আমি কীভাবে একটি ভিপিএস ইনস্টলেশন সুরক্ষিত করতে পারি?


16

আমার ব্লগ এবং ব্যক্তিগত প্রকল্পগুলি হোস্ট করার জন্য ওয়েবমিন ইনস্টল করার পরিকল্পনা করি এমন ভিপিএস ইনস্টলেশন সুরক্ষিত করার প্রাথমিক পদক্ষেপগুলি কী কী?


আপনি ওএসের বিশদ সরবরাহ করলে এটি সহায়তা করবে।
টিম পোস্ট

একটি লিনাক্স ইনস্টলেশন-সম্ভবত সম্ভবত উবুন্টু বা সেন্টোস হতে পারে।
জেএফডাব্লু

উত্তর:


13

এই অনুরূপ প্রশ্নের ড্যানেলফ্রির উত্তর এখানে বেশ প্রাসঙ্গিক: একটি নিয়ন্ত্রণহীন ভিপিএস কতটা কঠিন?

একটি সার্ভার সুরক্ষিত করা কেবল এক-অফ-টাস্কের চেয়ে বেশি।

প্রাথমিক এক-অফ কার্যগুলির মধ্যে রয়েছে:

  • শক্ত sshd (এই জন্য টিপস এবং সেখানে আউট টিউটোরিয়াল একটি নম্বর আছে, এই প্রথম ভালো করে একটি অনুসন্ধান থেকে নিয়ে এসেছেন খুঁজছিলাম।
  • অপরিবর্তিত পরিষেবা বন্ধ করা (বা আরও ভাল, আনইনস্টল) নিশ্চিত করা)
  • নিশ্চিত হয়ে নিন যে পরিষেবাগুলি সর্বজনীনভাবে উপলভ্য হওয়ার দরকার নেই সেগুলি না। উদাহরণস্বরূপ, কেবলমাত্র স্থানীয় ইন্টারফেসগুলি শোনার জন্য আপনার ডাটাবেস সার্ভারটি কনফিগার করুন এবং / অথবা বাহ্যিক সংযোগের প্রচেষ্টা অবরুদ্ধ করতে ফায়ারওয়াল বিধি যুক্ত করুন।
  • আপনার ওয়েব সার্ভার প্রক্রিয়াগুলি (এবং অন্যান্য পরিষেবাদি) যে কোনও সর্বদা ব্যবহারকারী (গুলি) চলমান রয়েছে তা নিশ্চিত করে ফাইলে / ডিরেক্টরিগুলি পড়ার অ্যাক্সেস নেই যা তাদের জন্য প্রাসঙ্গিক নয় এবং নির্বাচিত ফাইল / ডিরেক্টরিতে তাদের লেখার অ্যাক্সেসের প্রয়োজন না হলে অন্য কোনও কিছু লেখার প্রয়োজন নেই M (উদাহরণস্বরূপ আপলোড করা চিত্রগুলি গ্রহণ করতে)।
  • অনলাইন ব্যাকআপগুলি রাখার জন্য একটি ভাল স্বয়ংক্রিয় ব্যাকআপ রুটিন সেটআপ করুন (পছন্দসই অন্য সার্ভারে বা বাড়িতে) যাতে আপনার সামগ্রীটি অন্য কোথাও অনুলিপি করা হয় যাতে আপনি এটি পুনরুদ্ধার করতে পারেন সার্ভারের সাথে সবচেয়ে খারাপ ঘটবে (সম্পূর্ণ অপরিবর্তনযোগ্য ক্র্যাশ, বা হ্যাক হওয়ার পরে)
  • আপনার সার্ভারে আপনি যে সমস্ত সরঞ্জাম ইনস্টল করেছেন সে সম্পর্কে জানুন (ডকুমেন্টেশন পড়ুন, সম্ভবত এটি একটি পরীক্ষার পরিবেশে ইনস্টল করুন, ভার্চুয়ালবক্সের অধীনে একটি স্থানীয় ভিএম বলুন, বিভিন্ন কনফিগারেশনের চেষ্টা করার জন্য এবং সেগুলি বিরতি + ঠিক করুন) যাতে আপনার সক্ষম হওয়ার সুযোগ থাকে সমস্যাগুলি সংঘটিত হলে তা সংশোধন করতে (বা কমপক্ষে এ জাতীয় সমস্যাগুলি সঠিকভাবে নির্ণয় করুন যাতে আপনি অন্য কাউকে সমস্যা সমাধান করতে সহায়তা করতে পারেন)। আপনি ভবিষ্যতে কোনও সময় এই ব্যয় সময় জন্য নিজেকে ধন্যবাদ জানাতে হবে!

চলমান কার্যগুলির মধ্যে রয়েছে:

  • আপনার বেস ওএসের জন্য সুরক্ষা আপডেটগুলি সময় মতো প্রয়োগ করা হয়েছে তা নিশ্চিত করে। অ্যাপটিক্রনের মতো সরঞ্জামগুলি আপনাকে প্রয়োগ করা দরকার এমন আপডেটগুলি সম্পর্কে অবহিত রাখতে ব্যবহার করা যেতে পারে। আমি এমন সেটআপগুলি এড়িয়ে যাব যা স্বয়ংক্রিয়ভাবে আপডেটগুলি প্রয়োগ করে - আপনি চালানোর আগে আপনি কী পরিবর্তন করতে চলেছেন তা পর্যালোচনা করতে চান (ডিবিয়ান / উবুন্টুর ক্ষেত্রে) aptitude safe-upgrade, তাই আপনার সার্ভারে কী করা হবে তা আপনি জানেন।
  • নিশ্চিত হয়ে নিন যে আপনি যে কোনও গ্রন্থাগার / অ্যাপ্লিকেশন / স্ক্রিপ্টগুলিতে ম্যানুয়ালি ইনস্টল করেন (যেমন বিল্ট-ইন প্যাকেজ পরিচালনা ব্যবহার করে আপনার বিতরণ স্ট্যান্ডার্ড সংগ্রহস্থলগুলি থেকে নয়) একটি সময়োচিত পদ্ধতিতে ইনস্টল করা আছে Make আপডেটগুলি ঘোষণার জন্য এই জাতীয় libs / অ্যাপস / স্ক্রিপ্টগুলির নিজস্ব মেলিং তালিকা থাকতে পারে বা নিজেকে অবহিত রাখতে আপনাকে কেবল তাদের ওয়েবসাইটগুলি নিয়মিত পর্যবেক্ষণ করতে হতে পারে।
  • সুরক্ষিত সমস্যাগুলি সম্পর্কে পাত্তা প্যাকেজগুলির পরিবর্তে কনফিগারেশন পরিবর্তনের মাধ্যমে সমাধান করা দরকার বা প্যাচড প্যাকেজ তৈরি না হওয়া অবধি + পরীক্ষিত + প্রকাশিত হওয়া অবধি কাজ করা উচিত informed আপনার বিতরণ বজায় রাখার লোকেরা দ্বারা চালিত সুরক্ষা সম্পর্কিত যে কোনও মেইলিং তালিকায় সাবস্ক্রাইব করুন এবং প্রযুক্তিগত সাইটগুলিতে নজর রাখুন যা এ জাতীয় সমস্যাগুলির প্রতিবেদনও করতে পারে।
  • অতিরিক্ত বিড়ম্বনার জন্য অফলাইন ব্যাকআপের কিছু ফর্ম পরিচালনা করা। আপনি যদি নিজের সার্ভারটিকে কোনও হোম মেশিনে ব্যাকআপ করেন তবে সিডি / ডিভিডি / ইউএসবি-স্টিকে একটি নিয়মিত ভিত্তিতে একটি অনুলিপি লিখুন।
  • মাঝে মাঝে আপনার ব্যাকআপগুলি পরীক্ষা করা, যাতে আপনি জানেন যে তারা সঠিকভাবে কাজ করছে। একটি অনির্ধারিত ব্যাকআপ ভাল ব্যাকআপ নয়। আপনি আপনার সার্ভারটি মারা যেতে চান না এবং তারপরে জানতে পারেন যে কয়েক মাস ধরে আপনার ডেটা সঠিকভাবে ব্যাক আপ করা হয়নি।

সমস্ত ভাল লিনাক্স ডিস্ট্রোগুলি বাক্সের বাইরে যুক্তিসঙ্গতভাবে নিরাপদ স্থানে ইনস্টল করে (ইনস্টল সিডি / চিত্রটি চাপানো / প্রকাশিত হওয়ার পরে প্রকাশিত সুরক্ষা প্যাচগুলি যখন টানলে আপডেটের প্রথম সেট পরে অন্তত থাকে) সুতরাং কাজটি কঠিন নয়, তবে আপনার প্রত্যাশার চেয়ে ভাল করতে আরও সময় লাগবে।


4

একটি লিনাক্স ভিপিএস সম্পর্কে দুর্দান্ত জিনিস হ'ল তারা বাক্সের বাইরে বেশ সুরক্ষিত। আপনার হোস্টের সাথে কথা বলার জন্য এবং এটি আপনার জন্য সুরক্ষাটি কঠোর বা অনুকূল করে তুলবে কিনা তা আমার প্রথম প্রস্তাবনা ation একটি নিয়ন্ত্রণ প্যানেল সহ বেশিরভাগ ভিপিএস (ওয়েবমিন, সিপ্যানেল ইত্যাদি) "পরিচালিত" এবং তারা আপনার জন্য অনেক কিছু করবে। বিশেষত যদি আপনি নিশ্চিত না হন তবে আপনি যা করছেন এটি আমার মতে সেরা পছন্দ।

আপনি যদি নিজেরাই হয়ে থাকেন তবে প্রথমে এপিএফ (অ্যাডভান্সড পলিসি ফায়ারওয়াল?) বা সিএসএফ (কনফিগার সার্ভার ফায়ারওয়াল) এর মতো ফায়ারওয়ালটি দেখুন। সিএসএফের একটি লগইন ব্যর্থতা সনাক্তকরণের বিকল্প রয়েছে এবং আপনি যদি অনেকবার লগইন করতে এবং ব্যর্থ হন তবে এটি নিজের আইপি ঠিকানাকে স্বয়ংক্রিয়ভাবে নিষিদ্ধ করে। আমি নিশ্চিত নই যে এগুলি "প্রয়োজনীয়" যেহেতু লিনাক্স পোর্টগুলিতে প্রতিক্রিয়া জানায় না এটি ট্রাফিকের জন্য কোনওভাবেই শুনছে না, তবে তারা অবশ্যই কিছু মনের প্রস্তাব দেয়। এবং আপনার যদি বিভিন্ন ট্র্যাফিকের জন্য প্রচুর বন্দর খোলা থাকে তবে সম্ভবত হ্যাঁ আপনি একটি ফায়ারওয়াল চান।

সম্ভবত আরও গুরুত্বপূর্ণ, আপনি যে অ্যাপ্লিকেশনগুলি ইনস্টল করেছেন সেগুলি আপ টু ডেট রয়েছে তা নিশ্চিত করে তুলছে। সার্ভার ওএসে কিছু শোষণের মাধ্যমে আরও সাইটগুলি ওয়ার্ডপ্রেস শোষণের মাধ্যমে হ্যাক হয়ে যায় (উদাহরণস্বরূপ)। আপনি যদি কাস্টম কোডিং স্ক্রিপ্টগুলি নিশ্চিত করেন তবে আপনি সুরক্ষার দিকেও নজর রাখবেন, যেহেতু আপনি অজান্তেই আপনার যোগাযোগের ফর্মের মতো নির্বোধ কিছু দিয়ে একটি খোলা দরজাটি ছেড়ে যেতে চান না।


3

যে কোনও মেশিনকে সুরক্ষিত করা, ভিপিএস অন্তর্ভুক্ত করা কোনও সঠিক রেসিপি নয়, তবে আপনি ২ টি প্রধান ভিপিএস সরবরাহকারীদের টিউটোরিয়াল দিয়ে শুরু করতে পারেন: লিনোড লাইব্রেরি এবং স্লাইসহোস্ট নিবন্ধ


2
  • অযাচিত পরিষেবাগুলি সরান ( নেটট্যাট আপনার বন্ধু)

  • পরিষেবা বিজ্ঞাপনটি অক্ষম করুন (আপনার সংস্করণ সংখ্যাগুলি প্রকাশ করা স্ক্রিপ্টকিডির জন্য দুর্দান্ত )

  • প্রশাসনিক (সর্বজনীন নয়) পোর্ট নম্বরগুলি অস্পষ্ট কিছুতে পরিবর্তন করুন (এসএসএইচ 22-এ কেবল ধারাবাহিকভাবে স্ক্যান করা হবে)

  • আপনার কোটা এবং সীমা কাজ: Cgroups , limits.conf , QoS , ইত্যাদি - এবং সক্রিয়ভাবে তাদের মনিটর - একটি ওয়েব ডেভেলপারদের কোড বা একটি DDoS আপনার সাইট ডাউন আক্রমণ দরজায় কড়া নাড়লেই এবং আপনার বক্স তোলে অনধিগম্য এটা ঠিক করার দেরি হয়ে যাবে যদি

  • কিছু ডিস্ট্রো আছে SELinux- র / AppArmor জন্য / etc নেটওয়ার্কের ভিত্তিক অ্যাপ্লিকেশনের জন্য প্রোফাইল, তাদের ব্যবহার

প্রথম তিনটি ওয়েবমিনের (একটি ফ্যাশনে) মাধ্যমে সম্পাদন করা যায়। আপনি যদিও এটির জন্য সার্ভারফল্টের মাধ্যমে দেখতে চাইতে পারেন ।


1

আমি দেখতে পাচ্ছি যে আপনি ওয়েবমিন উল্লেখ করেছেন তাই লিনাক্স বক্স হবে be আপনি যে সার্ভারে ইনস্টল করবেন সেই নির্দিষ্ট লিনাক্স ডিস্ট্রোর ডকুমেন্টেশন পরীক্ষা করে দেখুন।

CentOS এর জন্য এই http://wiki.centos.org/ হাওটোস / ওএস_প্রোটেকশন দেখুন


1

মাত্র কিছু পয়েন্ট। - আপনার এসএসএইচ বন্দরটি পরিবর্তন করুন। - ফাইল ডিরেক্টরি ডিরেক্টরি অক্ষম। - সার্ভার স্বাক্ষর, টোকেনগুলি সরান। - কিছু ফায়ারওয়াল ইনস্টল করুন

আরও অনেক জিনিস আছে..আমি এখনই জিনিসগুলি বলেছি যা আমার কাছে এসেছে ..

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.