উত্তর:
উবুন্টুর সম্প্রদায়ের ডকুমেন্টেশনগুলি প্রোডাকশন সার্ভার সিস্টেমে জিইউআই চালানোর জন্য সুপারিশ করা হয়নি তার আসল কারণগুলি ব্যাখ্যা করে :
বেশিরভাগ উবুন্টু সার্ভার বিকাশকারীরা কোনও সার্ভারে এক্স ইনস্টল করার পরামর্শ দেয় না । জিইউআই ইনস্টল না করার একাধিক কারণ রয়েছে।
জিইউআই ইনস্টল না করার কয়েকটি কারণগুলির মধ্যে রয়েছে:
- সুরক্ষা দুর্বলতা, আরও প্যাকেজগুলির জন্য আপডেটের প্রয়োজন এবং আরও সার্ভার ডাউনটাইম সাপেক্ষে আপনার কাছে আরও কোড থাকবে।
- এক্স 11 এবং ডেস্কটপ প্যাকেজগুলি এলটিএস সার্ভারের রিলিজের পুরো 5 বছরের লাইফসাইকেলের জন্য সমর্থিত নয়।
- কর্মক্ষমতা ক্ষতিগ্রস্থ হতে পারে কারণ জিইউআই দ্বারা সংস্থানগুলি (মেমরি, হার্ড ডিস্ক স্পেস, সিপিইউ ইত্যাদি) গ্রাস করা হবে।
- কেবলমাত্র একটি প্রোডাকশন সার্ভারে প্রয়োজনীয় সফ্টওয়্যার ইনস্টল করা ভাল অনুশীলন।
- জিইউআইতে অন্যান্য নেটওয়ার্ক পরিষেবাদি অন্তর্ভুক্ত থাকতে পারে যা কোনও সার্ভারের জন্য অনুপযুক্ত।
- উবুন্টু ডেস্কটপ সংস্করণের অন্যতম লক্ষ্য হ'ল ব্যবহারকারীদের লিনাক্স ব্যবহার করা সহজ করা। কিছু ডেস্কটপ এনভায়রনমেন্ট ইনস্টল করার সময়, পরিষেবাগুলি যা আপনি বিশেষভাবে না চান তা ইনস্টল করা হবে। উদাহরণস্বরূপ avahi-daemon , যা নেটওয়ার্কিং কনফিগার করতে সহায়তা হিসাবে ব্যবহৃত হয়, অন্য একটি উন্মুক্ত পোর্ট যুক্ত করে এবং একটি .local ডোমেনের সাথে অবাঞ্ছিত DNS সংঘাতের পরিচয় দিতে পারে।
তাই সর্বাধিক সুরক্ষিত সার্ভারের জন্য জিইউআই ইনস্টল না করা ভাল।
"উবুন্টু ডকুমেন্টেশন উইকিতে অবদানকারীদের" "সার্ভারজিইউআই", সিসি-বাই-এসএ 3.0 দ্বারা অনুমোদিত হিসাবে এখানে পুনরুত্পাদন করা হয়েছে ।
কিছুটা সাধারণ ভুল ধারণা পক্ষান্তরে, X11 একটি হচ্ছে সার্ভার সত্যিই হয়েছে কোন সম্পর্ক নেই কেন একটি প্রকাশনা সার্ভারে একটি GUI চলমান সঙ্গে একটি নিরাপত্তা দৃষ্টিকোণ থেকে অ আদর্শ বলে মনে করা হয়। কোনও অপারেটিং সিস্টেমে আর কোনও নেটওয়ার্কের অ্যাক্সেসযোগ্য হওয়ার জন্য এক্স 11 কার্যত কখনও ডিফল্টরূপে কনফিগার করা হয় না। উবুন্টুর কোনও সংস্করণে এক্স 11 কখনই ডিফল্ট কনফিগারেশনে নেটওয়ার্ক-অ্যাক্সেসযোগ্য সার্ভার চালায় নি। (টিসিপির মাধ্যমে উবুন্টুতে এক্স 11 এ্যাক্সেস করতে আপনাকে এসএসএইচ বা ম্যানুয়ালি সার্ভারটি পুনরায় কনফিগার করার পরে আপনাকে এটি ফরোয়ার্ড করতে হবে))
তদ্ব্যতীত, যদিও এক্স 11 কোনও নেটওয়ার্ক-অ্যাক্সেসযোগ্য সার্ভার চালিত করে , এটি কোনও প্রোডাকশন সার্ভার সিস্টেমে ইনস্টল না করার কোনও কারণ হবে না। যে কোনও প্রোডাকশন সার্ভার চালাচ্ছেন তারা সম্ভবত এটির প্রয়োজনগুলির জন্য এটি কনফিগার করতে এবং অবাঞ্ছিত পরিষেবাগুলি চলমান না তা নিশ্চিত করার জন্য এটির নিরীক্ষণ করতে সক্ষম। (তারা নয়, তাহলে করতে পারেন যে চেয়ে একটি GUI ইনস্টল থাকার দ্বারা নির্মিত হবে তাদের নিরাপত্তার জন্য অনেক বেশি হুমকি হবে।) এমনকি যদি ব্যবহারে X11 ছিল (ক শারীরিক নেটওয়ার্ক ইন্টারফেস উপর একটি বন্দর শোনা আছে যে ক্ষেত্রে নয় বন্দর), বিল্ট-ইনটি (বা একটি উচ্চ-স্তরের ফ্রন্ট্যান্ডের মতো ) netfilter
ব্যবহার করে সহজেই পুনরায় কনফিগার করে অবরুদ্ধ করা যেতে পারে ।iptables
ufw
বিপরীতে, উপরে উল্লিখিত সমস্যাগুলি পুনরায় কনফিগারেশনের মাধ্যমে অতিক্রম করা এত সহজ নয়।
প্রতিটি চলমান প্রক্রিয়া একটি সুরক্ষা ঝুঁকি। বিশেষত যাঁরা একটি নেটওয়ার্ক পোর্টে শুনেন (এক্স 11 করেন)।
সাধারণ ভাল অনুশীলন এমন কোনও সার্ভারে এমন কোনও কিছু চালানো নয় যা একেবারে থাকার দরকার নেই এবং এক্স 11 অবশ্যই কোনও সার্ভারে থাকা দরকার নেই যা আপনি এসএসএইচ করে যাবেন।
আমি সন্দেহ করি আপনি যে নিবন্ধটি পড়েছিলেন তা X11 এ একটি নির্দিষ্ট দুর্বলতার কথা বলছিলেন (এটি যদি ঠিক করা হত তবে দুর্বলতাগুলি দীর্ঘকাল ধরে ফিক্সড না করে ঝুলতে থাকে), বরং কেবল সাধারণ ভাল অভ্যাস।
-nolisten tcp
ডিফল্টরূপে ব্যবহার করে
কারণ এটি সঠিকভাবে সুরক্ষিত না করা হলে এক্স উইন্ডো সিস্টেমটি একটি গুরুতর সুরক্ষা ঝুঁকি তৈরি করে। একটি এক্স 11 "ডিসপ্লে" হ'ল এক্স 11 সার্ভারটি আপনার ডেস্কটপে চলছে এবং এতে স্ক্রিন, কীবোর্ড এবং মাউস অন্তর্ভুক্ত রয়েছে। যদি আপনার এক্স 11 ডিসপ্লেটি নিরাপত্তাহীন হয় তবে এটি ইন্টারনেটের যে কোনও জায়গায় চলছে এমন কোনও প্রোগ্রামকে এটিতে সংযোগ স্থাপনের অনুমতি দেবে এবং সংযোগটি আপনার কাছে সম্পূর্ণ অদৃশ্য হয়ে যেতে পারে। একবার সংযুক্ত হয়ে গেলে, সেই প্রোগ্রামটি আপনার প্রদর্শনে সম্পূর্ণ অ্যাক্সেস পায়, যার অর্থ এটি করতে পারে:
একটি থাম্ব নিয়ম ব্যবহার করার জন্য নয় xhost +
- এটি সম্পূর্ণরূপে আপনার প্রদর্শনটির সুরক্ষা অক্ষম করে।
এক্স ফরোয়ার্ড করার একটি ভাল উপায় হচ্ছে ssh
থেকে নেওয়া : http://www2.slac.stanford.edu/computing/security/xwindow/
xhost +
কমান্ডটি
xhost +
-nolisten tcp
যদিও ওভাররাইড করতে পারে না , কেবলমাত্র লোকালহোস্ট থেকে কোনও সংযোগের জন্য আপনাকে উন্মুক্ত করে।
আসল কারণ হ'ল প্রশাসকরা কমান্ড লাইন থেকে স্টাফ চালিয়ে নিজেকে সুপার স্মার্ট হিসাবে ভাবতে পারেন। উবুন্টু সার্ভারে জিইউআই চালানোর কোনও সুরক্ষা ঝুঁকি নেই।