এসএসএইচ সার্ভারকে সুরক্ষিত এবং সুরক্ষিত করার জন্য 5 সেরা অনুশীলন

এসএসএইচ (সিকিউর শেল) একটি ওপেন সোর্স নেটওয়ার্ক প্রোটোকল যা স্থানীয় বা রিমোট লিনাক্স সার্ভারগুলিকে ফাইল স্থানান্তর করতে, রিমোট ব্যাকআপ তৈরি করতে, রিমোট কমান্ড এক্সিকিউশন এবং অন্যান্য নেটওয়ার্ক সম্পর্কিত কাজগুলি দুটি সার্ভারের মধ্যে স্কিপ বা এসএফপি-এর মাধ্যমে সুরক্ষিত চ্যানেলের সাথে সংযোগ করতে ব্যবহৃত হয় is নেটওয়ার্ক.

এই নিবন্ধে, আমি আপনাকে কিছু সহজ সরঞ্জাম এবং কৌশলগুলি দেখাব যা আপনাকে আপনার এসএসএস সার্ভারের সুরক্ষা আরও কড়া করতে সহায়তা করবে। ব্রাশ ফোর্স এবং অভিধান আক্রমণ থেকে ssh সার্ভারটি কীভাবে সুরক্ষিত এবং প্রতিরোধ করতে হয় সে সম্পর্কে আপনি এখানে কিছু দরকারী তথ্য পাবেন।

1. অস্বীকৃতি

DenyHosts হ'ল একটি ওপেন সোর্স লগ-ভিত্তিক অনুপ্রবেশ প্রতিরোধ সুরক্ষা স্ক্রিপ্টটি পাইথন প্রোগ্রামিং ভাষায় লিখিত ছিল যা লিনাক্স সিস্টেম প্রশাসক এবং ব্যবহারকারীদের দ্বারা ব্যর্থ লগইন প্রচেষ্টাগুলির জন্য এসএসএইচ সার্ভার অ্যাক্সেস লগগুলি নিরীক্ষণ ও বিশ্লেষণ করতে চালিত করতে পারে অভিধান ভিত্তিক আক্রমণ এবং আক্রমণাত্মক হিসাবে জানে জোর আক্রমণ। স্ক্রিপ্টটি ব্যর্থ লগইন প্রচেষ্টার সেট সংখ্যা নির্ধারণের পরে আইপি ঠিকানাগুলি নিষিদ্ধ করে এবং সার্ভারে অ্যাক্সেস অর্জন থেকে এই জাতীয় আক্রমণগুলিকে আটকাতে কাজ করে।

  1. সমস্ত সফল এবং ব্যর্থ লগইন প্রচেষ্টা এবং তাদের ফিল্টারগুলি সন্ধান করতে/var/লগ/সুরক্ষিত রাখে
  2. ব্যবহারকারী এবং আপত্তিজনক হোস্টের সমস্ত ব্যর্থ লগইন প্রয়াসগুলিতে নজর রাখে
  3. ব্যর্থ লগইন প্রচেষ্টা করার সময় প্রতিটি বিদ্যমান এবং অস্তিত্বহীন ব্যবহারকারীর (যেমন। xyz) নজর রাখে
  4. প্রতিটি আপত্তিজনক ব্যবহারকারী, হোস্ট এবং সন্দেহজনক লগইন প্রচেষ্টা (যদি লগইন ব্যর্থতার সংখ্যা থাকে) /etc/hosts.deny ফাইলটিতে একটি এন্ট্রি যুক্ত করে হোস্টের আইপি ঠিকানাটিকে নিষিদ্ধ করে of
  5. blockedচ্ছিকভাবে সদ্য অবরুদ্ধ হোস্ট এবং সন্দেহজনক লগইনগুলির একটি ইমেল বিজ্ঞপ্তি প্রেরণ করে
  6. এছাড়াও পৃথক ফাইলগুলিতে সমস্ত বৈধ এবং অবৈধ ব্যর্থ ব্যবহারকারী লগইন প্রয়াস বজায় রাখে, যাতে কোন বৈধ বা অবৈধ ব্যবহারকারী আক্রমণে রয়েছে তা সনাক্ত করা সহজ করে তোলে easy সুতরাং, আমরা সেই অ্যাকাউন্টটি মুছতে পারি বা পাসওয়ার্ড পরিবর্তন করতে পারি বা সেই ব্যবহারকারীর জন্য শেল অক্ষম করতে পারি

আরও পড়ুন: আরএইচইএল/সেন্টোস/ফেডোরায় এসএসএইচ সার্ভারের আক্রমণগুলি ব্লক করতে অস্বীকৃতি ইনস্টল করুন

2. ফেইল 2 বন

পাইগন প্রোগ্রামিং ভাষায় লিখিত সর্বাধিক জনপ্রিয় ওপেন সোর্স অনুপ্রবেশ সনাক্তকরণ/প্রতিরোধের কাঠামোগুলির মধ্যে ফয়েল2বান। এটি অনেকগুলি ব্যর্থ লগইন চেষ্টার জন্য লগ ফাইলগুলি যেমন/var/লগ/নিরাপদ, /var/log/auth.log,/var/লগ/pwdfail ইত্যাদি স্ক্যান করে পরিচালনা করে। কোনও নির্দিষ্ট সময়ের জন্য আক্রমণকারীর আইপি ঠিকানা প্রত্যাখ্যান করতে নেটফিল্টার/আইপটিবলস বা টিসিপি র্যাপারের হোস্টস.ডেনি ফাইল আপডেট করতে ব্যর্থ ফায়বান 2। প্রশাসকদের দ্বারা নির্ধারিত একটি নির্দিষ্ট সময়ের জন্য এটির একটি অবরুদ্ধ আইপি ঠিকানা নিষিদ্ধ করার ক্ষমতাও রয়েছে। যাইহোক, এই ধরনের দূষিত আক্রমণ বন্ধ করার জন্য একটি নির্দিষ্ট মিনিট আনবাান যথেষ্ট।

  1. মাল্টি-থ্রেডেড এবং হাই কনফিগারযোগ্য
  2. লগ ফাইলের ঘূর্ণনের জন্য সমর্থন করে এবং একাধিক পরিষেবা (sshd, vsftpd, অ্যাপাচি, ইত্যাদি) পরিচালনা করতে পারে
  3. লগ ফাইলগুলি পর্যবেক্ষণ করে এবং জ্ঞাত এবং অজানা নিদর্শনগুলির জন্য অনুসন্ধান করে
  4. আক্রমণকারীদের আইপি নিষিদ্ধ করতে নেটফিল্টার/আইপটেবলস এবং টিসিপি র্যাপার (/etc/hosts.deny) টেবিল ব্যবহার করে
  5. যখন কোনও প্রদত্ত প্যাটার্নটি একই আইপি ঠিকানার জন্য X বারেরও বেশি সময় সনাক্ত করা হয়ে থাকে তখন স্ক্রিপ্টগুলি চালায়

আরও পড়ুন: আরএইচইএল/সেন্টোস/ফেডোরায় এসএসএইচ সার্ভারের আক্রমণগুলি রোধ করতে ফেইলবাবান ইনস্টল করুন

৩. রুট লগইন অক্ষম করুন

ডিফল্টরূপে লিনাক্স সিস্টেমগুলি প্রতিটি ব্যবহারকারীকে নিজেই প্রত্যেকের জন্য এসএসএস রিমোট লগইনগুলির জন্য কনফিগার করা হয়, যা প্রত্যেকে সিস্টেমে সরাসরি লগ ইন করতে এবং রুট অ্যাক্সেস অর্জন করতে দেয়। এসএসএস সার্ভার রুট লগইনগুলি নিষ্ক্রিয় বা সক্ষম করার জন্য আরও সুরক্ষিত উপায়ে অনুমতি দেয় সত্ত্বেও সার্ভারগুলিকে কিছুটা সুরক্ষিত রাখাই সর্বদা রুট অ্যাক্সেস অক্ষম করা ভাল ধারণা।

একের পর এক কেবল বিভিন্ন অ্যাকাউন্টের নাম এবং পাসওয়ার্ড সরবরাহ করে এসএসএইচ আক্রমণগুলির মাধ্যমে মূল অ্যাকাউন্টগুলিকে জোর করার চেষ্টা করার মতো অনেক লোক রয়েছে। আপনি যদি সিস্টেম প্রশাসক হন তবে আপনি ssh সার্ভার লগগুলি পরীক্ষা করতে পারেন, যেখানে আপনি ব্যর্থ লগইন প্রচেষ্টাগুলির সংখ্যা পাবেন। ব্যর্থ লগইন চেষ্টার সংখ্যার পেছনের মূল কারণ হ'ল যথেষ্ট পাসওয়ার্ড হ'ল এবং হ্যাকার/আক্রমণকারীদের চেষ্টা করার পক্ষে তা বোঝা যায়।

আপনার যদি শক্তিশালী পাসওয়ার্ড থাকে, তবে আপনি সম্ভবত নিরাপদ থাকুন তবে রুট লগইনটি অক্ষম করা এবং লগ ইন করার জন্য নিয়মিত আলাদা অ্যাকাউন্ট থাকা ভাল, এবং তারপরে যখনই প্রয়োজন হবে রুট অ্যাক্সেস পেতে sudo বা su ব্যবহার করুন।

আরও পড়ুন: কীভাবে এসএসএইচ রুট লগইন অক্ষম করবেন এবং এসএসএইচ অ্যাক্সেস সীমাবদ্ধ করুন

৪. এসএসএইচ ব্যানার প্রদর্শন করুন

এটি ssh প্রকল্পের শুরু থেকে পাওয়া প্রাচীনতম বৈশিষ্ট্যগুলির মধ্যে একটি, তবে আমি খুব কমই দেখেছি এটি কারও দ্বারা ব্যবহৃত হয়। যাইহোক আমি তার গুরুত্বপূর্ণ এবং খুব দরকারী বৈশিষ্ট্যটি অনুভব করি যা আমি আমার সমস্ত লিনাক্স সার্ভারের জন্য ব্যবহার করেছি।

এটি কোনও সুরক্ষার উদ্দেশ্যে নয়, তবে এই ব্যানারটির সর্বাধিক সর্বাধিক সুবিধা হ'ল এটি ইউএন-অনুমোদিত অ্যাক্সেসে ssh সতর্কতা বার্তা প্রদর্শন করতে এবং পাসওয়ার্ড প্রম্পটের আগে এবং ব্যবহারকারীর লগ-ইন করার পরে অনুমোদিত ব্যবহারকারীদের বার্তাকে স্বাগত জানাতে ব্যবহৃত হয়।

আরও পড়ুন: এসএসএইচ এবং এমওটিডি ব্যানার বার্তাগুলি কীভাবে প্রদর্শন করবেন

5. এসএসএইচ পাসওয়ার্ডহীন লগইন

এসএসএইচ কীজেন সহ একটি এসএসএইচ পাসওয়ার্ড-কম লগইন দুটি লিনাক্স সার্ভারের মধ্যে একটি বিশ্বাসের সম্পর্ক স্থাপন করবে যা ফাইল স্থানান্তর এবং সিঙ্ক্রোনাইজেশনকে অনেক সহজ করে তোলে। এটি খুব কার্যকর যদি আপনি প্রতিবার পাসওয়ার্ড প্রবেশ ছাড়াই দূরবর্তী অটোমেটেড ব্যাকআপ, রিমোট স্ক্রিপ্টিং এক্সিকিউশন, ফাইল ট্রান্সফার, রিমোট স্ক্রিপ্ট ম্যানেজমেন্ট ইত্যাদি নিয়ে কাজ করে থাকেন।

আরও পড়ুন: এসএসএইচ পাসওয়ার্ডহীন লগইন কীভাবে সেট করবেন