ঘরোয়াভাবে আমার সমস্ত ক্লায়েন্টের ওয়েবসাইটগুলির ব্যাকআপ পাওয়া ঘরে কোনও সার্ভার থাকা কি কি যুক্তিসঙ্গত ধারণা?
হ্যাঁ, আপনি কিছু সতর্কতা অনুসরণ করেন
সার্ভারের মতো একই নেটওয়ার্ক / রাউটারে সংযুক্ত আমার কম্পিউটারগুলিতে কি কোনও সুরক্ষা হুমকি রয়েছে যাতে এফটিপি অ্যাক্সেস থাকবে?
হ্যাঁ, আপনি যদি কিছু সাবধানতা অবলম্বন না করেন
- আমার ক্লাউড সার্ভার যদি আপস হয়ে যায় তবে কী হবে? তারপরে সম্ভবত আমার হোম-বেসড ব্যাকআপ পিসিও আপস করা হবে কারণ ক্লাউড সার্ভার এটির সাথে সংযোগ করতে পারে।
- আমার হোম-বেসড ব্যাকআপ পিসি আপোস করা হলে কী হবে? এটিতে কী অ্যাক্সেস রয়েছে?
সুতরাং আপনি মূলত যে কোনও সিস্টেমে আপোস করার ঝুঁকি হ্রাস করতে চান, তবে আক্রমণাত্মকরা উভয় / উভয়কেই আপস করতে পরিচালিত করলে ইভেন্টটিতে কোন আক্রমণকারীর কী অ্যাক্সেস থাকতে পারে তা সীমাবদ্ধ করে দেয়।
সতর্কতা
- শংসাপত্রগুলি এনক্রিপ্ট না করে প্রেরণ, একটি লিনাক্স বাক্সে একটি এসএসএইচ সার্ভার চালানো এবং ফাইলগুলি সংযোগ / স্থানান্তরকরণ হিসাবে এফটিপি ব্যবহার করবেন না
scp। বিকল্প - একটি এসএফটিপি বা এসসিপি টাইপ সার্ভারের সন্ধান করুন যা লিনাক্স, ম্যাক বা উইন্ডোজে চলে।
- একটি সীমিত এসএসএইচ অ্যাকাউন্ট ব্যবহার করুন যার ব্যাকআপ ডিরেক্টরিতে কেবল স্ক্রিপ অ্যাক্সেস রয়েছে এবং ব্যাকআপ পাঠাতে কেবল পর্যাপ্ত অ্যাক্সেস রয়েছে।
- প্রমাণীকরণের জন্য একটি ব্যক্তিগত কী ব্যবহার করুন
- উপরের পদক্ষেপগুলির সাহায্যে, যদি আপনার দূরবর্তী ক্লাউড সার্ভারটি ভেঙে দেওয়া হয় এবং প্রাইভেট কীটি চুরি হয়ে যায়, তবে আক্রমণকারী কেবলমাত্র একটি সার্ভারের ব্যাকআপে অ্যাক্সেস পাবে যা তাদের ইতিমধ্যে অ্যাক্সেস করেছে!
- ফায়ারওয়াল চালান যার মধ্যে NAT / পোর্ট ফরওয়ার্ডিং এবং ডিএমজেড বৈশিষ্ট্য রয়েছে (এমনকি এটি যদি আপনার কোনও ISP এর ওয়াইফাই রাউটার হতে পারে তবে এটি যদি আপাতত ফার্মওয়্যার না জানা থাকে তবে কোনও দুর্বলতা নেই - এটি ডাবল পরীক্ষা করে দেখুন - কিছু পুরানো আইএসপি রাউটারগুলি বাগের সাথে ছাঁটাই করা আছে)
- আপনার হোম-বেসড ব্যাকআপ কম্পিউটারকে একটি ডিএমজেডে রাখুন। এইভাবে এটি আপনার অন্য কম্পিউটারগুলির মধ্যে সহজেই অ্যাক্সেস পায় না এবং তাই আপোস করা হলে নাটকীয়ভাবে হুমকিকে হ্রাস করে। আপনি আপনার অভ্যন্তরীণ হোম নেটওয়ার্ক থেকে ডিএমজেডে 22 পোর্টটি ফরোয়ার্ড করতে পারেন এবং প্রশাসন / এসসিপি উদ্দেশ্যে উচ্চতর সুবিধাগুলি সহ লগ ইন করতে পারেন।
- আপনার পাবলিক আইপি থেকে আপনার এসএসএইচ পরিষেবাতে এলোমেলো উচ্চ টিসিপি পোর্ট (উদাহরণস্বরূপ 55134) ফরওয়ার্ডের জন্য NAT / পোর্ট ফরওয়ার্ডিং ব্যবহার করুন - এটি পরিষেবাটি খুব সহজেই বাছাই করবে
- ফায়ারওয়ালে অ্যাক্সেসকে সীমাবদ্ধ করুন যাতে ফরওয়ার্ড করা পোর্টটি কেবল আপনার দূরবর্তী মেঘ সার্ভারে দৃশ্যমান থাকে
- আপনার ব্যাকআপ কম্পিউটারে কোনও গোপনীয় ডেটা, এসএসএইচ প্রাইভেট কী, পাসওয়ার্ড, ইত্যাদি রাখবেন না। এইভাবে যদি এটি আপোস করা হয় তবে আক্রমণকারীর কী কী অ্যাক্সেস রয়েছে তা আপনি আরও কমিয়ে আনুন।
- সমস্ত সিস্টেম / পরিষেবাগুলি আপ টু ডেট রাখুন - বিশেষত ক্লাউড সার্ভার এবং ব্যাকআপ পিসিতে। দুর্বলতাগুলি সর্বদা সন্ধান করা হচ্ছে এবং আক্রমণকারীরা প্রায়শই সহজেই ব্যবহার করা যেতে পারে, উদাহরণস্বরূপ, বেসিক অ্যাক্সেসকে মূল স্তরের অ্যাক্সেসে পরিণত করা। (যেমন https://dirtycow.ninja/ )
এই তালিকাটি আদর্শ দৃশ্যাবলী এবং ঝুঁকিগুলি সম্পর্কে আপনাকে ভাবতে সহায়তা করা উচিত। যদি আপনার আইএসপিএস রাউটারে ডিএমজেড বৈশিষ্ট্য না থাকে এবং আপনি বিকল্প ফায়ারওয়াল স্থাপনে বিনিয়োগ করতে চান না, তবে আপনি কোনও আপস করে খুশি হতে পারেন (আমি ব্যক্তিগতভাবে এটিতে খুশি হতে পারব না) - সেক্ষেত্রে আমি হোস্ট-ভিত্তিক ফায়ারওয়ালগুলি আপনার সমস্ত অভ্যন্তরীণ নেটওয়ার্ক পিসি, এবং শক্তিশালী পাসওয়ার্ডগুলিতে সক্রিয় রয়েছে তা নিশ্চিত করবে, সমস্ত শেয়ার / পরিষেবাদি ইত্যাদির জন্য প্রমাণীকরণের প্রয়োজন etc.
অন্য ব্যবহারকারী দ্বারা প্রস্তাবিত বিকল্প হিসাবে (এখানে কিছুটা বিশদ বিবরণ দেওয়া হয়েছে) ব্যাকআপগুলি তৈরি করতে এবং সেগুলি উপলভ্য করতে আপনার ক্লাউড সার্ভারটিকে স্ক্রিপ্ট করা এবং ব্যাকআপগুলি টানতে এসএফটিপি বা এসসিপি (এসএসএইচ) এর মাধ্যমে সংযোগ স্থাপনের জন্য আপনার ব্যাকআপ পিসি স্ক্রিপ্ট করা হবে would ।
এটি ভালভাবে কাজ করতে পারে তবে এসএসএইচ / এসএফটিপি পোর্টটি লক করে ফেলতে পারে যাতে কেবলমাত্র আপনার ব্যাকআপ পিসি এটি অ্যাক্সেস করতে পারে, সীমিত অ্যাক্সেস অ্যাকাউন্ট ব্যবহার করতে পারে এবং একই রকম কিছু সতর্কতা সম্পর্কে চিন্তা করতে পারে। যেমন আপনার ব্যাকআপ পিসি আপোস করা হয় কি? তারপরে আপনার ক্লাউড সার্ভারটিও আপোস করা হবে ইত্যাদি