लिनक्स एडमिन - रिमोट मैनेजमेंट

जब एक प्रशासक के रूप में CentOS में दूरस्थ प्रबंधन के बारे में बात कर रहे हैं, हम दो तरीकों का पता लगाएंगे -

  • कंसोल प्रबंधन
  • जीयूआई प्रबंधन

रिमोट कंसोल प्रबंधन

रिमोट कंसोल मैनेजमेंट का अर्थ है कमांड लाइन से ssh जैसी सेवा के माध्यम से प्रशासन कार्य करना। CentOS Linux को प्रभावी रूप से उपयोग करने के लिए, एक प्रशासक के रूप में, आपको कमांड लाइन के साथ कुशल होना होगा। इसके दिल में लिनक्स को कंसोल से इस्तेमाल करने के लिए डिज़ाइन किया गया था। आज भी, कुछ सिस्टम एडमिनिस्ट्रेटर कमांड की शक्ति को पसंद करते हैं और बिना किसी भौतिक टर्मिनल और कोई GUI स्थापित किए बिना नंगे हड्डियों वाले लिनक्स बॉक्स चलाकर हार्डवेयर पर पैसा बचाते हैं।

दूरस्थ जीयूआई प्रबंधन

रिमोट जीयूआई प्रबंधन आमतौर पर दो तरह से पूरा किया जाता है: या तो रिमोट एक्स-सेशन या जीयूआई एप्लीकेशन लेयर प्रोटोकॉल जैसे वीएनसी। प्रत्येक की अपनी ताकत और कमियां हैं। हालांकि, अधिकांश भाग के लिए, VNC प्रशासन के लिए सबसे अच्छा विकल्प है। यह अन्य ऑपरेटिंग सिस्टम जैसे विंडोज या ओएस एक्स से ग्राफिकल नियंत्रण की अनुमति देता है जो एक्स विंडोज प्रोटोकॉल का मूल रूप से समर्थन नहीं करते हैं।

दूरस्थ X सत्र का उपयोग करना X-Window के विंडो-मैनेजरों और DesktopManagers X पर चलने वाले दोनों के लिए मूल है। हालांकि, पूरे X सत्र आर्किटेक्चर का उपयोग ज्यादातर लिनक्स के साथ किया जाता है। दूरस्थ X सत्र को स्थापित करने के लिए प्रत्येक सिस्टम एडमिनिस्ट्रेटर के हाथ में लिनक्स लैपटॉप नहीं होगा। इसलिए, VNC सर्वर के अनुकूलित संस्करण का उपयोग करना सबसे आम है।

VNC के लिए सबसे बड़ी कमियां हैं: VNC दूरस्थ X- सत्र जैसे बहु-उपयोगकर्ता वातावरण का मूल रूप से समर्थन नहीं करता है। इसलिए, जीयूआई के लिए एंड-यूजर्स के लिए रिमोट एक्ससीजेशन सबसे अच्छा विकल्प होगा। हालांकि, हम मुख्य रूप से एक CentOS सर्वर को दूरस्थ रूप से प्रबंधित करने से चिंतित हैं।

हम दूरस्थ एक्स-सेशंस के साथ कई सौ बनाम एंड्यूसर के लिए वीएनसी को कॉन्फ़िगर करने पर चर्चा करेंगे।

रिमोट कंसोल एक्सेस के लिए SSH के साथ सुरक्षा के लिए नींव रखना

ssh या Secure Shellअब किसी भी लिनक्स सर्वर को दूरस्थ रूप से प्रशासित करने का मानक है। टेलनेट के विपरीत एसएसएच, संचार की प्रामाणिकता और एंड-टू-एंड एन्क्रिप्शन के लिए टीएलएस का उपयोग करता है। जब एक व्यवस्थापक को ठीक से कॉन्फ़िगर किया जाता है तो यह सुनिश्चित हो सकता है कि उनका पासवर्ड और सर्वर दोनों दूरस्थ रूप से विश्वसनीय हैं।

SSH को कॉन्फ़िगर करने से पहले, बुनियादी सुरक्षा और कम से कम सामान्य पहुँच के बारे में थोड़ी बात करें। जब एसएसएच 22 के अपने डिफ़ॉल्ट पोर्ट पर चल रहा है; बाद में जल्द ही, आप आम उपयोगकर्ता नामों और पासवर्डों के खिलाफ क्रूर बल शब्दकोश हमलों को प्राप्त करने जा रहे हैं। यह सिर्फ क्षेत्र के साथ आता है। कोई फर्क नहीं पड़ता कि आप अपनी इनकार फ़ाइलों में कितने होस्ट जोड़ते हैं, वे बस अलग-अलग आईपी पते से दैनिक रूप से आएंगे।

कुछ सामान्य नियमों के साथ, आप बस कुछ समर्थक सक्रिय कदम उठा सकते हैं और बुरे लोगों को अपना समय बर्बाद करने दे सकते हैं। उत्पादन सर्वर पर दूरस्थ प्रशासन के लिए SSH का उपयोग करने के लिए सुरक्षा के कुछ नियम निम्नलिखित हैं -

  • कभी भी एक सामान्य उपयोगकर्ता नाम या पासवर्ड का उपयोग न करें। सिस्टम पर उपयोगकर्ता नाम सिस्टम डिफ़ॉल्ट नहीं होना चाहिए, या कंपनी ईमेल पते के साथ जुड़ा होना चाहिए:[email protected]

  • SSH के माध्यम से रूट एक्सेस या प्रशासन एक्सेस की अनुमति नहीं दी जानी चाहिए। SSH के माध्यम से एक बार प्रमाणित करने के लिए एक विशिष्ट उपयोगकर्ता नाम और रूट या एक प्रशासन खाते का उपयोग करें।

  • पासवर्ड नीति एक जरूरी है: कॉम्प्लेक्स SSH उपयोगकर्ता पासवर्ड जैसे: "यह & IS & a & GUD & P @ ssW0rd & 24 & me"। वृद्धिशील बल बल के हमलों के लिए संवेदनशीलता को खत्म करने के लिए हर कुछ महीनों में पासवर्ड बदलें।

  • विस्तारित अवधि के लिए अप्रयुक्त छोड़ दिए गए या खातों को अक्षम करें। यदि एक काम पर रखने वाले प्रबंधक के पास एक ध्वनि मेल है, जो कहता है कि वे एक महीने तक साक्षात्कार नहीं करेंगे; उदाहरण के लिए, अपने हाथों पर बहुत समय के साथ तकनीक-प्रेमी व्यक्तियों को जन्म दे सकता है।

  • अपने लॉग रोज देखें। सिस्टम प्रशासक के रूप में, हर सुबह कम से कम 30-40 मिनट की समीक्षा प्रणाली और सुरक्षा लॉग को समर्पित करें। यदि पूछा जाए, तो सभी को बताएं कि आपके पास सक्रिय नहीं होने का समय नहीं है। यह प्रथा चेतावनी के संकेतों को अलग करने में मदद करेगी, इससे पहले कि कोई समस्या अंत-उपयोगकर्ताओं और कंपनी के मुनाफे के लिए प्रस्तुत हो।

Note On Linux Security- लिनक्स प्रशासन में रुचि रखने वाले किसी भी व्यक्ति को वर्तमान साइबर सुरक्षा समाचार और प्रौद्योगिकी को सक्रिय रूप से आगे बढ़ाना चाहिए। जबकि हम ज्यादातर अन्य ऑपरेटिंग सिस्टमों के साथ छेड़छाड़ के बारे में सुनते हैं, एक असुरक्षित लिनक्स बॉक्स साइबर अपराधियों के लिए एक मांग के बाद का खजाना है। उच्च गति के इंटरनेट कनेक्शन पर लिनक्स की शक्ति के साथ, एक कुशल साइबरक्रिमिनल अन्य ऑपरेटिंग सिस्टम पर हमलों का लाभ उठाने के लिए लिनक्स का उपयोग कर सकता है।

रिमोट एक्सेस के लिए SSH को स्थापित और कॉन्फ़िगर करें

Step 1 - एसएसएच सर्वर और सभी आश्रित पैकेज स्थापित करें।

[root@localhost]# yum -y install openssh-server 
'Loaded plugins: fastestmirror, langpacks 
Loading mirror speeds from cached hostfile 
* base: repos.centos.net 
* extras: repos.dfw.centos.com 
* updates: centos.centos.com 
Resolving Dependencies 
   --> Running transaction check 
   ---> Package openssh-server.x86_64 0:6.6.1p1-33.el7_3 will be installed 
   --> Finished Dependency Resolution 
Dependencies Resolved

Step 2 - शेल एक्सेस के लिए जोड़ने के लिए एक सुरक्षित नियमित उपयोग करें।

[root@localhost ~]# useradd choozer 
[root@localhost ~]# usermod -c "Remote Access" -d /home/choozer -g users -G 
wheel -a choozer

Note- हम करने के लिए नए उपयोगकर्ता जोड़ा पहिया समूह की क्षमता को सक्रिय करने के सु एक बार SSH पहुँच प्रमाणीकृत किया गया है जड़ में। हमने एक उपयोगकर्ता नाम का भी उपयोग किया है जो सामान्य शब्द सूचियों में नहीं पाया जा सकता है। इस तरह, SSH पर हमला होने पर हमारा खाता बंद नहीं होगा।

Sshd सर्वर के लिए फाइल होल्डिंग कॉन्फ़िगरेशन सेटिंग्स / etc / ssh / sshd_config है

आरंभ में हम जिन भागों को संपादित करना चाहते हैं वे हैं -

LoginGraceTime 60m
PermitRootLogin no

Step 3- SSH डेमॉन sshd को पुनः लोड करें ।

[root@localhost]# systemctl reload sshd

लॉगआउट ग्रेस अवधि को 60 मिनट तक सेट करना अच्छा है। कुछ जटिल प्रशासन कार्य 2 मिनट के डिफ़ॉल्ट से अधिक हो सकते हैं। परिवर्तनों को कॉन्फ़िगर या शोध करते समय वास्तव में SSH सत्र के समय की तुलना में अधिक निराशा होती है।

Step 4 - चलो रूट क्रेडेंशियल्स का उपयोग करके लॉगिन करने का प्रयास करें।

bash-3.2# ssh centos.vmnet.local 
[email protected]'s password:   
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).

Step 5- हम रूट ssh के साथ ssh के माध्यम से दूरस्थ रूप से लॉगिन नहीं कर सकते हैं । तो चलिए हमारे unprivileged यूजर अकाउंट में लॉगिन करते हैं और रूट अकाउंट में su करते हैं।

bash-3.2# ssh [email protected]
[email protected]'s password:
[choozer@localhost ~]$ su root
Password:

[root@localhost choozer]#

Step 6- अंत में, आइए सुनिश्चित करें कि SSHD सेवा का बूट पर लोड होता है और फायरहेल्ड SSH कनेक्शन के बाहर की अनुमति देता है।

[root@localhost]# systemctl enable sshd

[root@localhost]# firewall-cmd --permanent --add-service=ssh 
success

[root@localhost]# firewall-cmd --reload 
success
 
[root@localhost]#

एसएसएच अब सुदूर प्रशासन के लिए तैयार और तैयार है। आपके एंटरप्राइज़ बॉर्डर के आधार पर, पैकेट फ़िल्टरिंग बॉर्डर डिवाइस को कॉर्पोरेट LAN के बाहर SSH दूरस्थ प्रशासन को अनुमति देने के लिए कॉन्फ़िगर करने की आवश्यकता हो सकती है।

दूरस्थ CentOS व्यवस्थापन के लिए VNC कॉन्फ़िगर करें

VNC के माध्यम से CentOS 6 पर 7. दूरस्थ CentOS प्रशासन को सक्षम करने के कुछ तरीके हैं - 7. सबसे आसान, लेकिन सबसे सीमित तरीका बस vino नामक पैकेज का उपयोग करना है ।VinoGnome डेस्कटॉप प्लेटफॉर्म के चारों ओर डिज़ाइन किए गए लिनक्स के लिए वर्चुअल नेटवर्क डेस्कटॉप कनेक्शन एप्लिकेशन है। इसलिए, यह माना जाता है कि स्थापना Gnome डेस्कटॉप के साथ पूरी हुई थी। यदि सूक्ति डेस्कटॉप स्थापित नहीं किया गया है, तो कृपया जारी रखने से पहले ऐसा करें। डिफ़ॉल्ट रूप से Gnome GUI इंस्टॉल के साथ Vino इंस्टॉल किया जाएगा।

Gnome के तहत Vino के साथ स्क्रीन साझाकरण को कॉन्फ़िगर करने के लिए, हम स्क्रीन शेयरिंग के लिए CentOS सिस्टम प्राथमिकता में जाना चाहते हैं।

Applications->System Tools->Settings->Sharing

VNC डेस्कटॉप शेयरिंग को कॉन्फ़िगर करने के लिए नोट्स -

  • Disable New Connections must ask for access- इस विकल्प के लिए हर कनेक्शन को ठीक करने के लिए भौतिक पहुंच की आवश्यकता होगी। यह विकल्प दूरस्थ प्रशासन को तब तक रोकेगा जब तक कि कोई भौतिक डेस्कटॉप पर न हो।

  • Enable Require a password- यह यूजर पासवर्ड से अलग होता है। यह वर्चुअल डेस्कटॉप तक पहुंच को नियंत्रित करेगा और फिर भी लॉक किए गए डेस्कटॉप तक पहुंचने के लिए यूजर पासवर्ड की आवश्यकता होगी (यह सुरक्षा के लिए अच्छा है)।

  • Forward UP&P Ports: If available leave disabled- फॉरवर्डिंग यूपी एंड पी पोर्ट्स, यूनिवर्सल 3 और लेयर 3 डिवाइस के लिए प्ले रिक्वेस्ट भेजेंगे ताकि VNC कनेक्शन को अपने आप होस्ट करने की अनुमति मिल सके। हम यह नहीं चाहते हैं।

सुनिश्चित करें कि वीएनओ वीएनसी पोर्ट 5900 पर सुन रहा है।

[root@localhost]# netstat -antup | grep vino 
tcp        0        0 0.0.0.0:5900        0.0.0.0:*        LISTEN        4873/vino-server
tcp6       0        0 :::5900                :::*          LISTEN        4873/vino-server
   
[root@localhost]#

आइए अब आने वाले VNC कनेक्शन की अनुमति देने के लिए हमारे फ़ायरवॉल को कॉन्फ़िगर करें।

[root@localhost]# firewall-cmd --permanent --add-port=5900/tcp 
success

[root@localhost]# firewall-cmd --reload 
success

[root@localhost rdc]#

अंत में, जैसा कि आप देख सकते हैं कि हम अपने CentOS बॉक्स को जोड़ने में सक्षम हैं और इसे Windows या OS X पर VNC क्लाइंट के साथ प्रशासित कर सकते हैं।

VNC के लिए समान नियमों का पालन करना उतना ही महत्वपूर्ण है जितना कि हम SSH के लिए निर्धारित करते हैं। एसएसएच की तरह, वीएनसी को लगातार आईपी रेंज में स्कैन किया जाता है और कमजोर पासवर्ड के लिए परीक्षण किया जाता है। यह भी ध्यान देने योग्य है कि कंसोल टाइमआउट के साथ डिफॉल्ट CentOS लॉगिन को सक्षम करना दूरस्थ VNC सुरक्षा के साथ मदद करता है। जैसा कि एक हमलावर को वीएनसी और उपयोगकर्ता पासवर्ड की आवश्यकता होगी, सुनिश्चित करें कि आपका स्क्रीन शेयरिंग पासवर्ड अलग है और उपयोगकर्ता पासवर्ड के रूप में अनुमान लगाना कठिन है।

वीएनसी स्क्रीन शेयरिंग पासवर्ड दर्ज करने के बाद, हमें लॉक किए गए डेस्कटॉप तक पहुंचने के लिए उपयोगकर्ता पासवर्ड भी दर्ज करना होगा।

Security Note- डिफ़ॉल्ट रूप से, VNC एक एन्क्रिप्टेड प्रोटोकॉल नहीं है। इसलिए, VNC कनेक्शन को एन्क्रिप्शन के लिए SSH के माध्यम से सुरंगित किया जाना चाहिए।

VNC के माध्यम से SSH टनल सेट करें

SSH टनल की स्थापना VNC कनेक्शन को सुरंग के माध्यम से SSH एन्क्रिप्शन की एक परत प्रदान करेगी। एक और बड़ी विशेषता यह है कि VNC GUI स्क्रीन अपडेट में संपीड़न की एक और परत जोड़ने के लिए SSH संपीड़न का उपयोग करता है। CentOS सर्वर के प्रशासन के साथ काम करते समय अधिक सुरक्षित और तेज़ हमेशा एक अच्छी बात है!

तो आपके ग्राहक से जो VNC कनेक्शन की शुरुआत करेगा, चलो एक दूरस्थ SSH सुरंग स्थापित करते हैं। इस प्रदर्शन में, हम OS X का उपयोग कर रहे हैं। पहले हमें sudo -s to root करने की आवश्यकता है ।

bash-3.2# sudo -s 
password:

उपयोगकर्ता पासवर्ड दर्ज करें और हमें अब # प्रॉम्प्ट के साथ रूट शेल होना चाहिए -

bash-3.2#

अब, हमारी SSH टनल बनाएं ।

ssh -f [email protected] -L 2200:192.168.1.143:5900 -N

चलिए इस कमांड को तोड़ते हैं -

  • ssh - स्थानीय ssh उपयोगिता चलाता है

  • -f - टास्क पूरी तरह से निष्पादित होने के बाद बैकग्राउंड में ssh चलना चाहिए

  • [email protected] - VNC सेवाओं की मेजबानी करने वाले CentOS सर्वर पर दूरस्थ ssh उपयोगकर्ता

  • -L 2200:192.168.1.143:5900 - हमारी सुरंग बनाएं [लोकल पोर्ट]: [रिमोट होस्ट]: [वीएनसी सेवा का रिमोट पोर्ट]

  • -N ssh बताता है कि हम रिमोट सिस्टम पर कमांड निष्पादित करना नहीं चाहते हैं

bash-3.2# ssh -f [email protected] -L 2200:192.168.1.143:5900 -N
[email protected]'s password:

दूरस्थ ssh उपयोगकर्ता के पासवर्ड को सफलतापूर्वक दर्ज करने के बाद, हमारी ssh सुरंग बनाई गई है। अब शांत भाग के लिए! कनेक्ट करने के लिए, हम अपने टनल के पोर्ट पर, इस केस पोर्ट 2200 में लोकलहोस्ट पर अपने VNC क्लाइंट को इंगित करते हैं। मैक लैपटॉप के VNC क्लाइंट पर कॉन्फ़िगरेशन निम्न है -

और अंत में, हमारे रिमोट वीएनसी डेस्कटॉप कनेक्शन!

SSH टनलिंग के बारे में अच्छी बात यह है कि इसका उपयोग लगभग किसी भी प्रोटोकॉल के लिए किया जा सकता है। SSH सुरंगों का उपयोग आमतौर पर ISP द्वारा फ़िल्टरिंग और इंग्रेसिंग पोर्ट को बाईपास करने के लिए किया जाता है, साथ ही अन्य सत्र परत निगरानी के दौरान चाल एप्लीकेशन लेयर IDS / IPS को भी।

  • आपका आईएसपी गैर-व्यावसायिक खातों के लिए पोर्ट 5900 को फ़िल्टर कर सकता है लेकिन एसएसएच को पोर्ट 22 पर अनुमति दे सकता है (या पोर्ट 22 को फ़िल्टर किए जाने पर किसी भी पोर्ट पर एसएसएच चला सकता है)।

  • आवेदन स्तर आईपीएस और आईडीएस पेलोड को देखते हैं। उदाहरण के लिए, एक सामान्य बफर अतिप्रवाह या SQL इंजेक्शन। एंड-टू-एंड SSH एन्क्रिप्शन एप्लिकेशन लेयर डेटा को एन्क्रिप्ट करेगा।

SSH टनलिंग एक लिनक्स एडमिनिस्ट्रेटर के टूलबॉक्स में काम करने के लिए बढ़िया टूल है। हालाँकि, एक प्रशासक के रूप में हम एसएसएच टनलिंग तक पहुँच रखने वाले कम विशेषाधिकार प्राप्त उपयोगकर्ताओं की उपलब्धता का पता लगाना चाहते हैं।

Administration Security Note- एसएसएच टनलिंग को प्रतिबंधित करना एक ऐसी चीज है जिसके लिए एक प्रशासक की ओर से विचार की आवश्यकता होती है। पहले स्थान पर उपयोगकर्ताओं को SSH टनलिंग की आवश्यकता क्यों है इसका आकलन करना; उपयोगकर्ताओं को सुरंग बनाने की क्या आवश्यकता है; व्यावहारिक जोखिम संभावना और सबसे खराब स्थिति प्रभाव के साथ।

यह एक मध्यवर्ती स्तर के प्राइमर के दायरे से बाहर एक उन्नत विषय है। इस विषय पर शोध उन लोगों के लिए सलाह दी जाती है जो सेंटो लिनक्स प्रशासन के ऊपरी क्षेत्रों में पहुंचने की इच्छा रखते हैं।

रिमोट एक्स-विंडोज के लिए एसएसएच टनल का उपयोग करें

लिनक्स में एक्स-विंडोज का डिज़ाइन विंडोज की तुलना में वास्तव में साफ-सुथरा है। यदि हम किसी अन्य लिनक्स बॉक्स से दूरस्थ लिनक्स बॉक्स को नियंत्रित करना चाहते हैं तो हम X में निर्मित तंत्र का लाभ उठा सकते हैं।

एक्स-विंडोज (जिसे अक्सर "एक्स" कहा जाता है), एक लिनक्स बॉक्स से दूसरे एक्सबॉक्स के डिस्प्ले हिस्से पर उत्पन्न होने वाली एप्लिकेशन विंडो को प्रदर्शित करने के लिए तंत्र प्रदान करता है। इसलिए SSH के माध्यम से हम अनुरोध कर सकते हैं कि X-Windows एप्लिकेशन को दुनिया भर में एक और लिनक्स बॉक्स के प्रदर्शन के लिए भेजा जाए!

एक ssh सुरंग के माध्यम से दूरस्थ रूप से X अनुप्रयोग चलाने के लिए, हमें केवल एक कमांड चलाने की आवश्यकता है -

[root@localhost]# ssh -X [email protected]

The syntax is - ssh -X [उपयोगकर्ता] @ [होस्ट], और होस्ट को मान्य उपयोगकर्ता के साथ ssh चलना चाहिए।

निम्नलिखित GIMP का एक स्क्रीनशॉट है जो एक दूरस्थ XWindows ssh सुरंग के माध्यम से उबंटू वर्कस्टेशन पर चल रहा है।

किसी अन्य लिनक्स सर्वर या वर्कस्टेशन से दूरस्थ रूप से एप्लिकेशन चलाना बहुत सरल है। संपूर्ण X-Session शुरू करना और कुछ तरीकों से दूरस्थ रूप से संपूर्ण डेस्कटॉप वातावरण बनाना संभव है।

  • XDMCP

  • हेडलेस सॉफ्टवेयर पैकेज जैसे कि NX

  • एक्स और डेस्कटॉप प्रबंधकों जैसे कि ग्नोम या केडीई में वैकल्पिक डिस्प्ले और डेस्कटॉप कॉन्फ़िगर करना

इस पद्धति का उपयोग आमतौर पर बिना किसी भौतिक प्रदर्शन वाले हेडलेस सर्वर के लिए किया जाता है और वास्तव में एक मध्यवर्ती स्तर के प्राइमर के दायरे से अधिक होता है। हालांकि, उपलब्ध विकल्पों के बारे में जानना अच्छा है।