উত্তরযোগ্য সুরক্ষার সর্বোত্তম অনুশীলন

আমি আমার ডেটা সেন্টারে আনসিবলকে পরিচয় করিয়ে দিচ্ছি, এবং কন্ট্রোল মেশিনটি কোথায় সনাক্ত করতে হবে এবং কীভাবে এসএসএইচ কীগুলি পরিচালনা করতে হবে সে সম্পর্কে আমি সুরক্ষার জন্য কিছু সেরা অনুশীলন খুঁজছি।

প্রশ্ন 1: নিয়ন্ত্রণ মেশিন

আমাদের অবশ্যই একটি নিয়ন্ত্রণ মেশিনের প্রয়োজন। কন্ট্রোল মেশিনে এটিতে সর্বজনীন এসএসএইচ কীগুলি সংরক্ষিত থাকে। যদি কোনও আক্রমণকারীটির নিয়ন্ত্রণ মেশিনে অ্যাক্সেস থাকে তবে এর সম্ভাব্যভাবে পুরো ডেটা সেন্টারে (বা উত্তরীয় দ্বারা পরিচালিত সার্ভারগুলিতে) অ্যাক্সেস থাকতে পারে। তাহলে ডেটা সেন্টারে ডেডিকেটেড কন্ট্রোল মেশিন বা রিমোট কন্ট্রোল মেশিনে থাকা (আমার ল্যাপটপের মতো ডেটা সেন্টারের সাথে দূরবর্তীভাবে সংযুক্ত থাকা) ভাল কি?

যদি সর্বোত্তম অনুশীলনটি হ'ল আমার ল্যাপটপটি ব্যবহার করা (যা অবশ্যই চুরি হয়ে যেতে পারে তবে আমি আমার পাবলিক কীগুলি নিরাপদে অনলাইনে ক্লাউডে বা অফলাইনে কোনও পোর্টেবল ক্রিপ্টেড ডিভাইসে সংরক্ষণ করতে পারি), যদি আমাকে কিছু ওয়েব ইন্টারফেস ব্যবহার করতে হয় তবে উত্তরযোগ্য, আনসিবল টাওয়ার, সেমফোর, রুন্ডেক বা ফোরম্যানের মতো যা সেন্ট্রালাইজড মেশিনে ডেটাসেন্টারে ইনস্টল করা দরকার? কীভাবে এটি সুরক্ষিত করা এবং "আক্রমণের একক পয়েন্ট" হয়ে উঠতে এড়ানো যায়?

প্রশ্ন 2: এসএসএইচ কীগুলি

ধরে নিন যে রুট (যেমন সফ্টওয়্যার প্যাকেজ ইনস্টল করা বা এটির মতো কিছু ইনস্টল করার মতো) কার্যকর করতে হবে এমন কিছু কাজ করতে আমার জবাবদিহি করতে হবে। আমি মনে করি সর্বোত্তম অনুশীলন হ'ল নিয়ন্ত্রিত সার্ভারগুলিতে রুট ব্যবহারকারী ব্যবহার করা নয়, সুডো অনুমতি নিয়ে উত্তরীয়ের জন্য একটি সাধারণ ব্যবহারকারী যুক্ত করা। তবে, যদি উত্তরীয়কে প্রায় প্রতিটি কাজ করার প্রয়োজন হয় তবে এটি সুডোর মাধ্যমে প্রতিটি আদেশে অ্যাক্সেস থাকা দরকার। সুতরাং, সেরা পছন্দটি কী:

• উত্তরযোগ্যকে রুট ব্যবহারকারী ব্যবহার করতে দিন (এর সর্বজনীন কীটি এতে সংরক্ষণ করা হয়েছে) ~/.ssh/authorized_keys
• সুডো অ্যাক্সেস সহ উত্তরযোগ্যদের জন্য উত্সর্গীকৃত একটি অনিবদ্ধ ব্যবহারকারী তৈরি করুন
• জবাবদিহিত ব্যবহারকারীকে sudo- র মাধ্যমে একটি পাসওয়ার্ড নির্দিষ্ট করে প্রতিটি কমান্ড চালাতে দিন (যা প্রতিটি সিসাদমিনের দ্বারা জানা দরকার যা সেই সার্ভারগুলি নিয়ন্ত্রণ করতে জবাবদিহি করে)
• উত্তরযোগ্য ব্যবহারকারীকে কোনও পাসওয়ার্ড উল্লেখ না করে সুডোর মাধ্যমে প্রতিটি কমান্ড চালাতে দিন
• অন্য কোন ইঙ্গিত?

বেসমেন্ট হোস্ট (উত্তরযোগ্য নিয়ন্ত্রণ কেন্দ্র) একটি পৃথক সাবনেটের অন্তর্গত। এটি বাইরে থেকে সরাসরি অ্যাক্সেসযোগ্য হওয়া উচিত নয়, এটি পরিচালিত সার্ভার থেকে সরাসরি অ্যাক্সেসযোগ্য হওয়া উচিত নয় !

আপনার ল্যাপটপ সবার মধ্যে সর্বনিম্ন সুরক্ষিত ডিভাইস। একটি বোকা মেল, একটি বোকা ফ্ল্যাশ দুর্বলতা, একটি বোকা অতিথি ওয়াইফাই এবং এটি জঞ্জাল হয়ে যায়।

সার্ভারগুলির জন্য, এসএসএসের মাধ্যমে মোটেও রুট অ্যাক্সেসের অনুমতি দেবেন না। অনেক অডিট এ নিয়ে তামাশা করেন।

জবাবদিহি করার জন্য, প্রতিটি প্রশাসক প্রতিটি লক্ষ্যযুক্ত সার্ভারে তাদের নিজস্ব ব্যক্তিগত অ্যাকাউন্ট ব্যবহার করুন এবং তাদের পাসওয়ার্ড সহ সুডো দিন। এইভাবে দুটি ব্যক্তির মধ্যে কোনও পাসওয়ার্ড ভাগ করা হয় না। প্রতিটি সার্ভারে কে কী করেছে তা আপনি পরীক্ষা করতে পারেন। ব্যক্তিগত অ্যাকাউন্টগুলি কেবল পাসওয়ার্ডে লগইন করার অনুমতি দেয় তবে এসএসই কী বা উভয়ের প্রয়োজন হয়।

জবাবদিহি স্পষ্ট করতে একক লক্ষ্য লগইন নাম ব্যবহার করার প্রয়োজন নেই । প্রতিটি প্রশাসকের ব্যক্তিগত টার্গেট লগইন নাম থাকতে পারে এবং থাকা উচিত should

একটি পার্শ্ব নোট: কখনও কোনও শব্দ (যেমন "উত্তরযোগ্য" বা "অ্যাডমিন" বা "ক্লাস্টার" বা "পরিচালনা" বা "অপারেটর") নামে একটি অ্যাকাউন্ট তৈরি করার চেষ্টা করবেন না যদি এতে পাসওয়ার্ড থাকে। অ্যাকাউন্টের একমাত্র ভাল নাম যার পাসওয়ার্ড রয়েছে একটি মানুষের নাম "জেকোওয়ালস্কি" এর মতো। অ্যাকাউন্টের মাধ্যমে করা ক্রিয়াগুলির জন্য কেবল একজন মানুষই দায়বদ্ধ হতে পারেন এবং তাদের পাসওয়ার্ডকে ভুলভাবে সুরক্ষিত করার জন্য দায়ী হতে পারে, "জবাবদিহি" হতে পারে না।

> প্রশ্ন 1: নিয়ন্ত্রণ মেশিন

ইউরিফিফায় (সম্পূর্ণ প্রকাশ: আমরা আসলে এসএসএস কীগুলি পরিচালনা করার জন্য সফ্টওয়্যার সরবরাহ করি), আমরা সর্বদা এটি মোকাবেলা করি, যেহেতু আমরা বৃহত্তম এসএসএইচ কী গুদামও চালাই run আমরা সাধারণত মেঘ ব্যবহারের পরিবর্তে স্থানীয় ইনস্টলেশনের পরামর্শ দিই, যেহেতু আপনি নিয়ন্ত্রণ বৃদ্ধি করেছেন, আপনার পৃষ্ঠের ক্ষেত্র হ্রাস করেছেন, আপনি এটি সত্যিকারের বিশ্বস্ত নেটওয়ার্কগুলিতে লক করতে পারেন।

গুরুত্বপূর্ণ বিষয়টি মনে রাখবেন যে, এটির মতো সঠিকভাবে নির্মিত সিস্টেমে কোনও আক্রমণকারীকে ফাঁস করার মতো কোনও উল্লেখযোগ্য গোপনীয়তা থাকা উচিত নয় । যদি কেউ আপনার ডেটাসেন্টারে একটি কাঁটাচামচ চালনা করে এবং আপনার সার্ভারের সাথে চলে যায় তবে তারা কিছু ভারী হ্যাশ করা পাসওয়ার্ড, সম্ভবত কিছু ভারী এনক্রিপ্ট করা ফাইল এবং কিছু সম্পর্কিত কীগুলি তার সাথে সম্পর্কিত ব্যক্তিগত কীগুলি ব্যতীত সম্পূর্ণ কিছুই পাবে না। অন্য কথায়, খুব বেশি না।

আপনি উল্লেখ করেছেন যে, এখানে আক্রমণকারী হ'ল প্রকৃত হুমকি ভেক্টরগুলি হ'ল যদি কোনও আক্রমণকারী সেই মেশিনটির নিয়ন্ত্রণ অর্জন করে এবং এটি তাদের নিজস্ব ব্যবহারকারী অ্যাকাউন্ট এবং (সর্বজনীন) কীগুলি স্থাপন করতে ব্যবহার করে। এটি কার্যত প্রতিটি ক্লাউড প্ল্যাটফর্মের জন্য ঝুঁকি (উদাহরণ: লিনোড)। নিয়ন্ত্রণ বিমানের অ্যাক্সেস প্রতিরোধের প্রতি আপনার সবচেয়ে দৃ strongly় মনোযোগ দেওয়া উচিত, যার অর্থ আক্রমণ আক্রমণকে হ্রাস করা (কেবল কয়েকটি বন্দর উন্মুক্ত করা, এবং যতগুলি সম্ভব পোর্টগুলি তালাবদ্ধ করা) এবং বিশেষত সুবিধাগুলি বৃদ্ধি এবং বিভিন্ন আক্রমণগুলির বিরুদ্ধে কঠোর করা সফ্টওয়্যার ব্যবহার করা ( এসকিউএল ইনজেকশন, এক্সএসএস, সিএসআরএফ ইত্যাদি) 2 কন্ট্রোল প্লেনে অ্যাক্সেস 2 এমএফএ / এমএফএ সক্ষম করুন এবং যতটা সম্ভব কন্ট্রোল প্লেনটি লক করার উপর ফোকাস করুন।

তাহলে ডেটা সেন্টারে ডেডিকেটেড কন্ট্রোল মেশিন বা রিমোট কন্ট্রোল মেশিনে থাকা (আমার ল্যাপটপের মতো ডেটা সেন্টারের সাথে দূরবর্তীভাবে সংযুক্ত থাকা) ভাল কি?

এটা স্পষ্টভাবে ভাল , একটি নিরাপদ datacenter একটি ডেডিকেটেড নিয়ন্ত্রণ মেশিন আছে কারণ আপনি এটি বিছিন্ন এবং প্রতিরোধ / চুরি বা অনধিকার প্রবেশ ঝুঁকি কমানোর জন্য এটি ডাউন লক করতে পারেন।

যদি সর্বোত্তম অনুশীলনটি হ'ল আমার ল্যাপটপটি ব্যবহার করা (যা অবশ্যই চুরি হয়ে যেতে পারে তবে আমি আমার পাবলিক কীগুলি নিরাপদে অনলাইনে ক্লাউডে বা অফলাইনে কোনও পোর্টেবল ক্রিপ্টেড ডিভাইসে সংরক্ষণ করতে পারি), যদি আমাকে কিছু ওয়েব ইন্টারফেস ব্যবহার করতে হয় তবে উত্তরযোগ্য, আনসিবল টাওয়ার, সেমফোর, রুন্ডেক বা ফোরম্যানের মতো যা সেন্ট্রালাইজড মেশিনে ডেটাসেন্টারে ইনস্টল করা দরকার?

আপনার কীগুলি পরিচালনা করার জন্য আপনাকে কোনও ওয়েব ইন্টারফেস বা দ্বিতীয় নিয়ন্ত্রণ বিমান চালানোর দরকার নেই (এমনকি ইউজারিফাই) যতক্ষণ না আপনি সংখ্যক সংখ্যক ব্যবহারকারী এবং বিভিন্ন সার্ভার জুড়ে অনুমোদনের বিভিন্ন স্তরের কারণে ম্যানেজমেন্ট ইস্যুতে প্রবেশ শুরু করতে পারেন না বা অতিরিক্ত প্রয়োজন হয় না আপনার ব্যবহারকারীদের কাছে হ্যান্ড-হোল্ডিং যাঁদের কাছে জ্ঞান থাকতে পারে না বা কীগুলি আপডেট করার জন্য জবাবদিহি করতে পারবেন না। ইউরিফ্রি প্রথমে শেল স্ক্রিপ্টগুলির একগুচ্ছের চেয়ে বেশি কিছু ছিল না (আজ তারা উত্তরযোগ্য হতে পারে সম্ভবত!) এবং এতে কোনও অসুবিধা নেই, যতক্ষণ না আপনি লোকদের পরিচালনা / ঘোরানোর জন্য অতিরিক্ত পরিচালন নিয়ন্ত্রণ এবং সহজ পদ্ধতির প্রয়োজন শুরু করেন না নিজস্ব চাবি। (অবশ্যই, আপনি যদি সেই জায়গায় পৌঁছে যান তবে ইউটিরিফায়ার দিকে একবার নজর দিন!)

কীভাবে এটি সুরক্ষিত করা এবং "আক্রমণের একক পয়েন্ট" হয়ে উঠতে এড়ানো যায়?

ভাল, অবশ্যই জিনিসগুলি লক করার জন্য নেটে সমস্ত সংস্থানগুলি দেখুন, তবে সর্বাগ্রে সুরক্ষিত ভিত্তি দিয়ে শুরু করুন:

1. প্রথম থেকেই সুরক্ষা মাথায় রেখে আপনার সমাধানটি স্থপতি করুন। প্রযুক্তি (যেমন, ডাটাবেস বা ভাষাগুলি) চয়ন করুন যা traditionতিহ্যগতভাবে কম সমস্যা হয়েছে এবং তারপরে সুরক্ষার সাথে সামনের দিকে কোড করুন। সমস্ত আগত ডেটা এমনকি বিশ্বস্ত ব্যবহারকারীদের থেকে স্যানিটাইজ করুন। পরানোয়া একটি পুণ্য।

২. অবশেষে সবকিছু নষ্ট হয়ে যায়। যখন ক্ষয়ক্ষতি ঘটে তখন হ্রাস করুন: আপনি ইতিমধ্যে চিহ্নিত করেছেন, গোপন সামগ্রীর পরিচালনা হ্রাস করার চেষ্টা করুন।

3. এটি সহজ রাখুন। আপনি যদি নিশ্চিত হন যে এটি পরিমিতরূপে এবং সম্ভাব্যরূপে আপনার সুরক্ষা বাড়িয়ে তুলবে তবে সর্বশেষ বিদেশী স্টাফ করবেন না। উদাহরণস্বরূপ, আমরা আমাদের এনক্রিপশন স্তর (আমরা বিশ্রামে এবং গতিতে সবকিছু এনক্রিপ্ট করি) জন্য এএসের উপরে এক্স 25519 / ন্যাকএল (লাইবসোডিয়াম) নির্বাচন করেছি, কারণ এটি মূলত আমাদের বিশ্বাসী (ডিজেবি এট আল) দ্বারা ডিজাইন করা এবং রচনা করা হয়েছিল এবং বিশ্ব দ্বারা পর্যালোচনা করা হয়েছিল শনিয়ার এবং গুগলের সুরক্ষা দলের মতো নামী গবেষকরা সরলতার দিকে ঝোঁক এমন জিনিসগুলি ব্যবহার করুন যদি সেগুলি আরও নতুন হয়, কারণ সরলতা গভীর বাগগুলি গোপন করা আরও কঠিন করে তোলে।

4. সুরক্ষা মান পূরণ করুন। এমনকি যদি আপনি পিসিআই বা এইচআইপিএ সুরক্ষা নিয়মের মতো কোনও সুরক্ষা ব্যবস্থায় না পড়েন তবে সেই মানগুলি পড়ুন এবং সেগুলি কীভাবে পূরণ করবেন বা অন্তত খুব শক্তিশালী ক্ষতিপূরণ নিয়ন্ত্রণগুলি নির্ধারণ করুন। এটি নিশ্চিত করতে সহায়তা করবে আপনি সত্যিকারের 'সেরা অনুশীলনগুলি' পূরণ করছেন।

৫. বাইরে চলার / স্বতন্ত্র অনুপ্রবেশ পরীক্ষার ব্যবস্থা নিয়ে আসুন এবং চলমান ভিত্তিতে আপনি সেই সেরা অনুশীলনগুলি অনুসরণ করছেন তা নিশ্চিত করার জন্য বাগ অনুদানগুলি চালান । যতক্ষণ না আপনি কিছু স্মার্ট এবং অত্যন্ত উত্সাহিত লোকেরা এতে ঝাঁকুনি পান ততক্ষণ পর্যন্ত সবকিছু দুর্দান্ত দেখাবে ... এটি শেষ হয়ে গেলে, আপনার সমাধানের প্রতি আপনার যথেষ্ট আস্থা থাকবে।

প্রশ্ন 2: এসএসএইচ কীগুলি সর্বোত্তম পছন্দটি কী: উত্তরযোগ্যরা রুট ব্যবহারকারীকে ব্যবহার করতে দিন (তার পাবলিক কী দিয়ে সংরক্ষণ করা হয় ~/.ssh/authorized_keys/ উত্তর ব্যবহারকারীকে প্রতিটি কমান্ড চালাতে sudo দিয়ে একটি পাসওয়ার্ড নির্দিষ্ট করে দেয় (যা প্রতিটি সিসাদমিনের দ্বারা জানা প্রয়োজন অনন্য) যা সেই সার্ভারগুলিকে নিয়ন্ত্রণ করতে জবাবদিহি ব্যবহার করে)

এমনকি সার্ভারে এমনকি পাসওয়ার্ড পাসওয়ার্ড ব্যবহার এড়াতে চেষ্টা করুন su এটি গোপনীয়তার সাথে ডিল করছে এবং শেষ পর্যন্ত আপনার সুরক্ষাকে ক্ষুন্ন করবে (আপনি খুব সহজেই মেশিনগুলির মধ্যে এমন sudo পাসওয়ার্ডটি আলাদা করতে পারবেন না, আপনাকে এটি অন্য কোথাও সংরক্ষণ করতে হবে, পাসওয়ার্ডটির অর্থ আপনি সার্ভার-টু-সার্ভার অটোমেশনটি করতে পারবেন না যা এটি ঠিক কী কী তা সম্পর্কে। এছাড়াও, আপনি যদি ডিএসএল্টে এসএসএইচ ছেড়ে যান তবে এই পাসওয়ার্ডগুলি জোর করে চাপানো যেতে পারে যা কীগুলি কিছুটা অর্থহীন করে তোলে Also এছাড়াও, কোনও উদ্দেশ্যে রুট ব্যবহারকারীর ব্যবহার এবং বিশেষত দূরবর্তী লগইন এড়ানো উচিত।

সুডো অ্যাক্সেস সহ জবাবদিহি করার জন্য উত্সর্গীকৃত একটি অনিচ্ছাকৃত ব্যবহারকারী তৈরি করুন / কোনও পাসওয়ার্ড নির্দিষ্ট না করেই উত্তর ব্যবহারকারীকে সুডোর মাধ্যমে প্রতিটি কমান্ড চালাতে দিন

যথাযথভাবে। একটি অনিচ্ছাকৃত ব্যবহারকারী যা আপনি সুডোর ভূমিকা সহ জবাবদিহি করতে পারবেন audit আদর্শভাবে, sudo অ্যাক্সেস (পাসওয়ার্ড ছাড়াই) সাথে সার্ভার-টু-সার্ভার / উত্তরযোগ্য যোগাযোগগুলিকে উত্সর্গীকৃত একটি স্ট্যান্ডার্ড ব্যবহারকারী তৈরি করুন।

... এনবি, যদি আপনি ইউরিফাই ব্যবহার করে থাকেন তবে আমি যেভাবে এটি করার পরামর্শ দিচ্ছি তা হ'ল উত্তরদাতাদের জন্য ইউরিফাই ব্যবহারকারী তৈরি করা (আপনি যদি একাধিক উত্তরীয় নিয়ন্ত্রণ মেশিন থাকে তবে আপনি এটি প্রকল্প বা এমনকি সার্ভার গ্রুপ দ্বারাও বিচ্ছেদ করতে পারেন), উত্পন্ন করুন নিয়ন্ত্রণ সার্ভারে একটি এসএসএইচ কী এবং এর ইউরিফাই প্রোফাইল পৃষ্ঠায় এর সর্বজনীন কী সরবরাহ করে। (এই পাঠ্যবাক্সটি মূলত হয়ে যায় /home/ansible/.ssh/authorized_keys)। আপনার জবাবদিহি সিস্টেমের অ্যাকাউন্টটি অন্য সার্ভার-থেকে-সার্ভার সিস্টেম অ্যাকাউন্ট যেমন একটি রিমোট ব্যাকআপ অ্যাকাউন্ট, গোপনীয় পরিচালন ইত্যাদির থেকে পৃথক রাখতে হবে Then তারপরে আপনার মানুষকে আমন্ত্রণ জানান এবং তারা নিজের কীগুলিও তৈরি করতে এবং পরিচালনা করতে পারেন এবং সমস্ত কিছু আলাদা থাকে। তবে, ঠিক কোনও উত্তরযোগ্য নিয়ন্ত্রণ সার্ভার লক করার সাথে সাথে আপনার ইউটিফাই সার্ভারটি (বা আপনি যে কোনও সমাধান করতে পারেন) একইভাবে লক করার চেষ্টা করুন।

অন্য কোন ইঙ্গিত?

আমি মনে করি আপনি অবশ্যই এটি সঠিক পথে যাচ্ছেন এবং সঠিক প্রশ্ন জিজ্ঞাসা করছেন। আপনি যদি এই ধরণের বিষয় নিয়ে আলোচনা করতে চান তবে আমাকে ইমেল করুন (ইউরিফায় প্রথম বিন্দুর শেষ নাম) এবং আপনি চূড়ান্তভাবে দিকনির্দেশনা অনুসরণ না করেই আড্ডা দিয়ে আনন্দিত হবেন। শুভকামনা!

উত্তর 1: নিয়ন্ত্রণ মেশিন

উভয়ের সামান্যই, আপনি একটি লাউড হোস্টের সার্ভারে সংযোগ করতে আপনার ল্যাপটপটি ব্যবহার করতে পারেন। কিছুটা এইরকম:

Host private1
  IdentityFile ~/.ssh/rsa_private_key
  ProxyCommand ssh user@bastion -W %h:%p

Host bastion
  IdentityFile ~/.ssh/bastion_rsa_key

দুর্গ হোস্টে আরও

যেখানে আপনার বাশনের সার্ভারের জন্য কী আছে এবং তার পিছনে হোস্টের জন্য একটি পৃথক কী রয়েছে। (ব্যক্তিগতভাবে আমি জিপিজি-এজেন্ট / এসএসএল-এজেন্ট ব্যবহার করব)

উত্তর 2: প্রমাণীকরণ

আমি নিশ্চিত নই যে "উত্তরযোগ্য" নির্দিষ্ট সেরা অনুশীলনগুলি অন্য কোনও এসএসএস সংযোগের সর্বোত্তম অনুশীলনের থেকে আলাদা তবে তবে না, আপনি নিজের মতো করে জবাবদিহি করতে চান, কোনও সার্ভিস অ্যাকাউন্ট নয় এবং কোনও রুট অ্যাকাউন্ট নয়।

নিম্নলিখিত অনুমোদনের সংমিশ্রণ:

• প্রতি ব্যবহারকারীর ssh কী (কেন্দ্রীয়ভাবে সঞ্চিত)
• কার্বেরোস প্রমাণীকরণ
• মাল্টি-ফ্যাক্টর প্রমাণীকরণ ( ইউবাইকিস , ডুও, গুগলআউথ, ইত্যাদি)
• Fail2ban / অ্যাকাউন্ট-লকআউট
• কেন্দ্রীভূত লগিং এবং সতর্কতা
• কেন্দ্রীয়ীকৃত প্রমাণীকরণ (ফ্রিআইপিএ, এলডিএপি, আইডিএম, এমএস এডি)
• একটি অভ্যন্তরীণ- ca সহ ssh কীগুলিতে স্বাক্ষর করুন

অন্যান্য চিন্তা:

• গোপনীয়তা / ব্যক্তিগত তথ্য সর্বদা উত্তরযোগ্য-ভল্টে সঞ্চয় করুন।
• জবাবদিহিতভাবে চালানোর জন্য সুডো / রুটের প্রয়োজন হয় না, যদি না আপনি যা করছেন তার জন্য সুডো / রুট প্রয়োজন।
• উত্তরযোগ্য অনুমতিগুলি বিভিন্ন উপায়ে উন্নীত করতে পারে

সবশেষে, আপনি উইন্ডোজ সম্পর্কে কিছুই উল্লেখ করেন নি। সুতরাং আমি কেবল ধরে নিতে পারি আপনি এটি ব্যবহার করছেন না। তবে এই ক্ষেত্রে আমি আপনার ডেস্কটপ বিকল্পটি ব্যবহার করব আপনার ল্যাপটপটি বেসনের হোস্টটি ব্যবহার করতে (প্রতিনিধি_ তে:bastion.hostname.fqdn ডেস্কটপ ডেলিগেট_ টো:) এবং কার্বেরোস / উইনআরএম https কার্বেরো টিকিটের সাথে ব্যবহার করতে।

আপনি যদি এটিকে মিস করেন তবে কম্পিউটিংয়ের জন্য সেরা অনুশীলন, রুট হিসাবে কখনই কিছু করবেন না, সর্বদা নামযুক্ত অ্যাকাউন্টগুলি ব্যবহার করুন