ലിനക്സിൽ പ്രത്യേക ഐപി, നെറ്റ്uവർക്ക് ശ്രേണിയിലേക്കുള്ള എസ്എസ്എച്ച്, എഫ്uടിപി ആക്uസസ് എങ്ങനെ തടയാം

റിമോട്ട് സെർവറുകളിലേക്കും വെർച്വൽ പ്രൈവറ്റ് സെർവറുകളിലേക്കും ആക്uസസ്സുചെയ്യാൻ സാധാരണയായി നാമെല്ലാവരും SSH, FTP സേവനങ്ങൾ ഉപയോഗിക്കുന്നു. ഒരു ലിനക്uസ് അഡ്uമിനിസ്uട്രേറ്റർ എന്ന നിലയിൽ, സെക്യൂരിറ്റി ബിറ്റ് കൂടുതൽ ശക്തമാക്കുന്നതിന് ലിനക്uസിലെ നിർദ്ദിഷ്ട ഐപി അല്ലെങ്കിൽ നെറ്റ്uവർക്ക് ശ്രേണിയിലേക്കുള്ള എസ്എസ്എച്ച്, എഫ്uടിപി ആക്uസസ് എങ്ങനെ തടയാം എന്നതിനെക്കുറിച്ച് നിങ്ങൾ അറിഞ്ഞിരിക്കണം.

Linux സെർവറുകൾക്കുള്ള 25 ഹാർഡനിംഗ് സുരക്ഷാ നുറുങ്ങുകൾ
SSH സെർവർ സുരക്ഷിതമാക്കുന്നതിനും പരിരക്ഷിക്കുന്നതിനുമുള്ള 5 ഉപയോഗപ്രദമായ നുറുങ്ങുകൾ

ഒരു പ്രത്യേക IP വിലാസത്തിലേക്കും കൂടാതെ/അല്ലെങ്കിൽ CentOS 6, 7 സെർവറിലെ ഒരു നെറ്റ്uവർക്ക് ശ്രേണിയിലേക്കുള്ള SSH, FTP ആക്uസസ്സ് എങ്ങനെ തടയാമെന്ന് ഈ ട്യൂട്ടോറിയൽ നിങ്ങളെ കാണിക്കും. ഈ ഗൈഡ് CentOS 6.x, 7.x പതിപ്പുകളിൽ പരീക്ഷിച്ചുവെങ്കിലും ഡെബിയൻ, ഉബുണ്ടു, SUSE/openSUSE തുടങ്ങിയ മറ്റ് ലിനക്സ് വിതരണങ്ങളിൽ ഇത് ഒരുപക്ഷേ പ്രവർത്തിക്കും.

ഞങ്ങൾ ഇത് രണ്ട് രീതികളിൽ ചെയ്യും. ആദ്യ രീതി IPTables/firewallD ഉപയോഗിക്കുന്നു, രണ്ടാമത്തെ രീതി hosts.allow, hosts.deny ഫയലുകളുടെ സഹായത്തോടെ TCP റാപ്പറുകൾ ഉപയോഗിക്കുന്നു.

IPTables, Firewalld എന്നിവയെക്കുറിച്ച് കൂടുതലറിയാൻ ഇനിപ്പറയുന്ന ഗൈഡുകൾ കാണുക.

IPTables (Linux Firewall) നുറുങ്ങുകൾ/കമാൻഡുകൾ സംബന്ധിച്ച അടിസ്ഥാന ഗൈഡ്
Linux-ൽ സേവനങ്ങളിലേക്കുള്ള റിമോട്ട് ആക്uസസ് പ്രവർത്തനക്ഷമമാക്കാൻ ഒരു Iptables ഫയർവാൾ എങ്ങനെ സജ്ജീകരിക്കാം
RHEL/CentOS 7, Fedora 21 എന്നിവയിൽ 'FirewallD' എങ്ങനെ കോൺഫിഗർ ചെയ്യാം
ലിനക്സിൽ ഫയർവാൾ കോൺഫിഗർ ചെയ്യുന്നതിനും നിയന്ത്രിക്കുന്നതിനുമുള്ള ഉപയോഗപ്രദമായ ‘ഫയർവാൾഡി’ നിയമങ്ങൾ

IPTables, FirewallD എന്നിവ എന്താണെന്നും അതിന്റെ അടിസ്ഥാനകാര്യങ്ങളെക്കുറിച്ചും ഇപ്പോൾ നിങ്ങൾക്കറിയാം.

രീതി 1: IPTables/FirewallD ഉപയോഗിച്ച് SSH, FTP ആക്സസ് തടയുക

RHEL/CentOS/Scientific Linux 6.x പതിപ്പുകളിലെ IPtables ഉപയോഗിച്ച് ഒരു നിർദ്ദിഷ്uട IP (ഉദാഹരണത്തിന് 192.168.1.100) കൂടാതെ/അല്ലെങ്കിൽ നെറ്റ്uവർക്ക് ശ്രേണി (ഉദാഹരണത്തിന് 192.168.1.0/24) എന്നിവയിലേക്കുള്ള SSH, FTP ആക്uസസ് തടയുന്നത് എങ്ങനെയെന്ന് നോക്കാം. CentOS 7.x-ൽ FirewallD.

--------------------- On IPtables Firewall ---------------------
# iptables -I INPUT -s 192.168.1.100 -p tcp --dport ssh -j REJECT
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport ssh -j REJECT

--------------------- On FirewallD ---------------------
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 22 -j REJECT
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 22 -j REJECT

പുതിയ നിയമങ്ങൾ പ്രാബല്യത്തിൽ വരുത്തുന്നതിന്, നിങ്ങൾ ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കേണ്ടതുണ്ട്.

# service iptables save         [On IPtables Firewall]
# firewall-cmd --reload         [On FirewallD]

ഇപ്പോൾ, തടഞ്ഞ ഹോസ്റ്റിൽ നിന്ന് സെർവർ SSH ചെയ്യാൻ ശ്രമിക്കുക. ഇവിടെ 192.168.1.150 ആണ് തടഞ്ഞിരിക്കുന്ന ഹോസ്റ്റ് എന്നത് ശ്രദ്ധിക്കുക.

# ssh 192.168.1.150

നിങ്ങൾ ഇനിപ്പറയുന്ന സന്ദേശം കാണണം.

ssh: connect to host 192.168.1.150 port 22: Connection refused

SSH ആക്സസ് അൺബ്ലോക്ക് ചെയ്യാനോ പ്രാപ്തമാക്കാനോ, റിമോട്ട് സെർവറിലേക്ക് പോയി ഇനിപ്പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിക്കുക:

--------------------- On IPtables Firewall ---------------------
# iptables -I INPUT -s 192.168.1.100 -p tcp --dport ssh -j ACCEPT
# iptables -I INPUT -s 192.168.1.100/24 -p tcp --dport ssh -j ACCEPT

--------------------- On FirewallD ---------------------
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 22 -j ACCEPT
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 22 -j ACCEPT

SSH വഴി നിങ്ങളുടെ സെർവർ ആക്സസ് ചെയ്യുന്നതിന് ഇനിപ്പറയുന്നവ ഉപയോഗിച്ച് മാറ്റങ്ങൾ സംരക്ഷിക്കുക.

# service iptables save         [On IPtables Firewall]
# firewall-cmd --reload         [On FirewallD]

സാധാരണഗതിയിൽ, FTP-യുടെ സ്ഥിരസ്ഥിതി പോർട്ടുകൾ 20 ഉം 21 ഉം ആണ്. അതിനാൽ, IPTables ഉപയോഗിച്ച് എല്ലാ FTP ട്രാഫിക്കും തടയുന്നതിന് ഇനിപ്പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിക്കുക:

--------------------- On IPtables Firewall ---------------------
# iptables -I INPUT -s 192.168.1.100 -p tcp --dport 20,21 -j REJECT
# iptables -I INPUT -s 192.168.1.100/24 -p tcp --dport 20,21 -j REJECT

--------------------- On FirewallD ---------------------
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 20,21 -j REJECT
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 20,21 -j REJECT

# service iptables save         [On IPtables Firewall]
# firewall-cmd --reload         [On FirewallD]

ഇപ്പോൾ, തടഞ്ഞ ഹോസ്റ്റിൽ നിന്ന് സെർവർ ആക്സസ് ചെയ്യാൻ ശ്രമിക്കുക (192.168.1.100), കമാൻഡ് ഉപയോഗിച്ച്:

# ftp 192.168.1.150

ചുവടെയുള്ളത് പോലെ നിങ്ങൾക്ക് ഒരു പിശക് സന്ദേശം ലഭിക്കും.

ftp: connect: Connection refused

അൺബ്ലോക്ക് ചെയ്യാനും FTP ആക്സസ് തിരികെ പ്രാപ്തമാക്കാനും, പ്രവർത്തിപ്പിക്കുക:

--------------------- On IPtables Firewall ---------------------
# iptables -I INPUT -s 192.168.1.100 -p tcp --dport 20,21 -j ACCEPT
# iptables -I INPUT -s 192.168.1.100/24 -p tcp --dport 20,21 -j ACCEPT

--------------------- On FirewallD ---------------------
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100 -p tcp --dport 20,21 -j ACCEPT
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -m tcp --source 192.168.1.100/24 -p tcp --dport 20,21 -j ACCEPT

കമാൻഡ് ഉപയോഗിച്ച് മാറ്റങ്ങൾ സംരക്ഷിക്കുക:

# service iptables save         [On IPtables Firewall]
# firewall-cmd --reload         [On FirewallD]

ഇപ്പോൾ, FTP വഴി സെർവർ ആക്സസ് ചെയ്യാൻ ശ്രമിക്കുക:

# ftp 192.168.1.150

നിങ്ങളുടെ ftp ഉപയോക്തൃനാമവും പാസ്uവേഡും നൽകുക.

Connected to 192.168.1.150.
220 Welcome to TecMint FTP service.
Name (192.168.1.150:sk): tecmint
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>

രീതി 2: TCP റാപ്പറുകൾ ഉപയോഗിച്ച് SSH, FTP ആക്സസ് തടയുക

നിങ്ങൾക്ക് IPTables അല്ലെങ്കിൽ FirewallD എന്നിവയിൽ കുഴപ്പമുണ്ടാക്കാൻ താൽപ്പര്യമില്ലെങ്കിൽ, ഒരു നിർദ്ദിഷ്uട IP കൂടാതെ/അല്ലെങ്കിൽ നെറ്റ്uവർക്കിന്റെ ശ്രേണിയിലേക്കുള്ള SSH, FTP ആക്uസസ് തടയുന്നതിനുള്ള മികച്ച മാർഗമാണ് TCP റാപ്പറുകൾ.

ഓപ്പൺഎസ്എസ്എച്ച്, എഫ്ടിപി എന്നിവ ടിസിപി റാപ്പർ പിന്തുണയോടെ സമാഹരിച്ചിരിക്കുന്നു, അതായത് ഇനിപ്പറയുന്ന രണ്ട് പ്രധാനപ്പെട്ട ഫയലുകളിൽ നിങ്ങളുടെ ഫയർവാൾ സ്പർശിക്കാതെ കണക്റ്റുചെയ്യാൻ അനുവദിച്ചിരിക്കുന്ന ഹോസ്റ്റുകൾ ഏതൊക്കെയെന്ന് നിങ്ങൾക്ക് വ്യക്തമാക്കാം.

/etc/hosts.allow
/etc/hosts.deny

പേര് സൂചിപ്പിക്കുന്നത് പോലെ, ആദ്യ ഫയലിൽ അനുവദനീയമായ ഹോസ്റ്റുകളുടെ എൻട്രികളും രണ്ടാമത്തേതിൽ തടഞ്ഞ ഹോസ്റ്റുകളുടെ വിലാസങ്ങളും അടങ്ങിയിരിക്കുന്നു.

ഉദാഹരണത്തിന്, IP വിലാസം 192.168.1.100 ഉം നെറ്റ്uവർക്ക് ശ്രേണി 192.168.1.0 ഉം ഉള്ള ഹോസ്റ്റിലേക്കുള്ള SSH, FTP ആക്uസസ്സ് തടയാം. ഈ രീതി CentOS 6.x, 7.x പരമ്പരകൾക്ക് സമാനമാണ്. തീർച്ചയായും, ഡെബിയൻ, ഉബുണ്ടു, SUSE, openSUSE തുടങ്ങിയ മറ്റ് വിതരണങ്ങളിൽ ഇത് പ്രവർത്തിക്കും.

/etc/hosts.deny ഫയൽ തുറന്ന് താഴെ കാണിച്ചിരിക്കുന്നതുപോലെ നിങ്ങൾ തടയാൻ ആഗ്രഹിക്കുന്ന ഇനിപ്പറയുന്ന IP വിലാസങ്ങളോ നെറ്റ്uവർക്ക് ശ്രേണിയോ ചേർക്കുക.

##### To block SSH Access #####
sshd: 192.168.1.100
sshd: 192.168.1.0/255.255.255.0

##### To block FTP Access #####
vsftpd: 192.168.1.100
vsftpd: 192.168.1.0/255.255.255.0

ഫയൽ സംരക്ഷിച്ച് പുറത്തുകടക്കുക.

ഇപ്പോൾ, പുതിയ മാറ്റങ്ങൾ പ്രാബല്യത്തിൽ വരാൻ sshd, vsftpd സേവനം പുനരാരംഭിക്കുക.

--------------- For SSH Service ---------------
# service sshd restart        [On SysVinit]
# systemctl restart sshd      [On SystemD]

--------------- For FTP Service ---------------
# service vsftpd restart        [On SysVinit]
# systemctl restart vsftpd      [On SystemD]

ഇപ്പോൾ, സെർവർ അല്ലെങ്കിൽ ബ്ലോക്ക് ചെയ്ത ഹോസ്റ്റിൽ നിന്ന് SSH ചെയ്യാൻ ശ്രമിക്കുക.

# ssh 192.168.1.150

നിങ്ങൾ ഇനിപ്പറയുന്ന ഔട്ട്പുട്ട് കാണും:

ssh_exchange_identification: read: Connection reset by peer

ഇപ്പോൾ, സെർവർ അല്ലെങ്കിൽ ബ്ലോക്ക് ചെയ്ത ഹോസ്റ്റിൽ നിന്ന് FTP ചെയ്യാൻ ശ്രമിക്കുക.

# ftp 192.168.1.150

നിങ്ങൾ ഇനിപ്പറയുന്ന ഔട്ട്പുട്ട് കാണും:

Connected to 192.168.1.150.
421 Service not available.

SSH, FTP സേവനങ്ങൾ വീണ്ടും അൺബ്ലോക്ക് ചെയ്യാനോ പ്രവർത്തനക്ഷമമാക്കാനോ, hosts.deny ഫയൽ എഡിറ്റ് ചെയ്uത് എല്ലാ ലൈനുകളും കമന്റ് ചെയ്uത് അവസാനം vsftpd, sshd സേവനങ്ങൾ പുനരാരംഭിക്കുക.

ഉപസംഹാരം

ഇപ്പോഴത്തേക്ക് ഇത്രമാത്രം. ചുരുക്കത്തിൽ, IPTables, FirewallD, TCP റാപ്പറുകൾ എന്നിവ ഉപയോഗിച്ച് ഒരു നിർദ്ദിഷ്uട IP വിലാസവും നെറ്റ്uവർക്ക് ശ്രേണിയും എങ്ങനെ തടയാമെന്ന് ഇന്ന് ഞങ്ങൾ പഠിച്ചു. ഈ രീതികൾ വളരെ ലളിതവും ലളിതവുമാണ്.

ഒരു പുതിയ ലിനക്സ് അഡ്മിനിസ്ട്രേറ്റർക്ക് പോലും ഇത് കുറച്ച് മിനിറ്റിനുള്ളിൽ ചെയ്യാൻ കഴിയും. എസ്uഎസ്uഎച്ച്, എഫ്uടിപി ആക്uസസ് എന്നിവ തടയുന്നതിനുള്ള മറ്റ് ചില വഴികൾ നിങ്ങൾക്കറിയാമെങ്കിൽ, അവ അഭിപ്രായ വിഭാഗത്തിൽ പങ്കിടാൻ മടിക്കേണ്ടതില്ല. നിങ്ങളുടെ എല്ലാ സോഷ്യൽ നെറ്റ്uവർക്കുകളിലും ഞങ്ങളുടെ ലേഖനങ്ങൾ പങ്കിടാൻ മറക്കരുത്.