আমি দুর্ঘটনাক্রমে রিমোট সার্ভারের সাথে এসএসএইচ সংযোগ নিষিদ্ধ করেছি… এর পরে কী?

61

এটি আবার বলা যাক, আমরা সকলেই ভুল করি , এবং আমি সবেমাত্র একটি করেছি।

একটি সংক্ষিপ্ত ইতিহাস: আমি যে ভিপিএস (দেবিয়ান) ভাড়া নিচ্ছি তাতে কিছু জিনিস করছি, যখন আমি কিছু অদ্ভুত আচরণ লক্ষ্য করলাম। netstatকমান্ডটি ব্যবহার করে আমি এসএসএইচের মাধ্যমে একটি অননুমোদিত সংযোগ দেখেছি। আমি কী করব তা জানতাম না, তাই আমি ব্যবহার করে তার সংযোগটি বন্ধ করার সিদ্ধান্ত নিয়েছি iptables:

iptables -A INPUT -p tcp --dport ssh -s IP -j DROP

তবে আমি ক্লান্ত, এবং আমি লিখেছি

iptables -A INPUT -p tcp --dport ssh -j DROP

এবং আমি নিজেকে (এবং অন্য সবাইকে) লাথি মেরেছিলাম ...

আমি কিভাবে এটা ঠিক করব?

ssh  iptables  firewall  connection 
tomatoGuy
সূত্র
কাস্পার্ড
1
না, কারণ তিনি মেশিনে সমস্ত এসএস প্যাকেট ব্লক করছেন। একটি ভুল কনফিগার্ড সাবনেটে, আপনি কেবলমাত্র সেই ম্যাক ঠিকানার জন্য tcpdump করতে চান, এটি যে আরপ-ইন করা হচ্ছে তা সাবনেট করে একই সাবনেটে ভার্চুয়াল নিককে কনফিগার করে তার সাথে কথা বলবেন।
jfalcon ওরফে ডন ফ্যানিং
50
ভাল, আপনি অবশ্যই অননুমোদিত ব্যক্তির পক্ষে অ্যাক্সেস সরিয়ে ফেলেছেন।
একটি সিভিএন
2
পরবর্তী সময়ের জন্য, সম্ভবত কোনও মৃত ব্যক্তির সুইচটি কার্যকর হবে।
ওয়েইন কনরাড
2
আপনার হোস্ট কে? অনেকগুলি ভিএম হোস্ট একটি সিরিয়াল কনসোল অফার করে যা আপনাকে এমন কোনও ক্ষেত্রে এসএসএইচ করতে দেয় যেখানে আপনি কোনও দূরবর্তী অবস্থান থেকে অক্ষম হন।
জন

উত্তর:

60

বিভিন্ন বিকল্প রয়েছে:

  • দেখুন সার্ভারে তাদের আইপিএমআই / "কেভিএম" / কনসোল অ্যাক্সেস রয়েছে কিনা যা আপনাকে এটিকে নিয়ন্ত্রণ করতে দেয় যেন আপনি কোনও শারীরিক কীবোর্ড এতে প্লাগইন করেছেন।
  • যদি তারা সেই প্রস্তাব না দেয়, দেখুন আপনি কোনও পুনরুদ্ধার লিনাক্স সিডিতে ভিএম বুট করতে পারেন কিনা তা দেখুন (কিছু সরবরাহকারী এটি সরবরাহ করেন) এবং তারপরে ফায়ারওয়াল বিধিগুলি সংশোধন করুন এবং তারপরে এটি স্বাভাবিকের মতো বুট করুন।

  • আপনার যদি কনসোল অ্যাক্সেস না থাকে, আপনি পুনরুদ্ধার করতে বুট করার আগে বা ভলিউমটিকে অন্য ভিএম-তে সংযুক্ত করার আগে (অ্যামাজনের ক্ষেত্রে যেমন ক্রেডিট ব্যবহারকারী 3550767 এর উত্তর হিসাবে), আপনি নিয়মগুলি সংরক্ষণ না করে প্রথমে রিবুট করার আনখ 2054 এর উত্তর চেষ্টা করতে পারেন ( সম্ভবত আপনি কেঁচানোর সুযোগ পাওয়ার আগে নিজেকে লাথি মেরে ফেলেছেন সম্ভবত)) কন্ট্রোল প্যানেলটি ব্যবহার করুন বা কাউকে বিদ্যুতচক্র করতে বলুন অ-গ্রেফসুল রিসেট / পাওয়ার অফ (ওরফে হার্ড রিবুট বা হার্ড শাটডাউন) ব্যবহার করে যদি স্ক্রিপ্ট বিধি দ্বারা স্বয়ংক্রিয়ভাবে সংরক্ষণ করে (ক্রেডিট @ জেফালকন, @ জোশডসন) automatically

    এর ত্রুটিগুলি ওজন করুন (যেমন পুনরায় বুট করার সময় লিখিত ডেটা হারিয়ে যেতে পারে এবং বুট-এ এত বেশি সময় বুট করার সময় ফাইল-সিস্টেম চেকের প্রয়োজন হতে পারে, যদিও এই বিলম্বটি পুনরুদ্ধারে বুট করার চেয়ে কম হতে পারে)।

g491
সূত্র
1
ভিপিএস সার্ভারের উপর নির্ভর করে, তিনি পৌঁছাতে পারে এমন কোনও দূরবর্তী অ্যাক্সেস নাও থাকতে পারে। ভিএমওয়্যার, কেভিএম, জেন, ইত্যাদি সিস্টেমে কনসোল রয়েছে তবে জনসাধারণের ব্যবহারের জন্য সেটআপ নেই। বন্ধ করে দেয় যা এই ধরণের সার্বজনীন নিয়ন্ত্রণের অনুমতি দেয় না ওপেনস্ট্যাক।
jfalcon ওরফে ডন ফ্যানিং
4
এটি বলেছিল, এটি যদি অ্যামাজন / গুগল স্পেসে থাকে তবে তিনি ড্রাইভটি স্ন্যাপশট করে ঠিক করতে অন্য ভার্চুয়াল মেশিন থেকে মাউন্ট করতে পারতেন।
jfalcon ওরফে ডন ফ্যানিং
47

আপনি যদি এখনও আইপেটেবলস রক্ষা না করে থাকেন তবে আপনি ভিপিএসে সার্ভারটি পুনরায় চালু করতে পারেন (যদি পাওয়া যায়) এবং নিয়মটি অদৃশ্য হয়ে যাবে।

Ankh2054
সূত্র
শাটডাউন করার সময় init স্ক্রিপ্ট iptables সংরক্ষণ না করে unless
jfalcon ওরফে ডন ফ্যানিং
3
@ জ্যাফালকন: এজন্য আপনি তাদের ভার্চুয়াল প্লাগটি টানতে বলতে পারেন।
joshudson
22
@ জেফালকন এ কারণেই শাটডাউনে অটো-সেভ করা বাজে ধারণা ... সিস্টেমের দ্বারা অন্ধভাবে মৃত্যুদণ্ড কার্যকর না করে সিসাদমিন দ্বারা একটি সচেতন সিদ্ধান্ত গ্রহণ করা।
একটি সিভিএন
@ জোশুডসন: আপনাকে রিবুট বানরকে ঠিক কী করতে হবে তা বলতে হবে এবং শক্তি বন্ধ করতে বাধ্য করতে হবে। শুধু শাটডাউন শুরু করবেন না।
jfalcon ওরফে ডন ফ্যানিং
@ মাইকেলকিজারলিং: এই দর্শনটিও ভুল। এটি একটি ভিপিএস হ'ল সম্ভবত তিনি তার অ্যাপ্লিকেশনগুলি স্যান্ডবক্সিং করছেন এবং কে পাওয়ার সুইচটি আঘাত করে তার উপর তার কোনও নিয়ন্ত্রণ নেই। এবং ভিপিএস হোস্টিং কীভাবে তাদের বিল্ডগুলি কনফিগার করেছে তা আপনার কোনও ধারণা নেই। শাটডাউনটি সংরক্ষণে কোনও ভুল নেই। তার ভুল ছিল তার ভুল। প্রথম স্থানে স্মার্ট পদক্ষেপটি হ'ল এসএসএইচটিকে একটি মানহীন বন্দরে স্থাপন করা বা আতঙ্কিত প্রতিক্রিয়ার সাথে প্রতিক্রিয়া না করে ব্যর্থ 2ban ব্যবহার করা হত।
jfalcon ওরফে ডন ফ্যানিং
30

মানব-কর্মচারী সাহায্যের লাইনগুলির জন্য এটি। পরিষেবা সরবরাহকারীকে কল করুন এবং তাদের একজন অপারেটর আপনার জন্য নিয়ম সরিয়ে দিন।

RobertG
সূত্র
3

একটি ভাঙা দৃষ্টান্তটি ঠিক করার একটি সাধারণ উপায় হ'ল এটি বন্ধ করে দেওয়া এবং একটি কার্যকারী দৃষ্টির সাথে রুট ভলিউম সংযুক্ত করা। তারপরে আপনি সেখানে ভলিউম মাউন্ট করতে পারেন এবং লগগুলি দেখতে বা কনফিগারেশন ফাইলগুলি সম্পাদনা করতে পারেন। তারপরে আপনি ভলিউমটি আলাদা করতে পারেন এবং এটি নিজের পরিস্থিতিতে শুরু করতে পারেন।

user3550767
সূত্র
2
এডাব্লুএস ভিপিএসের জন্য সত্য; সাধারণত সত্য নয়।
ম্যাডহ্যাটার
@ ম্যাডহ্যাটার সঠিক বিবরণগুলি পরিবর্তিত হতে পারে, তবে যদি কোনও ভিপিএস সরবরাহকারী কোনও পরিচিত চিত্রের সাহায্যে বুট করার কোনও পদ্ধতি প্রস্তাব না দেয় যেখানে আপনি নিজের রুট ফাইল সিস্টেমটি মাউন্ট এবং ফিক্স করতে পারেন তবে আমি গ্রাহকরা একবার তাদের ব্যবসায়ের বাইরে চলে যাওয়ার প্রত্যাশা করব যে সীমাবদ্ধতা সম্পর্কে শিখেছি।
কাস্পার্ড
সাধারণত, তারা কনসোল অ্যাক্সেসের মাধ্যমে এটি করে, যাতে আপনি একক-ব্যবহারকারী মোডে বা উদ্ধার মিডিয়া থেকে (সাধারণত একটি আইএসও হিসাবে বিমূর্ত) থেকে বুট করতে পারেন। আমি এটি জমা দিচ্ছি যে এটি সমস্যাটি পরিচালনা করার পক্ষে এডাব্লুএসের বিজোড় পদ্ধতির চেয়ে অনেক বেশি স্বাভাবিক, যেখানে একটি দ্বিতীয় ভিপিএস (সাময়িকভাবে) কোনও প্রয়োজন।
ম্যাডহ্যাটার
@ ম্যাডহ্যাটার দুটি পদ্ধতির মধ্যে কোনটি বিজোড় বলে মনে হচ্ছে আপনি সবচেয়ে বেশি পরিচিত তার উপর নির্ভর করে very এবং হয় পদ্ধতির কাজ হয়ে যায়। কোনটি সবচেয়ে সাধারণ তা আমি সত্যিই মন্তব্য করতে পারি না, যেহেতু এখন পর্যন্ত আমার কেবলমাত্র একটি ভিপিএস সরবরাহকারীর কাছে এ জাতীয় অ্যাক্সেসের প্রয়োজন আছে।
ক্যাস্পার্ড
@ ক্যাস্পারড: না, আপনি যা ব্যবহার করেন এটি নির্ভর করে যে কোনও প্রদত্ত ভিপিএস সরবরাহকারী সমর্থন করে; এটা পছন্দের বিষয় নয়। আপনি যদি এডাব্লুএস ব্যবহার করছেন তবে আপনি অন্য ভিপিএসে ভলিউমটি মাউন্ট করবেন; আপনি যদি আরও সাধারণ ভিপিএস সরবরাহকারী ব্যবহার করেন তবে আপনি একক ব্যবহারকারী বা উদ্ধার মিডিয়া থেকে বুট করেন। আমি এই বিষয়টিকে একটি শিশ্ন হিসাবে পরিণত করি না (ভাল, পুরোপুরি নয়) তবে এটির প্রশংসা করা গুরুত্বপূর্ণ যে কারও সরবরাহকারীর সমর্থিত পদ্ধতি (গুলি) কী তা খুঁজে বের করতে হবে, তারপরে সেগুলি ব্যবহার করুন। এডাব্লুএস পদ্ধতিটি ব্যবহার করে চেষ্টা করার চেষ্টা করুন, বলুন, হিটজনার কেবল কাজ করবে না , কারণ একটি হিটজার ভেসার অন্যের এফএস (আফিক) দেখতে পারে না।
ম্যাডহ্যাটার
3

আনুষ্ঠানিক উত্তর: ভিপিএস পরিচালনা প্যানেলে যান, কোনওভাবে স্থানীয় অ্যাক্সেস (ভার্চুয়াল কেভিএম) পান বা তাদের কল করুন।

এটির জন্য পুনরায় পতন রোধ করার পদক্ষেপ / বিধিগুলির ব্যাখ্যা:

  1. আইপি, রাউটিং এবং ফায়ারওয়াল নিয়মের পরিবর্তনগুলি রয়েছে যা খারাপ হতে পারে এবং আপনার অ্যাক্সেসকে ব্লক করতে পারে।
  2. এবং এটি ডেডিকেটেড নেটওয়ার্ক ডিভাইস কনফিগারেশনের ক্ষেত্রেও প্রযোজ্য, কেবল ভিপিএসে নয়

তাই যদি না আপনি 100% নিশ্চিত করুন যে আপনি পারেন সঙ্গে পুনরুদ্ধার যে পারেন .. আমি সবসময় তার পূর্ববর্তী অবস্থায় নেটওয়ার্কের কনফিগ রিসেট করার জন্য একটি পথ পরিষ্কার করা সুপারিশ .. মত, খোলা পটভূমি অধিবেশন হয় screen, nohupঅথবা tmux, এমনকি cronএই জন্য কাজ করতে পারে, যোগ iptables -Fঅথবা পূর্ববর্তী স্থানে যে কোনও কিছু পুনরায় সেট করতে অন্য কাঙ্ক্ষিত উপায়।

kagali সান
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.