লিনাক্সে টিসিপি মোড়ক ব্যবহার করে কীভাবে নেটওয়ার্ক পরিষেবাদি সুরক্ষিত করা যায়

এই নিবন্ধে আমরা টিসিপি মোড়ক কী এবং কীভাবে কনফিগার করা ফায়ারওয়ালে কনফিগার করতে হবে তা ব্যাখ্যা করব।

এই ক্ষেত্রে, আপনি এই সরঞ্জামটিকে আপনার সিস্টেমের চূড়ান্ত সুরক্ষা ব্যবস্থা হিসাবে ভাবতে পারেন। ফায়ারওয়াল এবং টিসিপি রu্যাপার ব্যবহার করে, একে অপরের প্রতি পক্ষপাতিত্বের পরিবর্তে, আপনি নিশ্চিত করতে পারবেন যে আপনার সার্ভারটি ব্যর্থতার একক বিন্দুতে বাকি নেই।

হোস্ট.এল এবং হোস্ট.ডেনি বোঝা

যখন কোনও নেটওয়ার্কের অনুরোধটি আপনার সার্ভারে পৌঁছায়, ক্লায়েন্টকে প্রদত্ত পরিষেবাটি ব্যবহারের অনুমতি দেওয়া হবে কিনা তা নির্ধারণ করতে টিসিপি মোড়কগুলি ਮੇਜ਼ਬਾਨ.নীল এবং হোস্ট.ডেনি ব্যবহার করে ।

ডিফল্টরূপে, এই ফাইলগুলি খালি, সমস্ত মন্তব্য করা বা উপস্থিত নেই। সুতরাং, টিসিপি রu্যাপারস লেয়ারের মাধ্যমে সমস্ত কিছুর অনুমতি দেওয়া হয়েছে এবং সম্পূর্ণ সুরক্ষার জন্য আপনার সিস্টেম ফায়ারওয়ালের উপর নির্ভর করতে বাকি রয়েছে। যেহেতু এটি পছন্দসই নয়, কারণ প্রবর্তনে আমরা বলেছি যে কারণে, উভয় ফাইল উপস্থিত রয়েছে তা নিশ্চিত করুন:

# ls -l /etc/hosts.allow /etc/hosts.deny

উভয় ফাইলের বাক্য গঠন একই:

<services> : <clients> [: <option1> : <option2> : ...]

কোথায়,

  1. পরিষেবাদি বর্তমান নিয়মটি প্রয়োগ করা উচিত সেগুলির একটি কমা-বিচ্ছিন্ন তালিকা।
  2. ক্লায়েন্টরা বিধি দ্বারা প্রভাবিত কমা-বিচ্ছিন্ন হোস্টনাম বা আইপি ঠিকানাগুলির তালিকা উপস্থাপন করে। নিম্নলিখিত ওয়াইল্ডকার্ড গ্রহণ করা হয়েছে:
    1. সব কিছুর সাথে মেলে। ক্লায়েন্ট এবং পরিষেবাদি উভয়ই প্রয়োগ করে
    2. স্থানীয় লোকেরা হোস্টের সাথে তাদের এফকিউডিএন-তে কোনও সময়কাল ছাড়া মেলে, যেমন লোকালহোস্ট জ্ঞান এমন একটি পরিস্থিতি নির্দেশ করে যেখানে হোস্ট-নেম, হোস্ট ঠিকানা, বা ব্যবহারকারী পরিচিত।
    3. অজানা জ্ঞানের বিপরীত।
    4. বিপরীত ডিএনএস লুপআপস (হোস্টের নাম নির্ধারণের জন্য প্রথমে আইপি ঠিকানাতে, তারপরে আইপি অ্যাড্রেসগুলি পাওয়ার জন্য হোস্টের নামের উপরে) প্রতিটি ক্ষেত্রে পৃথক ঠিকানা ফেরত দেয় তবে প্যারানয়েড সংযোগ হ্রাস পাবে

    আপনি মনে রাখতে পারেন যে /etc/hosts.allow এ প্রদত্ত পরিষেবাটিতে অ্যাক্সেসের অনুমতি দেওয়া একটি বিধি /etc/hosts.deny নিষিদ্ধকরণের একটি নিয়মের চেয়ে বেশি এটা। অতিরিক্তভাবে, যদি একই পরিষেবাতে দুটি নিয়ম প্রযোজ্য হয় তবে কেবলমাত্র প্রথমটি আমলে নেওয়া হবে।

    দুর্ভাগ্যক্রমে, সমস্ত নেটওয়ার্ক পরিষেবাগুলি টিসিপি মোড়কের ব্যবহার সমর্থন করে না। কোনও প্রদত্ত পরিষেবা তাদের সমর্থন করে কিনা তা নির্ধারণ করতে, করুন:

    # ldd /path/to/binary | grep libwrap

    উপরের কমান্ডটি যদি আউটপুট ফেরত দেয় তবে এটি টিসিপি-মোড়ানো হতে পারে। এর উদাহরণ sshd এবং vsftpd, এখানে দেখানো হয়েছে:

    পরিষেবাগুলিতে অ্যাক্সেস সীমাবদ্ধ করতে কীভাবে টিসিপি র্যাপার ব্যবহার করবেন

    আপনি /etc/hosts.allow এবং /etc/hosts.deny সম্পাদনা করার সাথে সাথে নিশ্চিত করুন যে আপনি সর্বশেষ খালি লাইনের পরে এন্টার টিপে একটি নতুন লাইন যুক্ত করেছেন।

    কেবলমাত্র 192.168.0.102 এবং লোকালহোস্টে এসএসএইচ এবং এফটিপি অ্যাক্সেসের অনুমতি দিতে এবং অন্য সকলকে অস্বীকার করার জন্য /etc/hosts.deny এ এই দুটি লাইন যুক্ত করুন:

    sshd,vsftpd : ALL
ALL : ALL

    এবং /etc/hosts.allow এ নিম্নলিখিত লাইনটি রয়েছে:

    sshd,vsftpd : 192.168.0.102,LOCAL

    #
# hosts.deny	This file contains access rules which are used to
#		deny connections to network services that either use
#		the tcp_wrappers library or that have been
#		started through a tcp_wrappers-enabled xinetd.
#
#		The rules in this file can also be set up in
#		/etc/hosts.allow with a 'deny' option instead.
#
#		See 'man 5 hosts_options' and 'man 5 hosts_access'
#		for information on rule syntax.
#		See 'man tcpd' for information on tcp_wrappers
#
sshd,vsftpd : ALL
ALL : ALL

    #
# hosts.allow	This file contains access rules which are used to
#		allow or deny connections to network services that
#		either use the tcp_wrappers library or that have been
#		started through a tcp_wrappers-enabled xinetd.
#
#		See 'man 5 hosts_options' and 'man 5 hosts_access'
#		for information on rule syntax.
#		See 'man tcpd' for information on tcp_wrappers
#
sshd,vsftpd : 192.168.0.102,LOCAL

    পুনরায় আরম্ভের প্রয়োজন ছাড়াই এই পরিবর্তনগুলি তত্ক্ষণাত্ ঘটে।

    নিম্নলিখিত চিত্রটিতে আপনি শেষ লাইনটি থেকে LOCAL শব্দটি সরানোর প্রভাব দেখতে পাবেন: এফটিপি সার্ভার লোকালহোস্টের জন্য অনুপলব্ধ হয়ে যাবে। আমরা ওয়াইল্ডকার্ডটি আবার যুক্ত করার পরে পরিষেবাটি আবার উপলভ্য হয়ে যায়।

    নামগুলিতে example.com রয়েছে এমন হোস্টগুলিতে সমস্ত পরিষেবাগুলিকে অনুমতি দেওয়ার জন্য, এই কোডটি হোস্টগুলিতে নাও যুক্ত করুন:

    ALL : .example.com

    এবং 10.0.1.0/24 এ মেশিনে vsftpd অ্যাক্সেস অস্বীকার করতে, এই কোডটি হোস্ট.ডেনডি এ যুক্ত করুন:

    vsftpd : 10.0.1.

    শেষ দুটি উদাহরণে ক্লায়েন্ট তালিকার শুরুতে এবং শেষে ডটটি লক্ষ্য করুন। এটি "সমস্ত হোস্ট এবং/অথবা ক্লায়েন্ট যেখানে নাম বা আইপিতে স্ট্রিং রয়েছে" নির্দেশ করতে ব্যবহৃত হয়।

    এই নিবন্ধটি কি আপনার জন্য সহায়ক ছিল? আপনার কি কোন প্রশ্ন আছে অথবা মন্তব্য? নীচে মন্তব্য ফর্ম ব্যবহার করে আমাদের একটি নোট নিচে নির্দ্বিধায়।