আমার যতটুকু সম্ভব উবুন্টু সার্ভারকে সুরক্ষিত করার একটি প্রকল্প রয়েছে। সার্ভারটি একটি ওয়েব হোস্টিং সার্ভার। সার্ভারটি এলএএমপি, মেল এবং ডিএনএসে চলবে।
আমার যতটুকু সম্ভব উবুন্টু সার্ভারকে সুরক্ষিত করার একটি প্রকল্প রয়েছে। সার্ভারটি একটি ওয়েব হোস্টিং সার্ভার। সার্ভারটি এলএএমপি, মেল এবং ডিএনএসে চলবে।
উত্তর:
আমার সার্ভারটি সুরক্ষিত করতে আমি যা করি সেগুলির একটি তালিকা এখানে।
sudo ufw enable
) এবং তারপরে কেবলমাত্র ব্যবহৃত পোর্টগুলি কেবলমাত্র ব্যবহৃত হবে actually ( sudo ufw allow 80
)sudo apt-get install denyhosts
)আরও কয়েকটি বিষয় বিবেচনা করতে হবে। বেশিরভাগ মানুষ শারীরিক অ্যাক্সেস সম্পর্কে ভুলে যায়। আমি যদি কোনও লাইভসিডি দিয়ে শারীরিকভাবে চলতে পারি এবং আপনার ডেটা চুরি করতে পারি তবে বিশ্বের সমস্ত সফ্টওয়্যার কনফিগারেশনের কোনও অর্থ নেই। সামাজিক প্রকৌশল থেকে সাবধান থাকুন। ফোনে কে আছেন তা যাচাই করতে প্রশ্ন জিজ্ঞাসা করুন এবং তারা যে অনুরোধ করছেন তার বিষয়ে অনুমোদন দেওয়ার বিষয়টি নিশ্চিত করুন।
যেহেতু আমি এখনও একজন 'নতুন' ব্যবহারকারী, আমি 2 টির বেশি লিঙ্ক পোস্ট করতে পারি না। : আপনি এই বিষয় সম্পর্কে এখানে আরো পড়তে পারেন https://help.ubuntu.com/12.04/serverguide/index.html এবং বেতন বিশেষ মনোযোগ https://help.ubuntu.com/12.04/serverguide/security.html
iptables
আপনি যে কোনও পরিষেবা ব্যবহার করতে যাচ্ছেন না তার বাহ্যিক অ্যাক্সেসকে নিষিদ্ধ করার জন্য অত্যন্ত নির্দিষ্ট নিয়ম সহ আপনার সিস্টেমটিকে লক করে দেওয়া , যদি আপনার কোনও অদ্ভুত- বল সেটআপের জন্য যদিও উন্নত রাউটিং এবং স্টাফ প্রয়োজন।
/ dev / shm কোনও চলমান পরিষেবাদির বিরুদ্ধে আক্রমণ হিসাবে ব্যবহার করা যেতে পারে, যেমন httpd। এটিকে আরও সুরক্ষিত করতে / etc / fstab পরিবর্তন করুন।
একটি টার্মিনাল উইন্ডোটি খুলুন এবং নিম্নলিখিতটি প্রবেশ করুন:
sudo vi /etc/fstab
নিম্নলিখিত লাইন যুক্ত করুন এবং সংরক্ষণ করুন। এই সেটিংটি কার্যকর করতে আপনাকে পুনরায় বুট করতে হবে:
tmpfs /dev/shm tmpfs defaults,noexec,nosuid 0 0
/Etc/sysctl.conf ফাইলে সমস্ত সিস্টেল সেটিংস থাকে। ইনকামিং প্যাকেটগুলির সোর্স রুটিং প্রতিরোধ করুন এবং লগ বিকৃত আইপি এর একটি টার্মিনাল উইন্ডোতে নিম্নলিখিত প্রবেশ করান
sudo vi /etc/sysctl.conf
/Etc/sysctl.conf ফাইলটি সম্পাদনা করুন এবং মন্তব্য না করে বা নিম্নলিখিত লাইনগুলি যুক্ত করুন:
# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1
সর্বশেষ পরিবর্তনগুলি সহ সিসেক্টলটি পুনরায় লোড করতে, প্রবেশ করুন:
sudo sysctl -p
একটি টার্মিনাল খুলুন এবং নিম্নলিখিত লিখুন:
sudo vi /etc/host.conf
নিম্নলিখিত লাইনগুলি যুক্ত বা সম্পাদনা করুন:
order bind,hosts
nospoof on
Php.ini ফাইলটি সম্পাদনা করুন:
sudo vi /etc/php5/apache2/php.ini
নিম্নলিখিত লাইনগুলি যুক্ত বা সম্পাদনা করুন:
disable_functions = exec,system,shell_exec,passthru
register_globals = Off
expose_php = Off
magic_quotes_gpc = On
ডেনিহোস্টগুলি একটি অজগর প্রোগ্রাম যা /etc/hosts.deny এন্ট্রি যুক্ত করে স্বয়ংক্রিয়ভাবে এসএসএইচ আক্রমণগুলিকে ব্লক করে। DenyHosts লিনাক্স প্রশাসকদের আপত্তিজনক হোস্ট, আক্রমণকারী ব্যবহারকারী এবং সন্দেহজনক লগইন সম্পর্কেও জানাবে।
একটি টার্মিনাল খুলুন এবং নিম্নলিখিত লিখুন:
sudo apt-get install denyhosts
ইনস্টলেশন পরে কনফিগারেশন ফাইল /etc/denyhosts.conf সম্পাদনা করুন এবং ইমেল এবং অন্যান্য সেটিংস প্রয়োজনীয় হিসাবে পরিবর্তন করুন।
প্রশাসক ইমেল সেটিংস সম্পাদনা করতে একটি টার্মিনাল উইন্ডো খুলুন এবং প্রবেশ করুন:
sudo vi /etc/denyhosts.conf
আপনার সার্ভারে প্রয়োজনীয় হিসাবে নিম্নলিখিত মানগুলি পরিবর্তন করুন:
ADMIN_EMAIL = root@localhost
SMTP_HOST = localhost
SMTP_PORT = 25
#SMTP_USERNAME=foo
#SMTP_PASSWORD=bar
SMTP_FROM = DenyHosts nobody@localhost
#SYSLOG_REPORT=YES
ডেইনহোস্টের চেয়ে ফয়েল2বান আরও উন্নত কারণ এটি এসএসএইচ, অ্যাপাচি, কুরিয়ার, এফটিপি এবং আরও অনেক কিছুতে লগ পর্যবেক্ষণকে প্রসারিত করে।
Fail2ban লগ ফাইলগুলি স্ক্যান করে এবং আইপি নিষিদ্ধ করে যা দূষিত চিহ্নগুলি দেখায় - অনেকগুলি পাসওয়ার্ড ব্যর্থতা, শোষণের সন্ধান ইত্যাদি etc.
সাধারণত Fail2Ban তারপরে নির্দিষ্ট সময়ের জন্য আইপি অ্যাড্রেসগুলি প্রত্যাখ্যান করার জন্য ফায়ারওয়াল নিয়মাবলী আপডেট করত, যদিও অন্য যেকোন নির্বিচারে অন্যান্য ক্রিয়াও কনফিগার করা যায়। বাক্সের বাইরে ফেইল 2 ব্যান বিভিন্ন পরিষেবার (অ্যাপাচি, কুরিয়ার, এফটিপি, এসএস, ইত্যাদি) ফিল্টার নিয়ে আসে।
একটি টার্মিনাল খুলুন এবং নিম্নলিখিত লিখুন:
sudo apt-get install fail2ban
ইনস্টলেশন পরে কনফিগারেশন ফাইল /etc/fail2ban/jail.local সম্পাদনা করুন এবং প্রয়োজনীয় ফিল্টার নিয়ম তৈরি করুন।
সেটিংস সম্পাদনা করতে একটি টার্মিনাল উইন্ডো খুলুন এবং প্রবেশ করুন:
sudo vi /etc/fail2ban/jail.conf
সক্ষম = মিথ্যা থেকে * সক্ষম = সত্য * পরিবর্তন করে আপনি যে সমস্ত পরিষেবাগুলি ব্যর্থ 2ban পর্যবেক্ষণ করতে চান তা সক্রিয় করুন
উদাহরণস্বরূপ, আপনি যদি এসএসএইচ পর্যবেক্ষণ এবং জেল নিষিদ্ধ করতে সক্ষম করতে চান তবে নীচের লাইনটি সন্ধান করুন এবং মিথ্যা থেকে সত্যকে সক্ষম করুন । এটাই.
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
হোস্টগুলি যদি আপনার ইমেল ঠিকানায় নীচের লাইনটি পরিবর্তন করে তবে আপনি যদি ফেইল 2 ব্যান থেকে ইমেলগুলি পেতে চান ।
destemail = root@localhost
এবং নিম্নলিখিত লাইনটি পরিবর্তন করুন:
action = %(action_)s
করুন:
action = %(action_mwl)s
আপনি বিফল 2ban যে ডিফল্টরূপে সরবরাহ করা হয় না তা নিরীক্ষণ করতে চান এমন বিভিন্ন পরিষেবার জন্য নিয়ম ফিল্টারও তৈরি করতে পারেন ।
sudo vi /etc/fail2ban/jail.local
কীভাবে ব্যর্থ 2 বন কনফিগার করতে হবে এবং বিভিন্ন ফিল্টার তৈরি করতে পারে তার জন্য ভাল নির্দেশাবলী হাওটোফর্মে পাওয়া যাবে - উদাহরণের জন্য এখানে ক্লিক করুন
Fail2Ban এর কনফিগারেশনটি সম্পন্ন করার সাথে পরিষেবাটি পুনরায় আরম্ভ করুন:
sudo /etc/init.d/fail2ban restart
আপনি এর সাথে স্থিতিটিও চেক করতে পারেন।
sudo fail2ban-client status
আর কেহুন্টার এবং সিএইচকেরুটকিট উভয়ই মূলত একই কাজ করে - আপনার সিস্টেমটি জন্য পরীক্ষা করুন। উভয় ব্যবহারে কোনও ক্ষতি নেই।
একটি টার্মিনাল খুলুন এবং নিম্নলিখিত লিখুন:
sudo apt-get install rkhunter chkrootkit
চক্রোতকিট চালাতে একটি টার্মিনাল উইন্ডোটি খুলুন এবং প্রবেশ করুন:
sudo chkrootkit
আরকেহান্টার আপডেট এবং চালনা করতে। একটি টার্মিনাল খুলুন এবং নিম্নলিখিত লিখুন
sudo rkhunter --update
sudo rkhunter --propupd
sudo rkhunter --check
এনএম্যাপ ("নেটওয়ার্ক ম্যাপার") নেটওয়ার্ক আবিষ্কার এবং সুরক্ষা নিরীক্ষণের জন্য একটি নিখরচায় ও মুক্ত উত্স ইউটিলিটি ity
একটি টার্মিনাল খুলুন এবং নিম্নলিখিত লিখুন:
sudo apt-get install nmap
খোলা বন্দরগুলির জন্য আপনার সিস্টেমটি স্ক্যান করুন:
nmap -v -sT localhost
নিম্নলিখিত সহ এসওয়াইএন স্ক্যানিং:
sudo nmap -v -sS localhost
লগওয়াচ একটি স্বনির্ধারিত লগ বিশ্লেষণ সিস্টেম। লগওয়াচ আপনার সিস্টেমে লগগুলি পার্স করে এবং আপনার নির্দিষ্ট ক্ষেত্র বিশ্লেষণ করে একটি প্রতিবেদন তৈরি করে। লগওয়াচটি ব্যবহার করা সহজ এবং বেশিরভাগ সিস্টেমে প্যাকেজটি ঠিক বাইরে কাজ করবে।
একটি টার্মিনাল খুলুন এবং নিম্নলিখিত লিখুন:
sudo apt-get install logwatch libdate-manip-perl
লগওয়াচের আউটপুট দেখতে কম ব্যবহার করুন:
sudo logwatch | less
একটি ইমেল ঠিকানায় গত 7 দিনের জন্য লগওয়াচ প্রতিবেদন ইমেল করতে, নিম্নলিখিতটি প্রবেশ করান এবং প্রয়োজনীয় ইমেলের সাথে মেইল@domain.com প্রতিস্থাপন করুন। :
sudo logwatch --mailto mail@domain.com --output mail --format html --range 'between -7 days and today'
বাঘ একটি সুরক্ষা সরঞ্জাম যা সুরক্ষা নিরীক্ষা এবং অনুপ্রবেশ সনাক্তকরণ সিস্টেম হিসাবে উভয়ই ব্যবহৃত হতে পারে।
একটি টার্মিনাল খুলুন এবং নিম্নলিখিত লিখুন:
sudo apt-get install tiger
বাঘটি চালাতে প্রবেশ করুন:
sudo tiger
সমস্ত বাঘের আউটপুট / ভার / লগ / বাঘে পাওয়া যাবে
বাঘের সুরক্ষা প্রতিবেদনগুলি দেখতে একটি টার্মিনাল খুলুন এবং নিম্নলিখিতটি প্রবেশ করান:
sudo less /var/log/tiger/security.report.*
magic_quotes_gpc = On
। ম্যাজিক কোটগুলি প্রথমে অবমূল্যায়ন করা
যেহেতু আপনি বলেছেন এটি ওয়েব-হোস্টিং-সার্ভার ... আমি ওয়েব-হোস্টিং লাইনে আমার দীর্ঘ 5 বছরের সেরা অনুশীলন এবং অভিজ্ঞতা ভাগ করে নিতে চাই ।
আমার অতীত অভিজ্ঞতাগুলি থেকে, সরাসরি কনফিগারেশনে সরাসরি না গিয়ে given
যেহেতু আপনার কাছে ল্যাম্প রয়েছে, সুতরাং আপনাকে পিএইচপি এবং এর পিএইচপি.আইএনই সেটিংসে খুব সতর্ক থাকতে হবে । এটি পিএইচপি সুরক্ষার জন্য একটি ভাল লিঙ্ক । পিএইচপি-তে সুপার পাওয়ার রয়েছে যা সঠিকভাবে কনফিগার করা না হলে সুরক্ষা লুপে পরিণত হতে পারে।
আপনার অনুমতি ছাড়াই আপনার ফাইলগুলি কখন সংশোধন করা হয়েছে এবং সম্ভবত হ্যাক হয়েছে তা পরীক্ষা করতে আপনি ক্রোন জব ব্যবহার করতে পারেন ; এই ক্রোন কাজ ব্যবহার । আমি নোটপ্যাড ++ পছন্দ করিক্রোন ফলাফলের তুলনায় (সরাসরি আপনার ওয়েব সার্ভার থেকে ক্রোন ইমেল ডাউনলোড করুন এবং নোটপ্যাড ++ এ খুলুন)।
আপনি যদি কিছু এসইএম ইনস্টল করতে চান তবে সিপ্যানেলটি সবচেয়ে বেশি পছন্দ করা হয় (তবে অর্থ প্রদান করা হয়)। ওয়েবমিন এবং জিপ্যানেল খুব ভাল ফ্রি বিকল্প। এটির জন্য কমপক্ষে স্ব স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করে এবং সুরক্ষা যুক্ত করে এটি ওয়েবমিন আরও ভাল।
আপনি যদি বাক্সের বাইরে কিছু কাজ করতে চান তবে আপনি টার্নকি লিনাক্সের জন্য যেতে পারেন । এটি উবুন্টুর উপর ভিত্তি করে, আপনার প্রয়োজনের জন্য কার্যকর করা অত্যন্ত সহজ এবং নমনীয়। খুব অল্প চেষ্টা করেই আপনি বাক্স থেকে সুরক্ষা পাবেন। এটি তাদের ল্যাম্প স্ট্যাক । আমি ব্যক্তিগতভাবে এটি ব্যবহার করি এবং পছন্দ করি।
আপনি যদি স্ক্র্যাচ থেকে শুরু করে থাকেন তবে আপনি আইএসপকনফিগ 3ও ইনস্টল করতে পারেন। এখানে নির্দেশ ।
আপনি ব্যাক-ট্র্যাক-লিনাক্স ব্যবহার করে আপনার সুরক্ষা প্রবেশ করার চেষ্টা করে আপনার সুরক্ষা পরীক্ষা করতে পারেন ।
জটিল দীর্ঘ এবং এলোমেলো পাসওয়ার্ড রাখুন। এগুলি পিসিতে সঞ্চয় করবেন না । লিখে ফেলো. এই লগইনগুলি অ্যাক্সেস করতে একটি লাইভ সিডি ব্যবহার করুন।
ফেল22 এর মতো একটি বর্বর শক্তি সুরক্ষা সফ্টওয়্যার পান।
আপনার প্রয়োজন নেই এমন ডেমোনগুলি চালাবেন না।
সমস্ত অপ্রয়োজনীয় বন্দর অবরুদ্ধ করুন । এসএসএইচ পোর্ট (22) এর সাথে অত্যন্ত সতর্কতা অবলম্বন করুন।
আপনি যে সিস্টেমে সার্ভার পরিচালনা করতে পারবেন সেই সিস্টেমে একটি স্ট্যাটিক আইপি দিয়ে নিজেকে পান। বেশিরভাগ জিনিসগুলিকে আইপি ব্লক করুন এবং কেবলমাত্র আপনার নির্দিষ্ট আইপিকে 22 পোর্টের মতো কনফিগারেশন জায়গাগুলিতে অ্যাক্সেসের অনুমতি দিন ।
দিনের শেষে ... একদম মনের কথা নিয়ে কাজ করুন, ইনস্টল করে সংবেদনশীল হবেন না এবং সাধারণ জ্ঞান প্রয়োগ করা আপনাকে অনেক দূরে নিয়ে যাবে।
**My heartiest best wishes to you. good luck.**
brute force attacks
এবং dictionary attacks
.. এ জাতীয় আক্রমণ থেকে নিজেকে সুরক্ষিত করার জন্য এলোমেলো দীর্ঘ পাসওয়ার্ডই একমাত্র উপায়।
বাস্টিল লিনাক্স প্রকল্পটি ব্যবহার করুন।
এটি সর্বোপরি সুরক্ষা বাড়ানোর জন্য অতিরিক্ত সুরক্ষা কঠোর ব্যবস্থা গ্রহণের জন্য একটি ইন্টারেক্টিভ সরঞ্জাম সরবরাহ করে এবং আপনার উবুন্টু সিস্টেমের জন্য আপস করার সংবেদনশীলতা হ্রাস করে ( বাসিলিল লিনাক্স থেকে ) ।
এটি একটি মূল্যায়ন এবং প্রতিবেদনের কার্যকারিতা সরবরাহ করে, যাতে এটি আপনাকে বলতে পারে যে সিস্টেমের কোন অংশ লক করা হয়নি। এটি সিস্টেমটিকে কেবল পঠনযোগ্য ফ্যাশনে পরীক্ষা করে এবং এর প্রতিটি কঠোর আইটেমের স্থিতি সম্পর্কে রিপোর্ট করে। উদাহরণস্বরূপ, বাস্টিল চেক করতে পারে ডিএনএস সার্ভারটি ক্রুট কারাগারে লক রয়েছে কিনা, টেলনেটটি বন্ধ আছে কিনা, এমনকি পাসওয়ার্ডগুলিও ভাল দৈর্ঘ্যের জন্য প্রয়োজন। আপনি এই লিঙ্কটি (আরও তথ্য ) এর মাধ্যমে একটি ওয়েব-ডেমোটি একবার দেখে নিতে পারেন ।
আপনি ওয়েব প্রাকদর্শন থাকতে পারে (শুধুমাত্র) ডেমো এখানে ।
ব্যবহার nmap
মেশিনের সমস্ত ইন্টারফেসে করুন, যাতে আপনি জানেন যে আপনি আপনার মেশিনে কী পরিষেবা চালাচ্ছেন। এটি সুরক্ষার জন্য একটি প্রয়োজনীয় সরঞ্জাম।
আপনার বাহ্যিক ইন্টারফেসে আপনার প্রয়োজন নেই এমন সমস্ত পরিষেবা সরান। আপনি লোকালহোস্টের মতো নির্দিষ্ট ইন্টারফেসগুলি শুনতে কেবল মাইএসকিউএল কনফিগার করতে পারেন।
আপনার এসএসএইচ পরিষেবা (এবং সম্ভাব্য অন্যরা) রক্ষা করতে ufw ব্যবহার করুন যাতে এটি একই মেশিন থেকে প্রতি মিনিটে খুব বেশি (ব্যর্থ) সংযোগের অনুমতি না দেয়। এটি নিষ্ঠুর শক্তি আক্রমণ আরও শক্ত করে তুলবে। পোর্ট নম্বর পরিবর্তন করা যে দরকারী তা নয়, কেবল অস্পষ্টতা, কোনও সুরক্ষা নেই।
আপনার মেশিনে অ্যাকাউন্টের সংখ্যা নিয়ে সীমাবদ্ধ থাকুন। এছাড়াও আপনি যত বেশি প্যাকেজ / প্রোগ্রাম ইনস্টল করবেন তা বাস্তবে ব্যবহার করবেন না। কেবল এক্স 11-ক্লায়েন্ট ইনস্টল করুন, কোনও এক্স 11-সার্ভার নয়।
ডিজিটাল শংসাপত্র, কোনও পাসওয়ার্ড সহ কেবল মেশিনে এসএস-লগইন করার অনুমতি দিন । এটি নিষ্ঠুর শক্তি আক্রমণগুলি শক্ত / অসম্ভবকেও তৈরি করবে।
আমি সিআইএস ডেবিয়ান বেঞ্চমার্কস নথির সাথেও পরামর্শ করবো এবং এটি অপারেটিং সিস্টেমকে শক্ত করার জন্য উল্লেখযোগ্য সংখ্যক পদ্ধতি এবং প্রক্রিয়া রয়েছে যা উবুন্টুকে প্রযোজ্য হবে কারণ এটি দেবিয়ান থেকে প্রাপ্ত একটি উদ্ভিদ। আমিও পরামর্শ করব:
সুরক্ষা সবসময় একটি দাম সঙ্গে আসে। কিছু বাস্তবসম্মত সীমানা নির্ধারণ করা আপনাকে লক্ষ্য অর্জনে সহায়তা করবে। আমি নিম্নলিখিত দিকগুলি বিবেচনা করব:
এখানে পোস্ট করা সমস্ত লিঙ্কগুলি চেক করা, আমি মনে করি এটি যুক্ত করা উচিত। এটি আপনার সফ্টওয়্যারটি কীভাবে সেটআপ করবেন তা নয়, তবে সুরক্ষা পরিকল্পনা সম্পর্কেও ভাবেন detail প্লাস হিসাবে, কার্যকর করার জন্য প্রতিটি কমান্ড এর উত্স দিয়ে ব্যাখ্যা করা হয়।
আমি উবুন্টু 16.04-18.04 কীভাবে সুরক্ষিত করতে পারি সে সম্পর্কে খুব বেশিদিন আগে একটি পোস্ট করেছিলাম। এই পদক্ষেপগুলির মধ্যে রয়েছে:
অনুমোদিত পাসওয়ার্ডের সাথে পাসওয়ার্ড লগইন প্রতিস্থাপন করুন আপনার লিনাক্স সার্ভারে একটি ফায়ারওয়াল ইনস্টল করুন
এবং আরো কিছু. https://hostup.org/blog/how-to-secure-a-ubuntu-linux-server-in-3-simple-steps/