কীভাবে একটি এসএসএইচ সার্ভার শক্ত করবেন?

128

আমার এসএসএইচ সার্ভারের আশেপাশে সুরক্ষা একেবারেই দুর্গম হয় কিনা তা নিশ্চিত করতে আমি কী ব্যবস্থা নিতে পারি / উচিত?

এটি শুরু থেকে সম্প্রদায় উইকি হবে, সুতরাং লোকেরা তাদের সার্ভারগুলি সুরক্ষিত করতে কী করে তা দেখতে দিন।

security  ssh 
ল্যাসপলসেন
সূত্র
44
নিখুঁত অক্ষমতার জন্য বাক্সটি বন্ধ করা দরকার।
থরবজর্ন রাভন অ্যান্ডারসন
আপনার যদি ওয়েক-অন-ল্যান থাকে?
রহস্যবিশেষ
সমস্যাটি ল্যান অংশ হতে পারে ... ওয়েক-অন-ল্যান প্যাকেজগুলি রুট করা হয় না, তাই
ডাব্লুএলএল
মূল প্রমাণীকরণের জন্য আপনি সম্ভবত সাইফারগুলি আপনার যে সাইফারগুলির প্রয়োজন তা সীমাবদ্ধ করে রাখতে পারেন।

উত্তর:

108

পাসওয়ার্ডের পরিবর্তে প্রমাণীকরণের জন্য পাবলিক / প্রাইভেট কী জুড়ি ব্যবহার করুন।

  1. সার্ভার অ্যাক্সেস করতে হবে এমন প্রতিটি কম্পিউটারের জন্য একটি পাসফ্রেজ-সুরক্ষিত এসএসএইচ কী তৈরি করুন:

    ssh-keygen

  2. অনুমোদিত কম্পিউটারগুলি থেকে সর্বজনীন-কী এসএসএইচ অ্যাক্সেসের অনুমতি দিন:

    ~/.ssh/id_rsa.pubপ্রতিটি কম্পিউটারের সামগ্রীগুলি ~/.ssh/authorized_keysসার্ভারের স্বতন্ত্র লাইনে অনুলিপি করুন বা ssh-copy-id [server IP address]আপনি যে কম্পিউটারে অ্যাক্সেস দিচ্ছেন তা চালিয়ে যান (আপনাকে প্রম্পটে সার্ভারের পাসওয়ার্ড দিতে হবে)।

  3. পাসওয়ার্ড এসএসএইচ অ্যাক্সেস অক্ষম করুন:

    খুলুন /etc/ssh/sshd_config, যে লাইনটি বলেছে #PasswordAuthentication yesতা সন্ধান করুন এবং এতে পরিবর্তন করুন PasswordAuthentication no। পরিবর্তনটি প্রয়োগ করতে এসএসএইচ সার্ভার ডেমন পুনরায় চালু করুন sudo service ssh restart

এখন, সার্ভারে এসএসএইচ করার একমাত্র সম্ভাব্য উপায় হ'ল একটি লাইন মেলে এমন কী ব্যবহার করা ~/.ssh/authorized_keys। এই পদ্ধতিটি ব্যবহার করে, আমি নিষ্ঠুর বলের আক্রমণগুলির বিষয়ে চিন্তা করি না কারণ তারা আমার পাসওয়ার্ডটি অনুমান করলেও এটি প্রত্যাখাত হবে। পাবলিক / প্রাইভেট কী জুটিটিকে জোর করে চাপিয়ে দেওয়া আজকের প্রযুক্তি দিয়ে অসম্ভব

ইভান ক্রস্ক
সূত্র
5
-1: সাধারণত অ্যাক্সেস স্বতন্ত্র কম্পিউটার নয়, কম্পিউটারে সার্ভারের সাথে সংযুক্ত প্রতিটি সম্ভাব্য ক্লায়েন্ট কম্পিউটারের জন্য একটি কী তৈরি করা অযৌক্তিক। আপনার শেষ বিবরণটি সঠিক নয়, আপনার প্রতিশ্রুতি অনুসারে এবং আপনি কোনও ক্লায়েন্ট সিস্টেমের অ্যাক্সেস / আপস করে এমন ব্যক্তিগত কীগুলির জন্য একটি পাসফ্রেজ সেট করার প্রস্তাব করেন নি যে এসএসএইচ সার্ভারটিতে স্বয়ংক্রিয়ভাবে অ্যাক্সেস মঞ্জুর করবে। এসএসএইচ কী প্রমাণীকরণের সুপারিশ করা হয়েছে তবে ব্যক্তিগত কীগুলি যথাযথভাবে সুরক্ষিত করা উচিত এবং এটি স্বতন্ত্র ভিত্তিতে ব্যবহার করা উচিত, যেমন বর্ণিত বিতরণ নয়।
জোও পিন্টো
7
"সাধারনত পৃথক নয় কম্পিউটারগুলিতে অ্যাক্সেস দেওয়া হয়, সার্ভারের সাথে সংযোগ স্থাপনকারী প্রতিটি সম্ভাব্য ক্লায়েন্ট কম্পিউটারের জন্য একটি চাবি তৈরি করা অযৌক্তিক" অনেকগুলি বিকল্প রয়েছে এবং আমি মনে করি যে কীভাবে প্রতিটি ক্লায়েন্টের কাছে একটি ব্যক্তিগত কী নিরাপদে স্থানান্তর করা যায় তা এই প্রশ্নের আওতার বাইরে মনে হয় describ । আমি সমস্ত অপশন উপস্থাপন করছি না, কেবল একটি সহজ যা আমি মনে করি লোকেরা বুঝতে পারে। "... স্বতন্ত্র ভিত্তিতে ব্যবহার করা উচিত, বর্ণিত বিতরণ ফ্যাশনে নয়" এটি আপনার আগের বক্তব্যটির বিরোধিতা বলে মনে হচ্ছে এবং আমি বিতরণ হিসাবে কিছু বর্ণনা করি নি।
আসা আয়ার্স
5
"অসম্ভব" সম্ভবত এটি কিছুটা বাড়তি করছে।
থরবজর্ন রাভন অ্যান্ডারসন
9
এ কারণেই আমি বলি "অসম্ভব"। কারও কাছেই এই ছোট বা এই অনেক বেশি সময় এই দ্রুত কম্পিউটার থাকে না। "এমন একটি কম্পিউটারের কল্পনা করুন যা বালির শস্যের আকার যা কিছু এনক্রিপ্ট করা ডেটার বিপরীতে কীগুলি পরীক্ষা করতে পারে Also এছাড়াও এটি কল্পনা করুন যে এটি কোনও কীটি যে পরিমাণ সময় পার হতে পারে এটি পরীক্ষা করতে পারে Then তারপরে এই কম্পিউটারগুলির একটি গুচ্ছ বিবেচনা করুন, এতগুলি যে আপনি যদি তাদের সাথে পৃথিবীটি coveredেকে রাখেন তবে তারা পুরো গ্রহটি 1 মিটার উচ্চতায় ছড়িয়ে দেবে computers কম্পিউটারগুলির ক্লাস্টারটি এক হাজার বছরে গড়ে একটি 128-বিট কী ফাটিয়ে দেবে ""
আসা আয়ার্স
@ ThorbjørnRavnAndersen আপনি যতক্ষণ না একটি শক্তিশালী কী ব্যবহার করেন ততক্ষণ "ইম্পসিবল" সত্যিই এটিকে বাড়িয়ে তুলবে না। আমি এই মুহূর্তে একটি উদ্ধৃতি খুঁজে পাচ্ছি না, তবে বর্তমান মূল দৈর্ঘ্যের সাথে, ব্রুট ফোর্সের আক্রমণগুলি "যতক্ষণ না কম্পিউটারগুলি পদার্থ ব্যতীত অন্য কিছু তৈরি করে এবং স্থান ব্যতীত অন্য কিছু দখল না করে" অপ্রাপ্ত হয়।
ম্যাক্সিমিলিয়ান লমিস্টার
72

আমি সুপারিশ করেছিলাম:

  • ব্রুট ফোর্স লগইন প্রচেষ্টা রোধ করতে ব্যর্থ 2ban ব্যবহার করা ।

  • এসএসএইচ এর মাধ্যমে লগ ইনকে রুট হিসাবে অক্ষম করা হচ্ছে। এর অর্থ একটি আক্রমণকারীকে ব্যবহারকারীর নাম এবং পাসওয়ার্ড উভয়ই খুঁজে বের করতে হয়েছিল যাতে আক্রমণটি আরও জটিল করে তোলে।

    PermitRootLogin noআপনার যোগ করুন /etc/ssh/sshd_config

  • সার্ভারে এসএসএইচ করতে পারে এমন ব্যবহারকারীদের সীমাবদ্ধ। হয় গোষ্ঠী দ্বারা বা কেবল নির্দিষ্ট ব্যবহারকারীদের দ্বারা।

    যোগ AllowGroups group1 group2বা AllowUsers user1 user2সীমিত করতে যারা সার্ভারে SSH পারবেন না।

মার্ক ডেভিডসন
সূত্র
2
AllowUsers এবং AllowGroups একটি কমা গ্রহণ করে না , একটি বিভেদক হিসাবে। আপনি এটি দূর থেকে চেষ্টা না করে তা নিশ্চিত করুন। আমি এটিকে ভুলভাবে করে আমার এনএএস থেকে লক আউট করে চলেছি।
নির্মম আওয়াজ
4
sshdনিজেকে sshd পুনরায় চালু করার আগে আপনার কনফিগারটি সর্বদা কার্যকর করুন , নিজেকে মেশিন থেকে লক করা এড়ানোর জন্য। বিশদগুলির জন্য এই ব্লগটি দেখুন - sshd -Tমূলটি পুনরায় চালু করার আগে কোনও কনফিগার পরিবর্তনের পরে চলুন sshd। এছাড়াও, আপনি যখন কনফিগারেশন পরিবর্তন করবেন তখন মেশিনে একটি এসএসএইচ সেশনটি খোলা থাকুন এবং যতক্ষণ না আপনি উল্লিখিত কনফিগারেশনটি যাচাই করেছেন এবং সম্ভবত কোনও এসএসএইচ লগইন না করেছেন ততক্ষণ এটি বন্ধ করবেন না।
রিচভেল
24

অন্যান্য উত্তরগুলি সুরক্ষা সরবরাহ করে তবে আপনি একটি কাজ করতে পারেন যা আপনার লগগুলিকে আরও শান্ত করে তুলবে এবং আপনার অ্যাকাউন্ট থেকে লক হয়ে যাওয়ার সম্ভাবনা কম হবে:

22 পোর্ট থেকে অন্যটিতে সার্ভারটি সরান। হয় আপনার গেটওয়ে, বা সার্ভারে।

এটি সুরক্ষা বাড়ায় না, তবে এর অর্থ এই যে সমস্ত র্যান্ডম ইন্টারনেট স্ক্যানারগুলি আপনার ফাইলগুলিতে লগ করতে পারে না।

ডগলাস লিডার
সূত্র
1
যারা অস্পষ্টতার দ্বারা সুরক্ষায় বিশ্বাস রাখেন ( en.wikedia.org/wiki/Security_through_obscurity ) তাদের জন্য অন্য একটি বন্দর ব্যবহার করা অনেক অর্থবোধ করে। আমি যদিও করি না ..
লাসেপলসন
32
এটি অস্পষ্টতার মাধ্যমে সুরক্ষা সম্পর্কে নয় (যদিও অস্পষ্টতার প্রান্তিক ইতিবাচক প্রভাব থাকতে পারে)। এটি অন্তহীন উদ্দীপনা প্রচেষ্টার ব্যাকগ্রাউন্ড গোলমাল হ্রাস সম্পর্কে। যদি তারা অটোমেটেড আক্রমণে পূর্ণ থাকে তবে আপনি কার্যকরভাবে আপনার অ্যাক্সেস ব্যর্থতা লগগুলি নিরীক্ষণ করতে পারবেন না; ব্যর্থ2ban আক্রমণকারীদের সংখ্যা এবং বিতরণ (বোটনেট) এবং থ্রোটলড আক্রমণের প্রচলন বিবেচনা করে পর্যাপ্ত পরিমাণকে হ্রাস করে না। একটি অস্বাভাবিক বন্দরে ssh সহ, আপনি জানেন যে লগগুলিতে আপনি যে আক্রমণগুলি দেখেন তা আপনার বাক্সে আগ্রহী আসল আক্রমণকারী থেকে আসে come আমি দৃ strongly়ভাবে এটি সুপারিশ।
বোবিনস
যেহেতু আপনি ওয়েব-ফেসিং এসএস সার্ভারের জন্য শোডানের মতো ইন্টারনেট পরিষেবাগুলি জিজ্ঞাসা করতে পারেন বা এনএমএপ এবং ব্যানার ক্যাপচার ব্যবহার করে ডিফল্ট পোর্টটি পরিবর্তন করা বেশ অর্থহীন। আমি এর বিরুদ্ধে পরামর্শ দেব would
স্লো লরিস
শোদন সমস্ত 65 কে বন্দর দখল করে না তাই একটি উচ্চ বন্দরটিতে পরিবর্তন সম্ভবত এটি তাদের স্ক্যানগুলি থেকে সরিয়ে ফেলবে। এছাড়াও আপনি যদি এলোমেলো উঁচু বন্দরে চলে যান তবে আক্রমণকারীটির আক্রমণটি শুরু করার জন্য আপনার পরিষেবাটি খুঁজে পেতে সম্ভবত 65 কে টিসিপি স্ক্যান (খুব গোলমাল) করতে হবে। এগুলি উভয়ই সুরক্ষার দৃষ্টিকোণ থেকে জয়যুক্ত, সুতরাং একটি উচ্চ বন্দরটিতে চলে যাওয়া সাধারণত একটি ভাল পরিকল্পনা। আর একটি হ'ল একটি উচ্চ বন্দরটিতে গিয়ে আপনি আরও ভাল ধারণা পেতে পারেন যে যে কেউ আপনাকে আক্রমণ করছে সে আপনার সিস্টেমকে বিশেষ সাধারণ ব্যাকগ্রাউন্ড ইন্টারনেট শব্দের বিপরীতে নির্দিষ্ট করে টার্গেট করছে
র্যারি ম্যাকচুন
23

HOTP বা TOTP দিয়ে দুটি ফ্যাক্টর প্রমাণীকরণ সক্ষম করুন । এটি ১৩.১০ এর পরে পাওয়া যায়।

এটিতে এখানে অন্য উত্তরের মতো পাসওয়ার্ড প্রমাণীকরণের উপরে সর্বজনীন কী প্রমাণীকরণ ব্যবহার করা অন্তর্ভুক্ত রয়েছে তবে ব্যবহারকারীর প্রমাণ প্রয়োজন যে তিনি তার ব্যক্তিগত কী ছাড়াও তার দ্বিতীয়-গুণক-ডিভাইসটি ধারণ করেছেন holds

সারাংশ:

  1. sudo apt-get install libpam-google-authenticator

  2. প্রতিটি ব্যবহারকারীর google-authenticatorকমান্ডটি চালিত করুন , যা ~/.google-authenticatorতাদের দুটি ফ্যাক্টর ডিভাইস (যেমন গুগল প্রমাণীকরণকারী অ্যান্ড্রয়েড অ্যাপ্লিকেশন) তৈরি করে এবং তাদেরকে কনফিগার করতে সহায়তা করে।

  3. সম্পাদনা করুন /etc/ssh/sshd_configএবং সেট করুন:

    ChallengeResponseAuthentication yes
PasswordAuthentication no
AuthenticationMethods publickey,keyboard-interactive

  4. এতে sudo service ssh reloadআপনার পরিবর্তনগুলি বেছে নিতে দৌড়াও /etc/ssh/sshd_config

  5. /etc/pam.d/sshdলাইনটি সম্পাদনা করুন এবং প্রতিস্থাপন করুন:

    @include common-auth

    সঙ্গে:

    auth required pam_google_authenticator.so

বিভিন্ন কনফিগারেশন বিকল্পের আরও বিশদটি আমার গত বছরের ব্লগ পোস্ট: উবুন্টুতে আরও ভাল দুটি ফ্যাক্টর ssh প্রমাণীকরণ

রবি বাসাক
সূত্র
21

সঠিকভাবে লগইন তথ্য সরবরাহ করতে ব্যর্থ হয়েছে এমন এসএসডি ব্লক ক্লায়েন্টের আইপি তৈরি করুন " অস্বীকৃতি " এই কাজটি বেশ কার্যকরভাবে করতে পারে। আমি এটি আমার সমস্ত লিনাক্স বাক্সগুলিতে ইনস্টল করেছি যা একরকমভাবে দুর্দান্ত বাইরে থেকে পৌঁছতে পারে।

এটি নিশ্চিত করবে যে এসএসএইচডি-র উপর জোর আক্রমণগুলি কার্যকর হবে না, তবে মনে রাখবেন (!) আপনি যদি পাসওয়ার্ড ভুলে যান তবে আপনি নিজেকে এইভাবে লকিং আপ করতে পারেন। এটি আপনার কোনও অ্যাক্সেস নেই এমন রিমোট সার্ভারে সমস্যা হতে পারে।

ল্যাসপলসেন
সূত্র
2
আইপি ঠিকানা নিষিদ্ধ করার আগে 10 টি ব্যর্থ লগইন প্রচেষ্টা মত বিকল্প আছে?
sayantankhan
20

এখানে করা একটি সহজ কাজ: ইউফডাব্লু ইনস্টল করুন ("জটিল জটিল ফায়ারওয়াল") এবং আসন্ন সংযোগগুলিকে সীমাবদ্ধ করতে এটি ব্যবহার করুন।

কমান্ড প্রম্পট থেকে, টাইপ করুন:

$ sudo ufw limit OpenSSH

যদি ufw ইনস্টল না করা থাকে তবে এটি করুন এবং আবার চেষ্টা করুন:

$ sudo aptitude install ufw

অনেক আক্রমণকারী আপনার নিখুঁত পাসওয়ার্ডগুলির জন্য আপনার এসএসএইচ সার্ভারটি ব্যবহার করার চেষ্টা করবে। এটি একই আইপি ঠিকানা থেকে প্রতি 30 সেকেন্ডে 6 সংযোগের অনুমতি দেবে।

mpontillo
সূত্র
+1 সীমা ব্যবহার করা ভাল হতে পারে। তবে এটি স্পষ্ট করে দেখা উচিত যে sftp সার্ভারটি বিল্ট ইন ব্যবহার করার সময় আমি সমস্যার মুখোমুখি হলাম কারণ এটি এর জন্য সংযোগগুলিও সীমাবদ্ধ করে।
মার্ক ডেভিডসন
2
@ মার্ক - ভাল পয়েন্ট, তবে এটির মতো খারাপ লেখনী এসএফটিপি ক্লায়েন্টের মতো শোনাচ্ছে না? তারা যখন আরও বেশি এসএসএইচ চ্যানেল খুলতে পারে তখন কেন তারা এসএসএইচ বন্দরে পুনরায় সংযোগ স্থাপন করবে?
এমপন্টিলো
12

আমি যদি কিছু অতিরিক্ত সুরক্ষা পেতে চাই বা কিছু কর্পোরেট নেটওয়ার্কের গভীরে এসএসএইচ সার্ভারগুলি অ্যাক্সেস করতে চাই তবে আমি অজ্ঞাতনামা সফটওয়্যার টোর ব্যবহার করে একটি গোপন পরিষেবা সেটআপ করি ।

  1. টোর ইনস্টল করুন এবং এসএসএইচ সার্ভার নিজেই সেটআপ করুন।
  2. নিশ্চিত করুন যে sshd কেবলমাত্র শুনেছে localhost
  3. খোলা /etc/tor/torrc। সেট HiddenServiceDir /var/lib/tor/sshএবং HiddenServicePort 22 127.0.0.1:22
  4. তাকান var/lib/tor/ssh/hostname। এর মতো একটি নাম আছে d6frsudqtx123vxf.onion। এটি হিডেন সার্ভিসের ঠিকানা।

  5. $HOME/.ssh/configকিছু লাইন খুলুন এবং যুক্ত করুন:

    Host myhost
HostName d6frsudqtx123vxf.onion
ProxyCommand socat STDIO SOCKS4A:127.0.0.1:%h:%p,socksport=9050

তবুও আমার স্থানীয় হোস্টে টোর দরকার। এটি ইনস্টল করা থাকলে আমি প্রবেশ করতে পারি ssh myhostএবং এসএসএইচ টরের মাধ্যমে একটি সংযোগ খুলবে। অন্যদিকে থাকা এসএসএইচ সার্ভারটি কেবল লোকালহোস্টে তার বন্দরটি খুলবে। সুতরাং কেউ এটিকে "সাধারণ ইন্টারনেট" এর মাধ্যমে সংযুক্ত করতে পারে না।

কিবিবি
সূত্র
10
উন্নত অস্পষ্টতার দ্বারা সুরক্ষা, তবে খুব আকর্ষণীয়।
জোহানেস
8

এই বিষয়ে একটি দেবিয়ান প্রশাসনিক নিবন্ধ রয়েছে। এটি বেসিক এসএসএইচ সার্ভার কনফিগারেশন এবং ফায়ারওয়াল বিধিগুলিও অন্তর্ভুক্ত করে। এটি কোনও এসএসএইচ সার্ভারকে শক্ত করার পক্ষেও আগ্রহী হতে পারে।

সেখানে নিবন্ধটি দেখুন: এসএসএইচ অ্যাক্সেস সুরক্ষিত রাখা

Huygens
সূত্র
3
বিট দেরিতে, তবে দয়া করে, প্রশ্নের উত্তর দেওয়ার সময়, একটি লিঙ্ক থেকে গুরুত্বপূর্ণ অংশগুলি অনুলিপি করুন যাতে লিঙ্কটি সিদ্ধান্ত নেয় তবে তথ্যটি এখানেই রয়েছে।
umop aplsdn
1
ভাল ধারণা. যদিও আমি অংশ নেওয়ার জন্য অনেক কম সময় দিয়েছি। আমার উত্তরটি "সম্প্রদায়ের উইকি" তাই আপনার কাছে সময় থাকলে লিঙ্কের তথ্য যুক্ত করতে দ্বিধা বোধ করুন।
হিউজেনস
6

এসএসএইচ কঠোর করার জন্য আমার পদ্ধতি ... জটিল ... নীচের আইটেমগুলি আমি কীভাবে এটি করি তার শর্তাবলী, আমার নেটওয়ার্ক (গুলি) এর প্রান্ত-সর্বাধিক সীমানা থেকে সার্ভারগুলি পর্যন্ত।

  1. ব্লকলিস্টে পরিচিত পরিষেবা স্ক্যানার এবং স্বাক্ষর সহ আইডিএস / আইপিএসের মাধ্যমে ট্র্যাফিকের সীমানা-স্তরীয় ফিল্টারিং। আমি আমার সীমান্ত ফায়ারওয়াল (এটি আমার পদ্ধতির, একটি পিএফএসেন্স অ্যাপ্লায়েন্স) এর মাধ্যমে স্নোর্টের মাধ্যমে এটি অর্জন করি। কখনও কখনও, আমি যদিও এটি করতে পারি না যেমন আমার ভিপিএস দিয়ে।

  2. এসএসএইচ পোর্ট (গুলি) এর ফায়ারওয়াল / নেটওয়ার্ক ফিল্টারিং। আমি স্পষ্টভাবে কেবলমাত্র কয়েকটি সিস্টেমকে আমার এসএসএইচ সার্ভারগুলিতে পৌঁছানোর অনুমতি দিই। এটি হয় হয় আমার নেটওয়ার্কের সীমান্তে পিএফসেন্স ফায়ারওয়ালের মাধ্যমে, বা প্রতিটি সার্ভারের ফায়ারওয়ালগুলি স্পষ্টভাবে কনফিগার করা হচ্ছে। এমন কিছু ক্ষেত্রে রয়েছে যেখানে আমি এটি করতে পারি না, যদিও (ব্যক্তিগত পেন টেস্টিং বা সুরক্ষা পরীক্ষার ল্যাব পরিবেশ যেখানে ফায়ারওয়ালগুলি পরীক্ষার জিনিসগুলিতে সহায়তা করবে না) বাদে এটি প্রায়শই কখনও হয় না।

  3. আমার পিএফএসেন্স, বা একটি সীমান্ত ফায়ারওয়াল NAT- এর অভ্যন্তরীণ নেটওয়ার্কের সাথে এবং ইন্টারনেট এবং সিস্টেমগুলি থেকে পৃথক করে, সার্ভারগুলিতে ভিপিএন-কেবল অ্যাক্সেস । সার্ভারগুলিতে যাওয়ার জন্য আমার নেটওয়ার্কগুলিতে ভিপিএন পেতে হবে, কারণ এর মতো কোনও ইন্টারনেট-মুখী বন্দর নেই। এটি অবশ্যই আমার সমস্ত ভিপিএসের জন্য কাজ করে না, তবে # 2 এর সাথে মিলে আমি একটি ভিপিএসকে সেই সার্ভারে ভিপিএনিংয়ের 'গেটওয়ে' হতে পারি এবং তারপরে অন্যান্য বাক্সে আইপি করার অনুমতি দিতে পারি। এইভাবে, আমি ঠিক কীভাবে এসএসএইচ করতে পারি বা করতে পারি না তা জানি - আমার একটি বাক্স যা ভিপিএন। (বা, পিএফসেন্সের পিছনে আমার হোম নেটওয়ার্কে, আমার ভিপিএন সংযোগ, এবং আমি ভিপিএন অ্যাক্সেস সহ একমাত্র ব্যক্তি)।

  4. যেখানে # 3 কার্যকর করা যায় না, ফেইল 2 ব্যাবহার করা হয়, 4 টি ব্যর্থ চেষ্টার পরে ব্লক করার জন্য কনফিগার করা এবং আইপিগুলিকে এক ঘন্টা বা তার বেশি সময় অবরুদ্ধ করার জন্য ক্রমাগত ব্রুটেফোর্সিংয়ের সাথে আক্রমণকারী লোকদের বিরুদ্ধে একটি শালীন সুরক্ষা - কেবল ফায়ার 2 এবং মেহের সাথে ফায়ারওয়ালে স্বয়ংক্রিয়ভাবে তাদের ব্লক করুন। ব্যর্থ 2ban কনফিগার করা যদিও ব্যথা ...

  5. এসএসএইচ পোর্ট পরিবর্তন করে পোর্ট অবরুদ্ধকরণ। তবে কোনও অতিরিক্ত সুরক্ষা ব্যবস্থা ছাড়াই এটি করা ভাল ধারণা নয় - "ইতিমধ্যে সুরক্ষা মাধ্যমে সুরক্ষা" এর মন্ত্রটি ইতিমধ্যে অনেক ক্ষেত্রে খণ্ডন ও বিতর্কিত হয়েছে। আমি আইডিএস / আইপিএস এবং নেটওয়ার্ক ফিল্টারিংয়ের সাথে একত্রে এটি করেছি, তবে এটি এখনও নিজের হাতে করা খুব খারাপ কাজ।

  6. দ্বৈত সুরক্ষার দ্বি-ফ্যাক্টর প্রমাণীকরণ সমাধানের মাধ্যমে ম্যান্ডোরিয়াল দ্বি-ফ্যাক্টর প্রমাণীকরণ । আমার এসএসএইচ সার্ভারের প্রত্যেকেরই এটিতে ডুও কনফিগার করা আছে, যাতে এমনকি প্রবেশের জন্য, 2 এফএ অনুরোধ জানানো হয় এবং আমাকে প্রতিটি অ্যাক্সেস নিশ্চিত করতে হবে। (এটি চূড়ান্ত সহায়ক বৈশিষ্ট্য - কারণ কারও কাছে আমার পাসফ্রেজ রয়েছে বা ভেঙে গেলেও তারা ডুও পিএএম প্লাগইনগুলি পার করতে পারে না)। এটি আমার এসএসএইচ সার্ভারের অননুমোদিত অ্যাক্সেস থেকে সবচেয়ে বড় সুরক্ষাগুলির মধ্যে একটি - প্রতিটি ব্যবহারকারীকে ডুয়ের একটি কনফিগার ব্যবহারকারীর সাথে আবদ্ধ হওয়া আবশ্যক, এবং যেহেতু আমার একটি সীমাবদ্ধ সেট রয়েছে তাই কোনও নতুন ব্যবহারকারী সিস্টেমে নিবন্ধভুক্ত হতে পারবেন না।

এসএসএইচ সুরক্ষিত করার জন্য আমার দুই সেন্ট। বা, অন্ততপক্ষে আমার ধারণাগুলি কাছে।

থমাস ডব্ল্যু
সূত্র
1

আপনি গুগল প্রমাণীকরণকারীর পরিবর্তে রেডহ্যাট থেকে ফ্রিওটিপি অ্যাপটি চেকআউট করতে চাইতে পারেন। কখনও কখনও অ্যাপ্লিকেশন আপডেট করার সময়, তারা আপনাকে লক আউট করে! ;-)

আপনি যদি অন্য হার্ডওয়্যার টোকেন যেমন ইউবিকি বা ইটোকেন পাস বা এনজি ব্যবহার করতে চান বা আপনার যদি অনেক ব্যবহারকারী বা অনেক সার্ভার থাকে তবে আপনি একটি ওপেনসোর্স দুটি ফ্যাক্টর প্রমাণীকরণ ব্যাকএন্ড ব্যবহার করতে চাইতে পারেন।

ইদানীং আমি এই সম্পর্কে একটি হাউটো লিখেছি ।

কর্নেলিনাক্স
সূত্র
0

আমি সম্প্রতি এটি করার জন্য একটি ছোট টিউটোরিয়াল লিখেছি। মূলত, আপনাকে পিকেআই ব্যবহার করা দরকার এবং আমার টিউটোরিয়ালটি আরও সুরক্ষার জন্য কীভাবে দ্বি-কারখানা প্রমাণীকরণ ব্যবহার করতে হবে তাও দেখায়। এমনকি যদি আপনি এই জিনিসগুলির কোনও একটিই না ব্যবহার করেন তবে দুর্বল সাইফার স্যুটগুলি এবং অন্যান্য বেসিকগুলি সরিয়ে সার্ভারকে সুরক্ষিত করার বিষয়ে কিছু টিডব্যাট রয়েছে। https://joscor.com/blog/hardening-openssh-server-ubuntu-14-04/

01000101
সূত্র
0

বিপুল সংখ্যক ব্যবহারকারী / শংসাপত্রের জন্য এলডিএপি সংহতকরণ বিবেচনা করুন। বড় প্রতিষ্ঠানগুলি শংসাপত্রগুলি প্রমাণীকরণের জন্য বা ইমেলগুলিতে স্বাক্ষর করার জন্য ব্যবহার করা হয় না কেন, ব্যাজ বা ফোবগুলিতে সংরক্ষিত শংসাপত্রগুলির ব্যবহারকারীর শংসাপত্র এবং শংসাপত্রগুলির জন্য একটি সংগ্রহস্থল হিসাবে LDAP ব্যবহার করে। উদাহরণগুলির মধ্যে ওপেনএলডিএপি, ওপেনডিজে, অ্যাক্টিভ ডিরেক্টরি, ওরাকল ইউনিভার্সাল ডিরেক্টরি, আইবিএম ডিরেক্টরি সার্ভার, স্নেয়ার ওয়ার্কস অন্তর্ভুক্ত রয়েছে ...

কম্পিউটার এবং গোষ্ঠীগুলিও এলডিএপিতে কেন্দ্রীয় শংসাপত্রের ব্যবস্থাপনায় পরিচালিত হতে পারে। এই ভাবে সহায়তা ডেস্কের বিশাল জনগোষ্ঠীর মোকাবেলা করার জন্য একটি স্টপ শপ থাকতে পারে।

এখানে CentOS ইন্টিগ্রেশনের লিঙ্ক রয়েছে: http://itdavid.blogspot.com/2013/11/howto-configure-openssh-to-fetch-public.html

weller1
সূত্র
0

আপনি জিওআইপি ডাটাবেস ব্যবহার করে উত্সের ভিত্তিতে অবরুদ্ধ করতে পারেন।

মূলত আপনি যদি মার্কিন যুক্তরাষ্ট্রে থাকেন তবে রাশিয়ায় কারও জন্য আপনার এসএসএইচে সংযোগ স্থাপন করার কোনও কারণ নেই তাই তারা স্বয়ংক্রিয়ভাবে অবরুদ্ধ হয়ে যাবে।

স্ক্রিপ্টটি এখানে পাওয়া যাবে: https://www.axllent.org/docs/view/ssh-geoip/

আপনি সেই আইপিগুলিতে / সমস্ত ট্র্যাফিক স্বয়ংক্রিয়ভাবে ফেলে দেওয়ার জন্য এটিতে আইপটিবল কমান্ডগুলি (আমি আমার ফোঁটাগুলির জন্য করেছি) যুক্ত করতে পারেন।

মাইকেল এ মাইক
সূত্র
1
মাঝে মাঝে জিওআইপি ডাটাবেসগুলি ভুল হতে পারে - আমাকে জিজ্ঞাসা করা হয়েছিল আমি গতকাল মস্কোতে ছিলাম ... না! :)
শান
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.