SSH ব্রুট-ফোর্স আক্রমণ কীভাবে প্রতিরোধ করবেন? HestiaCP ব্যবহার করে VPS কী অথেন্টিকেশন কনফিগার করার একটি ব্যবহারিক টিউটোরিয়াল।

৯০ শতাংশেরও বেশি ভিপিএস আক্রমণের কারণ হলো... SSH দুর্বল পাসওয়ার্ড ব্রুট-ফোর্স আক্রমণআপনি যদি এখনও পাসওয়ার্ড দিয়ে সার্ভারে লগ ইন করেন, তবে তা দরজায় বাড়ির চাবি ঝুলিয়ে রাখার মতোই বিপজ্জনক।

এই আর্টিকেলে, আমি আপনাকে ব্রুট-ফোর্স পাসওয়ার্ড আক্রমণের দুঃস্বপ্ন থেকে পুরোপুরি মুক্তি পাওয়ার জন্য ধাপে ধাপে নির্দেশনা দেব। আমরা একত্রিত করব... ভিপিএস এবং পুটিং软件এই টিউটোরিয়ালটি আপনার SSH নিরাপত্তাকে সর্বোচ্চ স্তরে উন্নীত করতে সবচেয়ে কার্যকরী কমান্ড-লাইন টুলগুলো ব্যবহার করে।

পাসওয়ার্ডের পরিবর্তে কী (key) কেন ব্যবহার করা হয়?

পাসওয়ার্ড যতই জটিল হোক না কেন, ব্রুট ফোর্স অ্যাটাকের মাধ্যমে তা ভাঙা সম্ভব। হ্যাকাররা বিভিন্ন টুল ব্যবহার করে প্রতি সেকেন্ডে হাজার হাজার পাসওয়ার্ডের সংমিশ্রণ চেষ্টা করতে পারে।

এবং ৪০৯৬-বিট আরএসএ কীতাত্ত্বিকভাবে, এটি ভাঙতে শত শত কোটি বছর সময় লাগবে। তুলনামূলকভাবে, একটি পাসওয়ার্ড হলো কাগজের দরজার মতো, আর একটি চাবি হলো ইস্পাতের গেট।

ধাপ ১: SSH কী তৈরি করুন

在 লিনাক্স বিকল্পভাবে, macOS-এ আপনি সরাসরি একটি ৪০৯৬-বিটের RSA কী পেয়ার তৈরি করতে পারেন:

ssh-keygen -t rsa -b 4096

ডিফল্ট পাথটি সংরক্ষণ করতে এন্টার চাপুন। /root/.ssh/id_rsa.

একটি পাসওয়ার্ড দিন (ঐচ্ছিক), অথবা শুধু এন্টার চাপুন এবং জায়গাটি খালি রাখুন।

সিস্টেমটি দুটি ফাইল তৈরি করবে:

• ব্যক্তিগত চাবি:id_rsa
• পাবলিক কী:id_rsa.pub

এটাই তোমার 'তালা' ও 'চাবি'।

ধাপ ২: সার্ভারে পাবলিক কী কনফিগার করুন

পাবলিক কী-টি VPS-এর লাইসেন্সড ডিরেক্টরিতে রাখুন:

cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

ডিরেক্টরি নিশ্চিত করুন /root/.ssh/ বিদ্যমান।

এইভাবে, সার্ভারটি শুধুমাত্র আপনার পাবলিক কী চিনবে এবং পাসওয়ার্ডের উপর আর নির্ভর করবে না।

ধাপ ৩: SSH কনফিগারেশন ফাইলটি পরিবর্তন করুন

কনফিগারেশন ফাইলটি সম্পাদনা করুন:

nano /etc/ssh/sshd_config

নিম্নলিখিত পরামিতিগুলি পরিবর্তন করুন:

RSAAuthentication yes #RSA认证
PubkeyAuthentication yes #开启公钥验证
AuthorizedKeysFile .ssh/authorized_keys #验证文件路径
PasswordAuthentication no #禁止密码认证
PermitEmptyPasswords no #禁止空密码

এই ধাপটি অত্যন্ত গুরুত্বপূর্ণ: পাসওয়ার্ড লগইন সম্পূর্ণরূপে নিষ্ক্রিয় করুন।

ধাপ ৪: SSH পরিষেবাটি পুনরায় চালু করুন।

কনফিগারেশনটি অবিলম্বে কার্যকর করুন:

• সেন্টওএস7:

systemctl restart sshd

• উবুন্টু / ডেবিয়ান:

systemctl restart ssh

পরিষেবাটি চালু আছে বলে নিশ্চিত করা হয়েছে:

systemctl status sshd

ধাপ ৫: উইন্ডোজ ব্যবহারকারীরা PuTTYGen ব্যবহার করে কী-টি রূপান্তর করুন।

আপনি যদি উইন্ডোজ ব্যবহার করেন, তাহলে আপনাকে প্রাইভেট কী-টি PuTTY ফরম্যাটে রূপান্তর করতে হবে:

1. খোলা পুটিজেন
2. 点击 বোঝা 加载 id_rsa
3. 点击 ব্যক্তিগত কী সংরক্ষণ করুন সংরক্ষণ করুন .ppk
4. 在 PuTTY → সংযোগ → SSH → প্রমাণীকরণ এটি নির্বাচন করুন .ppk 文件

এইভাবে, আপনি PuTTY ব্যবহার করে আপনার VPS-এ নিরাপদে লগ ইন করতে পারবেন।

ধাপ ৬: যাচাই করুন এবং ব্রুট-ফোর্স আক্রমণ থেকে প্রতিরোধ করুন

কনফিগারেশনটি কার্যকর আছে কিনা তা নিশ্চিত করুন:

grep "Failed password" /var/log/auth.log

লগগুলিতে কেবল আক্রমণকারীর ব্যর্থ প্রচেষ্টাগুলি দেখানো হবে, সফল লগইনগুলি নয়।

আরও প্রতিরক্ষা:

• 配合 Fail2Ban আক্রমণকারী আইপি স্বয়ংক্রিয়ভাবে ব্লক করুন
• ডিফল্ট পোর্ট পরিবর্তন করুন (যেমন, এটি 2222-এ পরিবর্তন করুন)।
• ফায়ারওয়াল শুধুমাত্র বিশ্বস্ত আইপি-গুলোকে অনুমতি দেয়।

এই তিনটি কৌশল একজন হ্যাকারের প্রচেষ্টা সম্পূর্ণরূপে ব্যর্থ করে দিতে পারে।

যোগফল

দ্বারা কী তৈরি করুন → পাবলিক কী কনফিগার করুন → sshd_config পরিবর্তন করুন → সার্ভিস রিস্টার্ট করুন → কী রূপান্তর করতে PuTTY ব্যবহার করুন এই পদক্ষেপগুলি, আপনার HestiaCP একটি ভিপিএস পাসওয়ার্ড ব্রুট-ফোর্স আক্রমণের ঝুঁকি সম্পূর্ণরূপে দূর করতে পারে।

ওই লগগুলিতে থাকা "Failed password" এন্ট্রিগুলি আক্রমণকারীদের নিষ্ফল প্রচেষ্টা মাত্র এবং এটি নির্দেশ করে না যে পাসওয়ার্ড প্রমাণীকরণ এখনও সক্রিয় আছে।

উপসংহার: নিরাপত্তাই একটি সার্ভারের প্রাণ।

তথ্য সুরক্ষার জগতে, পাসওয়ার্ড হলো সবচেয়ে দুর্বল সংযোগ। পাসওয়ার্ডের পরিবর্তে কী (key) ব্যবহার করা শুধু একটি প্রযুক্তিগত সিদ্ধান্তই নয়, বরং এটি দায়িত্ববোধ ও প্রজ্ঞারও প্রতিফলন।

'তথ্য নিরাপত্তা শ্বেতপত্র'-এ যেমন বলা হয়েছে: "নিরাপত্তা কোনো খরচ নয়, বরং একটি মূল্য।"

তাই ব্যবস্থা নিন। আপনার ভিপিএস-কে পাসওয়ার্ডের শৃঙ্খল থেকে মুক্ত করুন, এবং হ্যাকারদের ব্রুট-ফোর্স অ্যাটাকগুলোকে চিরতরে ব্যর্থ লগ-এ থাকতে দিন।