আপনার ওয়েব সার্ভারে SSL পরিষেবা শক্তিশালীকরণ (Apache/ Linux): 3 টি ধাপ

2024 লেখক: John Day | [email protected]. সর্বশেষ পরিবর্তিত: 2024-01-30 08:02

এটি একটি খুব সংক্ষিপ্ত টিউটোরিয়াল যা সাইবার -নিরাপত্তার একটি দিকের সাথে সম্পর্কিত - আপনার ওয়েব সার্ভারে এসএসএল পরিষেবার শক্তি। পটভূমি হল যে আপনার ওয়েব সাইটে এসএসএল পরিষেবাগুলি ব্যবহার করা হয় তা নিশ্চিত করার জন্য ব্যবহার করা হয় যে কেউ আপনার ওয়েব সাইটে এবং যে ডেটা প্রেরণ করা হচ্ছে তা হ্যাক করতে পারে না। ওপেনএসএসএল -এ হার্টব্ল্ড বাগ এবং পুডল বাগের মতো দুর্বল এসএসএল পরিষেবাগুলিতে ভালভাবে প্রচারিত আক্রমণ হয়েছে যা এসএসএল 3.0 দুর্বলতাকে কাজে লাগিয়েছে। (এই এলাকাটি একটি চলমান লক্ষ্য তাই আপনাকে আপনার ISO 27001 প্ল্যান-ডু-চেক-অ্যাক্ট (PDCA) চক্রের মধ্যে SSL পরীক্ষা তৈরি করতে হবে।)

যখন একটি স্বীকৃত প্রদানকারীর সার্টিফিকেট ব্যবহার করে আপনার ওয়েব সাইটে ssl ইনস্টল করা হয়, তখন আপনি দেখতে পাবেন যে আপনার ওয়েবসাইট https://yourdomain.com থেকে অ্যাক্সেস করা যাবে। এর মানে হল যে ডেটা এনক্রিপ্ট করা ফরম্যাটে পিছনে এবং সামনে প্রেরণ করা হয়। বিপরীতে, https://yourdomain.com বা দুর্বল এনক্রিপশন স্পষ্ট পাঠ্যে প্রেরিত ডেটা প্রকাশ করে যার অর্থ হল যে এমনকি একটি বাচ্চা হ্যাকার আপনার পাসওয়ার্ড ডেটা ইত্যাদি অ্যাক্সেস করতে পারে যেমন Wireshark- এর মতো সহজলভ্য সরঞ্জামগুলি ব্যবহার করে।

এই টিউটোরিয়ালের বাকি অংশে, আমি ধরে নিচ্ছি যে আপনি অ্যাপাচি লিনাক্সে আপনার ওয়েব সার্ভার হিসাবে ব্যবহার করবেন এবং আপনার ওয়েব সার্ভারে অ্যাক্সেস আছে যেমন টার্মিনাল এমুলেটর যেমন পুটি। সরলতার জন্য, আমি এটাও অনুমান করতে যাচ্ছি যে আপনার ISP আপনার SSL সার্টিফিকেট প্রদান করেছে এবং এর কিছু দিক পুনরায় কনফিগার করার ক্ষমতা আপনার আছে।

ধাপ 1: আপনার SSL পরিষেবার শক্তি পরীক্ষা করা

শুধু https://www.ssllabs.com/ssltest/ এ যান এবং হোস্টনাম বক্সের পাশে আপনার ডোমেইন নাম লিখুন এবং "বোর্ডে ফলাফল দেখাবেন না" চেকবক্সটি নির্বাচন করুন এবং সাবমিট বোতামে ক্লিক করুন। (অনুগ্রহ করে মনে রাখবেন যে পূর্ব অনুমতি ছাড়া আপনার কোন ডোমেইন পরীক্ষা করা উচিত নয় এবং বোর্ডে আপনি কখনই ফলাফল দেখাবেন না।)

পরীক্ষা চালানোর পরে, আপনাকে F থেকে A+পর্যন্ত একটি স্কোর দেওয়া হবে। আপনাকে একটি বিস্তারিত পরীক্ষার ফলাফল দেওয়া হবে যা আশা করি আপনার কাছে স্পষ্ট হয়ে যাবে যে আপনাকে কেন আপনার নির্ধারিত স্কোর দেওয়া হয়েছে।

ব্যর্থ হওয়ার স্বাভাবিক কারণ হল আপনি সাইফার বা প্রোটোকলের মতো পুরনো উপাদান ব্যবহার করছেন। আমি শীঘ্রই সাইফারগুলিতে ফোকাস করব কিন্তু প্রথমে ক্রিপ্টোগ্রাফিক প্রোটোকল সম্পর্কে একটি দ্রুত শব্দ।

ক্রিপ্টোগ্রাফিক প্রোটোকল একটি কম্পিউটার নেটওয়ার্কের মাধ্যমে যোগাযোগের নিরাপত্তা প্রদান করে। … সংযোগটি ব্যক্তিগত (বা নিরাপদ) কারণ প্রেরিত ডেটা এনক্রিপ্ট করার জন্য প্রতিসম ক্রিপ্টোগ্রাফি ব্যবহার করা হয়। দুটি প্রধান প্রোটোকল হল TLS এবং SSL। পরেরটি ব্যবহার থেকে নিষিদ্ধ এবং পরিবর্তে, টিএলএস বিকশিত হচ্ছে এবং তাই আমি এটি লিখছি, সর্বশেষ সংস্করণটি 1.3, যদিও খসড়া বিন্যাসে। ব্যবহারিক পরিভাষায়, জানুয়ারী 2018 এর মতো, আপনার শুধুমাত্র TLS v 1.2 থাকা উচিত। সক্ষম। সম্ভবত টিএলভি ভি 1.3 তে একটি পদক্ষেপ থাকবে। 2018 এর সময়। কোয়ালিস পরীক্ষাটি আপনি কোন ক্রিপ্টোগ্রাফিক প্রোটোকল প্রয়োগ করেছেন তা তালিকাভুক্ত করবে এবং বর্তমানে, যদি আপনি TLS v 1.2 এর নিচে ব্যবহার করেন, তাহলে আপনি একটি খারাপ স্কোর পাবেন।

ক্রিপ্টোগ্রাফিক প্রোটোকল সম্বন্ধে একটি শেষ কথা, যখন আপনি GoDaddy এর মতো মূলধারার ISP থেকে একটি ওয়েব প্যাকেজ এবং SSL সার্টিফিকেট কিনবেন, তখন এটি হবে TLS v 1.2। যা ভাল কিন্তু লাইনের আরও নিচে, আপনাকে TLS v 1.3 বলতে আপগ্রেড করা কঠিন হতে পারে। ব্যক্তিগতভাবে, আমি আমার নিজের SSL সার্টিফিকেট ইনস্টল করি এবং তাই আমি আমার নিজের ভাগ্যের নিয়ন্ত্রণে আছি, তাই কথা বলতে হবে।

পদক্ষেপ 2: এসএসএল পরিবর্তন করতে অ্যাপাচি পুনরায় কনফিগার করা

কোয়ালিস এসএসএল পরীক্ষায় পরীক্ষা করা একটি গুরুত্বপূর্ণ ক্ষেত্র এবং এই বিভাগের ফোকাস হল সাইফার স্যুট যা আপনার প্রেরিত ডেটার এনক্রিপশন শক্তি নির্ধারণ করে। এখানে আমার ডোমেইনের একটি কোয়ালিস এসএসএল পরীক্ষা থেকে একটি উদাহরণ আউটপুট।

সাইফার স্যুট # TLS এর 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (সার্ভার-পছন্দের অনুক্রমে সংকলনের) (EQ। 3072 বিট আরএসএ) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (EQ। 3072 বিট আরএসএ) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (EQ। 3072 বিট RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (eq। 3072 বিট RSA) FS128

আপনি আপনার কোয়ালিস পরীক্ষার রিপোর্ট থেকে লাল রেখা (ব্যর্থ) অপসারণ করতে আপনার অ্যাপাচি কনফিগারেশন পুনরায় কনফিগার করতে অনেক সময় ব্যয় করতে পারেন তবে সেরা সাইফার স্যুট সেটিংস পেতে আমি নিম্নলিখিত পদ্ধতির সুপারিশ করছি।

1) অ্যাপাচি ওয়েব সাইটে যান এবং সাইফার স্যুট ব্যবহারের জন্য তাদের সুপারিশগুলি প্রকাশ করুন। লেখার সময়, আমি এই লিঙ্কটি অনুসরণ করেছি -

2) আপনার অ্যাপাচি কনফিগারেশন ফাইলে প্রস্তাবিত সেটিং যোগ করুন এবং অ্যাপাচি পুনরায় চালু করুন। এটি ছিল তাদের প্রস্তাবিত সেটিং যা আমি ব্যবহার করেছি।

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHE-ECA-ECA-ECA-ECA-ECA-ECA-ECA-ECA-ES25-ECHE-ECA-ECA-ECA-ECA-ECA-ES25-ECHE-ECA-ECA-ES25-ECHE-ECA-ECA-ECA-ECA-ES25-ECHE-ECA-ESHE -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

নোট - একটি চ্যালেঞ্জ হল আপনার SSLCipherSuite নির্দেশিকা পরিবর্তন করার জন্য কোন ফাইলটি খুঁজে বের করতে হবে, এটি করার জন্য, Putty- এ লগ ইন করুন এবং etc ডিরেক্টরিতে লগ ইন করুন (sudo cd /etc) apache2 অথবা http এর মতো একটি অ্যাপাচি ডিরেক্টরি দেখুন। এরপরে, অ্যাপাচি ডিরেক্টরিতে নিম্নরূপ অনুসন্ধান করুন: grep -r "SSLCipherSuite" /etc /apache2 - এটি আপনাকে এর মতো একটি আউটপুট দেবে:

/etc/apache2/mods-available/ssl.conf: ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH+3D: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

উল্লেখ্য গুরুত্বপূর্ণ বিষয় হল ফাইলটি /etc/apache2/mods-available/ssl.conf অথবা আপনার যা কিছু ন্যানোর মতো সম্পাদক ব্যবহার করে ফাইলটি খুলুন এবং # SSL সাইফার স্যুট বিভাগে যান। পরবর্তী নির্দেশিকা SSLCipherSuite এ বিদ্যমান এন্ট্রিটি অ্যাপাচি ওয়েবসাইট থেকে উপরের একটি দিয়ে প্রতিস্থাপন করুন। পুরোনো SSLCipherSuite নির্দেশাবলীর মন্তব্য মনে রাখবেন এবং Apache পুনরায় চালু করুন - আমার ক্ষেত্রে, আমি sudo /etc/init.d/apache2 restart টাইপ করে এটি করেছি

লক্ষ্য করুন যে কখনও কখনও আপনাকে নির্দিষ্ট সাইফারগুলি অপসারণ করতে হতে পারে যা আপনাকে কম কোয়ালিস এসএসএল পরীক্ষার স্কোর দিচ্ছে (বলুন কারণ নতুন দুর্বলতা আবিষ্কৃত হয়েছে) যদিও আপনি প্রস্তাবিত অ্যাপাচি সেটিংস ব্যবহার করেছেন। একটি উদাহরণ হল যদি আপনার Qualys রিপোর্টে TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) প্রথম ধাপটি লাল (ব্যর্থ) প্রদর্শিত হয় তবে আপনার অ্যাপাচি SSLCipherSuite নির্দেশনায় কোন কোডটি পরিবর্তন করতে হবে তা খুঁজে বের করা প্রথম ধাপ। কোডটি খুঁজতে, https://www.openssl.org/docs/man1.0.2/apps/ciphers… এ যান-এই কোডটি নিম্নরূপ দেখায়: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-GCM-SHA384 নিন এবং এটিকে Apache Apache SSLCipherSuite নির্দেশিকা হিসেবে যোগ করা এন্ট্রি থেকে সরান এবং তারপর এটির সাথে পূর্বে যোগ করুন:!

আবার, অ্যাপাচি পুনরায় চালু করুন এবং পুনরায় পরীক্ষা করুন

ধাপ 3: উপসংহার

আমার কাছে আপনি SSL পরীক্ষা সম্পর্কে কিছু শিখেছেন। এই সম্পর্কে আরো অনেক কিছু জানার আছে কিন্তু আশা করি, আমি আপনাকে সঠিক দিক নির্দেশ করেছি। আমার পরবর্তী টিউটোরিয়ালগুলিতে, আমি সাইবার সিকিউরিটির অন্যান্য ক্ষেত্রগুলি কভার করব তাই আমাদের সাথে থাকুন।