လွယ်လွယ်ပြောရရင်တော့ Linux Systems ကို Attack လုပ်ရခက်အောင် security မြှင့်တာ၊ သုံးထားတဲ့ library တွေမှာ vulnerability တွေရှိရင် အဲသည့်အားနည်းချက်ကို အသုံးချမခံရအောင် upgrade လုပ်တာပါပဲ။

ဘယ်လို လုပ်ကြမလဲ? အောက်က အချက် ၉ ချက်ကို လုပ်ကြည့်ကြမယ်။ ဒါဖြင့် သည်အချက်ကိုးချက်ပဲလား လုံလောက်ပြီလား၊ ဘယ်လုံလောက်ပါ့မလဲ သည့်ထက်သည့်ထက်မက အများကြီးရှိဦးမှာပေါ့။ ကျွန်တော်ပြောမယ့်အထဲမှာတော့ အောက်က အချက်တွေပဲ ပါသေးတယ်။

၁. Linux System Remote Login (SSHD) service ကို Harden လုပ်တာ။

၂. Security Upgrade လုပ်တာ။

၃. Root user account ပိတ်တာ။

၄. Swap Space (virtual ram) လိုအပ်သလောက်ပေးတာ။

၅. မလိုအပ်တဲ့ compliers တွေကို ပိတ်တာ။

၆. Fail2ban သုံးပြီး systems ကို Attack လုပ်တဲ့ IP တွေကို ban တာ။

၇. Kernel parameter တွေပြင်တာ။

၈. Logwatch ကိုအသုံးပြုတာ။

၉. Systems Attack အလုပ်ခံရတဲ့အခါ နဲ့ Logwatch ‌ကနေ email ပို့ပေးဖို့လုပ်တာ။

ကျွန်တော် အခုသည် tutorials မှာ သုံးထားတဲ့ Linux Distors က Rocky Linux 8 ပါ။ Centos 7, Ubuntu , Oracle Linux တွေနဲ့လည်း အလုပ်လုပ်ပါတယ်။ package install လုပ်တာတော့ ကျွန်တော်တို့ သုံးတဲ့ Distros ပေါ်မူတည်ပြီး နည်းနည်းကွဲမှာပေါ့။

၁. SSH Remote Login Hardening

သည်အပိုင်းမှာ ssh hardening နဲ့ ssh connection အတွက် whitelist network ကိုပဲ allow ပေးတာကို လုပ်ကြည့်ကြပါ့မယ်။ ssh connection အတွက် whitelist network ကိုပဲ allow ပေးတဲ့နေရာမှာ ပုံမှန်အားဖြင့် ကျွန်တော်တို့ firewall ကို စစဉ်းစားကြမှာပေါ့။ cloud တွေနဲ့ on-prem မှာတော့ security group မှာ firewall rule ရေးရမှာ ဖြစ်ပေမယ့် အခု ကျွန်တော်တို့က ဆာဗာ level ကနေပဲ စဉ်းစားမှာ ဖြစ်ပါတယ်။ ဆာဗာထဲမှာလည်း firewalld (or) iptables ကိုသုံးပြီး ရေးလို့ရပေမယ့် အခုတော့ hosts ACL က ရေးတာကိုပဲ လုပ်မှာ ဖြစ်ပါတယ်။

Hosts Access Control Files က /etc/hosts.allow နဲ့ /etc/hosts.deny ဆိုတဲ့ နေရာနှစ်ခုမှာ ရှိပါတယ်။ အလုပ် ဘယ်လိုလုပ်လဲဆိုတော့ - hosts ကို access လုပ်တဲ့အခါမှာ ပထမဦးဆုံး hosts.allow ဖိုင်မှာ access လုပ်မယ့် ဆားဗစ် (daemon - ဥပမာ sshd) နဲ့ အသုံးပြုမယ့် client အတွဲကို သွားဖတ်ပါတယ်။ အဲသည့်မှာ ကိုက်ညီရင် allow ခွင့်ပြုပေးပါတယ်။ မကိုက်ညီဘူးဆိုရင် hosts.deny ကိုဆက်ဖတ်ပါတယ်။ hosts.deny rule ထဲမှာ ညိနေတာရှိရင် deny လုပ်ပါတယ်။ hosts.deny နဲ့ hosts.allow တွေမှာ config တွေမထည့်ထားဘူး empty ဆို hosts acl ကို မသုံးဘူးဆိုတဲ့ အဓိပ္ပါယ်ပါ။ Default အနေနဲ့ ဖိုင်တွေထဲမှာ ဘာမှမရှိတဲ့အတွက် default အနေနဲ့ကတော့ မသုံးထားဘူးပေါ့။

အခု ကျွန်တော်တို့က Hosts ACL ကိုသုံးမှာဖြစ်တဲ့အတွက် /etc/hosts.allow နဲ့ /etc/hosts.deny ကိုပြင်ကြပါမယ်။ Syntax example (ဘယ်လို‌ရေးရလဲဆိုတာ)ကို ကြည့်ချင်ရင် manual file (man hosts.deny) ဖွင့်ဖတ်ပြီးတော့သော်လည်းကောင်း၊ သို့မဟုတ် ဖိုင်ကို direct ပြင်ရင်သော်လည်းကောင်း ဥပမာ ပေးထားတဲ့ ရေးထုံးကို တွေ့ရပါလိမ့်မယ်။

Example: ALL: LOCAL @some_netgroup

ALL က ဘယ် services မဆို

LOCAL က . dot character မပါတဲ့ ဘယ် hosts မဆို

@some_netgroup က @sign ပါတဲ့ နက်ဝက်တခုခုပေါ့။

ALL: .foobar.edu EXCEPT terminalserver.foobar.edu

ALL ဘယ် services မဆို

.foobar.edu (.foodbar.edu) က ဘယ်ဟာကိုမဆို

ချွင်းချက်အနေနဲ့ terminalserver.foobard.edu

ရေးတဲ့ပုံစံတွေက အမျိုးမျိုးရှိပါတယ်။ ကျွန်တော်တို့က ကျွန်တော်တို့ရဲ့ public IP ဒါမှမဟုတ် ကျွန်တော်တို့ private network က လာတဲ့ hosts တွေကိုပဲ sshd services ကိုပေးချိတ်မယ်။ အဲ့သည့်နက်ဝက်ကလာတာမှ မဟုတ်ရင် sshd ကို လာချိတ်ရင် ban မယ်ဆို သည်လိုရေးလို့ရပါတယ်။

ကျွန်တော်တို့ allow ပေးမယ့် private network (subnet)က 192.168.0.0/24 ဆိုပါစို့။

Public IP က 99.99.99.99 ဆိုပါစို့။

ပထမဦးဆုံး hosts.allow ဖိုင်ကို အရင်ပြင်ကြပါ့မယ်

$ sudo vim /etc/hosts.allow

Example Syntax -

ALL: LOCAL @some_netgroup

ALL: က any services ကျွန်တော်တို့က sshd ကို allow ပေးမယ် 192.168.0.0/24 network နဲ့ 99.99.99.99 ကိုမဟုတ်လား သည်လိုရေးလို့ရပါတယ်။

sshd: 192.168.0.0/24 99.99.99.99

:wq နဲ့ ဖိုင်ကို save ခဲ့ပါ။

ဒါဆိုရင် sshd services ကို 192.168.0.0 network နဲ့ 99.99.99.99 (ဥပမာအနေနဲ့သုံးတာ သက်သက်ပါ) ကို allow ပေးပြီးပါပြီ။

ဒါပြီးရင် hosts.deny ဖိုင်မှာ deny rule အတွက်သွားရေးပါမယ်။

$ sudo vim /etc/hosts.deny

sshd: ALL ဆိုပြီးရေးပေးလိုက်ပ့ါမယ်။

သည်လိုဆိုရင် sshd service ကို ဘယ်နက်ဝက်ကနေမဆို ခေါ်လို့မရတော့ဘူးဆိုတဲ့ အဓိပ္ပာယ်ပါ။ local (သည်စက်ကနေပဲ ssh ကိုသုံးပြီး) ကနေလည်း ဝင်လို့မရတော့ပါဘူး။ ဒါပေမယ့် ကျွန်တော်တို့ allow ပေးခဲ့တဲ့ 192.168.0.0/24 network ကနေနဲ့ public IP ကနေတော့ ဝင်လို့ရရမှာပေါ့။ ကျွန်တော်တို့ :wq နဲ့ ဖိုင်ကို သိမ်းပြီး စစ်ကြည့်ရအောင်ပါ။

$ ssh zarne@localhost (or) ssh zarne@127.0.0.1 ကိုသုံးပြီး ကျွန်တော်တို့ အခု harden လုပ်လိုက်တဲ့စက်ထဲကို ပြန်ဝင်ကြည့်ရအောင်ပါ။ ကျွန်တော်တို့ အောက်က error return ကိုရပြီး စက်ထဲဝင်လို့မရတာကို တွေ့ရပါလိမ့်မယ်။

ssh_exchange_identification: read: Connection reset by peer

ဒါဆို host.deny rule မှာ local ကိုတော့ ချွင်းချက်အနေနဲ့ထားပေးပါဆိုပြီး ရေးပြီး စမ်းကြည့်ရအောင်ပါ။

$ sudo vim /etc/hosts.deny

sshd: ALL except local

:wq

ဒါပြီးရင် သည်စက်ထဲကိုပဲ loopback IP ကိုသုံးပြီး ပြန်ဝင်ကြည့်ပါ။ ရတာကို တွေ့ရပါမယ်။

$ ssh zarne@localhost (or) ssh zarne@127.0.0.1

တခု သတိထားရမှာက sshd ကိုမှားပိတ်မိလိုက်ရင် ဆာဗာထဲကို သည်စက်ထဲကို sshd နဲ့ ပြန်ဝင်လို့မရနိုင်တော့တာတွေ ဖြစ်နိုင်တဲ့အတွက် သတိထားရပါမယ်။ တချို့ cloud တွေမှာဆို sshd only ပဲ remote management ရတဲ့အတွက် ကျွန်တော်တို့ မှားရေးမိရင် နောက်တခေါက်ပြန်ဝင်လို့မရနိုင်ဘူးဆိုတဲ့ ပြဿနာရှိပါတယ်။ rule တွေရေးပြီးတဲ့အခါ လက်ရှိ session ကိုမပိတ်ဘဲနဲ့ တခြား hosts / စက်ကနေ ssh နဲ့ remote login ဝင်ပြီး ရမရ စစ်ပေးဖို့လိုပါတယ်။ အခု ဥပမာထဲကဆို 192.168.0.0/24 network ထဲက စက်တလုံးလုံး ဒါမှမဟုတ် public IP 99.99.99.99 ကနေပေ့ါ။ အဲ့ကနေပါ ဝင်လို့မရရင် လက်ရှိရေးထားတဲ့ config တွေကို ပြန်စစ်ဖို့လိုပါတယ်။

Hosts ACL ကိုသုံးပြီး တခြားဆားဗစ်တွေကိုလည်း သည်တိုင်းပဲ ဆက်လုပ်လို့ရပါတယ်။

ဒါဖြင့် ကျွန်တော်တို့ sshd config ကိုပြင်ပြီး ဆားဗစ်ကို hardening ထပ်လုပ်ရအောင်ပါ။

အရင်ဆုံး အခြေခံအနေနဲ့ ဘာပဲလုပ်လုပ် မလုပ်ခင် backup ယူပါ။ အခုက sshd config ဖိုင်ကို ထိမှာဖြစ်တဲ့အတွက် အဲ့သည့်ဖိုင်ကို backup ယူပါမယ်။

(ဆက်ရန် - ကျန်တဲ့အပိုင်းတွေ ထပ်တင်ပေးပါမယ်)

အဲ့ဒါပြီးတော့

$ sudo systemctl start servicename

နဲ့ service start လုပ်တော့ အလုပ်မလုပ်တာပဲ တွေ့တယ်။

$ sudo systemctl status -l servicename နဲ့ကြည့်တော့လဲ program က အလုပ်မလုပ်ဘဲ exit ထွက်သွားတာပဲ တွေ့ရတယ် ဘာဖြစ်တာလဲ မတွေ့ရဘူး။ script မှာများ error တက်နေသလားဆိုပြီး ပြန်စစ်ကြည့်တော့ script ကိုသည်တိုင်း run ရင်ရတယ်။ ဘာပြဿနာမှ မတက်။ နောက်ဆုံး systemd နဲ့ startup မှာမထည့်ဘဲ rc.local ထဲမှာ boot တက်လာရင် service run အောင်သွားထည့်တော့လဲ အလုပ်မလုပ်။ ဒါပေမယ့် rc.local ကို သည်တိုင်း execute လုပ်ရင် အလုပ်လုပ်တယ်ဆိုတော့ "ဟာ ဘာလဲ" ပေ့ါ။ အချိန်တွေကြာချက်ပဲ။

လုပ်နေရင်းနဲ့ teammate တယောက်က အစ်ကို အဲ့ဒါကို systemctl -u servicename နဲ့စစ်ကြည့်ရင် ဘာပြဿနာတက်နေတာလဲ detailed ပြတယ်ဆိုမှ တွေ့တော့တယ်။ ကျေးဇူးပါ ကျော်ဇင်ရေ။ -u နဲ့ စစ်ရင်ကြတော့ systemd unit ရဲ့ message ကို အသေးစိတ်ပြတယ်။ အဲ့ကြတော့မှ java နဲ့ ဘယ် host မှာ run တာလဲဆိုတာကို သိဖို့ ရိုက်ထုတ်တဲ့ variable က systemd မှာ သည်တိုင်းအလုပ်မလုပ်တာကို သိရတယ်။

Developer နဲ့ ညှိကြည့်တော့လည်း အဲ့ဒါက မလုပ်လို့မရဘူး ကျွန်တော်တို့ EC2 တွေ အများကြီးပေါ်မှာ loadbalcing roundrobin နဲ့သွားထားတာဆိုတော့ hostname ရိုက်ထုတ်ပေးဖို့ လိုကိုလိုတာဆိုတော့ သူ့ program ကို ပြင်ပေးဖို့လည်း မဖြစ်နိုင်ဘူး။ နောက်တခုက developer ပြဿနာလည်း မဟုတ်ဘူး။ သူ့ program ကို script ထဲထည့်ပြီး သည်တိုင်း run ရင် အလုပ်လုပ်တယ်။ ကျွန်တော်တို့ ဘက်ကကြတော့လည်း autoscaling နဲ့ server တွေထပ်တိုးလာတဲ့အခါ ဘယ် ဆာဗာမှာဖြစ်တာလဲဆိုတာ log ထဲမပေါ်လို့ မရဘူး။ manul သွား run ပေးဖို့လည်း အဆင်မပြေဘူး။ system အတက်မှာ boot အတက်မှာ သည်ဆားဗစ်က run ကို run နေရမှာဆိုတော့ လိုက်ရှာရပြန်တယ်။

အဲ့သည့် Program ကိုရေးတဲ့ developer ညီလေး က အစ်ကို ကျွန်တော်တို့ ဖြစ်နေတဲ့ပြဿနာ က enviroment ထည့်ပေးရမှာ systemd service မှာဆိုပြီး လာပြပေးတယ်။ ကျေးဇူးပါ ဘုန်းမြင့်ရေ။

Ref: https://serverfault.com/questions/413397/how-to-set-environment-variable-in-systemd-service%22

အဲ့ဒါတွေ ပြင်ပြီးမှပဲ ကျွန်တော်တို့ လုပ်ချင်တဲ့ system (boot) အတက်မှာ ကိုယ့်ဆားဗစ်လေးတက်လာဖို့ လုပ်တာ ပြီးတော့တယ်။ Teammate တွေ ကောင်းတာနဲ့ Team work ကောင်းတော့လည်း အဆင်ပြေတာပါပဲ။ "ဆပ်ပြာကောင်းလို့ ခေါင်းပေါင်းဖြူ" ဆိုသလိုပေါ့လေ။

တကယ်တော့ IT field ထဲက ပြဿနာတော်တော်များများက ဖြစ်ပြီးသားတွေချည်းပါပဲ။ ကိုယ့်ပြဿနာက အသစ်ဖြစ်နေတော့လည်း ကောင်းတာပါပဲ ဖိုရမ်တွေမှာ လိုက်မေးပေါ့လေ။ Teammate တွေကောင်းရင် teamwork ကောင်းရင်လည်း ပျော်ဖို့ကောင်းတာပါပဲ။ အခု အလုပ်လုပ်နေတဲ့ ရုံးကတော့ teamwork တကယ်ကို ကောင်းကြပါတယ်။

ကျေးဇူးပါ ကိုကျော်ဇင်၊ ကိုဘုန်းမြင့်၊ ကိုကျော်စွာ။

CKA ကို ဝယ်ပြီးမဖြေဖြစ်ခဲ့ဘူး။ ၂၀၁၉ discount ပေးတုန်းက ဝယ်လိုက်တာ ဖြစ်မယ်။ အပျင်းကြီးချက်တွေ ဆိုတာ။ အခုတော့ နှမျောမိတာပေ့ါလေ။ နောင်တဆိုတာ နောင်မှ ရတာပဲ မဟုတ်လား။ အခု ဒေါ်လာဈေးနဲ့ကြတော့ အရမ်းများနေပြီး မလှုပ်နိုင်တော့ဘူးလေ။

Cloud နဲ့ပတ်သက်တာက Huawei နဲ့ Oracle ပဲရှိတယ်။

Huawei က Huawei Cloud Service Solution Architect Professional (HCIP)

Oracle က Oracle Cloud Infrastructure 2022 Certified Foundations Associate

Oracle က အခမဲ့။ Foundation exam ဖြစ်နေလို့။

Huawei က ရုံးကို exam voucher sponser ပေးလို့ဖြေဖြစ်သွားတာပဲ။ အဲ့ဒါကတော့ ဒေါ်လာ ၃၀၀ တန်တယ်။ အမှတ် ၁၀၀၀ မှာ ၆၀၀ ရရင် အောင်တယ်။ မေးခွန်းမေးတဲ့ပုံစံက "Single Answer, Multiple Answer, True-false Question, Fill in the blank answers, Drag and drop item"။

မေးတာကတော့ အောက်က ပုံထဲက scope ထဲကဟာတွေပဲ မေးတာ။

အခု cloud တော်တော်များများက foundation level တွေဆို အခမဲ့ပေးဖြေပြီး associate / professional မှပဲ ပိုက်ဆံပေးရတာများတယ်။ ဟိုးတလောက GCP training အတွက် အခမဲ့ပေးတဲ့ဟာ register လုပ်လိုက်ပေမယ့် ဖုန်းခေါ်တာကို မကိုင်မိလိုက်တဲ့အတွက် မရလိုက်ဘူး။

Oracle Cloud Infrastructure လည်း ကြိုက်တယ်။ OCI မှာက online learning အခမဲ့ ဖြေမှ exam ဘာသာရပ်အလိုက်ပိုက်ဆံသွင်းပြီး ဖြေရုံပဲ။

ပြဿနာတခုက မြန်မာမှာက Cloud ဆို AWS, Networking ဆို Cisco, Virtualization(Hypervisor) ဆို VMware ဖြစ်နေကြတာများတယ်။ အဲ့ဒါတွေ အသုံးများတယ်။ အဲ့တော့ တခြားဟာ ဖြေထားရင် သဘောတရားဘယ်လောက်ပဲ တူတယ်ပြောပြော၊ ကျွန်တော် အလုပ်ဖြစ်အောင် လုပ်နိုင်ပါတယ် ဘယ်လောက်ပြောပြော HR စားပွဲပေါ်မှာတင် သည်ကောင်က AWS certified မဟုတ်လို့ ဟိုဟာမဟုတ်လို့ သည်ဟာမဟုတ်လို့နဲ့တင် ပွဲက ပြတ်နေပြီ။ လျှောက်မယ့်အလုပ်ထဲမှာ ကိုယ့်ကို သိတဲ့လူရှိရင်တော့ အဆင်ပြေနိုင်တာပေါ့လေ။

blog မှာ စိတ်ခံစားချက်တွေ စိတ်ထဲရှိတာတွေရော၊ ကျွန်တော်သိတာလေးတွေရော ရေးချင်တာတွေ လျှောက်ရေးနေဖြစ်မယ်။ hashnode က ဆောင်းပါးတွေဖတ်ဖို့အတွက်ကို အခမဲ့ဖြစ်တဲ့အတွက် မီဒီယမ်ထက် ကြိုက်မိတယ်။