প্রশ্ন একটি ডেবিয়ান সার্ভার সুরক্ষিত করতে আপনি কোন পদক্ষেপ গ্রহণ করেন? [বন্ধ]


আমি একটি ডেবিয়ান সার্ভার ইনস্টল করছি যা সরাসরি ইন্টারনেটের সাথে সংযুক্ত। অবশ্যই আমি যতটা সম্ভব নিরাপদ করতে চাই। আমি আপনাকে বলছি / gals এটি নিরাপদ আপনার ধারণা যোগ করতে চান এবং আপনি কি প্রোগ্রাম এটি জন্য ব্যবহার করতে চান।

ফায়ারওয়াল হিসাবে আপনি কী ব্যবহার করেন তা এই প্রশ্নটির অংশ আমি চাই? মাত্র iptables- র ম্যানুয়ালি কনফিগার করা বা আপনি সাহায্য করার জন্য কোন ধরনের সফটওয়্যার ব্যবহার করেন? সেরা উপায় কি? সবকিছু বন্ধ করুন এবং শুধুমাত্র প্রয়োজন কি অনুমতি দেয়? এই বিষয়ে beginners জন্য হয়তো ভাল টিউটোরিয়াল আছে?

আপনি আপনার এসএসএইচ পোর্ট পরিবর্তন? আপনি মত সফ্টওয়্যার ব্যবহার করবেন না Fail2Ban bruteforce আক্রমণ প্রতিরোধ করতে?


66


উত্স


সঙ্গে overlap অনেক আছে serverfault.com/questions/42/securing-a-fresh-ubuntu-server এবং - Zoredache
উবুন্টু UUW ডেবিয়ান নয়;) আমি ক্ষতিকারক ছিলাম যে লোকেরা iptables কনফিগার করছে কিনা সেগুলি সেভভে বা ফায়ারহোলের মতো কিছু সফ্টওয়্যার ব্যবহার করছে কিনা - Thomaschaaf
আমি সবসময় iptables নিয়ম লেখার ঝোঁক আছে। আমি একটি বয়লার প্লেট আছে যা স্টাফ যেমন সব টুকরা, xmas প্যাকেট, ইত্যাদি ড্রপ আছে। এর বাইরে যে কিছু সিস্টেম নির্দিষ্ট, এবং সাধারণত সুন্দর ছোট dang। Iptables ব্যবহার করে আমি যথেষ্ট ড্রপ টুকরা চাপ করতে পারে না, btw। কিছু কারণে আমি এখনও গবেষিত হয়নি, iptables শুধুমাত্র প্রথম খণ্ড পরীক্ষা করে, এবং অন্ধভাবে চেক ছাড়া বাকি পাস। আমার মন, যে টুকরা একটি দায়বদ্ধতা তোলে। - Scott Pack
ওহম ... ডেবিয়ান উফু! packages.debian.org/ufw - womble♦


উত্তর:


বাধ্যতামূলক:

  • বিশেষজ্ঞ মোডের সাথে সিস্টেমের ইনস্টলেশন, শুধুমাত্র প্যাকেজ যা আমি প্রয়োজন
  • iptables'input উপর ডিফল্ট নীতি সহ হাতের লেখা ফায়ারওয়াল: ড্রপ, এসএসএইচ অ্যাক্সেসের অনুমতি, HTTP বা সার্ভার প্রদত্ত যা যা দেওয়া হচ্ছে তা চলছে
  • Fail2Ban SSH এর জন্য [এবং কখনও কখনও FTP / HTTP / অন্যান্য - প্রসঙ্গের উপর নির্ভর করে]
  • রুট লগইন নিষ্ক্রিয় করুন, স্বাভাবিক ব্যবহারকারী এবং সুডো ব্যবহার করে জোর করুন
  • কাস্টম কার্নেল [শুধু পুরানো অভ্যাস]
  • নির্ধারিত সিস্টেম আপগ্রেড

অতিরিক্ত প্যারানিয়া স্তর উপর নির্ভর করে:

  • অনুমোদিত গন্তব্য / পোর্ট কয়েকটি ছাড়া আউটপুট উপর নীতি ড্রপ
  • integrit উদাহরণস্বরূপ, ফাইল সিস্টেমের গুদামের কিছু অংশ [মেশিনের বাইরের চেকসামের সাথে] সংশোধন করা হয় কিনা তা পরীক্ষা করার জন্য Tripwire 
  • অন্তত সিস্টেম থেকে nmap সঙ্গে অন্তত স্ক্যান নির্ধারিত
  • অজানা নিদর্শনগুলির জন্য স্বয়ংক্রিয় লগ পরীক্ষণ [কিন্তু এটি বেশিরভাগই হার্ডওয়্যার ত্রুটি সনাক্তকরণ বা কিছু ক্ষুদ্র ক্র্যাশ সনাক্ত করতে]
  • নির্ধারিত রান chkrootkit
  • অপরিবর্তনীয় বৈশিষ্ট্য জন্য /etc/passwd তাই নতুন ব্যবহারকারীদের যোগ করা একটু বেশি কঠিন
  • / tmp noexec সঙ্গে মাউন্ট করা
  • পোর্ট নকার বা এসএসএইচ পোর্ট খোলার অন্যান্য অ-মানক পদ্ধতি [উদাঃ। ওয়েব সার্ভারে 'গোপন' ওয়েব পৃষ্ঠাটিতে গিয়ে পৃষ্ঠাটি দেখে এমন IP ঠিকানা থেকে সীমিত সময়ের জন্য অন্তর্মুখী SSH সংযোগের অনুমতি দেয়। যদি আপনি সংযুক্ত হন, -m state --satete ESTABLISHED যতক্ষণ আপনি একটি একক এসএসএইচ সেশন ব্যবহার করেন ততক্ষণ প্যাকেট প্রবাহকে অনুমতি দেওয়ার যত্ন নেয়]

যে জিনিসগুলি আমি নিজে করি না তা বুঝি:

  • grsecurity কার্নেল জন্য
  • দূরবর্তী syslog তাই সিস্টেম আপোস করা হয় যখন লগ লগ ওভাররাইট করা যাবে না
  • কোন এসএসএইচ লগইন সম্পর্কে সতর্ক
  • কনফিগার rkhunter এবং সময়ে সময়ে চালানোর জন্য সেট আপ

50



এই সব চালানোর পরে সিস্টেমের বিরুদ্ধে অন্য কিছু সন্ধান করার জন্য বস্টিল। আমি একটি সম্পূর্ণ bore করছেন সুপারিশ, পাশাপাশি সিস্টেমের Nessus স্ক্যান অনিরাপদ চেক; তারপর এটা সতর্কতা যাই হোক না কেন ঠিক। - Scott Pack
কোনও কাস্টম কার্নেল কম্পাইল করা হলে নিরাপত্তা সুবিধাগুলি সরবরাহ করা হয় না যদি না আপনি আসলে কী করছেন তা জানেন না। আপনি প্যাকেজ ম্যানেজমেন্ট সিস্টেমে এটি না রেখে এটি আপ টু ডেট রাখতে অবহেলা করবেন, যার ফলে নিরাপত্তা আরও খারাপ হয়ে যাবে। - Adam Gibbins
-1 অস্পষ্টতা মাধ্যমে নিরাপত্তা জন্য। অন্যথায় শালীন উত্তর। - dwc
@ এডাম - হ্যাঁ, আমি এটা জানি, এখনো আমি একক কার্নেল থাকতে পছন্দ করি যা আমার প্রয়োজনের অংশগুলির মধ্যে রয়েছে। যে সম্ভবত খুব পিছনে, কিন্তু এখনো আমি এটা করতে। @ ডিডাব্লিউসি - এটি মাত্র এক অতিরিক্ত ধাপ যা শুধু একটি আচ্ছাদন বা অপ্রত্যাশিত গন্ধযুক্ত বস্তুর টুকরার উপরে চেরি বলে। - pQd
এবং আপনি মানে suud না su - - LapTop006


শুধু আপনার মেশিন ফায়ারওয়ালিং একটি নোট ...

  • একটি সাদা তালিকা ব্যবহার করুন, একটি কালো তালিকা নয় - অর্থাত্ সবকিছুকে অবরোধ করুন, এবং শুধুমাত্র আপনার যা প্রয়োজন তা অনুমোদন করুন, অন্য সবাইকে অস্বীকার করুন।
  • GUI / ncurses বা অন্যথায় কোনও সফ্টওয়্যার যা আপনার জন্য আপনার ফায়ারওয়াল লেখার কাজটি করার চেষ্টা করে না। যদি আপনি করেন তবে আপনি সফটওয়্যারটি আপনার জন্য অনুমান করতে পারবেন - আপনাকে ঝুঁকি নিতে হবে না এবং তা করা উচিত নয়। যদি আপনি অনিশ্চিত হন তবে এটি নিজেরাই কনফিগার করুন, এটি নিষ্ক্রিয় করুন - যদি প্রয়োজন হয় তবে আপনি তাড়াতাড়ি যথেষ্ট খুঁজে পাবেন। এটি ইতিমধ্যে একটি আপ এবং চলমান সিস্টেম এবং আপনি ট্র্যাফিক ব্যাহত করতে পারে না (এটি হঠাৎ অবরোধ করা হলে), তারপর tcpdump (ফাইল থেকে ডাম্প) চালান এবং নমুনাগুলি গ্রহণ করুন - পরে তাদের অধ্যয়ন করুন এবং তারপরে কী বৈধ এবং কী নেই তা চিত্র করুন।
  • আমি ব্যক্তিগতভাবে একটি অ-মানক পোর্টে কোনও পরিষেবা চালাতে কোনও পয়েন্ট দেখি না, এইসব সরঞ্জামগুলি এত নিরর্থক নয় যে এই দিনটি ধরতে পারে কারণ উদাহরণস্বরূপ ২২ পোর্টে কিছু চলছে, তাহলে এটি অবশ্যই ssh, অন্যথায় নয় - এর জন্য উদাহরণ amap, এবং nmapএর -A বিকল্প। বলার অপেক্ষা রাখে না যে, আপনি (এবং সম্ভবত চিন্তিত হওয়া উচিত) আপনার পরিষেবাগুলিকে প্রিয়ার চোখ থেকে লুকিয়ে রাখতে পরিবর্তন করতে পারেন, উদাহরণস্বরূপ, নিম্নলিখিতটি আক্রমণকারীকে সঠিক সংস্করণটি জানাতে দেবে OpenSSH যে আপনি চলমান হয়, তারা তারপর যে সঠিক সংস্করণ জন্য শোষণ সন্ধান করতে পারেন। আপনি যদি এমন জিনিস লুকিয়ে রাখেন তবে আপনি তাদের পক্ষে এটি কঠিন করে তুলবেন।
    [root @ ud-olis-1 uhtbin] # টেলনেট স্থানীয়হস্ত ২২
    127.0.0.1 চেষ্টা করছে ...
    स्थान स्थान स्थान स्थान स्थान स्थान स्थान स्थान स्थान स्थान स्थान स्थान તે कर कर कर कर स्थान स्थान स्थान स्थान कर कर स्थान कर स्थान कर स्थान कर स्थान स्थान स्थान स्थान स्थान कर कर आ कर कर कर कर कर स्थान स्थान कर कर आ कर आ कर स्थान स्थान स्थान स्थान स्थान स्थान स्थान स्थान स्थान स्थान स्थान તે कर कर कर कर कर कर कर स्थान कर कर स्थान कर आ आ कर आ स्थान स्थान आ स्थान स्थान आ स्थान स्थान स्थान आ कर कर आ कर
    পাল্টা চরিত্র '^]'।
    Ssh-2.0-OpenSSH_3.9p1
  • स्थान स्थान स्थान आ स्थान તે स्थान स्थान आ आ कर कर कर कर कर आ स्थान कर कर कर आ आ आ कर कर कर कर कर आ स्थान स्थान कर स्थान स्थान स्थान स्थान कर कर आ आ कर आ स्थान स्थान स्थान आ आ कर તે कर कर स्थान आ आ स्थान स्थान स्थान आ आ कर कर कर आ आ स्थान स्थान कर आ आ कर તે कर आ कर कर स्थान कर आ आ स्थान स्थान स्थान कर તે कर कर તે कर તે कर स्थान कर
  • গেটওয়ে সার্ভারে কোনও ডেটা সংরক্ষণ করবেন না, অন্তত আপনি যখন এই মেশিনটিতে ভ্রমন পরিচালনা করবেন তখন আপনি সময় কিনবেন এবং আপনি কোনও পরিষেবা বা দুইটি, এবং কিছু সময়, কিন্তু ডেটা নষ্ট করবেন না।

নিচের লাইনটি হল যে আপনি 100% নিরাপদ কিছু করতে সফল হবেন না - এটিই সম্ভব নয় - তাই লক্ষ্যটি যতটা সম্ভব নিরাপদ করা - যদি আপনার সিস্টেমটি ভাঙার জন্য এটি খুব বেশি প্রচেষ্টায় হয় তবে এটি যথেষ্ট ভাল, এবং সর্বাধিক লেআমার স্ক্রিপ্ট-kiddies পরবর্তী সিস্টেম সম্মুখের দিকে সরানো হবে।

  • iptables কোনও লিনাক্স সিস্টেমের জন্য যেতে উপায় - তবে এটি নিজে কনফিগার করুন।

যেকোনো "নিরাপত্তা সফটওয়্যার" কখনও ব্যবহার করবেন না যা খোলা মানগুলির উপর ভিত্তি করে নয় - তারা নষ্টভাবে লিখিত হবে এবং হ্যাক হয়ে যাবে ("if", কিন্তু "when") নয়। ওপেন সোর্স ও উন্মুক্ত প্রোটোকলগুলি জনসাধারণের নজরদারির জন্য উন্মুক্ত এবং একটি পরিপক্ক এবং বিশ্বস্ত পণ্য হয়ে উঠার জন্য একত্রিত হয়; বন্ধ-উৎস সফ্টওয়্যারটি বেশিরভাগ লেখকদের কাছে কতটা দুর্দান্ত / নিরাপদ-একটি-পণ্য সম্পর্কে আত্মবিশ্বাসের উপর নির্ভর করে তারা এটা মনে হয় - যেমন ছোট চোখের চোখ পৃথিবীর ভেতর ভরা।

আশা করি এইটি কাজ করবে :)


18



"... একটি ছোট সংখ্যা চোখের চোখ পৃথিবী ভরা।" - আমি যথেষ্ট "কর্পোরেশন" এটা বুঝতে চাই, কিন্তু অস্পষ্টতা মাধ্যমে নিরাপত্তা সর্বাধিক অনুসরণ প্রবণতা বলে মনে হয়। হ্যাঁ একটি পরিষেবা চলমান, ssh মত, একটি অ-মানক পোর্টে একটি নির্ধারিত আক্রমণকারীকে দূরে রাখবে না। তবে এটি স্ক্রিপ্ট kiddies দূরে রাখা হবে - কেউ 22 পোর্ট 22 আইপি ঠিকানা একটি পরিসীমা উপর অভিধান আক্রমণ চলমান। - L0neRanger


  • রুট লগইন নিষ্ক্রিয় করুন
  • পাসওয়ার্ড দ্বারা লগইন নিষ্ক্রিয় করুন (শুধুমাত্র পাবলিক-কী দ্বারা লগইন করার অনুমতি দিন)
  • এসএসএইচ পোর্ট পরিবর্তন করুন
  • denyhosts ব্যবহার করুন (বা অনুরূপ)

  • আপনার নিজস্ব iptbles স্ক্রিপ্ট লিখুন (তাই আপনি ঠিক কি নিয়ন্ত্রণ করতে এবং অন্য সবকিছু ড্রপ করতে পারেন নিয়ন্ত্রণ)

  • এসএসএস / টিএলএস নিরাপদ যোগাযোগের ব্যবহার জোরদার করুন এবং বৈধ, অ মেয়াদোত্তীর্ণ এবং স্বাক্ষরিত শংসাপত্রগুলি নিশ্চিত করুন

  • সমস্ত বাহ্যিক পরিষেবাদির জন্য কঠোর শংসাপত্র যাচাইকরণ চালু করুন (উদাহরণস্বরূপ, যখন অন্য মেশিনে LDAP সার্ভারের ব্যবহারকারীদের অনুমোদন দেওয়া হয়)

12



আপনি পাসওয়ার্ড auth নিষ্ক্রিয় করার জন্য একটি upvote পেতে। - derobert


এখান থেকে শুরু কর:

http://www.debian.org/doc/manuals/securing-debian-howto/


9



ডেবিয়ান নিরাপত্তা ম্যানুয়াল একটি চমত্কার সম্পদ। - kce


একটি সাধারণ শুরু বিন্দু হিসাবে, আমি থেকে benchmark / গাইড অনুসরণ ইন্টারনেট নিরাপত্তা কেন্দ্র, যা নিরাপত্তা ভাল অনুশীলন ব্যাপক সংকলন হয়। কিছুদিনের মধ্যে তাদের ডেবিয়ান বেঞ্চমার্ক আপডেট করা হয়েছে বলে মনে হচ্ছে না, তবে পদক্ষেপগুলির একটি সাধারণ সারসংক্ষেপটি হল:

  • সর্বশেষ অপারেটিং সিস্টেম প্যাচ / প্যাকেজ প্রয়োগ করুন
  • সিস্টেম / কার্নেল / প্রক্রিয়া অ্যাকাউন্টিং সক্ষম করুন।
  • MAC সক্ষম করুন (উদাহরণস্বরূপ, SELinux বা AppArmor)।
  • হোস্ট-ভিত্তিক ফায়ারওয়াল (iptables) সক্ষম করুন।
  • APT sources.list যাচাই করুন (কীগুলি সঠিক, উত্স বিশ্বস্ত)।
  • নেটওয়ার্ক পরিষেবাদি কমানো, প্রয়োজনীয় সবকিছু অক্ষম করুন, এবং ফায়ারওয়াল কি।
  • আরও সিস্টেম অ্যাক্সেস সীমাবদ্ধ করার জন্য TCPWrappers ব্যবহার করুন।
  • শুধুমাত্র এনক্রিপ্ট করা নেটওয়ার্ক প্রোটোকল ব্যবহার করুন, এনক্রিপ্ট করা পরিষেবাগুলি নিষ্ক্রিয় করুন (টেলনেট, FTP, ইত্যাদি)।
  • শুধুমাত্র SSH থেকে দূরবর্তী অ্যাক্সেস কনফিগার করুন।
  • ব্যবহারকারী লগইন পাসওয়ার্ড নিষ্ক্রিয় করুন এবং কী-ভিত্তিক প্রমাণীকরণ প্রয়োজন।
  • ফাইল সিস্টেম শেয়ারিং নিষ্ক্রিয় (এনএফএস, এসএমবি)।
  • দূরবর্তী / কেন্দ্রীয় সিস্টেম লগিং সক্ষম করুন (এবং নিয়মিত লগ পর্যালোচনা!)।
  • একটি BIOS / ফার্মওয়্যার স্তর পাসওয়ার্ড সেট করুন।
  • একটি বুটলোডার পাসওয়ার্ড সেট করুন।
  • সিস্টেম ব্যাকআপগুলি কনফিগার করুন, একটি দুর্যোগ পুনরুদ্ধারের পরিকল্পনা এবং ব্যাকআপগুলি বৈধ কিনা তা পরীক্ষা করুন এবং সেই কর্মীরা দুর্যোগ পুনরুদ্ধারের পদ্ধতিগুলি জানেন!

CISecurity benchmarks এ সিস্টেমে বাস্তবায়ন করার জন্য নির্দিষ্ট কমান্ড এবং কনফিগারেশন ফাইলগুলি সহ এই সমস্ত বিভিন্ন সেটিংসে অনেকগুলি সংস্থান রয়েছে।


6





আমি ইন্টারনেট সরাসরি একটি মেশিন সংযুক্ত না সুপারিশ করবে। মেশিন এবং ইন্টারনেটের মধ্যে কিছু ধরণের ফায়ারওয়াল রাখুন। এটি আপনাকে সার্ভারে আরো লোড না রেখে নিরাপত্তা এবং নেটওয়ার্ক নিরীক্ষণ করতে দেয়। ব্যক্তিগতভাবে, আমি নেটওয়ার্ক এবং ফাংশন বিভাজন ঘন ঘন নেটওয়ার্ক সমস্যা সমাধানকে সহজ করে তুলি, যদিও উপলক্ষ্যে অতিরিক্ত জটিলতা বিশ্লেষণকে আরো কঠিন করে তোলে।

সবচেয়ে নিরাপদ, কিন্তু পরিচালনা করার জন্য সবচেয়ে বিরক্তিকর, ফায়ারওয়াল নীতিটি সব অস্বীকার করা এবং কেবলমাত্র ট্র্যাফিককেই অনুমতি দেওয়া উচিত। এটি বিরক্তিকর, কারণ নেটওয়ার্কটিকে পরিবর্তন করার প্রয়োজন হিসাবে প্রায়শই ফায়ারওয়াল নীতি আপডেট করতে হবে।

আমি সার্ভারে কিছু ধরনের ইন্টারফেস ফায়ারওয়ালিং ব্যবহার করে সুপারিশ করব - গভীরতার প্রতিরক্ষা কী। প্রশাসনিক সম্পর্কিত পরিষেবার জন্য নন-স্ট্যান্ডার্ড পোর্ট ব্যবহার করে ক্ষতি হয় না। fail2ban জরিমানা। আরো ধারনা খুঁজতে সার্ভারফ্ট্টের নিরাপত্তা অ্যাপ্লিকেশন সম্পর্কে আরো নির্দিষ্ট প্রশ্নগুলি অনুসরণ করুন।

নিরাপত্তা দুই হিক্কার এবং ভালুক সম্পর্কে তামাশা - যখন কেউ নিখুঁত নিরাপত্তা অর্জন করতে পারে না, তখন অন্য ছেলেদের তুলনায় এটি আরো কঠিন লক্ষ্য হতে সাহায্য করে।


5



চমৎকার উত্তর জন্য +1। আমি অবশ্যই আপনাকে অবশ্যই এটির সাথে যোগাযোগ করার সময় ডিফল্ট অস্বীকারটি পরিচালনা করার জন্য বিরক্তিকর নয়। অবশ্যই আপনি কি আপনি অনুমতি দেওয়া আবশ্যক জানা আবশ্যক, অধিকার? আসলে, এটি একটি নীতি বিবৃতি হিসাবে সাধারণ ভাষায় লিখিত করা উচিত। যদি আপনি স্বাভাবিক রুটিন হিসাবে এটি করছেন না তবে আপনি প্রশাসক হিসাবে আপনার কাজ করছেন না। আপনি যদি, এটি ফায়ারওয়াল নিয়ম আপডেট করার জন্য একটি সহজ ব্যাপার। - dwc
খুব ভাল পয়েন্ট। প্রতিটি প্রতিষ্ঠানের একটি সরল ভাষা নিরাপত্তা নীতি বিবৃতি থাকা উচিত। প্রতিষ্ঠানের প্রয়োজন পরিবর্তিত হলে, নীতি বিবৃতি আপডেট করা উচিত। অ্যাডমিন শুধুমাত্র ফায়ারওয়াল নিয়ম বাস্তবায়ন এবং CYA পরিকল্পনা করার জন্য, যদি একটি স্মার্ট অ্যাডমিনিস্ট্রেটর যেমন নীতির নীতি বজায় রাখে, এমনকি সংস্থার ব্যবস্থাপনাকে নিরাপত্তা সম্পর্কে চিন্তা করাতেও বিরত থাকতে পারে না। - pcapademic


কিছু মানুষ এ নির্দেশ করেছে ডেবিয়ান ম্যানুয়াল সুরক্ষিত। এই সামরিক প্রয়োজনীয়তা কিন্তু সবকিছু জন্য পুরোপুরি পর্যাপ্ত হতে হবে।

অনেক লোক মনে করে যে হাস্যকরভাবে প্যারানোড হচ্ছে শীতল বা পেশাদার বা কিছু। এটা না, এটা শুধু বিরক্তিকর অন্যান্য প্রশাসক এবং সরাসরি জন্য উত্পীড়নকর আপনার ব্যবহারকারীদের জন্য। আপনি যা দেখবেন তা বেশিরভাগই সুপারিশ করা হয় যা কেবল প্যারানোড অ্যাডমিনের জন্য উপকারী মনে করতে জাল ব্যস্ত কাজ, কিন্তু আসলে সহায়ক নয়, কারণ প্রকৃত সুরক্ষা লঙ্ঘনটি যথেষ্ট আপডেট হওয়া সিস্টেম এবং / অথবা অভ্যন্তরীণ উত্স থেকে নয়।

যে বলেন, আমি ইন্টারনেটের যেকোনো কিছু থেকে স্থানীয় নেটওয়ার্কে কিছু বিশ্বাস করতে আমার নীতিগুলির মধ্যে একটি হিসাবে বিবেচনা করি। অতএব, আমি স্থানীয় নেটওয়ার্ক এমনকি প্রমাণীকরণ প্রয়োজন জন্য সবকিছু কনফিগার। আমি IPsec ব্যবহার করে কম্পিউটারের প্রতিটি মধ্যে এনক্রিপ্ট এবং সমস্ত ট্রাফিক অনুমোদন।

আমি আমার সমস্ত সার্ভারের জন্য পূর্ণ-ডিস্ক এনক্রিপশন রূপান্তর করার প্রক্রিয়াতে আছি।

আমি ব্যবহার করি শুধুমাত্র সেবা ইনস্টল। আমার ফায়ারওয়াল নেই; আমি নির্দিষ্ট আইপিগুলিতে প্রমাণীকরণ প্রয়োজন বা সেগুলি সীমাবদ্ধ করে (প্রোগ্রামের নিজস্ব কনফিগারেশন বা TCP-wrappers দ্বারা) পরিষেবাদি কনফিগার করি। Iptables ব্যবহার করে ব্লক করার জন্য শুধুমাত্র একমাত্র জিনিস ছিল memcachedযেহেতু এটির কোনও কনফিগারেশন ফাইল ছিল না, এবং টিসিপি-র্যাপারগুলি ব্যবহার করে নি।

আমি ভাল ব্যবহার, এলোমেলোভাবে উত্পন্ন আমার অ্যাকাউন্টের জন্য পাসওয়ার্ড এবং আমার এসএসএইচ সার্ভার (এবং সমস্ত অন্যান্য পরিষেবাদি) যারা পাসওয়ার্ড জানে না তাদেরকে রাখতে। fail2ban শুধুমাত্র লগ ফাইলের জন্য সীমিত স্থান যাদের জন্য, IMO। (আপনি তাদের বিশ্বাস করতে সক্ষম হতে যথেষ্ট ভাল পাসওয়ার্ড থাকা উচিত।)


4





Www.debian.org/doc/manuals/securing-debian-howto/ এ কিভাবে এই সুন্দরভাবে যান

আমি ব্যক্তিগতভাবে ssh পোর্ট পরিবর্তন এবং fail2ban + denyhosts ব্যবহার করুন। এবং আমি প্রয়োজন হয় না যে সব ব্লক। যত কম আপনি কম ব্লক আপনি সম্পর্কে চিন্তা আছে।


3



বিতৃষ্ণা। আপনি আমাকে "এসএসএইচ পোর্ট পরিবর্তন" পর্যন্ত ছিল। কোন পয়েন্ট নেই। বিশেষ করে যখন কোনও জো স্কিমো তার হাতে পর্যাপ্ত সময়ের সাথে স্ক্যান করতে পারে এবং তা জানতে পারে যে কোন পোর্ট SSH চলছে। এটি যত তাড়াতাড়ি আপনি সংযোগ হিসাবে পরিষেবা নাম (এবং সার্ভার সংস্করণ) ঘোষণা করে। - Matt Simmons
হ্যাঁ, আমি জানি যে কেউ আপনাকে পোর্ট স্ক্যান করতে পারে এবং সঠিক পোর্ট খুঁজে পেতে পারে। কিন্তু অধিকাংশ আক্রমণ ডিফল্ট পোর্ট হয়। শুধু পোর্ট পরিবর্তন করে কিছু পরিসংখ্যান পেতে চেষ্টা করুন। - Vihang D