লিনাক্স ব্যবহারকারীদের জন্য এই নির্দেশিকা আপনাকে দেখাবে কিভাবে আইপি ঠিকানাগুলি সনাক্ত করতে হয় যা পরিষেবা আক্রমণ অস্বীকার করার জন্য ব্যবহৃত হয় এবং সেগুলিকে ব্লক করতে হয়।
আমরা কিছু দিন আগে লিনাক্সে iptables-এ একটি আইপি ঠিকানা কীভাবে ব্লক করতে হয় সে সম্পর্কে একটি নিবন্ধ চালিয়েছিলাম। এখানে একটি প্রশংসনীয় নিবন্ধ রয়েছে যা আপনাকে দেখায় যে কীভাবে পরিষেবা অস্বীকার (বা DOS) আক্রমণের ক্ষেত্রে আক্রমণকারীদের আইপি ঠিকানাগুলি সনাক্ত করতে হয়৷
এটি করার জন্য আমরা psad নামক বিনামূল্যের সফটওয়্যার ব্যবহার করব। psad iptables এর সাথে সিঙ্কে কাজ করে এবং iptables লগগুলি নিরীক্ষণ করে এবং পোর্ট স্ক্যান এবং অন্যান্য সন্দেহজনক ট্র্যাফিকের জন্য পরীক্ষা করে যা সাধারণত কেউ আপনার লিনাক্স সার্ভারে প্রবেশ করার চেষ্টা করার লক্ষণ৷
শুরু করতে, psad ইনস্টল করুন। আপনি যদি উবুন্টু বা ফেডোরার মতো অভিনব প্যাকেজ ম্যানেজমেন্ট সিস্টেমে লিনাক্সের একটি ফ্লেভার চালান তবে আপনার সিস্টেমে psad পেতে নিম্নলিখিত কমান্ডগুলির যে কোনো একটি ব্যবহার করতে সক্ষম হবেন:
# sudo apt-get install psad
অথবা
# yum psad ইনস্টল করুন
যদি এটি আপনার জন্য কাজ না করে তাহলে psad ডাউনলোড পৃষ্ঠায় যান এবং আপনার জন্য কাজ করে এমন ফর্ম্যাটটি ডাউনলোড করুন৷
যেহেতু আমি একটি উবুন্টু লিনাক্স সার্ভার ব্যবহার করি এই টিউটোরিয়ালের বাকি অংশটি উবুন্টু নির্দিষ্ট হবে। যাইহোক, কিছু ছোটখাট টুইকিংয়ের মাধ্যমে আপনি এটিকে লিনাক্সের অন্যান্য স্বাদে কাজ করতে সক্ষম হবেন। syslog.conf খুলুন আপনার প্রিয় পাঠ্য সম্পাদকের সাথে ফাইল করুন:
# vim /etc/syslog.conf
ফাইলের শেষে নিম্নলিখিত লাইন যোগ করুন:
kern.info |/var/lib/psad/psadfifo
আপনি একই জিনিস সম্পাদন করতে নিম্নলিখিত কমান্ড ব্যবহার করতে পারেন:
# echo -e 'kern.info\t|/var/lib/psad/psadfifo'>> /etc/syslog.conf
এখন sysklogd পুনরায় চালু করুন এবং klog ডেমনস:
/etc/init.d/sysklogd পুনরায় চালু করুন
/etc/init.d/klogd পুনরায় চালু করুন
Psad যেভাবে কাজ করে তা হল এটি iptablesকে সনাক্ত করবে এবং নির্দেশ দেবে যে কোন সন্দেহজনক আইপি ব্লক করতে। কখনও কখনও এর ফলে আপনি যে আইপি ব্যবহার করেন সেটি ব্লক হয়ে যেতে পারে। এই সমস্যাটি কাটিয়ে উঠতে আপনার নিরাপদ আইপি ঠিকানাগুলির একটি তালিকা সহ একটি ফাইল তৈরি করা উচিত। এইরকম একটি ফাইল তৈরি করুন:
# vim /home/calvin/safeiplist.cfg
শ্বেত তালিকার জন্য আপনার psad প্রয়োজন এমন IP ঠিকানাগুলি লিখুন:
127.0.0.0/24
192.168.0.0/24
122.164.34.240
প্রয়োজনীয় নিয়মগুলির সাথে iptables কনফিগার করার জন্য একটি অনুসরণ করার মতো একটি স্ক্রিপ্ট ব্যবহার করবেন না। দ্রষ্টব্য এই স্ক্রিপ্টটি আপনার iptables সেটআপ থেকে সমস্ত পূর্ববর্তী সেটিংস মুছে ফেলবে। আপনার লিনাক্স সার্ভারে নিম্নলিখিত স্ক্রিপ্টটি অনুলিপি করুন এবং পেস্ট করুন এবং WORKDIR ভেরিয়েবলগুলি প্রতিস্থাপন করুন এবং SAFEIPLIST আপনার সেটআপ থেকে সঠিক সেটিংস সহ।
WORKDIR="/home/calvin/"
INTERVAL="5"
HITCOUNT="5"
SAFEIPLIST="safeiplist.cfg"
cd $WORKDIR
iptables -F
যদি [ -f $SAFEIPLIST]; তারপর
IPS=$(grep -Ev “^#” $SAFEIPLIST)
i for $IPS
do
iptables -A INPUT -s $i -j গ্রহন করুন
হয়ে গেছে
fi
iptables -A INPUT -m রাজ্য -state NEW -m সাম্প্রতিক -set
iptables -A INPUT -m রাজ্য -state নতুন -m সাম্প্রতিক -আপডেট -সেকেন্ড $INTERVAL –hitcount $HITCOUNT -j LOG
স্ক্রিপ্টটি যা করে তা হল এটি একটি আইপি ঠিকানা লগ করে যদি এটি পাঁচ সেকেন্ডের ব্যবধানে সংযোগ করার জন্য পাঁচ বা তার বেশি প্রচেষ্টা করে। আমি আপনাকে স্ক্রিপ্টটি ব্যবহার করার পরামর্শ দেব যদি না আপনি জানেন যে আপনি এটি পরিবর্তন করার সময় কী করছেন। আপনি সম্পন্ন করেছেন, এটি সম্পাদনযোগ্য অনুমতি দিন এবং এটি চালান৷
# chmod +x /home/calvin/ipblock.sh
# /home/calvin/ipblock.sh
এখন psad ফিরে. psad কনফিগারেশন ফাইলটি খুলুন এবং এটি সম্পাদনা করুন। এই পরিবর্তনগুলি আমি আপনাকে করতে সুপারিশ. নির্দ্বিধায় psad ডকুমেন্টেশনের মাধ্যমে যান এবং অন্যান্য পরিবর্তন করুন:
EMAIL_ADDRESSES you@yourdomain.com;
মেশিনের হোস্টনাম সেট করুন:
HOSTNAME yourdomain.com;
আপনার যদি এই সার্ভারে শুধুমাত্র একটি নেটওয়ার্ক ইন্টারফেস থাকে, HOME_NET সেট করুন প্রতি:
HOME_NET NOT_USED;
আপনাকে psad-এর জন্য বিপদের মাত্রা সামঞ্জস্য করতে হবে, এবং উপেক্ষা করার জন্য পোর্টগুলির একটি সেট সংজ্ঞায়িত করতে হবে, উদাহরণস্বরূপ psad-কে udp পোর্ট 80 এবং 8080 উপেক্ষা করার জন্য জিজ্ঞাসা করতে, নিম্নলিখিত পরিবর্তন করুন:
IGNORE_PORTS udp/80, udp/8080;
সংরক্ষণ করুন এবং ফাইলটি বন্ধ করুন। তারপর psad পুনরায় চালু করুন:
# /etc/init.d/psad পুনরায় চালু করুন
আপনি এখন যেতে ভাল. Psad-এর রিপোর্টগুলি নিরীক্ষণ করতে নিম্নলিখিত কমান্ডটি চালান:
# psad -S
স্বয়ংক্রিয়ভাবে ক্লক করা আইপিগুলি সরাতে নিম্নলিখিত কমান্ডটি চালান:
# psad -F
psad একটি বহুমুখী এবং শক্তিশালী টুল। আপনি যদি এটি ব্যবহার করতে জানেন তবে এটি আপনার জন্য বিস্ময়কর কাজ করতে পারে, কিন্তু আপনি যদি তা না করেন তবে আপনি সত্যিই আপনার কম্পিউটারকে এলোমেলো করতে পারেন। তাই সাবধানে psad ব্যবহার করুন.
