ফায়ারওয়ালের পিছনে একটি লিনাক্স মেশিনে দূরবর্তী অ্যাক্সেস

11

আমি একটি লিনাক্স মেশিনকে একটি প্রত্যন্ত স্থানে সার্বজনীন টার্মিনাল হিসাবে স্থাপন করব lo রক্ষণাবেক্ষণের জন্য আমি এসএসএইচের মাধ্যমে এটি দূরবর্তীভাবে অ্যাক্সেস করতে সক্ষম হতে চাই তবে আমি এই মেশিনটি অ্যাক্সেস করার প্রয়োজন বিরল ইভেন্টগুলির জন্য আমি রিমোট ফায়ারওয়ালে কোনও বন্দর খোলা রাখতে চাই না। আমি বাইরের কোনও মেশিনে বিপরীত এসএসএইচ টানেল তৈরি করার জন্য যদিও একটি সাধারণ স্ক্রিপ্ট নিয়েছি, তবে আমার যখন এটি অ্যাক্সেস করার দরকার হবে তখন ব্যবহারকারীর কিছু করার দরকার ছিল না। কোন ধারনা?

আপডেট: আমি একটি বিপরীত এসএসএস টানেল তৈরি করতে আমার স্ক্রিপ্টের মূল পরিকল্পনার সাথে যাওয়ার সিদ্ধান্ত নিয়েছি। যদিও অন্যান্য প্রস্তাবিত সমাধানগুলি যেমন পোর্ট নোকিংয়ের বিষয়টি আমি সত্যিই করতে চাই তার লাইনের সাথে আরও বেশি হবে তবে এই ক্ষেত্রে আমার কাছে কোনও কনফিগারেশনের মাধ্যমে ব্যবহারকারীকে হাঁটা ছাড়া অন্য রাউটারটি কনফিগার করতে আমার কোনও অ্যাক্সেস নেই। কাম্পনি

linux  ssh  remote-access 
baudtack
সূত্র
আপনাকে রাউটার কনফিগার করতে হবে না। লিনাক্সে iptables ফায়ারওয়াল রয়েছে যা ফায়ারওয়াল সুরক্ষার জন্য যথেষ্ট। এবং সার্ভারে সর্বদা ssh টানেল তৈরি করা এটিকে আক্রমণ করা ঝুঁকিপূর্ণ করে তোলে এটির সাথে সংযুক্ত হোস্টটি নিক্ষেপ করে।
কাজিমিরাস আলিউলিস
1
আমাকে রাউটারে একটি বন্দর খুলতে হবে তবে লিনাক্স বাক্সে আমার যা কিছু দরকার তা পাস করতে। Ssh টানেল সর্বদা চালু থাকে না। এটি যখন ব্যবহারকারী মেশিনে অ্যাক্সেসের দরকার হয় তখন এটি ব্যবহারকারীর দ্বারা শুরু করা হয়।
বাডট্যাক

উত্তর:

5

এটি একটি বন্দর উন্মুক্ত হওয়ার সাথে সম্পর্কিত এবং বন্দরটি খোলার প্রক্রিয়া সত্ত্বেও কোনও ব্যবহারকারীর পদচারণা না করতে চাওয়ার সাথে আরও কিছু করার নেই। দুর্ভাগ্যক্রমে এই রাউটারে আমার কোনও অ্যাক্সেস নেই।

যদি রাউটার পরিবর্তন করা পুরোপুরি প্রশ্নের বাইরে থাকে তবে আপনাকে হামাচির মতো কোনও পি 2 পি বা ভিপিএন সমাধান দেখার প্রয়োজন হতে পারে । আপনি যদি সিস্টেমটিকে স্বয়ংক্রিয়ভাবে শুরুতে ভিপিএন সংযোগ স্থাপনের জন্য সেটআপ করেন, তবে আপনার যখনই প্রয়োজন হবে তখন আপনাকে সংযোগ করতে সক্ষম হওয়া উচিত। হামাচি আপনার জন্য সমস্ত ফায়ারওয়াল আলোচনা করে। একটি অসুবিধা হ'ল আপনাকে যখন কানেক্ট করার দরকার হয় তখন হামাচি সার্ভারগুলি আপ এবং ক্রিয়াকলাপের উপর নির্ভর করতে হবে।

আপনার যদি এমন সার্ভার থাকে যা সর্বদা আপ থাকে, আপনি অটোশ সেটআপ করতে পারেন যাতে রিমোট সিস্টেমটি সর্বদা একটি টানেল খোলা রাখে এবং আপনার সার্ভারের সাথে সংযুক্ত থাকে। এর একটি অপূর্ণতা হ'ল রিমোট সিস্টেমটি আপোস করা হয় তারা আক্রমণকারী কীগুলি পাবে যেখানে এসএস সেশনটি প্রতিষ্ঠিত করার জন্য ব্যবহৃত হয়েছিল। আপনার সিস্টেমে যে ssh সংযোগটি সত্যই লকড রয়েছে তা গ্রহণ করা খুব গুরুত্বপূর্ণ হবে।

নীচে আমার মূল উত্তরটি দেওয়া আছে, আমি ধরে নিয়েছিলাম যে রাউটার আপডেট করা একটি বিকল্প ছিল।

আপনি যদি ফায়ারওয়াল সমর্থন করে তবে এটি সমাধান করতে পারা যেতে পারে এমন একটি সমাধান হ'ল পোর্ট নোক । কিছু ফায়ারওয়ালের সাহায্যে ফায়ারওয়াল নোটিশগুলি এবং তারপরে অস্থায়ীভাবে ফায়ারওয়ালের মাধ্যমে গর্তটি খোলে এমন একটি বিশেষ প্যাকেট পাঠানো সম্ভব হবে।

আবার অনেকগুলি বাস্তবায়ন হয় কিছু অন্যরকম ভাল। কেউ কেউ শক্ত ক্রিপ্টোগ্রাফি ব্যবহার করে ডান কীগুলি ব্যতীত কোনও ব্যক্তিকে সঠিক নকটি প্রেরণ করা প্রায় অসম্ভব করে তোলে।

Zoredache
সূত্র
এটি দুর্দান্ত ধারণা মত শোনায়! দুর্ভাগ্যক্রমে প্রশ্নযুক্ত ফায়ারওয়ালটি কেবল একটি সাধারণ গ্রাহক গ্রেড লিংকিস বা কিছু সমতুল্য।
বাডট্যাক
1
আপনি যদি ডিডি-আরআরটি ইনস্টল করতে পারেন তবে আপনি নকড ( dd-wrt.com/wiki/index.php/Nockd ) ব্যবহার করতে পারেন
জোড়াদেচে
@ জোরেদাছে সত্য, তবে এটি একটি দূরবর্তী স্থানে। এই রাউটারটিতে আমার কোনও অ্যাক্সেস নেই এবং আমি কোনও ডিডি-আরআরটি ইনস্টল দিয়ে কোনও ব্যবহারকারীকে চলার চেষ্টা করার চিন্তায় কাঁপছি।
বাডট্যাক
আমি সম্মত হই যে এটি সম্ভবত সেট আপ করার সঠিক উপায়, এই শর্তটি প্রদান করে যে আমার কাছে ডিডি-আরআরটি ইনস্টল করার রাউটারটিতে শারীরিক অ্যাক্সেস ছিল।
বাডট্যাক
হামাচি, লগমিইন দ্বারা অর্জিত হওয়ার পরে, লিনাক্স ব্যবহারকারীদের কাছে অসাধারণ বিবেচনা দেখিয়েছে। লিনাক্স মেশিনগুলি যখন আমার হামাচি নেটওয়ার্কের অংশ হয় তখন আমি পণ্যটি অবিশ্বস্ত দেখতে পাই।
বিএমবি
6

22 বন্দরে ইন্টারনেটে অ্যাক্সেসযোগ্য রেখে যাওয়া নিয়ে আমি উদ্বিগ্ন হব না, তবে আমি এটি সুরক্ষিত করতে কিছু পদক্ষেপ নেব।

প্রথমত, কীবোর্ড ইন্টারেক্টিভ প্রমাণীকরণ অক্ষম করুন এবং ssh কীগুলিতে যান।

দ্বিতীয়ত, ভালো কিছু ইনস্টল fail2ban IP ঠিকানাগুলি repeatably আপনার মেশিনে অনুসন্ধানের ব্ল্যাকবল আপনার দূরবর্তী সার্ভারে। আপনার ssh কীগুলি সেটআপ করার কারণে অনুমোদিত ব্যবহারকারীদের জন্য কোনও প্রমাণীকরণ ব্যর্থতা থাকা উচিত নয়।

বিকল্প হিসাবে যদি আপনি সক্ষম হন তবে ওয়ার্কক্রেডব্লিউ পরামর্শ নিন এবং একটি ভিপিএন সংযোগ বন্ধ করতে মেশিনের সামনে ফায়ারওয়ালটি কনফিগার করুন, তবে কেবল রিমোট সার্ভারে থাকা ssh ডিমনকে সেই ভিপিএন জুড়ে আসা সংযোগগুলি গ্রহণ করার অনুমতি দিন।

বিকল্পভাবে যদি আপনার ফায়ারওয়াল ভিপিএন সংযোগটি শেষ করতে না পারে তবে আপনি সম্ভবত জিআরই বা আইপিএসইসি প্যাকেটগুলি আপনার লিনাক্স মেশিনে ফরোয়ার্ড করতে পারেন এবং এটি সেখানেই শেষ করতে পারেন।

ডেভ চেনি
সূত্র
এটি একটি বন্দর উন্মুক্ত হওয়ার সাথে সম্পর্কিত এবং বন্দরটি খোলার প্রক্রিয়া সত্ত্বেও কোনও ব্যবহারকারীর পদচারণা না করতে চাওয়ার সাথে আরও কিছু করার নেই। দুর্ভাগ্যক্রমে এই রাউটারে আমার কোনও অ্যাক্সেস নেই।
বাডট্যাক
আমি আপনার ব্যথা বুঝতে এবং সহানুভূতি জানাই।
ডেভ চেনি
2
এই সমাধানের প্রথম পদক্ষেপটি হবে একটি মানহীন পোর্টে চালানোর জন্য sshd কনফিগার করা। সেখানে 22 পোর্টে প্রচুর বট নক করছে। একটি পোর্ট চয়ন করুন যা / ইত্যাদি / পরিষেবাদিতে প্রদর্শিত না হয় এবং "এনএমেপ HOST" এটি খুঁজে পায় না।
হাইয়ালকি
4

মনে হচ্ছে আপনি নকড খুঁজছেন

আপনি এটি লিনাক্স সার্ভারে iptables সহ নিজেই ইনস্টল করতে পারেন যাতে এটি কোনও দ্বিতীয় স্তরের ফায়ারওয়ালের মতো like এমনকি সীমান্তের ফায়ারওয়ালে 22 টি পোর্ট খোলা থাকলেও এটি সার্ভারে খোলা হবে না, সুতরাং পোর্টসক্যানরা কোনও খোলা পোর্ট দেখতে পাবে না। তারপরে আপনি যখন "সিক্রেট নক" প্রেরণ করেন, হঠাৎ করে আপনার 22 বন্দরটিতে একটি মুক্ত পথ থাকে।

যে জানার জন্য?

ক্ষুদ্র বনহংসীবিশেষ
সূত্র
যদি আমার ভুল না হয় তবে আমাকে ঠিক সমস্ত নক পোর্ট ফরওয়ার্ড করতে হবে? কেউ রাউটার স্ক্যান করলে তা কি স্পষ্ট হবে না? তারা অর্ডারটি জানত না তবে 6 টিতে সম্ভাব্য সংমিশ্রণগুলি বাদ দিচ্ছে, যদি আমি কীভাবে আমার অনুমতিগুলি সঠিকভাবে করতে হয় তা মনে রাখে, তাদের একটি বিশাল শুরুর সুযোগ দেয়। নাকি আমি এই ভুল সম্পর্কে চিন্তা করছি?
বাডট্যাক
নক করার জন্য ব্যবহৃত পোর্টগুলি এগিয়ে পাঠানো দরকার হলেও হোস্টিং চলমান নকডকে কোনওভাবেই নক করার উত্সটির জবাব দেওয়ার দরকার নেই।
জোরডাচি
সঠিক - প্রথম ফায়ারওয়ালে খোলা পোর্টগুলি ২ য় তারিখে খোলা হবে না, তাই স্ক্যানারের কাছে এগুলি সমস্ত বন্ধ দেখা যায়। নোকিং থেকে পোর্টিংগুলিকে আলাদা করার কোনও উপায় নেই।
ব্রেন্ট
3

সমস্ত উত্তর সংক্ষিপ্ত করতে:

এসএসএস ব্যবহার করুন তবে এটি আরও অস্পষ্ট এবং সুরক্ষিত করুন।

সুরক্ষার জন্য:

  • রুট লগইন অনুমোদিত নয় তা নিশ্চিত করুন (পারমিট রুটলগিন নং)।
  • ব্যবহারকারীদের সীমাবদ্ধ করুন, যা কনফিগারেশন বিকল্পের মাধ্যমে AllowUser বা Allowroups দ্বারা লগ ইন করতে পারে।
  • নিশ্চিত করুন যে এটি কেবলমাত্র 2 সংস্করণ ssh প্রোটোকল (প্রোটোকল 2) ব্যবহার করে।
  • কেবলমাত্র প্রমাণীকরণ কী ব্যবহার করার পরামর্শ দেওয়া হয় তবে পাসওয়ার্ডটি আরও সুবিধাজনক, যখন ছুটির দিন থেকে আপনার যেখানে প্রমাণীকরণ কীগুলির অ্যাক্সেস নেই সেখানে সার্ভারের সাথে সংযোগ স্থাপনের প্রয়োজন হতে পারে।

অস্পষ্টতার জন্য:

  • 20486 এর মতো আপনার স্মরণযোগ্য কিছু র্যান্ডম হাই পোর্টে এসএসএস পোর্টটি পরিবর্তন করুন This এটি বেশিরভাগ স্বয়ংক্রিয় ব্রুটোফোর্সদের থেকে মুক্তি পাবে তবে এটি সার্ভারের সমস্ত পোর্ট স্ক্যান থেকে এটিকে আড়াল করবে না।
  • পোর্টের সাথে সংযোগ স্থাপনের ক্ষমতা লুকান। একটি উপায় হ'ল পোর্ট নোক অন্য উত্তরগুলিতে উল্লিখিত, তবে আপনার বিশেষ সফ্টওয়্যার দরকার, যা সর্বত্র অ্যাক্সেসযোগ্য নয়। আরেকটি সহজ বিকল্প হ'ল নিয়ম তৈরি করতে সাম্প্রতিক মডিউল সহ iptables ফায়ারওয়াল ব্যবহার করা, যা কেবল দ্বিতীয় বা তৃতীয় চেষ্টাতে সংযোগ করার অনুমতি দেয়। সুতরাং আপনি জানেন যে আপনাকে সফলভাবে সংযোগ করতে বেশ কয়েকবার চেষ্টা করতে হবে, তবে সাধারণ সমস্ত বন্দর স্ক্যান ssh পোর্ট প্রকাশ করে না। বিধিগুলি এর মতো হবে:


iptables -A INPUT -m tcp -p tcp --dport 20486 -m state --state NEW -m recent --set
iptables -A INPUT -m tcp -p tcp --dport 20486 -m state --state NEW  -m recent --rcheck --seconds 60 --hitcount 2 -j ACCEPT
iptables -A INPUT -m tcp -p tcp --dport 20486 -j DROP

কাজিমেরেস আলিউলিস
সূত্র
+1 দুর্দান্ত সংক্ষিপ্তসার এবং একাধিক-প্রচেষ্টা কৌশল সম্পর্কে আকর্ষণীয় ধারণা।
ডেভিড জেড
2

আপনার বিপরীত এসএসএস টানেলের জন্য স্ক্রিপ্ট নির্ধারিত, বা ফায়ারওয়াল পোর্ট খুলুন open

আপনি যদি এসএসএইচ বিশ্বের কাছে উন্মুক্ত থাকায় উদ্বিগ্ন হন তবে আপনি যখন আইপ্যাবটিবলস স্ক্রিপ্টগুলি সহ আপনার রক্ষণাবেক্ষণের সময়টি কেবলমাত্র তখনই উপলব্ধ থাকতেন তখন আপনি কার্য নির্ধারিত করতে পারেন।

sclarson
সূত্র
1
একমত। আপনার ভিপিএন প্রবেশের উপায় না থাকলে একমাত্র আসল সমাধানটি মূলত একটি বন্দর খোলা open যদি আপনি এটি সম্পর্কে নার্ভাস হন তবে আপনি সর্বদা একটি অ-মানক বন্দর ব্যবহার করতে পারেন।
WerkkreW
2

আপনার এসএসএইচ টানেলটি খোলার জন্য পোর্ট নোকিংয়ের দিকে তাকান ।

এছাড়াও, অনেক খারাপ অনুরোধের পরে লোকেরা লক আউট করতে অস্বীকৃতি চালান।

উভয় প্যাকেজ স্ট্যান্ডার্ড উবুন্টু, ফেডোরা এবং আরএইচএল সংগ্রহস্থলগুলিতে উপলব্ধ।

টিম হাওল্যান্ড
সূত্র
1

এগিয়ে যান এবং একটি বন্দর খুলুন, কেবল এটিকে সাধারণ পরিসরের বাইরে তৈরি করুন। আমি এটি 1024 এরও বেশি কিছু এলোমেলো বন্দর করব That এইভাবে হ্যাকাররা এটি সন্ধান করার সম্ভাবনাও কম।

ব্র্যাড গিলবার্ট
সূত্র
0

আপনার যদি দূর থেকে মেশিনে অ্যাক্সেসের প্রয়োজন হয় তবে ফায়ারওয়ালের গর্তটি ছুঁড়ে না দেওয়ার কোনও কারণ নেই re

তবে, আপনি যদি এখনও পোর্টটি খুলতে (বা না করতে) চান তবে একটি সাধারণ শেল স্ক্রিপ্ট কিছু ইন্টারনেট উপলব্ধ সংস্থান নিরীক্ষণ করতে পারে যা আপনি নিয়ন্ত্রণ করতে পারেন এবং বিপরীত টানেলটি প্রবর্তনের জন্য আদেশটি শোনেন। ইমেল অ্যাকাউন্ট, আইআরসি চ্যানেল এবং ওয়েব পৃষ্ঠাগুলি তাত্ক্ষণিকভাবে ট্রিগার ডিভাইস হিসাবে মনে আসে।

অবশ্যই, এটি কেবল বন্দর খোলার চেয়ে অনেক বেশি ভঙ্গুর এবং কম সুরক্ষিত। তবে আমি নিশ্চিত যে আপনার কারণগুলি আছে।

ব্রায়ান
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.