এসএসএস সহ একটি ব্যক্তিগত সার্ভার ইন্টারনেটে খোলা থাকা কতটা ঝুঁকিপূর্ণ?

25

শিরোনামের ধারাবাহিকতাটি হবে "ইন্টারনেট সুরক্ষার সীমিত জ্ঞান থাকার সময়"।

আমি ব্যক্তিগত গিট সংগ্রহস্থল হিসাবে এটি ব্যবহারের লক্ষ্য নিয়ে সম্প্রতি একটি নিম্নতম কম্পিউটার চালিত ডেবিয়ান সহ একটি ছোট সার্ভার সেট আপ করেছি। আমি এসএসএস সক্ষম করেছি এবং তাৎক্ষণিকতা দেখে ভীষণ অবাক হয়েছিল যেটাতে এটি আঘাতপ্রাপ্ত বাহিনী আক্রমণ এবং এর মতো সংঘর্ষে ভুগেছে। তারপরে আমি পড়লাম যে এটি বেশ সাধারণ এবং এই আক্রমণগুলি রোধ করার জন্য মৌলিক সুরক্ষা ব্যবস্থা সম্পর্কে শিখেছি (এটির সাথে সার্ভারফল্ট ডিলের প্রচুর প্রশ্ন এবং নকল, উদাহরণস্বরূপ দেখুন এটি এক বা এটি একটি )।

তবে এখন আমি ভাবছি যে এই সমস্ত কিছুর জন্য মূল্যবান। আমি বেশিরভাগ মজা করার জন্য আমার নিজের সার্ভার সেট আপ করার সিদ্ধান্ত নিয়েছি: আমি কেবল তৃতীয় পক্ষের সমাধানগুলিতে নির্ভর করতে পারি যেমন গিটবুকিট.অর্গ, বেয়ারকোডস.অর্গ ইত্যাদির দ্বারা প্রস্তাবিত those বিশেষজ্ঞ হওয়ার জন্য এটি উত্সর্গ করার পর্যাপ্ত সময় এবং আমি নিশ্চিত হওয়া উচিত যে আমি সঠিক প্রতিরোধ ব্যবস্থা গ্রহণ করেছি।

আমি এই খেলনা প্রকল্পটি নিয়ে চালিয়ে যাব কিনা তা স্থির করতে, আমি এটি করতে আসলে কী ঝুঁকিপূর্ণ তা জানতে চাই। উদাহরণস্বরূপ, আমার নেটওয়ার্কের সাথে সংযুক্ত অন্যান্য কম্পিউটারগুলিও কতটা হুমকীযুক্ত? এর মধ্যে কয়েকটি কম্পিউটার আমার চালিত উইন্ডোজের চেয়ে কম জ্ঞানের লোকেরা ব্যবহার করেন।

আমি যদি শক্তিশালী পাসওয়ার্ড, এসএসএসের জন্য অক্ষম রুট অ্যাক্সেস, এসএসএসের জন্য অ-মানক বন্দর এবং সম্ভবত পাসওয়ার্ড লগইন অক্ষম করা এবং ফেলফ্যান, অস্বীকৃতি বা iptables নিয়মগুলির মধ্যে একটি ব্যবহার করি তবে আমি কীভাবে সমস্যায় পড়তে পারি?

আরেকটি উপায় রাখুন, এমন কোনও বড় খারাপ নেকড়ে বাচ্চা যা আমার ভয় করা উচিত বা এটি বেশিরভাগ ক্ষেত্রেই স্ক্রিপ্টের খেলাগুলি দূরে রাখার বিষয়ে?

security ssh debian

— আলফ্রেড এম।
সূত্র

আমি মনে করি আপনি যখন মাথার পেরেকটি আঘাত করেছিলেন তখন যখন আপনি উল্লেখ করেছিলেন যে $ প্রযুক্তি সুরক্ষায় বিশেষজ্ঞ হওয়ার জন্য আপনার কাছে সময় বা প্রবণতা নেই; এটি একটি হোস্টেড সমাধান ব্যবহারের প্রাথমিক কারণ। ইন-হাউস বনাম হোস্টিংয়ের মূল্যায়ন করার ক্ষেত্রে কেবলমাত্র অন্যান্য সাধারণ যুক্তিই ব্যয়। যেহেতু গিথুব এবং অন্যান্য মতামত বিনামূল্যে, আপনি গিট রেপো কীভাবে চালাবেন তার জ্ঞান অর্জনের জন্য আপনি মূলত আপনার ব্যক্তিগত সময়টি ছেড়ে দিচ্ছেন। আপনার ব্যক্তিগত সময় নিয়ে আপনার কী করা উচিত তা আমরা আপনাকে বলতে পারি না, তবে পেশাদার পরিস্থিতিতে এটির কোনও মানে হবে না। (সাবধানী ইমোটর: জটিল পরিস্থিতিতে আরও পরিবর্তনশীল থাকে)।

— ক্রিস এস

1

আপনি যদি নিজের সার্ভার চালানোর সিদ্ধান্ত নেন তবে আপনার টুড তালিকার সাথে আপনার চালিত প্রতিটি পরিষেবার আপডেট এবং সুরক্ষা দুর্বলতার জন্য নিয়মিত চেক যোগ করুন। কেবল এটি সেট আপ করা যথেষ্ট নয়।

— সপ্তাহ

দুটি শব্দ: পাবলিক কীগুলি, যেমন @ স্টিফেন এটি রেখেছিল। keyboard-interactiveপ্রমাণীকরণ অক্ষম করুন এবং কেবল pubkeyপ্রমাণীকরণ ব্যবহার করুন ।

— কোস্টিক্স

14

আইএমও এসএসএইচ ওপেন ইন্টারনেটে শুনতে পারা সুরক্ষিত একটি। আপনি যদি সত্যিই উদ্বিগ্ন হন তবে এটি একটি মানহীন উচ্চ প্রান্তের বন্দরে শুনতে হবে। আপনার বাক্স এবং প্রকৃত ইন্টারনেটের মধ্যে আমার কাছে এখনও একটি (ডিভাইস স্তর) ফায়ারওয়াল থাকবে এবং এসএসএইচের জন্য কেবল পোর্ট ফরওয়ার্ডিং ব্যবহার করব তবে এটি অন্যান্য পরিষেবার বিরুদ্ধে একটি সতর্কতা। এসএসএইচ নিজেই বেশ জঘন্য।

আমি আছে মানুষ মাঝে মাঝেই আমার বাড়িতে SSH সার্ভারের আঘাত ছিল (টাইম ওয়ার্নার কেবল খুলে)। কখনই আসল প্রভাব পড়েনি।

এসএসএইচকে আরও নিরাপদ করতে আপনি কিছু অতিরিক্ত জিনিসগুলি হ'ল কোনও হোম মেশিনের জন্য একই আইপি ঠিকানা থেকে বার বার করা প্রচেষ্টা রোধ করা হয়

MaxStartups 2:30:10

/ etc / ssh / sshd_config ইন যা সাফল্যের সাথে লগ ইন করার আগে একাধিক সংযোগে কতগুলি সংযোগ তৈরি করা যায় তা সীমাবদ্ধ করে।

— TheFiddlerWins
সূত্র

আমার ইন্টারনেট পরিষেবা সরবরাহকারী একটি ফায়ারওয়াল সরবরাহ করে যার প্যারামিটারগুলি আমি ssh এর জন্য পোর্ট খোলার সময় দেখেছি। এটা কি আপনি উল্লেখ?

— আলফ্রেড এম

2

হতে পারে, কিছু আইএসপি আপনাকে বোবা ডিভাইস দেয়, কিছু ফায়ারওয়াল সহ একটি রাউটার দেয়। আমি শুধু বলছি যে এটি কখনও একটি ভাল ধারণা কোন ব্যাপার কি সাবধানতা অবলম্বন আপনি নিতে ইন্টারনেটে সরাসরি একটি সাধারণ কাজের ওএস করা। আপনি এবং দুষ্টুদের মধ্যে আপনি কিছু ধরণের হার্ডওয়্যার ডিভাইস (বা ডিডি-ডাব্লুআরটি এর মতো কিছু) চান।

— দ্য ফিডলারWins

1

অন্য উত্তরে উল্লিখিত হিসাবে পাবলিক কী প্রমাণীকরণ সেট আপ করুন, এবং / ইত্যাদি / ssh / sshd_config- এ চ্যালেঞ্জআরসফোনস অনুমোদন এবং পাসওয়ার্ডঅথেন্টিকেশন বন্ধ করুন T

— র্যান্ডি অরিসন

আমি জানি এটি একটি নির্বোধ প্রশ্ন তবে ইন্টারনেট থেকে আমার সার্ভারে (এসএসএস বা ব্রাউজারের মাধ্যমে) অ্যাক্সেস করার জন্য আমার কি কোনও ডোমেন কেনার প্রয়োজন?

— TheRookierLearner

@TheRookierLearner - না, আপনি যে আইপি ঠিকানাটি আপনার ISP আপনাকে সরবরাহ করেন তা ব্যবহার করতে পারেন। তবে আপনার হোম নেটওয়ার্কের কনফিগারেশনের উপর নির্ভর করে আপনার সমস্ত ডিভাইসগুলির মাধ্যমে পিএনএটি নামে পরিচিত কিছু ভাগ করা যায় (বেশিরভাগ লোকেরা কেবল এটি NAT নামে ডাকে)। আপনি যদি জনগণের সংখ্যাগরিষ্ঠের মতো হন তবে আপনার ইন্টারনেট থেকে যে নির্দিষ্ট ডিভাইসটি অ্যাক্সেস করতে চান তার "NATed" আইপি বের করতে হবে (সিস্টেমে ifconfig / ipconfig, এটি 10.XXX, 172.16 হবে। xx বা 192.168.xx ঠিকানা আপনি এই নম্বরগুলির চেয়ে বেশি যত্ন নেওয়ার জন্য আরএফসি 1918 দেখুন) এবং তারপরে আপনার রাউটারকে "পোর্ট ফরোয়ার্ড" বা "ডিএমজেড" পোর্ট 22

— বলুন

10

এসএসএইচ দিয়ে একটি পাবলিক কী প্রমাণীকরণ সিস্টেম সেটআপ করা সত্যিই তুচ্ছ এবং সেটআপ করতে প্রায় 5 মিনিট সময় নেয় ।

আপনি যদি সমস্ত এসএসএইচ সংযোগটি এটি ব্যবহারের জন্য জোর করে, তবে এটি আপনার সিস্টেমকে সুরক্ষার অবকাঠামোতে প্রচুর পরিমাণে বিনিয়োগ না করে যতটা আশা করতে পারেন তেমন দৃ .়তর করে তুলবে। সত্যই, এটি এত সহজ এবং কার্যকর (যতক্ষণ না আপনার 200 অ্যাকাউন্ট থাকে না - ততক্ষণ এটি অগোছালো হয়ে যায়) যে এটি ব্যবহার না করা সর্বজনীন অপরাধ should

— স্টিফেন
সূত্র

3

এসএসএইচ সংযোগগুলি সেট আপ করার পরে সর্বজনীন কী প্রমাণীকরণ ব্যবহার করতে বাধ্য করার জন্য, নিশ্চিত করুন যে আপনি / ইত্যাদি / এসএসএস / sshd_config- এ চ্যালেঞ্জের রিস্পনস অ্যাটেন্টিফিকেশন এবং পাসওয়ার্ডঅথেন্টিফিকেশন বন্ধ করেছেন। আমি এটি একবার ভুলে গিয়েছিলাম, আমার আফসোসের অনেকটাই (একবারেই, আবার কখনও হয়নি)।

— র‌্যান্ডি অরিসন

8

আমি এসএসএইচ-এ বিশ্বের জন্য উন্মুক্ত একটি ব্যক্তিগত গিট সার্ভারও চালাচ্ছি এবং আপনার মতো আমারও একই বর্বর শক্তি সমস্যা রয়েছে, তাই আমি আপনার পরিস্থিতির প্রতি সহানুভূতি জানাতে পারি।

দ্য ফিডলারওয়ানস ইতিমধ্যে জনসাধারণের অ্যাক্সেসযোগ্য আইপি-তে এসএসএইচ উন্মুক্ত থাকার মূল সুরক্ষা সম্পর্কিত ইঙ্গিতগুলিকে সম্বোধন করেছে, তবে ব্রুটি -ফোর্স চেষ্টার জবাবে সেরা সরঞ্জাম আইএমও হ'ল ফেইল 2ব্যান - সফ্টওয়্যার যা আপনার প্রমাণীকরণ লগ ফাইলগুলি পর্যবেক্ষণ করে, অনুপ্রবেশের প্রচেষ্টা সনাক্ত করে এবং ফায়ারওয়াল বিধিগুলিকে যুক্ত করে মেশিনের স্থানীয় iptablesফায়ারওয়াল নিষেধাজ্ঞার আগে কত প্রচেষ্টা এবং নিষেধাজ্ঞার দৈর্ঘ্য উভয়ই কনফিগার করতে পারেন (আমার ডিফল্ট 10 দিন)।

— ক্রেগ ওয়াটসন
সূত্র

আগের পোস্টে আমার মতামত হিসাবে বলা হয়েছে যে, আমার এনএএস ঘরে বসে এটি ব্যবহার করে এবং কয়েক মাস পরে চেষ্টা করার পরিমাণকে লক্ষণীয়ভাবে হ্রাস করা হয়।

— mveroone

2

এটি পরিচালনা করার আরেকটি উপায় হ'ল ভিপিএন সেট আপ করা। আপনার হোম সার্ভারে সরাসরি এসএসএইচ পোর্টগুলির সাথে সংযোগ স্থাপনের পরিবর্তে আপনি প্রথমে ভিপিএন এর সাথে সংযুক্ত হন, তারপরে আপনার সমস্ত ট্র্যাফিক এনক্রিপ্টড, সুরক্ষিত সংযোগের মাধ্যমে চালান।

এটি পরিচালনা করার আদর্শ উপায় হ'ল ফায়ারওয়াল যা একটি ভিপিএন এন্ডপয়েন্টটি অন্তর্ভুক্ত করে তবে আপনি ভিপিএন সার্ভার হিসাবে কাজ করতে একটি উইন্ডোজ কম্পিউটারও সেটআপ করতে পারেন।

এখানে একটি উদাহরণ:

http://www.howtogeek.com/135996/

এখন মনে রাখবেন যে একটি উপযুক্ত সুরক্ষা কনফিগারেশন এমন কোনও পাবলিক (বা আধা-পাবলিক) কম্পিউটারকে অন্তর্ভুক্ত করবে যা আপনার অভ্যন্তরীণ নেটওয়ার্ক থেকে বিচ্ছিন্ন। একটি ওয়েব সার্ভার, বা যে কোনও কম্পিউটার সর্বজনীনভাবে উপলভ্য পরিষেবাদি হোস্ট করে, আপনার বাড়ি বা অফিসের সুরক্ষিত নেটওয়ার্কের বাইরে হওয়া উচিত। আপনি এবং ইন্টারনেটের মধ্যে একটি নিরাপদ অঞ্চল বা ডিএমজেড তৈরি করতে আপনি দুটি রাউটার ব্যবহার করবেন।

এইভাবে, যদি আপনার সার্ভারটি হ্যাক হয় তবে এটি আপনার অন্যান্য কম্পিউটারগুলিতে আক্রমণ করার জন্য ভেক্টর হিসাবে ব্যবহার করা যাবে না।

সুতরাং সেটআপটি এর মতো দেখায়:

ডিএমজেড কনফিগারেশন

— TomXP411
সূত্র

ছোট চিত্রটির জন্য দুঃখিত ... আমি আমার পোস্টটি কীভাবে সম্পাদনা করব তা বুঝতে পারি না।

— TomXP411

2

উত্তরগুলি খুব ভাল, আমি কেবল দুটি জিনিসই সুপারিশ করব:

কেবল কী প্রমাণীকরণ সিস্টেম দ্বারা অ্যাক্সেস বিবেচনা করুন
অস্বীকৃতি ব্যবহার করুন : এটি আপনার সার্ভারকে অবৈধ প্রমাণ হিসাবে অ্যাক্সেস করার প্রচেষ্টা নিষিদ্ধ করবে

— কার্লোস সি সোটো
সূত্র