লিনাক্সে টিসিপি মোড়ক ব্যবহার করে কীভাবে নেটওয়ার্ক পরিষেবাদি সুরক্ষিত করা যায়
এই নিবন্ধে আমরা টিসিপি মোড়ক কী এবং কীভাবে কনফিগার করা ফায়ারওয়ালে কনফিগার করতে হবে তা ব্যাখ্যা করব।
এই ক্ষেত্রে, আপনি এই সরঞ্জামটিকে আপনার সিস্টেমের চূড়ান্ত সুরক্ষা ব্যবস্থা হিসাবে ভাবতে পারেন। ফায়ারওয়াল এবং টিসিপি রu্যাপার ব্যবহার করে, একে অপরের প্রতি পক্ষপাতিত্বের পরিবর্তে, আপনি নিশ্চিত করতে পারবেন যে আপনার সার্ভারটি ব্যর্থতার একক বিন্দুতে বাকি নেই।
হোস্ট.এল এবং হোস্ট.ডেনি বোঝা
যখন কোনও নেটওয়ার্কের অনুরোধটি আপনার সার্ভারে পৌঁছায়, ক্লায়েন্টকে প্রদত্ত পরিষেবাটি ব্যবহারের অনুমতি দেওয়া হবে কিনা তা নির্ধারণ করতে টিসিপি মোড়কগুলি ਮੇਜ਼ਬਾਨ.নীল
এবং হোস্ট.ডেনি
ব্যবহার করে ।
ডিফল্টরূপে, এই ফাইলগুলি খালি, সমস্ত মন্তব্য করা বা উপস্থিত নেই। সুতরাং, টিসিপি রu্যাপারস লেয়ারের মাধ্যমে সমস্ত কিছুর অনুমতি দেওয়া হয়েছে এবং সম্পূর্ণ সুরক্ষার জন্য আপনার সিস্টেম ফায়ারওয়ালের উপর নির্ভর করতে বাকি রয়েছে। যেহেতু এটি পছন্দসই নয়, কারণ প্রবর্তনে আমরা বলেছি যে কারণে, উভয় ফাইল উপস্থিত রয়েছে তা নিশ্চিত করুন:
# ls -l /etc/hosts.allow /etc/hosts.deny
উভয় ফাইলের বাক্য গঠন একই:
<services> : <clients> [: <option1> : <option2> : ...]
কোথায়,
- পরিষেবাদি বর্তমান নিয়মটি প্রয়োগ করা উচিত সেগুলির একটি কমা-বিচ্ছিন্ন তালিকা।
- ক্লায়েন্টরা বিধি দ্বারা প্রভাবিত কমা-বিচ্ছিন্ন হোস্টনাম বা আইপি ঠিকানাগুলির তালিকা উপস্থাপন করে। নিম্নলিখিত ওয়াইল্ডকার্ড গ্রহণ করা হয়েছে:
- সব কিছুর সাথে মেলে। ক্লায়েন্ট এবং পরিষেবাদি উভয়ই প্রয়োগ করে
- স্থানীয় লোকেরা হোস্টের সাথে তাদের এফকিউডিএন-তে কোনও সময়কাল ছাড়া মেলে, যেমন লোকালহোস্ট
- জ্ঞান এমন একটি পরিস্থিতি নির্দেশ করে যেখানে হোস্ট-নেম, হোস্ট ঠিকানা, বা ব্যবহারকারী পরিচিত।
- অজানা জ্ঞানের বিপরীত।
- বিপরীত ডিএনএস লুপআপস (হোস্টের নাম নির্ধারণের জন্য প্রথমে আইপি ঠিকানাতে, তারপরে আইপি অ্যাড্রেসগুলি পাওয়ার জন্য হোস্টের নামের উপরে) প্রতিটি ক্ষেত্রে পৃথক ঠিকানা ফেরত দেয় তবে প্যারানয়েড সংযোগ হ্রাস পাবে
আপনি মনে রাখতে পারেন যে
/etc/hosts.allow
এ প্রদত্ত পরিষেবাটিতে অ্যাক্সেসের অনুমতি দেওয়া একটি বিধি/etc/hosts.deny
নিষিদ্ধকরণের একটি নিয়মের চেয়ে বেশি এটা। অতিরিক্তভাবে, যদি একই পরিষেবাতে দুটি নিয়ম প্রযোজ্য হয় তবে কেবলমাত্র প্রথমটি আমলে নেওয়া হবে।দুর্ভাগ্যক্রমে, সমস্ত নেটওয়ার্ক পরিষেবাগুলি টিসিপি মোড়কের ব্যবহার সমর্থন করে না। কোনও প্রদত্ত পরিষেবা তাদের সমর্থন করে কিনা তা নির্ধারণ করতে, করুন:
# ldd /path/to/binary | grep libwrap
উপরের কমান্ডটি যদি আউটপুট ফেরত দেয় তবে এটি টিসিপি-মোড়ানো হতে পারে। এর উদাহরণ sshd এবং vsftpd, এখানে দেখানো হয়েছে:
পরিষেবাগুলিতে অ্যাক্সেস সীমাবদ্ধ করতে কীভাবে টিসিপি র্যাপার ব্যবহার করবেন
আপনি
/etc/hosts.allow
এবং/etc/hosts.deny
সম্পাদনা করার সাথে সাথে নিশ্চিত করুন যে আপনি সর্বশেষ খালি লাইনের পরে এন্টার টিপে একটি নতুন লাইন যুক্ত করেছেন।কেবলমাত্র 192.168.0.102 এবং লোকালহোস্টে এসএসএইচ এবং এফটিপি অ্যাক্সেসের অনুমতি দিতে এবং অন্য সকলকে অস্বীকার করার জন্য
/etc/hosts.deny
এ এই দুটি লাইন যুক্ত করুন:sshd,vsftpd : ALL ALL : ALL
এবং
/etc/hosts.allow
এ নিম্নলিখিত লাইনটি রয়েছে:sshd,vsftpd : 192.168.0.102,LOCAL
# # hosts.deny This file contains access rules which are used to # deny connections to network services that either use # the tcp_wrappers library or that have been # started through a tcp_wrappers-enabled xinetd. # # The rules in this file can also be set up in # /etc/hosts.allow with a 'deny' option instead. # # See 'man 5 hosts_options' and 'man 5 hosts_access' # for information on rule syntax. # See 'man tcpd' for information on tcp_wrappers # sshd,vsftpd : ALL ALL : ALL
# # hosts.allow This file contains access rules which are used to # allow or deny connections to network services that # either use the tcp_wrappers library or that have been # started through a tcp_wrappers-enabled xinetd. # # See 'man 5 hosts_options' and 'man 5 hosts_access' # for information on rule syntax. # See 'man tcpd' for information on tcp_wrappers # sshd,vsftpd : 192.168.0.102,LOCAL
পুনরায় আরম্ভের প্রয়োজন ছাড়াই এই পরিবর্তনগুলি তত্ক্ষণাত্ ঘটে।
নিম্নলিখিত চিত্রটিতে আপনি শেষ লাইনটি থেকে
LOCAL
শব্দটি সরানোর প্রভাব দেখতে পাবেন: এফটিপি সার্ভার লোকালহোস্টের জন্য অনুপলব্ধ হয়ে যাবে। আমরা ওয়াইল্ডকার্ডটি আবার যুক্ত করার পরে পরিষেবাটি আবার উপলভ্য হয়ে যায়।নামগুলিতে
example.com
রয়েছে এমন হোস্টগুলিতে সমস্ত পরিষেবাগুলিকে অনুমতি দেওয়ার জন্য, এই কোডটিহোস্টগুলিতে নাও
যুক্ত করুন:ALL : .example.com
এবং 10.0.1.0/24 এ মেশিনে vsftpd অ্যাক্সেস অস্বীকার করতে, এই কোডটি
হোস্ট.ডেনডি
এ যুক্ত করুন:vsftpd : 10.0.1.
শেষ দুটি উদাহরণে ক্লায়েন্ট তালিকার শুরুতে এবং শেষে ডটটি লক্ষ্য করুন। এটি "সমস্ত হোস্ট এবং/অথবা ক্লায়েন্ট যেখানে নাম বা আইপিতে স্ট্রিং রয়েছে" নির্দেশ করতে ব্যবহৃত হয়।
এই নিবন্ধটি কি আপনার জন্য সহায়ক ছিল? আপনার কি কোন প্রশ্ন আছে অথবা মন্তব্য? নীচে মন্তব্য ফর্ম ব্যবহার করে আমাদের একটি নোট নিচে নির্দ্বিধায়।