আপডেটগুলি টানুন, ধাক্কা দেবেন না
আপনি স্কেল করার সাথে সাথে এটি আপনার সমস্ত পণ্যগুলিতে পুশ আপডেটগুলি করা অনিবার্য হয়ে উঠবে ।
- আপনাকে প্রতিটি একক গ্রাহককে ট্র্যাক করতে হবে , যার প্রত্যেকেরই আলাদা ফায়ারওয়াল কনফিগারেশন থাকতে পারে।
- আপনাকে গ্রাহকের ফায়ারওয়ালের মাধ্যমে আগত সংযোগ তৈরি করতে হবে, যার জন্য পোর্ট-ফরওয়ার্ডিং বা অন্য কোনও অনুরূপ প্রক্রিয়া প্রয়োজন। এটি আপনার গ্রাহকদের জন্য একটি সুরক্ষা ঝুঁকি
পরিবর্তে, আপনার পণ্যগুলি পর্যায়ক্রমে তাদের আপডেটগুলি 'টান' করুন এবং তারপরে আপনি বাড়ার সাথে সাথে অতিরিক্ত ক্ষমতা সার্ভার-সাইড যুক্ত করতে পারেন।
কিভাবে?
আপনার পরামর্শ অনুসারে এই সমস্যাটি ইতিমধ্যে সমাধান হয়ে গেছে। আমি ভাবতে পারি এমন কয়েকটি পদ্ধতি's
- এপিটি ব্যবহার করে: একটি কাস্টম পিপিএ এবং উত্স তালিকা সহ বিল্ট-ইন অ্যাপ্ট সিস্টেমটি ব্যবহার করুন। আমি কীভাবে পিপিএ সেটআপ করব?
- কন: যদি আপনি লঞ্চপ্যাডের মতো কোনও পাবলিক হোস্টিং পরিষেবা না ব্যবহার করেন তবে নিজের নিজস্ব পিপিএ + প্যাকেজিং সিস্টেম সেটআপ করা হৃদয়ের হতাশার জন্য নয়।
- ssh ব্যবহার করে : প্রতিটি পণ্যের জন্য একটি এসএসএইচ পাবলিক কী উত্পন্ন করুন এবং তারপরে আপনার আপডেট সার্ভারগুলিতে সেই ডিভাইসের কী যুক্ত করুন। তারপরে, কেবল আপনার সফ্টওয়্যার
rsync/ scpপ্রয়োজনীয় ফাইলগুলি রাখুন।
- কন: আপনার পাঠানো প্রতিটি পণ্যটির জন্য সর্বজনীন কীগুলি (এবং ব্যাকআপ!) ট্র্যাক করতে হবে।
- প্রো : কাঁচা ডাউনলোডের চেয়ে আরও সুরক্ষিত, যেহেতু আপডেটগুলি অ্যাক্সেস করতে পারে এমন একমাত্র ডিভাইসগুলি হ'ল পাবলিক কী ইনস্টল করা।
কাঁচা ডাউনলোড + স্বাক্ষর পরীক্ষা :
- কোথাও একটি স্বাক্ষরিত আপডেট ফাইল পোস্ট করুন (অ্যামাজন এস 3, এফটিপি সার্ভার, ইত্যাদি)
- আপনার পণ্য পর্যায়ক্রমে আপডেট ফাইলটি পরিবর্তন করার জন্য পরীক্ষা করে এবং তারপরে স্বাক্ষরটি ডাউনলোড / যাচাই করে।
- কন : আপনি কীভাবে এটি মোতায়েন করবেন তার উপর নির্ভর করে ফাইলগুলি সর্বজনীনভাবে অ্যাক্সেসযোগ্য হতে পারে (যা আপনার পণ্যটিকে প্রকৌশলী এবং হ্যাকের বিপরীতে সহজতর করতে পারে)
জবাবদিহি : জবাবদিহি সিস্টেম কনফিগারেশন পরিচালনার জন্য একটি দুর্দান্ত সরঞ্জাম। এটি পুতুল / শেফের রাজ্যে, তবে এজেন্টলেস (পাইথন ব্যবহার করে) এবং আদর্শবান হিসাবে নকশাকৃত। যদি আপনার সফ্টওয়্যার মোতায়েন করার জন্য জটিল বাশ স্ক্রিপ্টের প্রয়োজন হয় তবে আমি আপনার আপডেটগুলি সম্পাদন করতে কম জটিল করার জন্য এই জাতীয় একটি সরঞ্জাম ব্যবহার করব।
অবশ্যই এটি করার অন্যান্য উপায় আছে .. তবে এটি আমাকে একটি গুরুত্বপূর্ণ পয়েন্টে নিয়ে আসে।
আপনার আপডেটগুলি সাইন / বৈধ করুন!
আপনি যা করেন তা নির্বিশেষে আপনার আপডেটটি যাতে কোনওভাবেই ছত্রভঙ্গ হয় নি তা নিশ্চিত করার জন্য আপনার কাছে এমন ব্যবস্থা থাকা জরুরী । কোনও দূষিত ব্যবহারকারী উপরের যে কোনও কনফিগারেশনে আপনার আপডেট সার্ভারটিকে নকল করতে পারে। আপনি যদি নিজের আপডেটটিকে বৈধতা না দিয়ে থাকেন তবে আপনার বাক্সটি হ্যাক এবং এতে প্রবেশ করা আরও সহজ।
এটি করার একটি ভাল উপায় হ'ল আপনার আপডেট ফাইলগুলিতে স্বাক্ষর করা। আপনাকে একটি শংসাপত্র বজায় রাখতে হবে (বা কাউকে এটি করার জন্য অর্থ প্রদান করতে হবে) তবে আপনি নিজের আউটপুটপ্রিন্টটি আপনার প্রত্যেকটি ডিভাইসে আউট করার আগেই তা ইনস্টল করতে সক্ষম হবেন যাতে তারা যেসব আপডেটের সাথে টেম্পার করা হয়েছে তা প্রত্যাখ্যান করতে পারে।
শারীরিক নিরাপত্তা
অবশ্যই, কারওর কাছে গ্রাহকের স্থাপনায় শারীরিক অ্যাক্সেস থাকলে তারা সহজেই সার্ভারটি গ্রহণ করতে পারে। তবে কমপক্ষে তারা অন্য মোতায়েন আক্রমণ করতে পারে না! শারীরিক সুরক্ষা সম্ভবত আপনার গ্রাহকের দায়বদ্ধতা।
আপনি যদি এক মুহুর্তের জন্য চান, যদি আপনি আপডেটের জন্য একটি বৃহত ওপেনভিপিএন নেটওয়ার্ক ব্যবহার করেন তবে কী হবে তা কল্পনা করুন ... তারা তখন ভিপিএন-তে প্রতিবার আক্রমণ করার জন্য আপোষযুক্ত সার্ভারটি ব্যবহার করতে পারে
নিরাপত্তা
আপনি যাই করুন না কেন, শুরু থেকেই সুরক্ষা তৈরি করা দরকার । এখানে কোণগুলি কাটাবেন না - আপনি যদি এটি করেন তবে শেষ পর্যন্ত আক্ষেপ করবেন।
সম্পূর্ণরূপে এই আপডেট সিস্টেমটি সুরক্ষিত করা এই পোস্টের সুযোগের বাইরে নয় এবং আমি আপনাকে দৃ strongly়ভাবে পরামর্শ দিচ্ছি যদি আপনি বা আপনার দলের কেউ এই অঞ্চলে জ্ঞানী না থাকে। এটি প্রতিটি পয়সা মূল্য।