Web Analytics

آموزش افزایش سطح امنیت سرور مجازی لینوکس به صورت تخصصی از دیاکو وب

آی تی جو بستری جهت درج تبلیغات دانش محور محصولات شما

حفظ امنیت سرور لینوکس برای محافظت از داده ها بسیار مهم است، مالکیت معنوی و زمان شما در برابر دستان کرکرها (هکرها) است. یک مدیر سیستم مسئول امنیت سرور لینوکس است. در این مقاله که یک خلاصه از وبلاگ تخصصی مجموعه میزبانی دیاکو وب است را از سری امنیت سرور لینوکس، 40 نکته مقاوم سازی سرور لینوکس را برای یک سرور با نصب پیش‌فرض سیستم لینوکس برای شما منتشر می‌کنیم.

امنیت سرور لینوکسی

نکات امنیتی و چک لیست افزایش امنیت سرور لینوکس

            1. رمزگذاری ارتباطات داده برای سرور لینوکس

            2. استفاده از خدمات FTP، Telnet و Rlogin/Rsh در لینوکس خوداری کنید

            3. نرم افزار را برای به حداقل برسانید آسیب پذیری در لینوکس به حداقل میرسد

            4. یک سرویس در هر شبکه و یک سرویس در هر سرور

            5. هسته و همه نرم افزارهای لینوکس را به روز نگه دارید

            6. از برنامه های افزودنی امنیتی لینوکس استفاده کنید

            7. SELinux

            8. حساب های کاربری لینوکس و پیروی از قوانین رمز عبور قوی

            9. برای امنیت بهتر رمز عبور را برای کاربران لینوکس به صورت دوره ای تنظیم کنید

            10. محدود سازی کاربردی از رمزهای عبور قبلی در لینوکس

            11. قفل کردن حساب های کاربری پس از عدم موفقیت در ورود

            12. چگونه می توانم مطمئن شوم که هیچ حساب کاربری رمز عبور خالی ندارد؟

            13. مطمئن شوید که هیچ حساب غیر ریشه ای UID روی 0 تنظیم نشده باشد

            14. Root Login را غیرفعال کنید

            15. امنیت سرور فیزیکی

            16. خدمات ناخواسته لینوکس را غیرفعال کنید

یادداشتی در مورد توزیع و خدمات لینوکس مبتنی بر سیستم

            17. پورت های باز شنونده شبکه را پیدا کنید

            18. سیستم های پنجره ایکس (X11) را حذف کنید

            19. فایروال مبتنی بر Iptables و TCPWrappers را روی لینوکس پیکربندی کنید

            20: افزایش مقاومت هسته /etc/sysctl.conf لینوکس

            21. پارتیشن های دیسک جداگانه برای سیستم لینوکس

            22. سهمیه دیسک

            23. IPv6 را فقط در صورتی خاموش کنید که از آن در لینوکس استفاده نمی کنید

            24. باینری های SUID و SGID ناخواسته را غیرفعال کنید

            25: فایل های قابل نوشتن عمومی روی سرور لینوکس

            26. Noowner Files

            27. از سرویس احراز هویت متمرکز استفاده کنید

            28. Kerberos

            29. ثبت و حسابرسی

            30. پیام‌های گزارش مشکوک را با Logwatch و Logcheck نظارت کنید

            31. حسابداری سیستم با حسابرسی

            32. سرور OpenSSH را ایمن کنید

            33. نصب و استفاده از سیستم تشخیص نفوذ

            34. دستگاه های USB/Firewire/Thunderbolt را غیرفعال کنید

            35. سرویس های استفاده نشده را غیرفعال کنید

            36. از fail2ban/denyhost به عنوان IDS استفاده کنید (نصب یک سیستم تشخیص نفوذ)

            37. سرور Apache/PHP/Nginx ایمن

            38. حفاظت از فایل ها، فهرست راهنماها و ایمیل

            39. پشتیبان گیری

            40. سایر توصیه ها و نتیجه گیری ها

به علت طولانی بودن این مقاله و از آنجایی که تخصصی می‌باشد و به صورت مادام بروزرسانی می شود توصیه می‌کنیم که مقاله آموزشی کامل را در وب سایت دیاکو وب در این لینک مطالعه بفرمایید.

خلاصه ای از مقابه بدون کدهای دستوری برای شما در اینجا منتشر میکنیم:

1. رمزگذاری ارتباطات داده برای سرور لینوکس

تمام داده های منتقل شده از طریق یک شبکه برای نظارت باز است. در صورت امکان، داده های ارسال شده را با رمز عبور یا با استفاده از کلیدها / گواهی ها رمزگذاری کنید.

2. استفاده از خدمات FTP، Telnet و Rlogin/Rsh در لینوکس خوداری کنید

در اکثر پیکربندی‌های شبکه، نام‌های کاربری، گذرواژه‌ها، دستورات FTP / telnet / rsh و فایل‌های منتقل‌شده می‌توانند توسط هر کسی در همان شبکه با استفاده از sniffer بسته ضبط شوند.

3. نرم افزار را برای به حداقل برسانید آسیب پذیری در لینوکس به حداقل میرسد

آیا واقعاً نیاز به نصب انواع وب سرویس دارید؟ برای جلوگیری از آسیب پذیری نرم افزاری، از نصب نرم افزارهای غیر ضروری خودداری کنید.

4. یک سرویس در هر شبکه و یک سرویس در هر سرور

سرویس های مختلف شبکه را روی سرورهای جداگانه یا ماشین مجازی جداگانه اجرا کنید. این تعداد خدمات گوناگون را که ممکن است در معرض خطر قرار گیرند محدود می کند.

5. هسته و همه نرم افزارهای لینوکس را به روز نگه دارید

بروزرسانی وصله های امنیتی بخش مهمی از حفظ سرور لینوکس است. لینوکس تمام ابزارهای لازم را برای به روز نگه داشتن سیستم شما فراهم می کند و همچنین امکان ارتقاء آسان بین نسخه ها را فراهم می کند.

6. از برنامه های افزودنی امنیتی لینوکس استفاده کنید

لینوکس دارای وصله‌های امنیتی مختلفی است که می‌توان از آنها برای محافظت در برابر برنامه‌های پیکربندی نادرست یا در معرض خطر استفاده کرد.

7. SELinux

دیاکو وب به شما به شدت توصیه می کند از SELinux استفاده کنید که یک کنترل دسترسی اجباری انعطاف پذیر (MAC) ارائه می دهد. تحت کنترل استاندارد دسترسی اختیاری لینوکس (DAC)، برنامه یا فرآیندی که به عنوان کاربر اجرا می شود (UID یا SUID) دارای مجوزهای کاربر برای اشیایی مانند فایل ها، سوکت ها و سایر فرآیندها است.

8. حساب های کاربری لینوکس و پیروی از قوانین رمز عبور قوی

از دستورات useradd / usermod برای ایجاد و نگهداری حساب های کاربری استفاده کنید. مطمئن شوید که یک قانون پایدار رمز عبور خوب و قوی دارید. به عنوان مثال، یک رمز عبور خوب شامل حداقل 10 کاراکتر و ترکیبی از حروف الفبا، عدد، نویسه خاص، الفبای بالا و پایین و غیره است.

9. برای امنیت بهتر رمز عبور را برای کاربران لینوکس به صورت دوره ای تنظیم کنید

دستور chage تعداد روزهای بین تغییر رمز عبور و تاریخ آخرین تغییر رمز را تغییر می دهد. این اطلاعات توسط سیستم برای تعیین زمانی که کاربر باید رمز عبور خود را تغییر دهد استفاده می شود.

10. محدود سازی کاربردی از رمزهای عبور قبلی در لینوکس

شما می‌توانید از استفاده یا استفاده مجدد از رمزهای عبور قدیمی در لینوکس برای همه کاربران جلوگیری کنید.

11. قفل کردن حساب های کاربری پس از عدم موفقیت در ورود

در لینوکس می‌توانید از دستور faillog برای نمایش رکوردهای خطا یا تعیین محدودیت‌ها در صورت عدم موفقیت ورود استفاده کنید.

12. چگونه می توانم مطمئن شوم که هیچ حساب کاربری رمز عبور خالی ندارد؟

همیشه باید اطمینان حاسب کنید که حساب کاربری در سرور لینوکس بدون پسورد یا پسورد ساده وجود نداشته باشد.

13. مطمئن شوید که هیچ حساب غیر ریشه ای UID روی 0 تنظیم نشده باشد

فقط حساب ریشه دارای UID 0 با مجوزهای کامل برای دسترسی به سیستم است.

14. Root Login را غیرفعال کنید

هرگز به عنوان کاربر root وارد سیستم نشوید. شما باید از sudo برای اجرای دستورات سطح ریشه در صورت لزوم استفاده کنید.

15. امنیت سرور فیزیکی

شما باید از دسترسی فیزیکی کنسول سرورهای لینوکس محافظت کنید. BIOS را پیکربندی کنید و بوت شدن از دستگاه های خارجی مانند DVD / CD / قلم USB را غیرفعال کنید. بایوس و پسورد grub boot loader را برای محافظت از این تنظیمات تنظیم کنید.

16. خدمات ناخواسته لینوکس را غیرفعال کنید

همه سرویس ها و دیمون های غیر ضروری (سرویس هایی که در پس زمینه اجرا می شوند) را غیرفعال کنید.

17. پورت های باز شنونده شبکه را پیدا کنید

از دستور برای لیست کردن همه پورت های باز و برنامه های مرتبط استفاده کنید.

18. سیستم های پنجره ایکس (X11) را حذف کنید

سیستم های پنجره X روی سرور مورد نیاز نیست. دلیلی برای اجرای X11 بر روی سرور اختصاصی وب مبتنی بر لینوکس و وب سرور Apache/Nginx وجود ندارد. برای بهبود امنیت و عملکرد سرور می توانید X Windows را غیرفعال و حذف کنید

19. فایروال مبتنی بر Iptables و TCPWrappers را روی لینوکس پیکربندی کنید

Iptables یک برنامه کاربردی فضای کاربری است که به شما امکان می دهد فایروال (Netfilter) ارائه شده توسط هسته لینوکس را پیکربندی کنید.

20: افزایش مقاومت هسته /etc/sysctl.conf لینوکس

فایل /etc/sysctl.conf برای پیکربندی پارامترهای هسته در زمان اجرا استفاده می شود.

21. پارتیشن های دیسک جداگانه برای سیستم لینوکس

جداسازی فایل های سیستم عامل از فایل های کاربر ممکن است منجر به سیستم بهتر و ایمن شود.

22. سهمیه دیسک

مطمئن شوید که سهمیه دیسک برای همه کاربران فعال است.

23. IPv6 را فقط در صورتی خاموش کنید که از آن در لینوکس استفاده نمی کنید

پروتکل اینترنت نسخه 6 (IPv6) یک لایه اینترنت جدید از مجموعه پروتکل TCP/IP را ارائه می دهد که جایگزین پروتکل اینترنت نسخه 4 (IPv4) شده و مزایای زیادی را ارائه می دهد.

24. باینری های SUID و SGID ناخواسته را غیرفعال کنید

وقتی فایل اجرایی SUID/SGID دارای یک مشکل امنیتی یا باگ باشد، می‌توان از تمامی فایل‌های فعال بیت‌های SUID/SGID سوء استفاده کرد.

25: فایل های قابل نوشتن عمومی روی سرور لینوکس

هر کسی می تواند فایل قابل نوشتن جهان را تغییر دهد که منجر به یک مشکل امنیتی می شود.

26. Noowner Files

فایل هایی که متعلق به هیچ کاربر یا گروهی نیستند می توانند مشکل امنیتی ایجاد کنند.

27. از سرویس احراز هویت متمرکز استفاده کنید

بدون یک سیستم احراز هویت متمرکز، داده‌های تأیید اعتبار کاربر متناقض می‌شوند، که ممکن است منجر به اعتبارنامه‌های قدیمی و حساب‌های فراموش شده شود که در ابتدا باید حذف می‌شدند.

28. Kerberos

Kerberos احراز هویت را به عنوان یک سرویس احراز هویت شخص ثالث قابل اعتماد با استفاده از راز مشترک رمزنگاری با این فرض انجام می‌دهد که بسته‌هایی که در طول شبکه ناامن حرکت می‌کنند را می‌توان خواند، اصلاح کرد و درج کرد.

29. ثبت و حسابرسی

برای جمع‌آوری تمام تلاش‌های هک و کرک، باید لاگ و ممیزی را پیکربندی کنید.

30. پیام‌های گزارش مشکوک را با Logwatch و Logcheck نظارت کنید

گزارش های خود را با استفاده از دستور logwatch ( logcheck ) بخوانید.

31. حسابداری سیستم با حسابرسی

حسابرسی شده برای ممیزی سیستم ارائه شده است. وظیفه نوشتن سوابق ممیزی روی دیسک را بر عهده دارد.

32. سرور OpenSSH را ایمن کنید

پروتکل SSH برای ورود از راه دور و انتقال فایل از راه دور توصیه می شود.

33. نصب و استفاده از سیستم تشخیص نفوذ

سیستم تشخیص نفوذ شبکه (NIDS) یک سیستم تشخیص نفوذ است که تلاش می‌کند فعالیت‌های مخربی مانند حملات انکار سرویس، اسکن پورت یا حتی تلاش برای نفوذ به رایانه‌ها را با نظارت بر ترافیک شبکه شناسایی کند.

34. دستگاه های USB/Firewire/Thunderbolt را غیرفعال کنید

دستورهای را برای غیرفعال کردن دستگاه‌های USB در سیستم عامل لینوکس در دیاکو وب برسی کنید.

35. سرویس های استفاده نشده را غیرفعال کنید

می‌توانید سرویس‌های بلااستفاده را با استفاده از دستور service /systemctl غیرفعال کنید.

36. از fail2ban/denyhost به عنوان IDS استفاده کنید (نصب یک سیستم تشخیص نفوذ)

Fail2ban یا denyhost فایل های log را برای تعداد زیادی تلاش ناموفق برای ورود اسکن می کند و آدرس IP را که علائم مخرب را نشان می دهد مسدود می کند.

37. سرور Apache/PHP/Nginx ایمن

فایل httpd.conf را ویرایش کنید و موارد امنیتی به آنها اضافه کنید.

38. حفاظت از فایل ها، فهرست راهنماها و ایمیل

لینوکس محافظت بسیار خوبی در برابر دسترسی غیرمجاز به داده ها ارائه می دهد.

39. پشتیبان گیری

نمی توان به اندازه کافی تاکید کرد که چقدر مهم است که یک نسخه پشتیبان از سیستم لینوکس خود تهیه کنید. که البته این نکنه فراموش نشود که سرویس پشتیبان گیری هزینه ماهیانه زیادی دارد که در محصولات سرور مجازی دیاکو وب این فضا به صورت رایگان به کاربر به عنوان هدیه همکاری ارائه می شود.

40. سایر توصیه ها و نتیجه گیری ها

هیچ زمان مطمئن نباشید که سرور شما 100% مطمئن است. همیشه راه نفوذی هست یا ایجاد می شود و یا کشف خواهد شد، پس همیشه سعی کنید به روز باشید و در حال برسی و مانیتورینگ سیستم باشید، از بک آپ گیری و کد گذاری دیتا حساس چشم پوشی نکنید. در صورتی که تازه کار هستید و به تازگی با سیستم عامل لینوکس و سرور مجازی با سیستم عامل لینوکس آشنا شده اید و در جهت آموزش و تست می خواهید یک سرور موقت با هزینه بسیار کم و یا حتی رایگان داشته باشید می توانید از اینجا یک سرویس موقت با هزینه بسیار کم تهیه و تمرین امنیتی و بهینه سازی بر روی آن انجام دهید و در صورت بروز هر نوع مشکل نیز به آسانی سیستم عامل در چند ثانیه مجدد نصب کنید.

توجه! این مطلب یک رپورتاژ آگهی است و محتوای آن توسط تبلیغ دهنده نگارش شده است.
آی تی جو مسئولیتی در قبال صحت و سقم محتوای تبلیغاتی ندارد.