সুরতে নামকরণ (বাঁধাই করা) চালানো কেন এত গুরুত্বপূর্ণ? না হয় তাই না?

আমি বাইন্ডের সাথে খেলছি এবং ভাবতে শুরু করি যে কেন এই সফ্টওয়্যারটি উদাহরণস্বরূপ, ক্রোটটিতে চলছে সেন্টোজে। আমাকে ভুল বুঝবেন না, আমি জানি যে বাঁধাই কী এবং ক্রুট (জেল) কী। তবে আমার মূল প্রশ্নটি হ'ল খুব সহজেই অনিরাপদ ছাপিয়ে ছাঁটা বেঁধে রাখা?

জেল ছাড়া এটি স্থাপন করা কি আসলেই ক্ষতিকারক (অন্য কোনও পরিষেবা বা সফ্টওয়্যার)। সিস্টেমে ক্রোট ছাড়াই প্রচুর চালনা চলছে এবং আমি মনে করি যে এগুলির কোনওটির সাথে সমঝোতা করা খুব বিপজ্জনক তবে ক্রুট ব্যতীত অন্য সফ্টওয়্যারটির নামকরণকে আরও বিপজ্জনক বলে মনে হচ্ছে?

@ কিছু ছেলে যেমন উল্লেখ করেছেন আপনাকে historicalতিহাসিক দৃষ্টিকোণে এটি সম্পর্কে ভাবতে হবে।

.তিহাসিক দৃষ্টিভঙ্গিটি হ'ল একটি একক হার্ডওয়্যার এক ডজন অপারেটিং সিস্টেমের অধীনে বিভিন্ন পরিষেবাগুলির এক ডজন বা তার বেশি। যদি একটি পরিষেবা আপোষযুক্ত হয় তবে সেই হার্ডওয়্যারটিতে সমস্ত কিছু আপস করা হয়েছিল।

ভার্চুয়ালাইজেশন সহ এটি কোনও সমস্যার তুলনায় অনেক কম। যদিও ভিএম থেকে পালানো অসম্ভব নয় তবে এটি তুচ্ছ থেকে দূরে। কোনও ভিএম থেকে বেরিয়ে আসার বিষয়টি অবশ্যই আরও কঠিন, তবে ক্রুট থেকে বেরিয়ে আসার জন্য রুট সুবিধাগুলি সহ একটি প্রক্রিয়া চলমান। সুতরাং আমার বাইন্ড সার্ভারগুলি তাদের নিজস্ব ভিএম এ চলছে are সেক্ষেত্রে ক্রুটের পক্ষে সত্যিকার অর্থে খুব একটা পয়েন্ট নেই যেহেতু ক্ষতিটি ইতিমধ্যে কেবলমাত্র একটি ভিএম এর দ্বারা সীমাবদ্ধ।

ভি ভিএম এর মতো কিছু তৈরির জন্য ক্রুট একটি খুব দুর্বল প্রচেষ্টা। রুট সুবিধাগুলি সহ যে কোনও প্রক্রিয়া দ্বারা Chroots এড়াতে পারবেন। একটি ক্রোট মূলত নয় এবং এটি সুরক্ষা ব্যবস্থা হিসাবে কাজ করে না। বিএসডি কারাগারের সাথে একটি ক্রুট বা এলএক্সসি আপনাকে ওএস স্তরের ভার্চুয়ালাইজেশন দেয় এবং সুরক্ষা বৈশিষ্ট্য সরবরাহ করে। তবে এই দিনগুলিতে একটি সম্পূর্ণ মেশিনের নতুন ভিএম স্পিন করা এত সহজ হওয়ার সাথে সাথে সেটআপ করার প্রচেষ্টাটি উপযুক্ত হবে না বা এই উদ্দেশ্যে ওএস স্তরের ভার্চুয়ালাইজেশন সরঞ্জামগুলি কীভাবে ব্যবহার করতে হয় তা শিখতে হবে।

বাইন্ডের পূর্ববর্তী সংস্করণগুলি সুবিধাগুলি ছাড়েনি। ইউনিক্সে, শুধুমাত্র মূল অ্যাকাউন্টটি 1024 এর নীচে পোর্টগুলি খুলতে পারে, এবং বাইন্ড যেমন আমরা জানি যে udp / 53 এবং tcp / 53 এ শোনা দরকার। যেহেতু বিন্দু মূল হিসাবে শুরু হয়, এবং কোনও সুযোগ-সুবিধাকে বাদ দেয় না এর অর্থ পুরো সিস্টেমটিকে আপোস করা যেতে পারে। আজকাল প্রায় কোনও সফ্টওয়্যার তাদের সকেটগুলি খুলতে শুরু করবে এবং অন্য যে কোনও জিনিসগুলির জন্য রুট সুবিধার দরকার হবে তারপরে তারা অন-সুবিধাযুক্ত অ্যাকাউন্ট হিসাবে চলমান ব্যবহারকারীকে পরিবর্তন করবে will সুবিধাগুলি বাদ দেওয়া হয়ে গেলে আপোষহীন হওয়ার প্রভাব হোস্ট সিস্টেমের তুলনায় অনেক কম।

অন্যান্য উত্তরগুলি বেশ ভাল তবে স্তরগুলিতে সুরক্ষা ধারণাটি উল্লেখ করতে ব্যর্থ। আপনার সিস্টেমে আপনি সুরক্ষার যে প্রতিটি স্তর যুক্ত করেন তা হ'ল অন্য স্তর যা একটি বিরোধী অবশ্যই কাটিয়ে উঠতে পারে। ক্রুটে BIND লাগানো আরও একটি বাধা যুক্ত করে।

বলুন BIND- তে একটি শোষণীয় দুর্বলতা রয়েছে এবং কেউ যথেচ্ছ কোড কার্যকর করতে সক্ষম। তারা যদি ক্রুটে থাকে তবে সিস্টেমে অন্য কোনও কিছু পাওয়ার আগে তাদের এগুলি ভেঙে ফেলতে হবে। ক্রোট-ব্রেকিংয়ের জন্য যেমন উল্লিখিত মূল সুবিধার প্রয়োজন। BIND রুট হিসাবে চালায় না, এবং ক্রোটে ন্যূনতম সরঞ্জামগুলি উপলব্ধ রয়েছে বলে মনে করা হচ্ছে, আরও বিকল্প সীমাবদ্ধ করে এবং প্রয়োজনীয়ভাবে কেবলমাত্র সিস্টেম কল রেখে। সুবিধাগুলি বাড়ানোর জন্য যদি কোনও সিস্টেম কল নেই তবে শত্রুরা আপনার ডিএনএস রেকর্ডগুলির দিকে তাকিয়ে আটকে আছে।

পূর্বোক্ত পরিস্থিতি কিছুটা অসম্ভাব্য যেমন সুমগু উল্লেখ করেছেন, BIND এ দিনগুলিতে বেশ কিছুটা দুর্বলতা রয়েছে এবং এগুলি বেশিরভাগ দূরবর্তী সম্পাদনের চেয়ে ডস টাইপের দৃশ্যে সীমাবদ্ধ রয়েছে। এটি বলেছিল যে, বেশ কয়েকটি ওএসের উপর ক্রুটে চালানো হ'ল ডিফল্ট কনফিগারেশন, তাই চিরকাল-সামান্য বর্ধিত সুরক্ষা রাখতে আপনার পক্ষ থেকে কোনও উদ্যোগ নেওয়ার সম্ভাবনা নেই।

প্রস্তাবনা

আমি শুনতে পেয়েছি সমস্ত ইন্টারনেট থেকে লোকেরা ভুল ধারণা পুনরুক্তি করে .. সুতরাং, আমি কিছু স্পষ্টতা দেওয়ার চেষ্টা করব

প্রথম বন্ধ; কত দুর্ঘটনাজনিত আবিষ্কার হয়েছে, যা কেবল .. কারণ এবং প্রভাবের কারণে , এর উদ্দেশ্যপ্রাপ্ত উদ্দেশ্য ব্যতীত অন্য কোনও কিছুর জন্য ব্যবহৃত হচ্ছে ?

ক্রুট জেল কী ছিল এবং কী ছিল

ক্রোট প্রাথমিকভাবে প্রক্রিয়া বা ব্যবহারকারীর জন্য রুট ডিরেক্টরি পরিবর্তন করার জন্য ডিজাইন করা হয়েছিল (অজানা উত্স থেকে সফ্টওয়্যার সংকলনের জন্য দুর্দান্ত)। এই প্রদত্ত নিরাপত্তা বেস সিস্টেমে, সেইসাথে একটি দ্রুত পরীক্ষা বিছানা যন্ত্র সহ সহজ ক্লিন-আপ। বছরগুলি পরে চলে গেছে, এবং এটি ধারণা এবং অন্তর্নিহিত ব্যবহারগুলিও ঠিক একইভাবে পরিবর্তিত হয়েছে।

ক্রুট কার্যকরভাবে ব্যবহার করা হয়েছে এবং এটি বেশ কয়েকটি প্রোগ্রাম এবং লাইব্রেরির জন্য সরাসরি কোড বেসে রয়েছে (যেমন ওপেনএসএসএইচডি, অ্যাপাচি 2 + মোড_সিকিউরিটি 2 / মোড_ক্রুট, ডোভকোট, সেন্ডমেল, ওপেনভিপিএন, পাম_ক্রুট এবং আরও অনেক কিছু )। ধরে নিই যে এই সমস্ত মূলধারার অ্যাপ্লিকেশনগুলি ত্রুটিযুক্ত সুরক্ষা সমাধানগুলি কার্যকর করেছে কেবল সত্য নয়

chroot ফাইল সিস্টেম ভার্চুয়ালাইজেশনের একটি সমাধান: কম কিছু নয়, আরও কিছু নয়। আপনি সহজেই একটি ক্রুট থেকে বেরিয়ে আসতে পারবেন এই ধারণাটিও সত্য নয় ... যতক্ষণ না আপনি ক্রুট কারাগারের অভ্যন্তরে চলমান প্রক্রিয়াগুলির নির্দেশিকাগুলি মেনে চলেন।

আপনার ক্রুট জেলটি সুরক্ষিত করার জন্য কয়েকটি পদক্ষেপ

অর্থাত না না রুট হিসাবে প্রসেস চালানো। এটি রুট এস্কলেশন ভেক্টর খুলতে পারে (এটি ক্রোটের ভিতরে বা বাইরেও সত্য)। ক্রোটের বাইরে অন্য প্রক্রিয়া হিসাবে একই ব্যবহারকারীর ব্যবহার করে ক্রুটের অভ্যন্তরে কোনও প্রক্রিয়া চালাবেন না । আক্রমণ প্রক্রিয়া সীমাবদ্ধ করতে এবং গোপনীয়তা সরবরাহ করতে প্রতিটি প্রক্রিয়া এবং ব্যবহারকারীকে তার নিজের ক্রুটে আলাদা করুন। শুধুমাত্র প্রয়োজনীয় ফাইল, গ্রন্থাগার এবং ডিভাইস মাউন্ট করুন। শেষ অবধি, chroot বেস সিস্টেম সুরক্ষার জন্য প্রতিস্থাপন নয়। সিস্টেমটিকে সম্পূর্ণরূপে সুরক্ষিত করুন।

আরেকটি গুরুত্বপূর্ণ দ্রষ্টব্য: অনেক লোক মনে করেন যে ওপেনজেড ব্রোকেন, বা এটি সম্পূর্ণ সিস্টেমের ভার্চুয়ালাইজেশনের তুলনায় সমান নয়। তারা এই ধারণাটি তৈরি করে কারণ এটি প্রসেস টেবিলের সাথে জীবাণুমুক্ত করা হয়েছে essen হার্ডওয়্যার এবং ডিভাইসে সুরক্ষার ব্যবস্থা সহ measures যার বেশিরভাগটি আপনি একটি ক্রুটে প্রয়োগ করতে পারেন।

ডেডিকেটেড সার্ভারে বা সম্পূর্ণ সিস্টেম ভার্চুয়ালাইজেশনের অধীনে প্রয়োজনীয় প্রয়োজনীয় কার্নেল প্যারামিটারগুলি সুরক্ষিত করার জন্য প্রতিটি প্রশাসকের জ্ঞানের স্তর নেই। এর অর্থ ওপেনভিজেড মোতায়েন করার অর্থ আপনার গ্রাহকরা তাদের অ্যাপ্লিকেশন মোতায়েনের আগে চেষ্টা এবং কভার এবং সুরক্ষিত করার জন্য আক্রমণাত্মক পৃষ্ঠের তুলনায় অনেক কম হবেন। একটি ভাল হোস্ট এই প্যারামিটারগুলি সুরক্ষিত করার জন্য একটি ভাল কাজ করবে এবং ফলস্বরূপ, এটি নোডের প্রত্যেকটি বা ডেটা-সেন্টারে নয়, সামগ্রিকভাবে ইন্টারনেটের জন্য ...

যেমনটি বলা হয়েছে, ক্রুট ফাইল সিস্টেমের ভার্চুয়ালাইজেশন সরবরাহ করে। আপনাকে অবশ্যই নিশ্চিত করতে হবে যে কোনও নির্ধারিত এক্সিকিউটেবল নেই ', নিরাপত্তাহীন অ্যাপ্লিকেশন, গ্রন্থাগারগুলি, ঝুঁকিপূর্ণ মালিকহীন প্রতীকগুলি ইত্যাদি if অন্য কোনও উপায়ে ক্রুটের অভ্যন্তরে থাকা কোনও কিছুতে আপস করুন usually সাধারণত সুযোগ সুবিধায় বাড়াতে বা বেস সিস্টেমে তার পেওলড ইনজেকশনের মাধ্যমে জেল থেকে পালানো।

যদি এটি ঘটে থাকে তবে এর ফলস্বরূপ কোনও খারাপ আপডেট, শূন্য দিনের শোষণ বা অহংকারিক মানব ত্রুটির ফলাফল ।

সম্পূর্ণ সিস্টেম ভার্চুয়ালাইজেশনের বিপরীতে ক্রুট কেন এখনও ব্যবহৃত হয়

এই দৃশ্যটি বিবেচনা করুন: আপনি হোস্ট নোড ওপেনভিজেড সহ ভার্চুয়াল প্রাইভেট সার্ভার চালাচ্ছেন। কার্নেল স্তরের কাজ করে এমন কিছু আপনি চালাতে পারবেন না । এর অর্থ হ'ল আপনি পৃথক প্রক্রিয়াগুলি অপারেটিং সিস্টেমের ভার্চুয়ালাইজেশন ব্যবহার করতে পারবেন না এবং অতিরিক্ত সুরক্ষা সরবরাহ করতে পারবেন। সুতরাং, আপনি এই উদ্দেশ্যে chroot ব্যবহার করা আবশ্যক ।

তদ্ব্যতীত, ক্রোট মূলত যে কোনও সিস্টেমে টেকসই হয়, যতগুলি সংস্থানই প্রাপ্ত। সহজ কথায় বলতে গেলে এতে কোনও ভার্চুয়ালাইজেশন টাইপের খুব কম ওভারহেড থাকে। এর অর্থ এটি অনেকগুলি নিম্ন প্রান্তের বাক্সগুলিতে এখনও গুরুত্বপূর্ণ।

অন্য পরিস্থিতিতে বিবেচনা করুন: আপনার ভার্চুয়ালাইজড পরিবেশের মধ্যে অ্যাপাচি চলছে। আপনি প্রতিটি ব্যবহারকারীর পৃথক করতে চান শেষ ব্যবহারকারীদের মধ্যে চূড়ান্ত গোপনীয়তা নিশ্চিত করার জন্য ক্রুট অ্যাড অ্যাপাচে (মোড_ক্রুট, মোড_সিকিউরিটি ইত্যাদি) যোগ করার মাধ্যমে ভার্চুয়ালাইজড ফাইল সিস্টেম সরবরাহ করা সর্বোত্তম বিকল্প হবে। এটি ইন্টেল জমায়েত রোধ করতেও সহায়তা করে এবং সুরক্ষার আরও একটি স্তর সরবরাহ করে।

সহজভাবে করা, এটা নিরাপত্তা বাস্তবায়ন করা জরুরী স্তর । ক্রোট সম্ভবত তাদের মধ্যে অন্যতম being প্রত্যেকের এবং প্রতিটি সিস্টেমে কার্নেলের অ্যাক্সেস থাকার বিলাসিতা নেই, অতএব, ক্রুট এখনও একটি উদ্দেশ্যে কাজ করে। বিভিন্ন ধরণের অ্যাপ্লিকেশন রয়েছে যাতে সম্পূর্ণ সিস্টেমের ভার্চুয়েসেশন মূলত ওভারকিল হয়।

আপনার প্রশ্নের জবাবে

আমি বিশেষত CentOS ব্যবহার করি না, তবে আমি জানি যে বিন্দু এখন অপারেশনগুলির আগে তার সুবিধাগুলি বাদ দেয়। তবে আমি ধরে নেব যে আক্রমণটি আক্রমণকারী ভেক্টর এবং সম্ভাব্য দুর্বলতার ইতিহাসের কারণে বাঁধাই আঁটিযুক্ত।

এছাড়াও ... এই অ্যাপ্লিকেশনটি স্বয়ংক্রিয়ভাবে সঙ্কলন করা আরও বেশি অর্থবোধ করে, কারণ না প্রত্যেকেরই পুরো সিস্টেম / অপারেটিং সিস্টেমের স্তরের ভার্চুয়ালাইজেশনে অ্যাক্সেস থাকে না। এটি পরিবর্তে এবং তত্ত্ব হিসাবে, সেন্টোস ব্যবহারকারী বেসকে সুরক্ষা প্রদান করতে সহায়তা করে:

অপারেটিং সিস্টেম সরবরাহকারীরা সবাই ধরে নিচ্ছেন না যে প্রত্যেকে একই সিস্টেম চালাচ্ছে। এইভাবে, তারা সুরক্ষার অতিরিক্ত স্তর সরবরাহ করতে সহায়তা করতে পারে ...

এত বেশি অ্যাপ্লিকেশন এটি ব্যবহার করার কারণ রয়েছে এবং স্পষ্টতই আপনার ওএসটি ডিফল্টরূপে কেন করে: কারণ এটি সুরক্ষা বৈশিষ্ট্য হিসাবে ব্যবহৃত হয়েছে, এবং এটি কাজ করে। সতর্কতার সাথে প্রস্তুতি নিয়ে, যেমন আগেই বলা হয়েছিল, সম্ভাব্য আক্রমণকারীকে অবশ্যই কাটিয়ে উঠতে হবে এটি আরও একটি বাধা most বেশিরভাগ সময় কেবলমাত্র ক্রুট জেলের ক্ষতিতে সীমাবদ্ধ।

এটি আংশিক historicalতিহাসিক কারণে, যখন বিনের পুরানো সংস্করণগুলির তীব্র, ঘন ঘন সুরক্ষা দুর্বলতা ছিল। আমি এই বিষয়টিতে সত্যই আপ টু ডেট রাখিনি, তবে আমি বাজি রেখেছিলাম যে খারাপ ওল এর দিন থেকে এটি অনেক উন্নত হয়েছে।

অন্য কারণ, আরও ব্যবহারিক কারণ হ'ল এটি সাধারণত ইন্টারনেট-মুখী ভূমিকাতে নিযুক্ত করা হয় এবং যেমন এটি আরও আক্রমণ, তদন্ত এবং সাধারণ দুরাচরণের জন্য উন্মুক্ত।

সুতরাং, সুরক্ষার ক্ষেত্রে প্রায়শই থাম্বের নিয়ম: দুঃখের চেয়ে ভাল নিরাপদ, বিশেষত ক্রুট-আইং এর প্রচেষ্টা তুলনামূলক কম।