তাদের পাসওয়ার্ড মনে রাখবেন ততক্ষণ কার্যকর Very

এটি সব আপনার ব্যবহারের পরিস্থিতির উপর নির্ভর করে। আপনার কাছে কতগুলি প্রোগ্রাম রয়েছে যেগুলি এসএসএইচ / এসসিপি-র সংযোগ পোর্টটি পরিবর্তনের জন্য "গাধাটির মধ্যে ব্যথা" রয়েছে (এবং যদি তারা এটির অনুমতি দেয় না বা এটিকে ব্যথা না করে তবে আপনাকে ব্যক্তিগতভাবে ব্যক্তিগতভাবে পরিবর্তনগুলি বিবেচনা করা উচিত)। যদি এটি কেবল সম্ভাব্য ভয় হয় তবে আমি বলব এটি একটি নন-ইস্যু। এবং এটিই আপনার মনিব, এমন কিছু জিজ্ঞাসা করছেন যা পুরোপুরি অসচেতন নয়, কারণ অনেকগুলি স্যাসাদমিন এসএসএইচ বন্দরটি ফ্লিপ করে (এমন কিছু লোকের সাথে ঝাঁকুনি দেয় যা এমন কিছুকে ঘৃণা করে যা কিছুটা অস্পষ্টতার মধ্য দিয়ে সুরক্ষারও অদ্ভুত গন্ধ পেয়ে থাকে ... তবে এটি আসলেই কমে যায় না) স্বয়ংক্রিয় স্ক্যানগুলি থেকে ক্রাফট ব্যাকগ্রাউন্ডের শব্দ)

সিদ্ধ হ'ল - পোর্ট ব্লকগুলি স্বয়ংক্রিয় স্ক্রিপ্টগুলি পরিবর্তন করে এবং বেশিরভাগ খারাপ ট্র্যাফিক। নির্দেশিত আক্রমণকারীদের থামাবে না। পাশাপাশি একটি অটোমেটেড নিষেধাজ্ঞার ইউটিলিটি ইনস্টল করার বিষয়টি বিবেচনা করুন। সঠিকভাবে করা থাকলে এবং বন্দরগুলি পরিবর্তন করা বেশিরভাগ পরিস্থিতিতে ক্ষতিগ্রস্থ হওয়ার চেয়ে বেশি সহায়তা করে যদি স্তরগুলির সুরক্ষা আপনাকে ক্ষতি করে না।

আমি 5 বছরেরও বেশি সময় ধরে পোর্ট> 1024 এ এসএসএইচ চালিয়ে যাচ্ছি। তার পর থেকে, আমি আমার লগ ফাইলে কোনও পোর্টস্ক্যান প্রচেষ্টা দেখতে পাইনি (নিজের থেকে বাদে)। আমার সার্ভারগুলি রয়েছে যেগুলি আমি পরিচালনা করি যা পোর্ট> 1024 ব্যবহার করে চালানো হয়।

1024 পোর্টে এসএসএইচ সার্ভারের বেশিরভাগের নিজস্ব ওয়েবসাইট রয়েছে যা বেশ জনপ্রিয়।

যদি এসএসএইচ সার্ভারটি আমার নিজের প্রতিষ্ঠানে চালিত হয় তবে সম্ভবত আমি ইতিমধ্যে that সার্ভারটির আইপি ঠিকানা এখানে পোস্ট করেছি যাতে আপনি লোকেরা সার্ভারে হ্যাক করার চেষ্টা করতে পারেন। দুর্ভাগ্যক্রমে এসএসএইচ সার্ভারটি আমার নিজের নয়। ;-)

তবে এটিকে সুরক্ষিত করার জন্য আপনাকে অন্য কিছু জিনিস সেটআপ করতে হবে। এসএসএইচ> 1024 একা যথেষ্ট হবে না। পোর্ট নম্বরটি অবশ্যই / etc / পরিষেবায় থাকা উচিত নয়, অবশ্যই পোর্ট ফরওয়ার্ডিং (উদাহরণস্বরূপ পোর্ট 1124-> 22) ব্যবহার করতে হবে, রুটে সরাসরি অ্যাক্সেস অক্ষম করা উচিত এবং অন্য জিনিস।

সুতরাং, আপনি যদি তর্ক করতে চান তবে ভাল কিছু বছর ধরে 1024 বন্দরে এসএসএইচ চালান।

পি / এস: 1124 আমার এসএসএইচ পোর্ট নয়। হা হা।

আমি অনুমান করি যে আপনি যদি এখনও পোর্টটি কার্যকরভাবে ছিটকে আবিষ্কার করেন তবে অন্যথায় না।

ওয়েল এসএসএইচকে অন্য একটি বন্দরে সরিয়ে নেওয়া কিছুটা অর্থপূর্ণ নয়, এটি সুরক্ষায় সহায়তা করে তবে প্রচুর পরিমাণে নয়। অবশ্যই এটি করার জন্য আপনার ফায়ারওয়ালের উপর আপনার নিয়ন্ত্রণ থাকতে হবে তবে এটি আপনার পক্ষে কোনও সমস্যা নয়। বন্দরটি সরিয়ে নেওয়ার সুবিধাটিকে আমি কী অস্বীকার করি তা হ'ল গ্রহণযোগ্য সীমার প্রারম্ভিকতা - আসলে আমি বলতে পারি যে এটি সুবিধাটিকে পূর্বাবস্থায় ফেলার চেয়ে আরও বেশি করে দেয় এবং আপনাকে আজকের চেয়ে আরও উন্মুক্ত করে দেয়। আমি নিশ্চিত যে আপনি দুজনকেই বন্দরটি সরিয়ে নিতে রাজি করতে পারেন এবং সম্ভাব্য প্রবেশের পয়েন্টগুলির তালিকাটি কেবলমাত্র সমস্তগুলি খোলার পরিবর্তে আগত রেঞ্জকে উল্লেখযোগ্যভাবে হ্রাস করতে পারবেন।

আপনার এসএস পোর্ট পরিবর্তন করা অর্থহীন অনুশীলন যা আপনাকে কেবল সীমাবদ্ধ সুরক্ষা কিনে। আপনি কেবল পাসওয়ার্ড প্রমাণীকরণ অক্ষম করার চেয়ে আরও ভাল, যা ব্রুট-ফোর্স পাসওয়ার্ডের প্রচেষ্টার ঝুঁকি দূর করে এবং ssh কী-ভিত্তিক প্রমাণীকরণের উপর একচেটিয়া নির্ভর করে। যদি আপনার পরিবেশের পাসওয়ার্ড প্রমাণীকরণের প্রয়োজন হয় তবে সিকিউরিড বা উইকিডের মতো কিছু দ্বি-গুণক প্রক্রিয়া গ্রহণ করুন।

এগুলি উভয়ই আপনাকে সুরক্ষায় সত্যিকারের বৃদ্ধি দেয়, তবে এসএস পোর্ট পরিবর্তন করা আপনাকে কেবল সুরক্ষার মায়া দেয়।

এটি ব্যবহারিক পিওভ: আমি পরিবর্তিত এসএসএইচ বন্দর দিয়ে চার বছরেরও বেশি সময় ধরে সর্বজনীনভাবে দৃশ্যমান প্রাইভেট এসএস সার্ভার পরিচালনা করেছি এবং আমার পাসওয়ার্ড স্ক্যানের একক প্রচেষ্টা ছিল না। এই কিউএর জন্য আমি কেবল এক দিনের জন্য তাদের মধ্যে 22 টি সক্রিয় করেছি। ফলস্বরূপ আমি প্রতি 10 মিনিটে পাসওয়ার্ডের চেষ্টা ফ্রিক্যোয়েন্সি সহ প্রায় 10 মিনিটে স্ক্যান করেছিলাম। তদুপরি "স্ক্যান কিডিজ" নির্দিষ্ট ওপেনএসএইচ দুর্বলতার সাথে সার্ভারগুলিও সন্ধান করে।

নিশ্চিতভাবেই এটি অস্পষ্টতার দ্বারা সুরক্ষা যা আপনি শত্রু হয়ে উঠলে কোনও লাভ করে না।

"অস্পষ্টতার মাধ্যমে সুরক্ষা" জনতার ঝকঝকে বিষয় নির্বিশেষে এটি দুর্দান্ত কাজ করে।

বোকা খরগোশ, সমস্ত সুরক্ষা অস্পষ্টতার মাধ্যমে সুরক্ষা। কেবলমাত্র আপনি বিশ্বাস করেন যে অস্পষ্ট ক্রিপ্টো প্রোটোকল জেড [ডিএনএ নমুনার সংযুক্তি প্রয়োজন, ভাগ করা কী এবং মানুষের পাসওয়ার্ড দ্বারা টাইপ করা অসম্ভব] আসলে এটি নিরাপদ নয়। সত্যটি হ'ল যে কোনও এবং সমস্ত সুরক্ষা ব্যবস্থা ব্যবহারকারীদের দ্বারা সম্ভাব্যতা এবং অনুমানের উপর নির্ভর করে। আপনার পক্ষে খুব খারাপ যদি আমি বুঝতে পারি কীভাবে সেই অনুমানটিকে কাজে লাগাতে পারি তবে তা রয়েছে।

যাই হোক,

আমরা বছরের পর বছর ধরে এটি করেছি) ক) সংযোগের চেষ্টা সীমাবদ্ধকরণের সীমিতকরণ (তবে, আমরা কীভাবে এটি সেট আপ করব তা আমি জানি না, এসএসএস কনফিগারেশনে কোনও কিছু), এবং খ) কোনও হোস্টকে অভিধান আক্রমণ চালানো নিষিদ্ধ করার জন্য একটি স্ক্রিপ্ট ওয়াই মিনিটের মধ্যে এক্স ভুল অনুমান। আমরা কিছু সময়ের জন্য সংযোগ তৈরি করতে হোস্টটিকে নিষিদ্ধ করি এবং এটি নেটওয়ার্ক পরিবর্তন করার টপোলজির সাথে মানিয়ে নেওয়া সহজ করে তোলে।

যদি আপনার পাসওয়ার্ডগুলি পর্যাপ্ত জটিল হয় এবং তারা 15 মিনিটের মধ্যে কেবল 3 টি প্রচেষ্টা করতে পারে তবে ভয় পাওয়ার বেশি কিছু নেই। বিতরণ করা আক্রমণগুলির পক্ষে নজর রাখা এতটা কঠিন নয় - আমরা সাধারণত সাবনেট এবং আইপি দ্বারা এই ধরণের জিনিসটি আউট করার জন্য কোলেট করি।

অবশেষে, আপনাকে কেবলমাত্র एफ / ডাব্লু বিধি সংশোধন করে আপনার বন্দরে সংযোগের অনুমতি দেওয়ার জন্য কয়েকটি গোপন কাঠবিড়ালি পদ্ধতি দরকার। এটি যে কোনও কিছু হতে পারে ... এসএমটিপি, ওয়েব, ম্যাজিক ডিএনএস কোয়েরি। সিকিউরিড বা উইকিডের মতো স্টাফ কেবল তৃতীয় পক্ষের কাছে আরও তথ্য হস্তান্তর করে। এবং আমাকে তৃতীয় পক্ষের মাধ্যমে নিরাপদ শংসাপত্রগুলি দিয়ে শুরু করবেন না।