Реклама Google

adsense 1v

Реклама Google

adsense 2v

Реклама Google

oVirt гипервизорындағы SSH серверін қорғау принциптері

Толығырық
Категория: Сақтық көшірме жасаудың ең жақсы тәжірибелері (KZ)

SSH (Secure Shell) — бұл қазіргі заманғы серверлерді басқаруда, соның ішінде oVirt сияқты гипервизорларда, қауіпсіз қашықтықтан қосылу үшін қолданылатын ең маңызды және кең таралған протоколдардың бірі. SSH гипервизорлардағы хосттарды, виртуалды машиналарды және түрлі инфрақұрылым компоненттерін басқару үшін қолданылады. Алайда, кез келген басқа қызмет сияқты, SSH да әртүрлі қауіптерге ұшырауы мүмкін, оның ішінде брутфорс-атакалар, рұқсатсыз қосылуға талпыныстар және протоколдағы осалдықтарды пайдалану. Сондықтан SSH серверін дұрыс баптап, қорғау өте маңызды.

Бұл мақалада біз oVirt гипервизорындағы SSH серверін қорғаудың негізгі принциптерін, нақты код мысалдары мен конфигурацияларды, сондай-ақ қауіпсіздікті арттыруға арналған үздік тәжірибелерді қарастырамыз.

1. SSH серверіне арналған негізгі қауіптер

Қорғау әдістерін қарастырмас бұрын, SSH серверіне қандай қауіптер төнуі мүмкін екенін түсіну маңызды:

  • Брутфорс-атакалар: шабуылдаушы парольді барлық мүмкін комбинацияларды қолданып табуға тырысады.
  • Ескі SSH нұсқаларындағы осалдықтар: ескірген SSH сервері белгілі бір осалдықтарға ие болуы мүмкін, олар серверге рұқсатсыз қосылуға мүмкіндік береді.
  • Әлсіз парольдер: әлсіз немесе әдепкі парольдер көп таралған осалдық болып табылады.
  • Ашық порттар: ашық SSH порттары (порт 22) дұрыс қорғалмаған жағдайда сырттан шабуылдарға ұшырауы мүмкін.
  • Рұқсатсыз қосылу: егер қосылу тек белгілі бір пайдаланушыларға немесе IP мекенжайларына шектелмеген болса, рұқсатсыз қосылу мүмкіндігі жоғары болады.

2. oVirt гипервизорындағы SSH серверін қорғау принциптері

Қауіптерді барынша төмендету үшін бірнеше қорғау принциптерін қолдану қажет. Олардың қатарына аутентификацияның қауіпсіз әдістерін пайдалану, қосылу құқықтарын шектеу, мониторинг орнату және жүйені үнемі жаңарту кіреді.

2.1. Парольдерден гөрі SSH кілттерін қолдану

SSH серверін қорғаудың ең тиімді әдістерінің бірі — парольдер орнына SSH кілттерінің жұбын қолдану. Бұл әдіс қауіпсіздігі жоғары, себебі кілттер кездейсоқ генерацияланып, парольдерге қарағанда әлдеқайда қиын табуға болады.

SSH кілттерімен аутентификацияны орнату:

  1. Жергілікті машинада SSH кілттерінің жұбын жасау: RSA алгоритмімен 4096 биттік кілттің жұбын жасау үшін келесі команданы орындаңыз:

    bash
    ssh-keygen -t rsa -b 4096

    Бұл команда id_rsa (құпия кілт) және id_rsa.pub (қоғамдық кілт) деген екі файлды жасайды.

  2. Қоғамдық кілтті серверге жіберу: Қоғамдық кілтті серверге ~/.ssh/authorized_keys файлына орналастыру керек. Мұны келесі команданы орындау арқылы жасауға болады:

    bash
    ssh-copy-id user@your_ovirt_host

    Немесе оны қолмен көшіруге болады:

    bash
    cat ~/.ssh/id_rsa.pub | ssh user@your_ovirt_host 'cat >> ~/.ssh/authorized_keys'

  3. Парольдермен аутентификацияны өшіру: Қауіпсіздікті арттыру үшін серверде парольмен аутентификацияны өшіру қажет. /etc/ssh/sshd_config конфигурациялық файлын ашып, келесі параметрлерді орнатыңыз:

    bash
    PasswordAuthentication no ChallengeResponseAuthentication no

    Кейін SSH қызметін қайта қосыңыз:

    bash
    systemctl restart sshd

    Осылайша, парольмен кіру мүмкіндігі толығымен өшіріліп, тек SSH кілттері арқылы қосылу ғана қолжетімді болады.

2.2. Қосылуды IP мекенжайларымен шектеу

SSH серверіне тек белгілі бір IP мекенжайларынан ғана қосылуға мүмкіндік беру қауіпсіздікті айтарлықтай арттырады. Бұл, әсіресе сервер интернетке қосылған жағдайда, сыртқы шабуылдардан қорғануға көмектеседі.

iptables арқылы IP мекенжайымен шектеу:

  1. Белгілі бір IP мекенжайынан қосылуға рұқсат беру:

    bash
    iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT

  2. Барлық басқа қосылымдарды бұғаттау:

    bash
    iptables -A INPUT -p tcp --dport 22 -j DROP

  3. Өзгерістерді қайта жүктеу үшін сақтау:

    bash
    service iptables save

Егер firewalld қолданылып жатса, келесі командаларды орындауға болады:

bash
firewall-cmd --zone=public --add-source=192.168.1.100 --permanent firewall-cmd --reload

Осы ережелер SSH серверіне тек 192.168.1.100 IP мекенжайынан қосылуға мүмкіндік береді, ал басқа мекенжайлардан келетін барлық қосылымдар бұғатталады.

2.3. Екі факторлы аутентификация (2FA) қолдану

Қосымша қорғаныс үшін SSH үшін екі факторлы аутентификацияны (2FA) орнатуға болады. Бұл қосымша қауіпсіздік қабатын қосады, өйткені пайдаланушыға SSH қосылымын жүзеге асыру үшін кілт немесе парольден басқа тағы бір кодты енгізу қажет болады.

Google Authenticator көмегімен екі факторлы аутентификацияны орнату:

  1. PAM модулін орнатыңыз:

    bash
    yum install pam_google_authenticator

  2. Әрбір пайдаланушы үшін Google Authenticator орнату:

    bash
    google-authenticator

    Бұл команда конфигурациялық файлды жасайды және QR кодын көрсетеді, оны мобильді Google Authenticator қосымшасында сканерлеуге болады.

  3. /etc/pam.d/sshd файлын өңдеп, келесі жолды қосыңыз:

    bash
    auth required pam_google_authenticator.so

  4. SSH конфигурациясында екі факторлы аутентификацияны қосу үшін /etc/ssh/sshd_config файлын өңдеңіз:

    bash
    ChallengeResponseAuthentication yes

  5. SSH қызметін қайта қосыңыз:

    bash
    systemctl restart sshd

Енді SSH арқылы қосылған сайын пайдаланушыдан Google Authenticator қосымшасынан алынған кодты енгізу талап етіледі.

2.4. Пайдаланушы құқықтарын шектеу

Пайдаланушының құқықтарын SSH арқылы шектеу арқылы сервердің қауіпсіздігін арттыруға болады. Бұл әрбір пайдаланушының тек өзіне қажетті әрекеттерді орындауына мүмкіндік береді, ал серверге рұқсатсыз қосылу ықтималдығын азайтады.

AllowUsers және DenyUsers директиваларын қолдану:

  1. /etc/ssh/sshd_config конфигурациясында келесі жолдарды қосыңыз:

    bash
    AllowUsers admin user1 DenyUsers user2 user3

    Бұл параметрлер тек admin және user1 пайдаланушыларына қосылуға мүмкіндік береді, ал user2 және user3 үшін қосылу бұғатталады.

  2. Қосымша шектеулер қою үшін AllowGroups және DenyGroups директиваларын қолдануға болады:

    bash
    AllowGroups admin_group

    Бұл параметр SSH арқылы тек admin_group тобының мүшелеріне қосылуға рұқсат береді.

2.5. Мониторинг және рұқсатсыз кіруге әрекет жасау туралы хабарлау

SSH серверінде рұқсатсыз қосылуға әрекеттенген жағдайларды уақытында анықтап, оларға қарсы әрекет ету үшін Fail2Ban сияқты құралдарды пайдалану өте пайдалы.

Fail2Ban көмегімен SSH қорғауды орнату:

  1. Fail2Ban орнатыңыз:

    bash
    yum install fail2ban

  2. /etc/fail2ban/jail.local файлында SSH үшін конфигурацияны қосыңыз:

    bash
    [sshd] enabled = true port = ssh filter = sshd logpath = /var/log/secure maxretry = 5 bantime = 600

  3. Fail2Ban қызметін қайта іске қосыңыз:

    bash
    systemctl restart fail2ban

Енді Fail2Ban 5 реттен артық сәтсіз әрекеттен кейін 10 минутқа (600 секундқа) IP мекенжайын бұғаттайды.

2.6. SSH сервері мен жүйені үнемі жаңарту

SSH сервері мен жүйені үнемі жаңартып отыру маңызды, себебі бұл белгілі бір осалдықтарды жабуға және қауіпсіздікті арттыруға көмектеседі.

Жүйені жаңарту үшін келесі команданы орындаңыз:

bash
yum update

Қауіпсіздік жаңартуларын автоматты түрде орнату үшін yum-cron орнатыңыз:

bash
yum install yum-cron systemctl enable yum-cron systemctl start yum-cron

3. Қорытынды

oVirt гипервизорындағы SSH серверін қорғау — бұл тек қосылу құқықтарын баптап қана қоймай, көптеген басқа қорғау шараларын қабылдауды қажет етеді. SSH кілттерін пайдалану, қосылуды IP мекенжайлары бойынша шектеу, екі факторлы аутентификация, пайдаланушы құқықтарын басқару, мониторинг орнату және жүйені үнемі жаңартып отыру — бұл барлық шаралар сіздің серверіңіздің қауіпсіздігін айтарлықтай арттырады және рұқсатсыз қосылуға немесе шабуылдарға қарсы тұруға көмектеседі.

Реклама Google

 

 

 
Получить консультацию о системах резервного копирования
Назар аударыңыз! Бұл мақала ресми құжат емес.
Ақпаратты сақтықпен және сынақ ортасында пайдалану керек.
Әлемдегі жетекші жеткізушілерден сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының тегін сынақ нұсқасына тапсырыс беріңіз: Тегін сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының спецификациясын есептеу қызметіміздің артықшылығын пайдаланыңыз:

 

Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар.

 

Қазақстандағы резервтік көшірудің ең жақсы он тәжірибесі

 

test drive Дұрыс сақтық көшірме жүйесін таңдау үшін үш қадам




 Ақпаратқа толы қазіргі заманда дұрыс таңдау жасау қиын.
 
із сізге армандаған сақтық көшірме жүйесін таңдауға және құруға көмектесетін үш тегін қызметті ұсынамыз.

1. Бағдарламалық қамтамасыз етудің спецификациясын есептеу

Техникалық сипаттаманы есептеу формасын ашыңыз.

Сервер деректерін енгізіңіз және сатып алу немесе болашақ құнын бағалау үшін қатесіз сипаттаманы алыңыз.

2. Виртуалды өнімнің демонстрациясы

Сақтық көшірме жүйелері өте күрделі бағдарламалық құрал болып табылады. Толық тестілеуді өткізу және күшті және әлсіз жақтарды анықтау үшін жеткілікті уақыт пен сынақ ортасын табу әрқашан мүмкін емес.

ұл жағдайда алдымен бағдарламаның виртуалды зертханада қалай жұмыс істейтінін көруді ұсынамыз. 

3. Сынақ нұсқасын алыңыз

Сынақ сұрау формасын толтырыңыз

Сақтық көшірме жасау бағдарламалық құралы сізге сәйкес келетініне көз жеткізіңіз

 

Сақтық көшірме жасаудың ең жақсы тәжірибелері
Виртуалды машиналардың сақтық көшірмесін жасау және қалпына келтіру жолы
Сақтық көшірме бағдарламалық құралының тегін сынақтары
Сақтық көшірме жүйесіне қадамдар

 

Қазақстанда бағдарламалық жасақтаманы сатып алу (спецификацияны тегін есептеу)

 

Әр түрлі салаларға арналған шешімдер

 

Бағдарламалар туралы толық ақпарат

 

 

 

Облактармен жұмыс практикалары

 

 

Техникалық құжаттар кітапханасы

 

Бизнеснің шексіздігін қамтамасыз ету
 
Тегін бағдарламалық құрал
 
Сақтық көшірме технологиялары туралы арнайы ресурстар

 

Қазақстанда бағдарламалық қамтамасыз етуді қалай сатып алуға болады

 

ТОО Лингуа Мадре жеке деректерді қалай өңдейді
Қазақстандағы серіктес ЖШС Lingua Madre
  • Мақалалар 1080
  • «Материалдар көру саны» 246353

Егер сіздің деректер қорғау жүйелері мен деректерді қорғаумен байланысты барлық не істеген болса, несиелі программалық жасақты сатып алу немесе кеңес алу керектігі туралы - бізге хабарласыңыз.

Сіз үшін маңызды болуы мүмкін. Бізден программалық жасақ сатып алған барлық адамдар эксперттік деңгейдегі техникалық қолдау аларlar.