क्लाउड वीएम (उबंटू और सेंटोस) को सुरक्षित और कठोर कैसे करें?

OS सुरक्षित करना उतना ही महत्वपूर्ण है जितना कि आपकी वेबसाइट, वेब एप्लिकेशन, ऑनलाइन व्यवसाय.


आप अपनी साइट (लेयर 7) की सुरक्षा के लिए सुरक्षा प्लगइन, WAF, क्लाउड-आधारित सुरक्षा पर खर्च कर सकते हैं, लेकिन OS को न छोड़ा जा सकता है खतरनाक.

प्रवृत्ति है बदलना.

वेब कई फायदे के लिए साझा होस्टिंग से क्लाउड पर जा रहा है.

  • संसाधनों के रूप में तेज़ प्रतिक्रिया समय किसी अन्य उपयोगकर्ता द्वारा साझा नहीं किया जाता है
  • टेक स्टैक पर पूर्ण नियंत्रण
  • ऑपरेटिंग सिस्टम का पूर्ण नियंत्रण
  • कम लागत

“महान शक्ति के साथ महान जिम्मेदारी आती है”

आपको मिला उच्च नियंत्रण क्लाउड वीएम पर अपनी वेबसाइट को होस्ट करने में, लेकिन आपके वीएम को प्रबंधित करने के लिए सिस्टम एडमिन कौशल की थोड़ी आवश्यकता होती है.

क्या आप तैयार इसके लिए?

नोट: यदि आप इसमें अपना समय निवेश करने को तैयार नहीं हैं तो आप चुन सकते हैं Cloudways जो AWS, Google क्लाउड, डिजिटल ओशन, लिनोइड, वल्चर का प्रबंधन करते हैं & क्यूप वी.एम..

चलो एक में है व्यावहारिक मार्गदर्शक Ubuntu और CentOS VM को सुरक्षित करने के लिए.

SSH डिफ़ॉल्ट पोर्ट बदलना

डिफ़ॉल्ट रूप से, SSH डेमॉन सुनता है पोर्ट नंबर 22. इसका मतलब है कि अगर किसी को पता है कि आपका आईपी आपके सर्वर से जुड़ने का प्रयास कर सकता है.

यदि आप एक जटिल पासवर्ड के साथ सुरक्षित हैं, तो वे सर्वर में आने में सक्षम नहीं हो सकते हैं। हालांकि, वे सर्वर ऑपरेशन को परेशान करने के लिए जानवर बल के हमलों को लॉन्च कर सकते हैं.

सबसे अच्छी बात यह है कि SSH पोर्ट को किसी और चीज़ में बदलना है, भले ही कोई व्यक्ति आईपी जानता हो, वे कनेक्ट करने का प्रयास नहीं कर सकता डिफ़ॉल्ट SSH पोर्ट का उपयोग करना.

Ubuntu / CentOS में SSH पोर्ट बदलना बहुत आसान है.

  • अपने वीएम को रूट विशेषाधिकार के साथ लॉगिन करें
  • Sshd_config (/ etc / ssh / sshd_config) का बैकअप लें
  • VI संपादक का उपयोग करके फ़ाइल खोलें

vi / etc / ssh / sshd_config

वह पंक्ति देखें, जिसमें पोर्ट 22 है (आमतौर पर फ़ाइल की शुरुआत में)

# हम किस पोर्ट, आईपी और प्रोटोकॉल को सुनते हैं
पोर्ट 22

  • 22 को किसी अन्य संख्या में बदलें (सुनिश्चित करें) याद है जैसा कि आपको कनेक्ट करने के लिए) की आवश्यकता होगी। 5000 कहते हैं

पोर्ट 5000

  • फ़ाइल सहेजें और SSH डेमॉन को पुनरारंभ करें

सेवा sshd पुनरारंभ

अब, आप या कोई भी SSH डिफ़ॉल्ट पोर्ट का उपयोग करके अपने सर्वर से कनेक्ट नहीं कर पाएंगे। इसके बजाय, आप कनेक्ट करने के लिए नए पोर्ट का उपयोग कर सकते हैं.

यदि MAC पर SSH क्लाइंट या टर्मिनल का उपयोग कर रहे हैं तो आप कस्टम पोर्ट को परिभाषित करने के लिए -p का उपयोग कर सकते हैं.

ssh -p 5000 [ईमेल संरक्षित]

आसान, यह नहीं है?

ब्रूट फोर्स अटैक से बचाना

एक द्वारा उपयोग किए जाने वाले सामान्य तंत्रों में से एक हैकर अपने ऑनलाइन व्यापार को नियंत्रित करने के लिए वर्डप्रेस, जूमला, आदि जैसे सर्वर और वेब प्लेटफॉर्म के खिलाफ क्रूर बल के हमलों की शुरुआत करना है.

यह हो सकता है खतरनाक अगर गंभीरता से नहीं लिया गया। वहां दो लोकप्रिय कार्यक्रमों का उपयोग आप लिनक्स को क्रूर बल से बचाने के लिए कर सकते हैं.

एसएसएच गार्ड

SSHGuard सिस्टम लॉग फ़ाइलों से चल रही सेवाओं की निगरानी करता है और बार-बार खराब लॉगिन प्रयासों को रोकता है.

प्रारंभ में, इसके लिए था SSH लॉगिन सुरक्षा, लेकिन अब यह कई अन्य लोगों का समर्थन करता है.

  • शुद्ध एफ़टीपी, प्रो एफ़टीपी, वीएस एफ़टीपी, फ्रीबीएसडी एफ़टीपी
  • एग्जिम
  • मेल भेजे
  • दरबा
  • Cucipop
  • UWimap

आप SSHGuard को निम्न कमांड के साथ इंस्टॉल कर सकते हैं.

उबंटू:

उपयुक्त SSHGuard स्थापित करें

CentOS:

wget FTP।
rpm -ivh sshguard-1.5-7.1.x86_64.rpm

fail2ban

SSH की सुरक्षा के लिए Fail2Ban एक और लोकप्रिय कार्यक्रम है। Fail2Ban स्वचालित रूप से iptables नियम को अपडेट करता है यदि एक विफल लॉगिन प्रयास परिभाषित सीमा तक पहुंचता है.

Ubuntu में Fail2Ban स्थापित करने के लिए:

apt-get install विफलता 2ban

और CentOS में स्थापित करने के लिए:

yum एपल-रिलीज़ इंस्टॉल करें
yum install2ban को विफल करें

SSH लॉगिन की सुरक्षा के लिए SSH गार्ड और Fail2Ban पर्याप्त होना चाहिए। हालाँकि, यदि आपको अधिक खोज करने की आवश्यकता है, तो आप निम्नलिखित का उल्लेख कर सकते हैं.

पासवर्ड-आधारित प्रमाणीकरण अक्षम करें

यदि आप एक या दो कंप्यूटर से अपने सर्वर में लॉग इन करते हैं, तो आप उपयोग कर सकते हैं SSH कुंजी आधारित प्रमाणीकरण.

हालाँकि, यदि आपके कई उपयोगकर्ता हैं और अक्सर कई सार्वजनिक कंप्यूटर से लॉग इन करते हैं, तो हर बार कुंजी का आदान-प्रदान करना परेशानी भरा हो सकता है.

इसलिए स्थिति के आधार पर, यदि आप पासवर्ड-आधारित प्रमाणीकरण को अक्षम करने का विकल्प चुनते हैं, तो आप इसे निम्नानुसार कर सकते हैं.

ध्यान दें: यह मानता है कि आप पहले ही SSH कुंजी विनिमय सेट कर चुके हैं.

  • का उपयोग कर संशोधित / etc / ssh / sshd_config vi संपादक
  • निम्न पंक्ति जोड़ें या मौजूद होने पर इसे अनलिमट कर दें

PasswordAuthentication सं

  • SSH डेमोन को पुनः लोड करें

DDoS हमलों से रक्षा करना

DDoS (सेवा का वितरण अस्वीकृत) हो सकता है कोई भी परत, और यह आखिरी चीज है जिसे आप व्यवसाय के स्वामी के रूप में चाहते हैं.

मूल आईपी खोजना संभव है, और एक सर्वोत्तम अभ्यास के रूप में, आपको अपने सर्वर आईपी को सार्वजनिक इंटरनेट पर उजागर नहीं करना चाहिए। छिपाने के कई तरीके हैंमूल आईपी“अपने क्लाउड / वीपीएस सर्वर पर DDoS को रोकने के लिए.

एक लोड बैलेंसर (LB) का उपयोग करें – इंटरनेट-फेसिंग लोड बैलेंसर लागू करें, इसलिए सर्वर आईपी इंटरनेट के संपर्क में नहीं आता है। कई लोड बैलेंसर हैं जिन्हें आप चुन सकते हैं – Google क्लाउड एलबी, एडब्ल्यूएस ईएलबी, लाइनोड नोडबेलर, डीओ एलबी, आदि।.

CDN (सामग्री वितरण नेटवर्क) का उपयोग करें – सीडीएन वेबसाइट के प्रदर्शन और सुरक्षा को बेहतर बनाने के शानदार तरीकों में से एक है.

जब आप CDN को लागू करते हैं, तो आप CDN प्रदाता द्वारा प्रदान किए गए anycast आईपी पते के साथ DNS A रिकॉर्ड को कॉन्फ़िगर करते हैं। ऐसा करने से, आप अपने डोमेन के लिए सीडीएन प्रदाता आईपी का विज्ञापन कर रहे हैं और उत्पत्ति उजागर नहीं है.

वेबसाइट के प्रदर्शन, DDoS सुरक्षा, WAF को तेज करने के लिए कई CDN प्रदाता हैं & कई अन्य विशेषताएं.

  • CloudFlare
  • StackPath
  • Sucuri
  • KeyCDN

तो CDN प्रदाता जो प्रदाता प्रदर्शन को चुनें & सुरक्षा दोनों.

कर्नेल सेटिंग्स को घुमाएँ & iptables – आप संदिग्ध अनुरोधों, गैर-SYN, फर्जी टीसीपी ध्वज, निजी सबनेट और अधिक को ब्लॉक करने के लिए iptables का लाभ उठा सकते हैं.

Iptables के साथ, आप कर्नेल सेटिंग्स भी कॉन्फ़िगर कर सकते हैं. Javapipe निर्देशों के साथ इसे अच्छी तरह से समझाया है, ताकि मैं इसे यहां डुप्लिकेट न करूं.

एक फ़ायरवॉल का उपयोग करें – यदि आप एक हार्डवेयर-आधारित फ़ायरवॉल वहन करते हैं तो उत्कृष्ट अन्यथा आप उपयोग करना चाह सकते हैं सॉफ्टवेयर आधारित फ़ायरवॉल VM को आने वाले नेटवर्क कनेक्शन की सुरक्षा के लिए iptables का लाभ मिलता है.

कई हैं, लेकिन सबसे लोकप्रिय में से एक है UFW (अस्पष्ट फ़ायरवॉल) के लिए उबंटू तथा FirewallD के लिये CentOS.

नियमित बैकअप

बैकअप आपका दोस्त है! जब कुछ भी काम नहीं करेगा तो बैकअप होगा बचाव आप.

चीजें जा सकती हैं गलत, लेकिन क्या होगा अगर आपके पास बहाल करने के लिए आवश्यक बैकअप नहीं है? अधिकांश क्लाउड या वीपीएस प्रदाता थोड़े अतिरिक्त शुल्क पर बैकअप प्रदान करते हैं और एक को हमेशा विचार करना चाहिए.

बैकअप सेवा सक्षम करने के लिए अपने VPS प्रदाता के साथ जांचें। मुझे पता है कि Linode और DO बैकअप के लिए छोटी बूंद मूल्य निर्धारण का 20% चार्ज करते हैं.

यदि आप Google कंप्यूट इंजन या AWS पर हैं, तो एक दैनिक स्नैपशॉट शेड्यूल करें.

एक बैकअप होने से आप जल्दी से अनुमति देंगे पूरे वीएम को पुनर्स्थापित करें, इसलिए आप व्यवसाय में वापस आ गए हैं। या एक स्नैपशॉट की मदद से, आप VM को क्लोन कर सकते हैं.

नियमित अपडेट

अपने वीएम ओएस को अप-टू-डेट रखना यह सुनिश्चित करने के लिए आवश्यक कामों में से एक है कि आपका सर्वर किसी के संपर्क में न आए नवीनतम सुरक्षा कमजोरियाँ.

में उबंटू, आप नवीनतम पैकेजों को स्थापित करने के लिए apt-get अपडेट का उपयोग कर सकते हैं.

CentOS में, आप yum अपडेट का उपयोग कर सकते हैं

खुले हुए बंदरगाहों को न छोड़ें

दूसरे शब्द में, केवल आवश्यक बंदरगाहों की अनुमति दें.

लाभ लेने के लिए आमंत्रित हमलावर की तरह अवांछित खुले बंदरगाहों को रखना। यदि आप अपने वीएम पर अपनी वेबसाइट की मेजबानी कर रहे हैं, तो सबसे अधिक संभावना है कि आपको पोर्ट 80 (HTTP) या 443 (HTTPS) की आवश्यकता है.

यदि आप पर हैं एडब्ल्यूएस, तब आप केवल आवश्यक पोर्ट की अनुमति देने के लिए सुरक्षा समूह बना सकते हैं और उन्हें VM के साथ जोड़ सकते हैं.

यदि आप Google क्लाउड पर हैं, तो आवश्यक पोर्ट की अनुमति दें “फ़ायरवॉल नियम.”

और यदि आप VPS का उपयोग कर रहे हैं, तो मूल iptables नियम लागू करें जैसा कि समझाया गया है लिनोड गाइड.

ऊपर आपको अपने सर्वर को सख्त बनाने और सुरक्षित करने में मदद करनी चाहिए ऑनलाइन खतरों से बेहतर सुरक्षा.

वैकल्पिक रूप से, यदि आप अपने VM को प्रबंधित करने के लिए तैयार नहीं हैं, तो आप पसंद कर सकते हैं Cloudways जो कई क्लाउड प्लेटफ़ॉर्म प्रबंधित करते हैं। और यदि आप विशेष रूप से प्रीमियम वर्डप्रेस होस्टिंग की तलाश में हैं तो यह एक है.

टैग:

  • लिनक्स

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map