উবুন্টু সার্ভার সুরক্ষিত করার জন্য কী করা যায়?


35

আমার যতটুকু সম্ভব উবুন্টু সার্ভারকে সুরক্ষিত করার একটি প্রকল্প রয়েছে। সার্ভারটি একটি ওয়েব হোস্টিং সার্ভার। সার্ভারটি এলএএমপি, মেল এবং ডিএনএসে চলবে।


কী পরিষেবা চলবে?
wojox

এলএএমপি, মেল, ডিএনএস
ওয়ান শূন্য

আমি একটি উবুন্টু সার্ভার চিট শীট তৈরি করেছি এবং আমি এটি আপনার সাথে ভাগ করতে চাই। প্রথম কয়েকটি পৃষ্ঠা হ'ল সাধারণ লিনাক্স কমান্ড, তারপরে নির্দিষ্ট সার্ভার প্যাকেজ এবং শেষ পৃষ্ঠাটি একটি সার্ভার সুরক্ষা চেকলিস্ট। চেকলিস্টটি অনেক ওয়েবসাইটের টিপস এবং কঠোরতার এক করে দেয়। আমি এটি আপনাকে সাহায্য করে আশা করি! ডাব্লুটিএফপিএল লাইসেন্সের আওতায় লাইসেন্স প্রাপ্ত। আপনি চেকলিস্টটি এখানে দেখতে / ডাউনলোড করতে / দেখতে পারেন । আমি সময়ে সময়ে এটি আপডেট।
নোহ ক্রেসার

উত্তর:


43

আমার সার্ভারটি সুরক্ষিত করতে আমি যা করি সেগুলির একটি তালিকা এখানে।

  1. ইউএফডাব্লু চালু করুন (sudo ufw enable ) এবং তারপরে কেবলমাত্র ব্যবহৃত পোর্টগুলি কেবলমাত্র ব্যবহৃত হবে actually ( sudo ufw allow 80)
  2. নিশ্চিত করুন যে মাইএসকিউএল কেবল লোকালহোস্ট থেকে সংযোগের অনুমতি দেয়।
  3. মেল পরিষেবাগুলিতে টিএলএস সক্ষম করুন। এমনকি যদি এটি স্ব স্বাক্ষরিত সার্টিটি হয়। আপনি ক্লিয়ারে পাসওয়ার্ড প্রেরণ করতে চান না।
  4. অস্বীকৃতি বা ব্যর্থ2ban এর মতো এসএসএস ব্রুটেফোর্স ব্লকারগুলি ইনস্টল করুন। (sudo apt-get install denyhosts )
  5. কেবল ssh কী-ভিত্তিক লগইনগুলি সন্ধান করুন।
  6. অ্যাপআর্মার শিখুন। আপনি যদি মোটামুটি ভ্যানিলা কনফিগারেশন ব্যবহার করেন তবে এটি অত্যন্ত সহজ। এটি চালু হয়েছে তা নিশ্চিত করুন। এটি শূন্য-দিনের শোষণ কমাতে সহায়তা করবে।
  7. সার্ভারে শারীরিক অ্যাক্সেসের উপর নির্ভর করে আপনি হার্ডডিস্কে ডেটা এনক্রিপ্ট করতেও চাইতে পারেন।
  8. এই লিঙ্কে অন্যান্য প্রস্তাবনা অনুসরণ করুন। সম্পাদনা: আমি যখন আরও লিঙ্ক যুক্ত করার পর্যাপ্ত খ্যাতি না পাই তখন আমি এটি সম্পাদনা করতে ভুলে গিয়েছিলাম। এখানে লিঙ্কটি বোঝানো হচ্ছে নীচের শেষ লিঙ্ক।
  9. আপনার ব্যবহারকারীদের উপর কখনই বিশ্বাস করবেন না। যদি আপনার সিস্টেমে অ্যাক্সেস সহ একাধিক ব্যবহারকারী থাকে তবে এগুলি লক করুন। আপনার যদি তাদের সুডো অ্যাক্সেস দিতে হয় তবে তাদের যা প্রয়োজন তা কেবল তাদেরই দিন।
  10. সাধারণ বুদ্ধি ব্যবহার কর. যদি আপনাকে কখনও লক আউট করা হয় তবে আপনি কীভাবে প্রবেশ করবেন সে সম্পর্কে সত্যিকারের কঠোর চিন্তা করুন। তারপরে সেই ছিদ্রগুলি বন্ধ করুন।

আরও কয়েকটি বিষয় বিবেচনা করতে হবে। বেশিরভাগ মানুষ শারীরিক অ্যাক্সেস সম্পর্কে ভুলে যায়। আমি যদি কোনও লাইভসিডি দিয়ে শারীরিকভাবে চলতে পারি এবং আপনার ডেটা চুরি করতে পারি তবে বিশ্বের সমস্ত সফ্টওয়্যার কনফিগারেশনের কোনও অর্থ নেই। সামাজিক প্রকৌশল থেকে সাবধান থাকুন। ফোনে কে আছেন তা যাচাই করতে প্রশ্ন জিজ্ঞাসা করুন এবং তারা যে অনুরোধ করছেন তার বিষয়ে অনুমোদন দেওয়ার বিষয়টি নিশ্চিত করুন।

যেহেতু আমি এখনও একজন 'নতুন' ব্যবহারকারী, আমি 2 টির বেশি লিঙ্ক পোস্ট করতে পারি না। : আপনি এই বিষয় সম্পর্কে এখানে আরো পড়তে পারেন https://help.ubuntu.com/12.04/serverguide/index.html এবং বেতন বিশেষ মনোযোগ https://help.ubuntu.com/12.04/serverguide/security.html


2
ইউএফডাব্লু ব্যবহারের বিকল্প (উবুন্টুতে বাক্স ফায়ারওয়ালের বাইরে নির্মিত অবস্থায়) আপনার সিস্টেমে iptablesআপনি যে কোনও পরিষেবা ব্যবহার করতে যাচ্ছেন না তার বাহ্যিক অ্যাক্সেসকে নিষিদ্ধ করার জন্য অত্যন্ত নির্দিষ্ট নিয়ম সহ আপনার সিস্টেমটিকে লক করে দেওয়া , যদি আপনার কোনও অদ্ভুত- বল সেটআপের জন্য যদিও উন্নত রাউটিং এবং স্টাফ প্রয়োজন।
টমাস ওয়ার্ড

2
@ লর্ডফটাইম সম্মত আমি আসলে iptables নিজেই ব্যবহার করি তবে ufw বেশিরভাগ বেসিক ইনস্টলের জন্য ঠিক আছে। এছাড়াও ইউএফডাব্লু যে কোনও উপায়ে সাধারণত প্রচলিত আইপটিবল কনফিগারেশনের জন্য কেবল কম বেশি wra অন্তর্নিহিত সিস্টেম এখনও একই।
প্যাট্রিক রেগান

2
ইউএফডব্লিউটির জন্য +1, আপনি কোনও নতুন ব্যবহারকারী নন, আপনি 1 বছরের জন্য সদস্য: পি
টাচিয়ন্স

1
প্রকৃতপক্ষে, আমি কেবল এটি উল্লেখ করতে চেয়েছিলাম যে নির্দিষ্ট কিছু ক্ষেত্রে আইপ্যাবেটগুলি ইউফডব্লিউটির উপর আরও ভাল ব্যবহারযোগ্যতা অর্জন করতে পারে
টমাস ওয়ার্ড

1
BastilleLinux বিবেচনা করুন এটি একটি ভাল সুরক্ষা শক্তকরণ স্যুট।
pl1nk

13

ভাগ করা মেমরি নিরাপদ

/ dev / shm কোনও চলমান পরিষেবাদির বিরুদ্ধে আক্রমণ হিসাবে ব্যবহার করা যেতে পারে, যেমন httpd। এটিকে আরও সুরক্ষিত করতে / etc / fstab পরিবর্তন করুন।

একটি টার্মিনাল উইন্ডোটি খুলুন এবং নিম্নলিখিতটি প্রবেশ করুন:

sudo vi /etc/fstab

নিম্নলিখিত লাইন যুক্ত করুন এবং সংরক্ষণ করুন। এই সেটিংটি কার্যকর করতে আপনাকে পুনরায় বুট করতে হবে:

tmpfs     /dev/shm     tmpfs     defaults,noexec,nosuid     0     0

সিস্টেল সেটিংস সহ শক্ত নেটওয়ার্ক network

/Etc/sysctl.conf ফাইলে সমস্ত সিস্টেল সেটিংস থাকে। ইনকামিং প্যাকেটগুলির সোর্স রুটিং প্রতিরোধ করুন এবং লগ বিকৃত আইপি এর একটি টার্মিনাল উইন্ডোতে নিম্নলিখিত প্রবেশ করান

sudo vi /etc/sysctl.conf

/Etc/sysctl.conf ফাইলটি সম্পাদনা করুন এবং মন্তব্য না করে বা নিম্নলিখিত লাইনগুলি যুক্ত করুন:

# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0 
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0 
net.ipv6.conf.default.accept_redirects = 0

# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1

সর্বশেষ পরিবর্তনগুলি সহ সিসেক্টলটি পুনরায় লোড করতে, প্রবেশ করুন:

sudo sysctl -p

আইপি স্পুফিং প্রতিরোধ করুন

একটি টার্মিনাল খুলুন এবং নিম্নলিখিত লিখুন:

sudo vi /etc/host.conf

নিম্নলিখিত লাইনগুলি যুক্ত বা সম্পাদনা করুন:

order bind,hosts
nospoof on

সুরক্ষার জন্য শক্ত পিএইচপি করুন

Php.ini ফাইলটি সম্পাদনা করুন:

sudo vi /etc/php5/apache2/php.ini

নিম্নলিখিত লাইনগুলি যুক্ত বা সম্পাদনা করুন:

disable_functions = exec,system,shell_exec,passthru
register_globals = Off
expose_php = Off
magic_quotes_gpc = On

ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল - মোডসিকিউরিটি

http://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server

ডিডিওএস (পরিষেবা অস্বীকার) আক্রমণ থেকে রক্ষা করুন - মোডেভাসিভ

http://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server

লগগুলি স্ক্যান করুন এবং সন্দেহজনক হোস্টগুলি নিষিদ্ধ করুন - DenyHosts এবং Fail2Ban

@DenyHosts

ডেনিহোস্টগুলি একটি অজগর প্রোগ্রাম যা /etc/hosts.deny এন্ট্রি যুক্ত করে স্বয়ংক্রিয়ভাবে এসএসএইচ আক্রমণগুলিকে ব্লক করে। DenyHosts লিনাক্স প্রশাসকদের আপত্তিজনক হোস্ট, আক্রমণকারী ব্যবহারকারী এবং সন্দেহজনক লগইন সম্পর্কেও জানাবে।

একটি টার্মিনাল খুলুন এবং নিম্নলিখিত লিখুন:

sudo apt-get install denyhosts

ইনস্টলেশন পরে কনফিগারেশন ফাইল /etc/denyhosts.conf সম্পাদনা করুন এবং ইমেল এবং অন্যান্য সেটিংস প্রয়োজনীয় হিসাবে পরিবর্তন করুন।

প্রশাসক ইমেল সেটিংস সম্পাদনা করতে একটি টার্মিনাল উইন্ডো খুলুন এবং প্রবেশ করুন:

sudo vi /etc/denyhosts.conf

আপনার সার্ভারে প্রয়োজনীয় হিসাবে নিম্নলিখিত মানগুলি পরিবর্তন করুন:

ADMIN_EMAIL = root@localhost
SMTP_HOST = localhost
SMTP_PORT = 25
#SMTP_USERNAME=foo
#SMTP_PASSWORD=bar
SMTP_FROM = DenyHosts nobody@localhost
#SYSLOG_REPORT=YES 

@ ফেইল 2 বন

ডেইনহোস্টের চেয়ে ফয়েল2বান আরও উন্নত কারণ এটি এসএসএইচ, অ্যাপাচি, কুরিয়ার, এফটিপি এবং আরও অনেক কিছুতে লগ পর্যবেক্ষণকে প্রসারিত করে।

Fail2ban লগ ফাইলগুলি স্ক্যান করে এবং আইপি নিষিদ্ধ করে যা দূষিত চিহ্নগুলি দেখায় - অনেকগুলি পাসওয়ার্ড ব্যর্থতা, শোষণের সন্ধান ইত্যাদি etc.

সাধারণত Fail2Ban তারপরে নির্দিষ্ট সময়ের জন্য আইপি অ্যাড্রেসগুলি প্রত্যাখ্যান করার জন্য ফায়ারওয়াল নিয়মাবলী আপডেট করত, যদিও অন্য যেকোন নির্বিচারে অন্যান্য ক্রিয়াও কনফিগার করা যায়। বাক্সের বাইরে ফেইল 2 ব্যান বিভিন্ন পরিষেবার (অ্যাপাচি, কুরিয়ার, এফটিপি, এসএস, ইত্যাদি) ফিল্টার নিয়ে আসে।

একটি টার্মিনাল খুলুন এবং নিম্নলিখিত লিখুন:

sudo apt-get install fail2ban

ইনস্টলেশন পরে কনফিগারেশন ফাইল /etc/fail2ban/jail.local সম্পাদনা করুন এবং প্রয়োজনীয় ফিল্টার নিয়ম তৈরি করুন।

সেটিংস সম্পাদনা করতে একটি টার্মিনাল উইন্ডো খুলুন এবং প্রবেশ করুন:

sudo vi /etc/fail2ban/jail.conf

সক্ষম = মিথ্যা থেকে * সক্ষম = সত্য * পরিবর্তন করে আপনি যে সমস্ত পরিষেবাগুলি ব্যর্থ 2ban পর্যবেক্ষণ করতে চান তা সক্রিয় করুন

উদাহরণস্বরূপ, আপনি যদি এসএসএইচ পর্যবেক্ষণ এবং জেল নিষিদ্ধ করতে সক্ষম করতে চান তবে নীচের লাইনটি সন্ধান করুন এবং মিথ্যা থেকে সত্যকে সক্ষম করুন । এটাই.

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

হোস্টগুলি যদি আপনার ইমেল ঠিকানায় নীচের লাইনটি পরিবর্তন করে তবে আপনি যদি ফেইল 2 ব্যান থেকে ইমেলগুলি পেতে চান ।

destemail = root@localhost

এবং নিম্নলিখিত লাইনটি পরিবর্তন করুন:

action = %(action_)s

করুন:

action = %(action_mwl)s

আপনি বিফল 2ban যে ডিফল্টরূপে সরবরাহ করা হয় না তা নিরীক্ষণ করতে চান এমন বিভিন্ন পরিষেবার জন্য নিয়ম ফিল্টারও তৈরি করতে পারেন ।

sudo vi /etc/fail2ban/jail.local

কীভাবে ব্যর্থ 2 বন কনফিগার করতে হবে এবং বিভিন্ন ফিল্টার তৈরি করতে পারে তার জন্য ভাল নির্দেশাবলী হাওটোফর্মে পাওয়া যাবে - উদাহরণের জন্য এখানে ক্লিক করুন

Fail2Ban এর কনফিগারেশনটি সম্পন্ন করার সাথে পরিষেবাটি পুনরায় আরম্ভ করুন:

sudo /etc/init.d/fail2ban restart

আপনি এর সাথে স্থিতিটিও চেক করতে পারেন।

sudo fail2ban-client status

রুটকিটগুলির জন্য পরীক্ষা করুন - আরকেহান্টার এবং সিএইচকেরুটকিট।

আর কেহুন্টার এবং সিএইচকেরুটকিট উভয়ই মূলত একই কাজ করে - আপনার সিস্টেমটি জন্য পরীক্ষা করুন। উভয় ব্যবহারে কোনও ক্ষতি নেই।

একটি টার্মিনাল খুলুন এবং নিম্নলিখিত লিখুন:

sudo apt-get install rkhunter chkrootkit

চক্রোতকিট চালাতে একটি টার্মিনাল উইন্ডোটি খুলুন এবং প্রবেশ করুন:

sudo chkrootkit

আরকেহান্টার আপডেট এবং চালনা করতে। একটি টার্মিনাল খুলুন এবং নিম্নলিখিত লিখুন

sudo rkhunter --update
sudo rkhunter --propupd
sudo rkhunter --check

খোলা পোর্টগুলি স্ক্যান করুন - এনএম্যাপ

এনএম্যাপ ("নেটওয়ার্ক ম্যাপার") নেটওয়ার্ক আবিষ্কার এবং সুরক্ষা নিরীক্ষণের জন্য একটি নিখরচায় ও মুক্ত উত্স ইউটিলিটি ity

একটি টার্মিনাল খুলুন এবং নিম্নলিখিত লিখুন:

sudo apt-get install nmap

খোলা বন্দরগুলির জন্য আপনার সিস্টেমটি স্ক্যান করুন:

nmap -v -sT localhost

নিম্নলিখিত সহ এসওয়াইএন স্ক্যানিং:

sudo nmap -v -sS localhost

সিস্টেম লগ ফাইলগুলি বিশ্লেষণ করুন - লগওয়াচ

লগওয়াচ একটি স্বনির্ধারিত লগ বিশ্লেষণ সিস্টেম। লগওয়াচ আপনার সিস্টেমে লগগুলি পার্স করে এবং আপনার নির্দিষ্ট ক্ষেত্র বিশ্লেষণ করে একটি প্রতিবেদন তৈরি করে। লগওয়াচটি ব্যবহার করা সহজ এবং বেশিরভাগ সিস্টেমে প্যাকেজটি ঠিক বাইরে কাজ করবে।

একটি টার্মিনাল খুলুন এবং নিম্নলিখিত লিখুন:

sudo apt-get install logwatch libdate-manip-perl

লগওয়াচের আউটপুট দেখতে কম ব্যবহার করুন:

sudo logwatch | less

একটি ইমেল ঠিকানায় গত 7 দিনের জন্য লগওয়াচ প্রতিবেদন ইমেল করতে, নিম্নলিখিতটি প্রবেশ করান এবং প্রয়োজনীয় ইমেলের সাথে মেইল@domain.com প্রতিস্থাপন করুন। :

sudo logwatch --mailto mail@domain.com --output mail --format html --range 'between -7 days and today' 

আপনার সিস্টেমের সুরক্ষা নিরীক্ষণ করুন - টাইগার।

বাঘ একটি সুরক্ষা সরঞ্জাম যা সুরক্ষা নিরীক্ষা এবং অনুপ্রবেশ সনাক্তকরণ সিস্টেম হিসাবে উভয়ই ব্যবহৃত হতে পারে।

একটি টার্মিনাল খুলুন এবং নিম্নলিখিত লিখুন:

sudo apt-get install tiger

বাঘটি চালাতে প্রবেশ করুন:

sudo tiger

সমস্ত বাঘের আউটপুট / ভার / লগ / বাঘে পাওয়া যাবে

বাঘের সুরক্ষা প্রতিবেদনগুলি দেখতে একটি টার্মিনাল খুলুন এবং নিম্নলিখিতটি প্রবেশ করান:

sudo less /var/log/tiger/security.report.*

আরও সাহায্যের জন্য


পিএইচপি: magic_quotes_gpc = On। ম্যাজিক কোটগুলি প্রথমে অবমূল্যায়ন করা
টিম

13

যেহেতু আপনি বলেছেন এটি ওয়েব-হোস্টিং-সার্ভার ... আমি ওয়েব-হোস্টিং লাইনে আমার দীর্ঘ 5 বছরের সেরা অনুশীলন এবং অভিজ্ঞতা ভাগ করে নিতে চাই ।

  1. আমার অতীত অভিজ্ঞতাগুলি থেকে, সরাসরি কনফিগারেশনে সরাসরি না গিয়ে given

  2. যেহেতু আপনার কাছে ল্যাম্প রয়েছে, সুতরাং আপনাকে পিএইচপি এবং এর পিএইচপি.আইএনই সেটিংসে খুব সতর্ক থাকতে হবে । এটি পিএইচপি সুরক্ষার জন্য একটি ভাল লিঙ্ক । পিএইচপি-তে সুপার পাওয়ার রয়েছে যা সঠিকভাবে কনফিগার করা না হলে সুরক্ষা লুপে পরিণত হতে পারে।

  3. আপনার অনুমতি ছাড়াই আপনার ফাইলগুলি কখন সংশোধন করা হয়েছে এবং সম্ভবত হ্যাক হয়েছে তা পরীক্ষা করতে আপনি ক্রোন জব ব্যবহার করতে পারেন ; এই ক্রোন কাজ ব্যবহার । আমি নোটপ্যাড ++ পছন্দ করিক্রোন ফলাফলের তুলনায় (সরাসরি আপনার ওয়েব সার্ভার থেকে ক্রোন ইমেল ডাউনলোড করুন এবং নোটপ্যাড ++ এ খুলুন)।

  4. আপনি যদি কিছু এসইএম ইনস্টল করতে চান তবে সিপ্যানেলটি সবচেয়ে বেশি পছন্দ করা হয় (তবে অর্থ প্রদান করা হয়)। ওয়েবমিন এবং জিপ্যানেল খুব ভাল ফ্রি বিকল্প। এটির জন্য কমপক্ষে স্ব স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করে এবং সুরক্ষা যুক্ত করে এটি ওয়েবমিন আরও ভাল।

  5. আপনি যদি বাক্সের বাইরে কিছু কাজ করতে চান তবে আপনি টার্নকি লিনাক্সের জন্য যেতে পারেন এটি উবুন্টুর উপর ভিত্তি করে, আপনার প্রয়োজনের জন্য কার্যকর করা অত্যন্ত সহজ এবং নমনীয়। খুব অল্প চেষ্টা করেই আপনি বাক্স থেকে সুরক্ষা পাবেন। এটি তাদের ল্যাম্প স্ট্যাকআমি ব্যক্তিগতভাবে এটি ব্যবহার করি এবং পছন্দ করি।

  6. আপনি যদি স্ক্র্যাচ থেকে শুরু করে থাকেন তবে আপনি আইএসপকনফিগ 3ও ইনস্টল করতে পারেন। এখানে নির্দেশ ।

  7. আপনি ব্যাক-ট্র্যাক-লিনাক্স ব্যবহার করে আপনার সুরক্ষা প্রবেশ করার চেষ্টা করে আপনার সুরক্ষা পরীক্ষা করতে পারেন ।

  8. জটিল দীর্ঘ এবং এলোমেলো পাসওয়ার্ড রাখুন। এগুলি পিসিতে সঞ্চয় করবেন না । লিখে ফেলো. এই লগইনগুলি অ্যাক্সেস করতে একটি লাইভ সিডি ব্যবহার করুন।

  9. ফেল22 এর মতো একটি বর্বর শক্তি সুরক্ষা সফ্টওয়্যার পান।

  10. আপনার প্রয়োজন নেই এমন ডেমোনগুলি চালাবেন না।

  11. সমস্ত অপ্রয়োজনীয় বন্দর অবরুদ্ধ করুন । এসএসএইচ পোর্ট (22) এর সাথে অত্যন্ত সতর্কতা অবলম্বন করুন।

  12. আপনি যে সিস্টেমে সার্ভার পরিচালনা করতে পারবেন সেই সিস্টেমে একটি স্ট্যাটিক আইপি দিয়ে নিজেকে পান। বেশিরভাগ জিনিসগুলিকে আইপি ব্লক করুন এবং কেবলমাত্র আপনার নির্দিষ্ট আইপিকে 22 পোর্টের মতো কনফিগারেশন জায়গাগুলিতে অ্যাক্সেসের অনুমতি দিন

দিনের শেষে ... একদম মনের কথা নিয়ে কাজ করুন, ইনস্টল করে সংবেদনশীল হবেন না এবং সাধারণ জ্ঞান প্রয়োগ করা আপনাকে অনেক দূরে নিয়ে যাবে।

**My heartiest best wishes to you. good luck.**

1
পিএইচপি ব্যবহারকারীর ইনপুট (উদাহরণস্বরূপ স্ক্যুয়েল ইনজেকশন) বিশ্বাস করার সময়ও এটি বিপজ্জনক হতে পারে।
NoBugs

@ NoBugs আমি এই বিষয়টির সাথে একমত একক উত্তরে সমস্ত কিছু সংকুচিত করা সম্ভব নয়। আমার উত্তরটিতে অনেক হাইপারলিংক রয়েছে কারণ এই পৃষ্ঠাগুলিতে এই ওয়েবসাইটগুলি সত্যিই খুব দরকারী। আশা করি আমার উত্তর এবং অন্তর্ভুক্ত লিঙ্কগুলি সম্প্রদায়কে সহায়তা করবে :)
ভবেশ দিওয়ান

2
# 9: না, রামডম পাসওয়ার্ডগুলি খারাপ, কীটি দৈর্ঘ্যের মধ্যে ie "ডি0জি ....................." "প্রক্সাইক.এন (এন 4 কে 77 # এল! ইভিডিএএফপি 9" এর চেয়েও শক্তিশালী। ব্যাখ্যা xkcd.com/2011/08/10
পাপুকাইজ

2
@ পাপুকাইজা আমি আপনাকে গুগল করার পরামর্শ দিই brute force attacksএবং dictionary attacks.. এ জাতীয় আক্রমণ থেকে নিজেকে সুরক্ষিত করার জন্য এলোমেলো দীর্ঘ পাসওয়ার্ডই একমাত্র উপায়।
ভবেশ দিওয়ান

6

বাস্টিল লিনাক্স প্রকল্পটি ব্যবহার করুন।

এটি সর্বোপরি সুরক্ষা বাড়ানোর জন্য অতিরিক্ত সুরক্ষা কঠোর ব্যবস্থা গ্রহণের জন্য একটি ইন্টারেক্টিভ সরঞ্জাম সরবরাহ করে এবং আপনার উবুন্টু সিস্টেমের জন্য আপস করার সংবেদনশীলতা হ্রাস করে ( বাসিলিল লিনাক্স থেকে ) ।

এটি একটি মূল্যায়ন এবং প্রতিবেদনের কার্যকারিতা সরবরাহ করে, যাতে এটি আপনাকে বলতে পারে যে সিস্টেমের কোন অংশ লক করা হয়নি। এটি সিস্টেমটিকে কেবল পঠনযোগ্য ফ্যাশনে পরীক্ষা করে এবং এর প্রতিটি কঠোর আইটেমের স্থিতি সম্পর্কে রিপোর্ট করে। উদাহরণস্বরূপ, বাস্টিল চেক করতে পারে ডিএনএস সার্ভারটি ক্রুট কারাগারে লক রয়েছে কিনা, টেলনেটটি বন্ধ আছে কিনা, এমনকি পাসওয়ার্ডগুলিও ভাল দৈর্ঘ্যের জন্য প্রয়োজন। আপনি এই লিঙ্কটি (আরও তথ্য ) এর মাধ্যমে একটি ওয়েব-ডেমোটি একবার দেখে নিতে পারেন ।

আপনি ওয়েব প্রাকদর্শন থাকতে পারে (শুধুমাত্র) ডেমো এখানে

BastillleLinux


1
আমি এই সুপারিশ দ্বিতীয় করতে পারেন। উন্মুক্ত হোস্ট (যেমন ওয়েব-সার্ভার) চালানোর জন্য, বাস্টিল সিস্টেমটি সুরক্ষার দিকে অনেক এগিয়ে যায়।
ফ্লয়েড

এটি সেন্টোস / রেডহ্যাটে আপনি যে সেলইনাক্স সিস্টেমে দেখতে পান তার সাথে দেখতে দেখতে একই রকম লাগে তবে আমি বাজি ধরেছি যে সেলিনাক্স আরও আধুনিক।
জাঙ্গোফান

3

ব্যবহার nmapমেশিনের সমস্ত ইন্টারফেসে করুন, যাতে আপনি জানেন যে আপনি আপনার মেশিনে কী পরিষেবা চালাচ্ছেন। এটি সুরক্ষার জন্য একটি প্রয়োজনীয় সরঞ্জাম।

আপনার বাহ্যিক ইন্টারফেসে আপনার প্রয়োজন নেই এমন সমস্ত পরিষেবা সরান। আপনি লোকালহোস্টের মতো নির্দিষ্ট ইন্টারফেসগুলি শুনতে কেবল মাইএসকিউএল কনফিগার করতে পারেন।

আপনার এসএসএইচ পরিষেবা (এবং সম্ভাব্য অন্যরা) রক্ষা করতে ufw ব্যবহার করুন যাতে এটি একই মেশিন থেকে প্রতি মিনিটে খুব বেশি (ব্যর্থ) সংযোগের অনুমতি না দেয়। এটি নিষ্ঠুর শক্তি আক্রমণ আরও শক্ত করে তুলবে। পোর্ট নম্বর পরিবর্তন করা যে দরকারী তা নয়, কেবল অস্পষ্টতা, কোনও সুরক্ষা নেই।

আপনার মেশিনে অ্যাকাউন্টের সংখ্যা নিয়ে সীমাবদ্ধ থাকুন। এছাড়াও আপনি যত বেশি প্যাকেজ / প্রোগ্রাম ইনস্টল করবেন তা বাস্তবে ব্যবহার করবেন না। কেবল এক্স 11-ক্লায়েন্ট ইনস্টল করুন, কোনও এক্স 11-সার্ভার নয়।

ডিজিটাল শংসাপত্র, কোনও পাসওয়ার্ড সহ কেবল মেশিনে এসএস-লগইন করার অনুমতি দিন । এটি নিষ্ঠুর শক্তি আক্রমণগুলি শক্ত / অসম্ভবকেও তৈরি করবে।


2

আমি সিআইএস ডেবিয়ান বেঞ্চমার্কস নথির সাথেও পরামর্শ করবো এবং এটি অপারেটিং সিস্টেমকে শক্ত করার জন্য উল্লেখযোগ্য সংখ্যক পদ্ধতি এবং প্রক্রিয়া রয়েছে যা উবুন্টুকে প্রযোজ্য হবে কারণ এটি দেবিয়ান থেকে প্রাপ্ত একটি উদ্ভিদ। আমিও পরামর্শ করব:


0

সুরক্ষা সবসময় একটি দাম সঙ্গে আসে। কিছু বাস্তবসম্মত সীমানা নির্ধারণ করা আপনাকে লক্ষ্য অর্জনে সহায়তা করবে। আমি নিম্নলিখিত দিকগুলি বিবেচনা করব:

  • আপনি কীসের বিরুদ্ধে নিজেকে রক্ষা করছেন (কোন ধরণের ভিলেন, তাঁর বাজেট কী)?
  • আপনার আক্রমণ ভেক্টর কি?

এখানে পোস্ট করা সমস্ত লিঙ্কগুলি চেক করা, আমি মনে করি এটি যুক্ত করা উচিত। এটি আপনার সফ্টওয়্যারটি কীভাবে সেটআপ করবেন তা নয়, তবে সুরক্ষা পরিকল্পনা সম্পর্কেও ভাবেন detail প্লাস হিসাবে, কার্যকর করার জন্য প্রতিটি কমান্ড এর উত্স দিয়ে ব্যাখ্যা করা হয়।

জেনিয়াল 16.04-এ একটি উবুন্টু ওয়েবসারভার সুরক্ষিত করা


0

আমি উবুন্টু 16.04-18.04 কীভাবে সুরক্ষিত করতে পারি সে সম্পর্কে খুব বেশিদিন আগে একটি পোস্ট করেছিলাম। এই পদক্ষেপগুলির মধ্যে রয়েছে:

অনুমোদিত পাসওয়ার্ডের সাথে পাসওয়ার্ড লগইন প্রতিস্থাপন করুন আপনার লিনাক্স সার্ভারে একটি ফায়ারওয়াল ইনস্টল করুন

এবং আরো কিছু. https://hostup.org/blog/how-to-secure-a-ubuntu-linux-server-in-3-simple-steps/

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.