আপনি কি এসএসএইচ পরিষেবাটি বিশ্বকে দেওয়ার অনুমতি দিচ্ছেন? নাকি শুধু নির্দিষ্ট জায়গায় দলের সদস্যদের? আমার উত্তর আপনার চ্যালেঞ্জের তীব্রতার উপর কিছুটা নির্ভর করে।
উভয় ক্ষেত্রেই, আপনার অবশ্যই একটি জিনিস করা উচিত তা নিশ্চিত করে নিন যে এসএসএইচ সার্ভারটি রুট ব্যবহারকারীর জন্য পাসওয়ার্ড লগইনগুলিকে অনুমতি দেয় না।
- / Etc / ssh / sshd_config এ নিশ্চিত হয়ে নিন যে আপনি কখনই কোনও এসএসএইচ কী বাদ দিয়ে রুট লগইনকে অনুমতি দেন না।
আমার সিস্টেমে, আমি এই সেটিংটি পেয়েছি
PermitRootLogin without-password
তবে আমি তাদের লক্ষ্য করেছি নতুন উবুন্টুতে
PermitRootLogin prohibit-password
আপনি যদি "man sshd_config" পড়ে থাকেন তবে আমি মনে করি এটির অর্থ এই নতুন "নিষিদ্ধ-পাসওয়ার্ড" এর অর্থ একই জিনিস এবং এটি অবশ্যই অর্থের মধ্যে আরও স্পষ্ট। এটি কিছু লিনাক্স সিস্টেমে ডিফল্ট নয় তবে সম্ভবত হওয়া উচিত।
এখন, আপনার সমস্যা সম্পর্কে আপনার সিস্টেম সার্ভারটি কি কেবলমাত্র নির্দিষ্ট জায়গায় কিছু ব্যবহারকারীকে? এটা কর!
সম্পাদনা /etc/hosts.deny এবং সন্নিবেশ করুন
সমস্ত: সব
তারপরে /etc/hosts.allow সম্পাদনা করুন এবং আইপি নম্বর বা এসএসএইচ ব্যবহারের অনুমতি দিতে চান এমন একটি ব্যাপ্তি তালিকাবদ্ধ করুন। স্বরলিপিটি কিছুটা বিভ্রান্তিকর কারণ আপনি যদি 111.222.65.101 এর মতো 111.222.65.255 এর মতো আইপি নম্বর সহ সমস্ত সিস্টেমকে মঞ্জুরি দিতে চান তবে আপনি এ জাতীয় প্রবেশদ্বার হোস্ট.ইল্টে রেখেছেন
ALL: 127.0.0.1
sshd: 111.222.65.
sshdfwd-X11: 111.222.65.
এটি একটি নিষ্ঠুর, শক্তিশালী সমাধান। যদি আপনার ব্যবহারকারীদের আইপি পরিসীমা দ্বারা গণনা করা যায় তবে এটি করুন!
আইপি টেবিলগুলি তৈরি হওয়ার আগে এই সমাধানটির অস্তিত্ব ছিল, এটি পরিচালনা করা অনেক সহজ (তবে আমি মনে করি) এটি আইপি টেবিলগুলির সমাধানের মতো ভাল নয় কারণ আইপি টেবিলের রুটিনগুলি হোস্ট.ইল এবং হোস্ট দ্বারা চালিত প্রোগ্রামগুলির চেয়ে শীঘ্রই শত্রুদের চিহ্নিত করবে IP .deny। তবে এটি একটি নিশ্চিত আগুন, কেবল এসএসএইচ থেকে নয়, প্রচুর সমস্যা বন্ধ করার সহজ উপায়।
আপনি নিজের জন্য তৈরি সমস্যাটি নোট করুন। আপনি যদি কোনও এফটিপি সার্ভার, ওয়েব সার্ভার বা কী নোট খুলতে চান তবে আপনাকে হোস্টগুলিতে প্রবেশের অনুমতি দিতে হবে।
আপনি iptables এবং ফায়ারওয়াল সঙ্গে fiddling দ্বারা একই বেসিক উদ্দেশ্য অর্জন করতে পারেন। এক অর্থে, এটি একটি পছন্দসই সমাধান কারণ আপনি বাইরের সীমানায় শত্রুদের অবরুদ্ধ করছেন। উবুন্টুর "উফডব্লিউ" (জটিল ফায়ারওয়াল) রয়েছে এবং "ম্যান ইউফডাব্লু" এর প্রচুর উদাহরণ রয়েছে। এর পরিবর্তে আমার সুন্দর জিইউআই করতে হবে, আমাকে এই সময়টা করতে হবে না। এখন অন্য কেউ আছে কিনা তা আমাদের বলতে পারে।
- এখানে অন্যান্য পোস্টগুলি কেবল আপনার ব্যবহারকারীদের জন্য এসএসএইচ পাবলিক কী ব্যবহার করার পরামর্শ দিয়েছে। এটি অবশ্যই আপনার ব্যবহারকারীদের জন্য জটিলতা এবং হতাশার মূল্যে সহায়তা করবে। আমাদের ল্যাবটিতে 15 টি কম্পিউটার রয়েছে। ব্যবহারকারীরা কম্পিউটারের মধ্যে যান। এসএসএইচ কী প্রমাণীকরণের প্রয়োজন হলে একটি বড় ঝামেলা সৃষ্টি হবে কারণ লোকেরা একটি কম্পিউটার থেকে অন্য কম্পিউটারে যায়।
হতাশার আরেকটি উত্স ঘটবে যখন কিছু ব্যবহারকারী বিভিন্ন সার্ভারের জন্য বিভিন্ন এসএস কীগুলি জমা করে। আমার কাছে প্রায় 12 টি বিভিন্ন প্রকল্পের জন্য এসএসএইচ কী রয়েছে, এখন এসএসএস ব্যর্থ হয়েছে কারণ আমার অনেকগুলি পাবলিক কী রয়েছে ("ssh -o PubkeyAuthentication = মিথ্যা" বা .ssh / কনফিগারেশন ফাইলে একটি এন্ট্রি তৈরি করা দরকার It এটি পিআইটিএ)
- যদি আপনাকে অবশ্যই বৃহত বিস্তৃত বিশ্ব থেকে এসএসএইচে সার্ভারটি খোলা রাখতে হয়, তবে অবশ্যই আপনাকে বার বার লগ ইন করার চেষ্টা করে এমন অবস্থানগুলি ব্লক করতে একটি প্রত্যাখ্যানের রুটিন ব্যবহার করা উচিত this এর জন্য দুটি দুর্দান্ত প্রোগ্রাম রয়েছে, আমরা যেগুলি ব্যবহার করেছি তা হ'ল অস্বীকৃতি এবং ব্যর্থ 2 । এই প্রোগ্রামগুলির সেটিংস রয়েছে যা আপনার পছন্দসই সময়ের জন্য আপনাকে অপরাধীদের নিষিদ্ধ করার অনুমতি দেয়।
আমাদের সেন্টোস লিনাক্স সিস্টেমে আমি লক্ষ্য করেছি যে তারা অস্বীকারকারী প্যাকেজটি বাদ দিয়েছে এবং কেবলমাত্র ব্যর্থ 2ban অফার করে। আমি অস্বীকারকারীদের পছন্দ করলাম কারণ এটি সমস্যাসমূহপূর্ণ ব্যবহারকারী / আইপি রেঞ্জগুলির তালিকা তৈরি করে হোস্টসডেনিতে, সেই তালিকাটি উল্লেখ করা হয়েছিল। পরিবর্তে আমরা ব্যর্থ 2ban ইনস্টল করেছি এবং এটি ঠিক আছে। আমার বোধগম্যতা হল আপনি এই খারাপ ব্যবহারকারীদের সার্ভারের বাইরের প্রান্তে আটকাতে চাইবেন, সুতরাং আইপ টেবিলগুলি ব্যর্থ ব্লবনের মতো ব্লকারগুলিও আসলে আরও ভাল। ডিএনহোস্টগুলি মাধ্যমিক স্তরে কাজ করে, শত্রুরা অতীতের iptables অর্জন করার পরে তারা এসএসডি ডিমন দ্বারা প্রত্যাখ্যাত হয়।
এই দুটি প্রোগ্রামেই, ব্যবহারকারীরা যদি তাদের পাসওয়ার্ড ভুলে যায় এবং লগ ইন করার জন্য কয়েকবার চেষ্টা করে তবে তাদের কারাগার থেকে বের করে নেওয়া কিছুটা বিরক্তিকর। লগ-ইন ভুল করার সময় লোকেরা ফিরে পেতে কিছুটা কঠিন। আপনি অনুমান করেছেন যে সেখানে একটি পয়েন্ট-ও-ক্লিক জিইউআই থাকবে যেখানে আপনি কেবল নির্দেশ করতে এবং লোকদের ফিরে যেতে পারবেন, তবে এটি সেভাবে নয়। আমাকে কেবল কয়েক মাস অন্তর এটি করতে হবে এবং সময়ের মধ্যে কীভাবে ভুলে যেতে হয় তাই আমি আমার ওয়েবপৃষ্ঠায় http://pj.freefactory.org/blog/?p=301 এ নিজের জন্য নির্দেশনা লিখেছিলাম