एक नए Linux VPS को हार्डन करने की व्यावहारिक, चरण-दर-चरण मार्गदर्शिका: एक sudo यूज़र बनाएं, केवल-की लॉगिन के साथ SSH को लॉक डाउन करें, और UFW के साथ फ़ायरवॉल कॉन्फ़िगर करें। Fail2ban और अनअटेंडेड सुरक्षा अपडेट भी शामिल हैं।
SKYLINE Engineering @skyline
प्रकाशित: 8 जून, 2026 | पढ़ने का समय: 5 मिनट
एक नया VPS बूट होते ही सार्वजनिक इंटरनेट के सामने उजागर हो जाता है। कुछ ही मिनटों में, स्वचालित बॉट पोर्ट 22 पर क्रेडेंशियल-स्टफिंग हमलों के साथ जांच-पड़ताल शुरू कर देते हैं। अच्छी ख़बर यह है: कुछ अच्छी तरह समझे हुए कदम उस जोखिम के अधिकांश हिस्से को समाप्त कर देंगे। यह गाइड एक नए Linux सर्वर को हार्डन करने की पूरी प्रक्रिया बताती है (Ubuntu/Debian मान लिया गया है; कमांड अन्य डिस्ट्रो से भी काफ़ी मिलते-जुलते हैं) — ठीक वैसे जैसे एक पेशेवर पहले ही दिन करता।
अगर आप अब भी यह तय कर रहे हैं कि अपना वर्कलोड कहाँ चलाएँ, तो Skyline सऊदी अरब के भीतर क्लाउड सर्वर और VPS प्रोविज़न करता है, जो आपके डेटा को PDPL/NCA डेटा-रेज़िडेंसी नियमों के तहत रखता है और एक स्थानीय अरबी-भाषी सहायता टीम को बस एक संदेश दूर रखता है।
शुरू करने से पहले
आपको चाहिए:
- एक सार्वजनिक IP वाला नया VPS और आपके प्रोवाइडर से प्रारंभिक
rootक्रेडेंशियल (या एक डिफ़ॉल्ट sudo यूज़र)। - आपकी मशीन पर एक SSH क्लाइंट। Linux/macOS पर यह पहले से मौजूद होता है; Windows पर OpenSSH क्लाइंट या PowerShell का उपयोग करें।
- एक SSH की पेयर। अगर आपके पास नहीं है, तो इसे स्थानीय रूप से जेनरेट करें:
ssh-keygen -t ed25519 -C "you@example.com"
ed25519 की छोटी, तेज़, और पुराने 2048-बिट RSA की तुलना में अधिक मज़बूत होती हैं। डिफ़ॉल्ट पाथ (~/.ssh/id_ed25519) स्वीकार करने के लिए Enter दबाएँ और एक passphrase सेट करें।
चरण 1 — सबसे पहले सिस्टम अपडेट करें
लॉग इन करें और बाक़ी सब कुछ करने से पहले सभी पैकेजों को अद्यतन करें, ताकि आप एक पैच किए गए बेसलाइन से शुरुआत करें:
ssh root@your_server_ip
apt update && apt upgrade -y
चरण 2 — एक नॉन-रूट sudo यूज़र बनाएं
रोज़ाना root के रूप में काम करना ख़तरनाक है: एक छोटी सी टाइपिंग ग़लती विनाशकारी हो सकती है, और root वह पहला अकाउंट है जिसे हर हमलावर निशाना बनाता है। इसके बजाय एक समर्पित प्रशासनिक यूज़र बनाएं:
adduser deploy
usermod -aG sudo deploy
अब अपनी SSH सार्वजनिक की को नए यूज़र में कॉपी करें ताकि आप उसके रूप में लॉग इन कर सकें:
rsync --archive --chown=deploy:deploy ~/.ssh /home/deploy/
अगर आपने पासवर्ड लॉगिन के साथ प्रोविज़न किया है, तो इसके बजाय अपनी स्थानीय मशीन से ssh-copy-id deploy@your_server_ip का उपयोग करें। एक दूसरा टर्मिनल खोलें और किसी और चीज़ को छूने से पहले पुष्टि करें कि आप deploy के रूप में लॉग इन कर सकते हैं और sudo whoami चला सकते हैं (इसे root प्रिंट करना चाहिए)। नई पहुँच सत्यापित होने तक अपना कार्यशील सत्र कभी बंद न करें।
चरण 3 — SSH डेमॉन को हार्डन करें
यह सबसे अधिक प्रभाव वाला एकल बदलाव है। SSH कॉन्फ़िग संपादित करें:
sudo nano /etc/ssh/sshd_config
निम्नलिखित निर्देश सेट करें (उन्हें अनकमेंट करें या जोड़ें):
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
ChallengeResponseAuthentication no
MaxAuthTries 3
X11Forwarding no
| निर्देश | प्रभाव |
|---|---|
PermitRootLogin no |
SSH पर सीधे रूट लॉगिन को ब्लॉक करता है |
PasswordAuthentication no |
केवल-की प्रमाणीकरण को बाध्य करता है, ब्रूट फ़ोर्स को हराता है |
MaxAuthTries 3 |
3 विफल प्रयासों के बाद कनेक्शन को छोड़ देता है |
सर्विस को रीलोड करके बदलाव लागू करें:
sudo systemctl reload ssh
लॉग आउट करने से पहले एक नए टर्मिनल में परीक्षण करें। पुष्टि करें कि की लॉगिन अब भी काम करता है और कि पासवर्ड प्रयास अस्वीकार किया जाता है। अगर कुछ ग़लत है, तो आपका मौजूदा सत्र अब भी ठीक करने के लिए खुला है।
वैकल्पिक: SSH पोर्ट बदलें
SSH को पोर्ट 22 से हटाना (उदाहरण के लिए 2222 पर) किसी दृढ़ हमलावर को नहीं रोकेगा लेकिन स्वचालित स्कैनर से आने वाले लॉग शोर को नाटकीय रूप से कम कर देता है। sshd_config में Port 2222 सेट करें, इसे फ़ायरवॉल में (अगला चरण) रीलोड करने से पहले अनुमति दें, और ssh -p 2222 deploy@your_server_ip के साथ कनेक्ट करें।
चरण 4 — UFW के साथ फ़ायरवॉल कॉन्फ़िगर करें
UFW (Uncomplicated Firewall) iptables के लिए एक उपयोगकर्ता-अनुकूल फ़्रंट एंड है। डिफ़ॉल्ट रूप से, सभी इनकमिंग को अस्वीकार करें और केवल वही अनुमति दें जिसकी आपको आवश्यकता है:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow OpenSSH
अगर आप एक वेब सर्वर चलाते हैं, तो HTTP और HTTPS भी खोलें:
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
महत्वपूर्ण: फ़ायरवॉल सक्षम करने से पहले अपने SSH पोर्ट को अनुमति दें, वरना आप ख़ुद को बाहर लॉक कर लेंगे। अगर आपने पोर्ट बदला है, तो
OpenSSHके बजायsudo ufw allow 2222/tcpका उपयोग करें।
सक्षम करें और सत्यापित करें:
sudo ufw enable
sudo ufw status verbose
चरण 5 — Fail2ban इंस्टॉल करें
Fail2ban आपके लॉग पर नज़र रखता है और उन IP को अस्थायी रूप से प्रतिबंधित करता है जो दुर्भावनापूर्ण पैटर्न दिखाते हैं, जैसे बार-बार विफल लॉगिन:
sudo apt install fail2ban -y
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
jail.local को संपादित करें और, [sshd] के अंतर्गत, सुनिश्चित करें कि जेल समझदार सीमाओं के साथ सक्षम है:
[sshd]
enabled = true
maxretry = 3
bantime = 1h
findtime = 10m
रीस्टार्ट करें और जेल की जाँच करें:
sudo systemctl restart fail2ban
sudo fail2ban-client status sshd
चरण 6 — स्वचालित सुरक्षा अपडेट सक्षम करें
बिना पैच किया हुआ सॉफ़्टवेयर सबसे आम सेंध मार्ग है। Ubuntu/Debian पर, अनअटेंडेड सुरक्षा अपग्रेड सक्षम करें:
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure --priority=low unattended-upgrades
यह सुरक्षा पैच स्वचालित रूप से लागू करता है जबकि फ़ीचर अपग्रेड को आपके नियंत्रण में छोड़ देता है।
हार्डनिंग चेकलिस्ट
- [x] सिस्टम पूरी तरह अपडेट किया गया
- [x] नॉन-रूट sudo यूज़र बनाया और सत्यापित किया गया
- [x] रूट SSH लॉगिन अक्षम किया गया
- [x] पासवर्ड प्रमाणीकरण अक्षम किया गया (केवल-की)
- [x] UFW फ़ायरवॉल डिफ़ॉल्ट-अस्वीकार नीति के साथ सक्षम किया गया
- [x] SSH जेल पर Fail2ban चल रहा है
- [x] स्वचालित सुरक्षा अपडेट सक्षम किए गए
आगे क्या करें
यह बेसलाइन अवसरवादी हमलों के अत्यधिक बहुमत को रोकती है। यहाँ से, प्रति-एप्लिकेशन हार्डनिंग (एक रिवर्स प्रॉक्सी, Let's Encrypt के माध्यम से TLS, डेटाबेस का localhost से बाइंड होना), केंद्रीकृत लॉगिंग, और नियमित ऑफ़-सर्वर बैकअप पर विचार करें। अगर आपका सर्वर ईमेल भी संभालता है, तो हमारी बिज़नेस ईमेल होस्टिंग मेल को सर्वर से दूर रखती है और SPF, DKIM, और DMARC के साथ उचित रूप से प्रमाणित रखती है।
किंगडम में सर्वर चलाने पर अधिक गाइड के लिए, हमारे VPS और क्लाउड सर्वर हब को ब्राउज़ करें।
पारदर्शी मूल्य निर्धारण और स्थानीय सहायता के साथ इन-किंगडम इन्फ़्रास्ट्रक्चर पर डिप्लॉय करने के लिए तैयार हैं? अपना Skyline Cloud अकाउंट बनाएं और मिनटों में एक हार्डन किया हुआ VPS शुरू करें।
Comments
0 total · 0 threads