উত্তর:
আমি উবুন্টু-নির্দিষ্ট কোনও টুইটের কথা ভাবতে পারি না, তবে কয়েকটি বিতরণ যা সমস্ত বিতরণের ক্ষেত্রে প্রযোজ্য:
অবশ্যই এই তালিকাটি সম্পূর্ণ নয়, এবং আপনি কখনই পুরোপুরি নিরাপদ থাকবেন না, তবে এটি বাস্তব জীবনে আমি দেখেছি এমন সমস্তগুলি কভার করে ।
এছাড়াও, আমি যে শোষণগুলি দেখেছি সেগুলি প্রায়শই অনিরাপদ ব্যবহারকারী কোডের সাথে সম্পর্কিত ছিল, অনিরাপদ কনফিগারেশন নয়। সর্বনিম্ন, সার্ভার বিতরণে ডিফল্ট কনফিগারেশনগুলি বেশ সুরক্ষিত থাকে।
একটি দ্রুত জিনিস যা আমি প্রথম দিকে করি তা হ'ল ডেনাইহস্টগুলি ইনস্টল করুন । এটি নিয়মিত / var / লগ / সুরক্ষিতভাবে অনুসন্ধান করবে, ব্যর্থ লগইনগুলি সন্ধান করবে এবং বেশ কয়েকটি ব্যর্থতার পরে আইপি ব্লক করবে। প্রথম অমন-ব্যবহারকারীর পরে, মূলের দ্বিতীয় প্রচেষ্টার পরে এবং বাস্তব ব্যবহারকারীদের জন্য বেশ কয়েকবার চেষ্টা করার পরে আমি এটি ব্লক করে রেখেছি (আপনি যদি গোলযোগ পান তবে আপনার লগইন করার জন্য এসএসএইচ পাবলিক কী ব্যবহার করা উচিত)।
উবুন্টু ডেবিয়ানের উপর ভিত্তি করে তৈরি এবং আমি আপনার সিস্টেমের মাধ্যমে আপনাকে পুরোপুরি চলতে এবং প্রতিটি অংশ খতিয়ে দেখতে দেবিয়ান-ভিত্তিক বিতরণগুলিতে সুরক্ষা দেবিয়ান ম্যানুয়ালটি খুব দরকারী বলে খুঁজে পেয়েছি । এটি আপনার প্রশ্নের মূলত সত্যই, একটি বিস্তৃত উত্তর।
আমি সাধারণত আরকেহান্টার ইনস্টল করি যা রুটকিটগুলির জন্য স্ক্যান করে এবং বিভিন্ন গুরুত্বপূর্ণ সিস্টেম বাইনারিগুলির অখণ্ডতা পরীক্ষা করে। এটি স্ট্যান্ডার্ড রেপোতে রয়েছে এবং ক্রোন থেকে প্রতিদিন চলবে। এটি সুরক্ষার দিক দিয়ে নিখুঁত নয়, তবে এটি যুক্ত করার জন্য একটি স্বল্প-প্রচেষ্টা আইটেম এবং এটি একটি পরিমাপের সুরক্ষা সরবরাহ করে।
লগ চেক ইনস্টল করুন, তবে টুইট করুন যাতে আপনি কখনই নিয়মিত ইভেন্ট থেকে বার্তা না পান, অন্যথায় আপনি ইমেলগুলি উপেক্ষা করার অভ্যাস পাবেন।
নেটস্ট্যাট ব্যবহার করে কোন প্রক্রিয়াগুলি শুনছে তা পরীক্ষা করে দেখুন এবং নিশ্চিত হয়ে নিন যে এমন কিছু চলছে না যা চালানোর দরকার নেই। অনেকগুলি ডেমন সমস্ত ইন্টারফেসের পরিবর্তে কেবলমাত্র অভ্যন্তরীণ আইপি (বা লোকালহোস্ট) শোনার জন্য কনফিগার করা যায়।
যা পরামর্শ দিতে পারে তা করুন ...
হোস্টকে এনএম্যাপ করুন এবং সমস্ত অপ্রয়োজনীয় পরিষেবাদি অক্ষম করুন। প্রয়োজনে iptables ব্যবহার করুন।
মত বিভিন্ন ডিরেক্টরি জন্য পৃথক পার্টিশন ব্যবহার করুন /tmpঅথবা /varএবং তাদের সঙ্গে মাউন্ট nosuid, nodevএবং noexecসম্ভব হলে।
ফায়ারওয়াল এবং বাক্সটি সঠিকভাবে লক করার ধারণাগুলি ব্যবহার করতে শিখুন। ডিফল্ট পোর্ট পরিবর্তন করা মূলত একটি অকেজো জিনিস; যথাযথ প্রয়োগ এবং ফায়ারওয়াল কনফিগারেশন আরও গুরুত্বপূর্ণ much
দুজনেই উবুন্টু রেপোসে রয়েছেন:
ভয়ঙ্কর ডকুমেন্টেশন এবং সিনট্যাক্স শিখতে খুব সহজ। আমি বিশ মিনিটের মধ্যে একটি গেটওয়ে / ফায়ারওয়াল সেট আপ করতে সক্ষম হয়েছি। আমি এ থেকে সরে যাওয়ার একমাত্র কারণ হ'ল এটি বজায় রাখা মনে হয় না (শেষ প্রকাশ 2 বছর আগে)। তার মানে এই না যে এটি কাজ করে না, তবে ...
অন্য এক। আরও iptables- মত সিনট্যাক্স, কিন্তু একই ধারণা। ফায়ারহোলের চেয়ে বেশি সম্প্রদায় বজায় রয়েছে তবে তা নিতে বেশি সময় লাগে।
আমি বর্তমানে এটি ব্যবহার করি। এটির ডকুমেন্টেশনগুলি বিস্তৃত এবং এর কনফিগারেশন বিন্যাসটি সারণীযুক্ত। একটি ওয়ার্কিং ফায়ারওয়াল / গেটওয়ে কনফিগারেশন চালু রাখতে প্রয়োজনীয় সমস্ত ফাইল (6) বুঝতে আমার প্রায় দেড় ঘন্টা সময় লেগেছে। এটি বেশ শক্তিশালী। টিপ: বিভিন্ন কনফিগার ফাইলের ম্যান পেজগুলি সত্যিই সহায়ক!
কনফিগার ফাইল থেকে এই সমস্ত লোড ফায়ারওয়াল কনফিগারেশন। সোজা আপ আইটেমগুলির চেয়ে খুব কার্যকর, সহজেই ব্যবহার করা সহজ, এবং (আমার মতে) ইউএফডাব্লু এর চেয়ে ব্যবহার এবং পরিচালনা করা সহজ।
আমি এসএসএইচ কী ব্যবহারের জন্য সুপারিশগুলিকে দ্বিতীয় করে দিই।
একটি আইডিএস সেট আপ করুন।
অ্যাপআর্মার সম্পর্কে জানুন। এটি এক্সিকিউটেবলের ফাইল অ্যাক্সেসকে কেবলমাত্র নির্দিষ্ট ডিরেক্টরি এবং প্রয়োজনীয় ফাইলগুলিতে সীমাবদ্ধ করে। আরএইচইএল বিশ্বের SELinux এর মতো। এটি অনেক ভাল-ব্যবহৃত প্রোগ্রামগুলির জন্য প্রাক-কনফিগার করা 'প্রোফাইলগুলি' দিয়ে ইনস্টল এবং সক্ষম করা হয়েছে।
পাশাপাশি অন্যান্য পরামর্শগুলির পাশাপাশি আমি তিনটি উল্লেখ করব যা সুস্পষ্ট তবে সম্পূর্ণতার জন্য সম্ভবত উল্লেখযোগ্য: