প্রথমবার ইন্টারনেটে কোনও এসএসএইচ সার্ভার খোলার সময় কী পরীক্ষা করা উচিত

অপেক্ষাকৃত দীর্ঘ সময় ধরে আমি কয়েকটি সার্ভার চালাচ্ছি, তবে আমি সবসময় কেবল এগুলি ভাড়া করি, তাই প্রকৃত সার্ভারটি সুরক্ষিত করার মতো অভিজ্ঞতা আমার বেশি নেই (আমি যে অ্যাপ্লিকেশনটি চালিয়ে যাচ্ছি তার বিপরীতে)।

এখন আমার নিজের ছোট হোম এসএসএইচ সার্ভারটি ইন্টারনেটে খোলার মতো মনে হচ্ছে।

আমি এটির ব্যবহারকারী একমাত্র হব, আমার পাসওয়ার্ডগুলি যথেষ্ট জটিল প্রতি রাতে স্বয়ংক্রিয়ভাবে (এটি আর্চ লিনাক্স, একটি ঘূর্ণায়মান রিলিজ বিতরণ চালায়)।

এটিকে সুরক্ষিত রাখার জন্য আমার অন্যান্য জিনিসগুলি কী করা উচিত?

ধন্যবাদ!

রুট লগইনগুলি অক্ষম রয়েছে তা নিশ্চিত করুন PermitRootLogin no। আমি পাসওয়ার্ডগুলি পুরোপুরি অক্ষম করার PasswordAuthentication noএবং পাবলিক কীগুলি ব্যবহার করার বিষয়টি বিবেচনা করব PubkeyAuthentication yes।

নিশ্চিত করুন যে কেবল এসএসএইচ -2 অনুমোদিত (যেহেতু এসএসএইচ -1 অতীতে কিছু সুরক্ষা উদ্বেগ উত্থাপন করেছে):

Protocol 2

এসএসএইচ এর মাধ্যমে কেবলমাত্র ব্যবহারকারীদের লগইন করার অনুমতি দেওয়া হয়েছে তা নির্দিষ্ট করুন:

AllowUsers bob, john

বর্ধিত সুরক্ষার জন্য, পাসওয়ার্ড প্রমাণীকরণ বাতিল করুন এবং সর্বজনীন-কী প্রমাণীকরণ ব্যবহার করুন:

PasswordAuthentication no
PubkeyAuthentication yes

দ্রষ্টব্য: এই টিউটোরিয়ালে কীগুলি তৈরি এবং সর্বজনীন-কী প্রমাণীকরণ কনফিগার করার নির্দেশাবলী রয়েছে।

পাশাপাশি রুট লগইন অক্ষম করার জন্য বা শুধুমাত্র সর্বজনীন কী প্রমাণীকরণ ব্যবহার করার বিষয়ে বিষয়গুলি হিসাবে, আমি এটিও দ্বিগুণ পরীক্ষা করে দেখতে পারি যে সিস্টেমে কোনও তুচ্ছ বা খালি পাসওয়ার্ড নেই এমন কোনও ব্যবহারকারী অ্যাকাউন্ট নেই। আপনি বলেছেন যে আপনার ব্যক্তিগত পাসওয়ার্ডগুলি ভাল, তবে এটি অন্য কোনও কারণে খারাপ অ্যাকাউন্ট তৈরি করা অ্যাকাউন্ট অস্বীকার করে না।

উদাহরণ হিসাবে: আমাকে পূর্ববর্তী অ্যাডমিন তার উত্স থেকে সমস্ত সিস্টেমে নাগিওগুলি ইনস্টল করে এমন একটি নেটওয়ার্ক প্রস্তুত করতে হয়েছিল এবং একটি নাগিও ব্যবহারকারীকে কোনও পাসওয়ার্ড, বা পাসওয়ার্ড "নাগিওস" না দিয়ে তৈরি করেছিল, এবং তারপরে তিনটি পৃথক মেশিন পাওয়ার চেষ্টা করেছিল আপোস।

আপনি http://denyhosts.sourceforge.net/ এর মতো কোনও ধরণের আইপি ব্ল্যাকলিস্টিংয়ের সরঞ্জামটি দেখতে চাইতে পারেন । এটি এমন কোনও আইপিগুলিকে অবরুদ্ধ করে যা অনেকবার ব্যর্থভাবে লগ ইন করার চেষ্টা করে এবং এটি অত্যন্ত কনফিগারযোগ্য।

আমি আপনাকে Fail2ban ইনস্টল করার পরামর্শ দিই! http://www.fail2ban.org

এক্স ব্যর্থতার পরে y মিনিট চেষ্টা করে আইপি নিষিদ্ধ করে, স্ক্রিপ্টকিডিকে চেক করে রাখতে সহায়তা করে;)

আপনার সিস্টেমের প্রাসঙ্গিক অংশ / উপাদানগুলি জুড়ে পুনঃবিবেচনা লগ পর্যালোচনাগুলি (এর প্রকৃত / নির্দিষ্ট কনফিগারেশনের উপর নির্ভর করে) ...