লিনাক্সে কনফিগার সার্ভার সুরক্ষা এবং ফায়ারওয়াল (সিএসএফ) ইনস্টল করুন এবং কনফিগার করুন

আপনি যদি আইটি-সম্পর্কিত জব পোস্টগুলি যে কোনও জায়গায় দেখেন তবে আপনি সুরক্ষার পক্ষের জন্য অবিচ্ছিন্ন চাহিদা লক্ষ্য করবেন। এর অর্থ এই নয় যে সাইবারসিকিউরিটি পড়াশোনার একটি আকর্ষণীয় ক্ষেত্র, তবে এটি একটি খুব লাভজনকও।

এই নিবন্ধটি রেখে, এই নিবন্ধে আমরা কীভাবে কনফিগার সার্ভার সুরক্ষা এবং ফায়ারওয়াল (সংক্ষেপে সিএসএফ হিসাবে পরিচিত) কনফিগার করব, লিনাক্সের জন্য একটি পূর্ণ-বিকাশযুক্ত স্যুট, এবং কয়েকটি সাধারণ ব্যবহারের ক্ষেত্রে ভাগ করে নেব। তারপরে আপনি নিজের দায়িত্বে থাকা সার্ভারগুলিকে শক্ত করতে আপনি ফায়ারওয়াল এবং অনুপ্রবেশ/লগইন ব্যর্থতা সনাক্তকরণ সিস্টেম হিসাবে সিএসএফ ব্যবহার করতে সক্ষম হবেন।

আরও adieu ছাড়া, আসুন শুরু করা যাক।

লিনাক্সে সিএসএফ ইনস্টল এবং কনফিগার করা

শুরু করার জন্য, দয়া করে নোট করুন যে পার্ল এবং libwww সমর্থিত কোনও বিতরণে (আরএইচইএল এবং সেন্টোস, ওপেনসুএস, ডেবিয়ান এবং উবুন্টু) সিএসএফ ইনস্টল করার পূর্বশর্ত। যেহেতু এটি ডিফল্টরূপে উপলভ্য হওয়া উচিত, আপনার পক্ষ থেকে কোনও পদক্ষেপের প্রয়োজন নেই যদি না নিম্নলিখিত পদক্ষেপগুলির মধ্যে একটি মারাত্মক ত্রুটি না ফেরায় (সেই ক্ষেত্রে, নিখোঁজ নির্ভরতা ইনস্টল করতে প্যাকেজ পরিচালনা সিস্টেমটি ব্যবহার করুন)।

# yum install perl-libwww-perl
# apt install libwww-perl

# cd /usr/src
# wget https://download.configserver.com/csf.tgz

# tar xzf csf.tgz
# cd csf

প্রক্রিয়াটির এই অংশটি যাচাই করবে যে সমস্ত নির্ভরতা ইনস্টল করা আছে, ওয়েব ইন্টারফেসের জন্য প্রয়োজনীয় ডিরেক্টরি কাঠামো এবং ফাইলগুলি তৈরি করুন, বর্তমানে খোলা পোর্টগুলি সনাক্ত করুন এবং প্রাথমিক কনফিগারেশনটি সম্পন্ন করার পরে আপনাকে সিএসএফ এবং এলএফডি ডেমোন পুনরায় আরম্ভ করার স্মরণ করিয়ে দেবে।

# sh install.sh
# perl /usr/local/csf/bin/csftest.pl

উপরের কমান্ডের প্রত্যাশিত আউটপুটটি নিম্নরূপ:

Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK

RESULT: csf should function on this server

চলমান এবং সিএসএফ কনফিগার করে ফায়ারওয়াল্ড অক্ষম করুন।

# systemctl stop firewalld
# systemctl disable firewalld

TESTING = "1" কে TESTING = "0" এ পরিবর্তন করুন (অন্যথায়, lfd ডিমন শুরু করতে ব্যর্থ হবে) এবং আগত ও বহির্গামী পোর্টগুলিকে কমা-বিচ্ছিন্ন তালিকা হিসাবে তালিকাবদ্ধ করুন (যথাক্রমে টিসিপিএনপি এবং টিসিপি_আউট) নীচে আউটপুটে প্রদর্শিত হিসাবে /etc/csf/csf.conf এ:

# Testing flag - enables a CRON job that clears iptables incase of
# configuration problems when you start csf. This should be enabled until you
# are sure that the firewall works - i.e. incase you get locked out of your
# server! Then do remember to set it to 0 and restart csf when you're sure
# everything is OK. Stopping csf will remove the line from /etc/crontab
#
# lfd will not start while this is enabled
TESTING = "0"

# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

একবার আপনি কনফিগারেশনে খুশি হয়ে গেলে পরিবর্তনগুলি সংরক্ষণ করুন এবং কমান্ড লাইনে ফিরে আসুন।

# systemctl restart {csf,lfd}
# systemctl enable {csf,lfd}
# systemctl is-active {csf,lfd}
# csf -v

এই মুহুর্তে আমরা ফায়ারওয়াল এবং অনুপ্রবেশ সনাক্তকরণের নিয়মগুলি পরবর্তী আলোচনা হিসাবে সেট আপ করা শুরু করতে প্রস্তুত।

সিএসএফ এবং ইন্ট্রুশন সনাক্তকরণ বিধি স্থাপন করা

প্রথমে, আপনি নিম্নলিখিত ফায়ারওয়াল বিধিগুলি নীচে পর্যবেক্ষণ করতে চাইবেন:

# csf -l

আপনি এগুলি থামাতে বা এগুলি পুনরায় লোড করতে পারেন:

# csf -f
# csf -r

যথাক্রমে এই বিকল্পগুলি মুখস্থ করার বিষয়টি নিশ্চিত করুন - আপনার পাশাপাশি চলার সময় এগুলি আপনার প্রয়োজন হবে, বিশেষত সিএসএফ এবং এলএফডি পরিবর্তন এবং পুনরায় চালু করার পরে পরীক্ষা করার জন্য।

192.168.0.10 থেকে আগত সংযোগগুলিকে অনুমতি দেওয়ার জন্য।

# csf -a 192.168.0.10

একইভাবে, আপনি 192.168.0.11 থেকে উত্পন্ন সংযোগগুলি অস্বীকার করতে পারেন।

# csf -d 192.168.0.11

আপনি যদি এটি করতে চান তবে উপরোক্ত প্রতিটি নিয়ম মুছে ফেলতে পারেন।

# csf -ar 192.168.0.10
# csf -dr 192.168.0.11

উপরের -ar বা -dr এর ব্যবহার কীভাবে বিদ্যমান আইপি ঠিকানার সাথে সম্পর্কিত বিধিগুলি অস্বীকার করে তা অস্বীকার করে Note

আপনার সার্ভারের উদ্দিষ্ট ব্যবহারের উপর নির্ভর করে আপনি পোর্ট ভিত্তিতে আগত সংযোগগুলি কোনও সুরক্ষিত সংখ্যায় সীমাবদ্ধ করতে চাইতে পারেন। এটি করতে, /etc/csf/csf.conf খুলুন এবং CONNLIMIT অনুসন্ধান করুন। আপনি একাধিক বন্দর নির্দিষ্ট করতে পারেন; সংযোগ জোড়া কমা দ্বারা পৃথক। উদাহরণ স্বরূপ,

CONNLIMIT = "22;2,80;10"

একই উত্স থেকে টিসিপি বন্দরগুলিতে যথাক্রমে ২২ এবং ৮০ আসন্ন সংযোগগুলিকে যথাক্রমে 22 এবং 80 এর অনুমতি দেবে।

আপনি বেছে নিতে পারেন এমন বেশ কয়েকটি সতর্কতার ধরণ রয়েছে। /Etc/csf/csf.conf এ EMAIL_ALERT সেটিংস সন্ধান করুন এবং সংশ্লিষ্ট সতর্কতা পাওয়ার জন্য তারা "1" এ সেট হয়েছেন তা নিশ্চিত করুন। উদাহরণ স্বরূপ,

 
LF_SSH_EMAIL_ALERT = "1"
LF_SU_EMAIL_ALERT = "1"

LF_ALERT_TO এ উল্লিখিত ঠিকানায় যখনই কেউ এসএসএইচের মাধ্যমে সফলভাবে লগ ইন করে বা su কমান্ডটি ব্যবহার করে অন্য অ্যাকাউন্টে স্যুইচ করে ততবারে একটি সতর্কতা প্রেরণের কারণ ঘটায়।

সিএসএফ কনফিগারেশন বিকল্প এবং ব্যবহার

এই নিম্নলিখিত বিকল্পগুলি সিএসএফ কনফিগারেশনটি সংশোধন এবং নিয়ন্ত্রণ করতে ব্যবহৃত হয়। সিএসএফের সমস্ত কনফিগারেশন ফাইলগুলি/ইত্যাদি/সিএসএফ ডিরেক্টরিতে অন্তর্ভুক্ত। আপনি নিম্নলিখিত ফাইলগুলির মধ্যে যে কোনওটিকে সংশোধন করলে পরিবর্তনগুলি নিতে আপনাকে সিএসএফ ডেমন পুনরায় চালু করতে হবে।

• csf.conf: সিএসএফ নিয়ন্ত্রণের জন্য প্রধান কনফিগারেশন ফাইল
• সিএসএফ.নল: ফায়ারওয়ালে অনুমোদিত আইপি ও সিআইডিআর ঠিকানাগুলির তালিকা
• csf.deny: ফায়ারওয়ালে অস্বীকৃত আইপি ও সিআইডিআর ঠিকানাগুলির তালিকা।
• csf.ignore: ফায়ারওয়ালে আইপি এবং সিআইডিআর উপেক্ষা করা তালিকার তালিকা।
• সিএসএফ। * উপেক্ষা করুন: ব্যবহারকারীদের আইপি এর বিভিন্ন উপেক্ষা করা ফাইলগুলির তালিকা।

সিএসএফ ফায়ারওয়াল সরান

আপনি যদি সিএসএফ ফায়ারওয়াল পুরোপুরি মুছে ফেলতে চান তবে কেবলমাত্র /etc/csf/uninstall.sh ডিরেক্টরিতে নিম্নলিখিত স্ক্রিপ্টটি চালান run

# /etc/csf/uninstall.sh

উপরের কমান্ডটি সমস্ত ফাইল এবং ফোল্ডারগুলির সাথে সিএসএফ ফায়ারওয়াল পুরোপুরি মুছে ফেলবে।

এই নিবন্ধে আমরা কীভাবে সিএসএফ ইনস্টল করতে, কনফিগার করতে এবং ফায়ারওয়াল এবং অনুপ্রবেশ সনাক্তকরণ সিস্টেম হিসাবে ব্যবহার করব তা ব্যাখ্যা করেছি। দয়া করে নোট করুন যে আরও বৈশিষ্ট্যগুলি সিএসএফ.কনফ-এ বর্ণিত হয়েছে।

উদাহরণস্বরূপ, আপনি যদি ওয়েব হোস্টিং ব্যবসায় থাকেন তবে আপনি ওয়েবমিনের মতো ম্যানেজমেন্ট সলিউশনের সাথে সিএসএফ সংহত করতে পারেন।

এই নিবন্ধটি সম্পর্কে আপনার কোনও প্রশ্ন বা মন্তব্য আছে? নীচের ফর্মটি ব্যবহার করে আমাদের নির্দ্বিধায় প্রেরণা করুন আমরা আপনার কাছ থেকে শ্রবণ করার জন্য উন্মুখ!