راهکارهای امنیتی برای سرور های لینوکس(بخش دوم)
سرورهایی لینوکس مزایای خود را دارند در حقیقت، سرورمجازی لینوکس در مقایسه با سیستم عامل های دیگر مانند ویندوز به دلیل مدل امنیتی لینوکس (LSM)بسیار امن تر است. ولی قطعا همه سرورها به صورت کامل امن نیستند و آسیب پذیرهستند در ادامه مقاله قبلی سعی داریم در این مقاله راه کارهای امنیتی دیگر را جهت بالا بردن امنیت سرورهای مجازی لینوکس عنوان نماییم .
- پیکربندی فایروال :
به عبارت ساده اگر بخواهید یک vps واقعا امن داشته باشید به فایروال نیاز دارید.
Netfilter یک فایروال است که به هسته لینوکس متصل است و شما می توانید آن را برای فیلتر کردن ترافیک ناخواسته پیکربندی کنید باکمک netfilter ، iptables می توانید با حملات DDos مبارزه کنید.
TCPwrapper یک برنامه کاربردی مفید دیگر است host-basedaccess control list (ACL) یک سیستم کنترل دسترسی مبتنی بر میزبانی وب است که برای فیلتر کردن دسترسی به شبکه برای برنامه های مختلف استفاده می شود.
دیگر فایروال های محبوب عبارتند از csf و APF که هر دوپلاگین های برای پنل های محبوب مانند cpanel وپلسک ارائه می دهند.
- استفاده از پارتیشن بندی دیسک
برای امنیت بیشتر، ایده خوبی است که دیسک خود را به گونه ای پارتیشن بندی نمایید تا فایل های مورد استفاده کاربر، فایل های tmp و سایر برنامه های نصب شده روی سیستم خود را دورنگه دارید. شما همچنین می توانید دسترسی SUID/SGTD را غیر فعال کنید و همچنین می توانید اجرای کدهای binaries را روی سیستم عامل غیر فعال کنید(noexec)
- /boot فقط خواندنی شود.
در سرور لینوکس، تمام فایل های خاص هسته در داخل پوشه /boot ذخیره میشوند. اما سطح دسترسی پیش فرض برای این پوشه (read/write) است. برای جلوگیری از خراب شدن فایل های داخل /boot که برای اجرای سیستم عامل بسیارهم هستند بهتر است سطح دسترسی این پوشه را به فقط خواندنی تغییر دهید.
برای تایید سطح دسترسی باید فایل etc/fstab را ویرایش واضافه کنید LABEL=/boot/boot ext2 را به فایل در صورتی که در آینده نیاز به سطح دسترسی read and write داشته باشید می توانید همین خط راویرایش و سطح دسترسی مورد نظر را تغییر دهید.
- بجایی ftp از sftp استفاده کنید.
پروتکل انتقال فایل FTP قدیمی است و دیگر امن نمی باشد حتی زمانی که پروتکل رمزنگاری شده FTPS استفاده می کنید نیز نمی توانید امنیت خود را تامین کنید. هر دوی ftp و ftps هنوز در معرض آسیب پذیری و خراب کردن بسته ها هستند زمانی که یک برنامه کامپیوتری از طریق ترافیک شبکه به سیستم لاگین می کند و یا از آن خارج می شود ftp و ftps به صورت کامل روشن هستند و فقط اعتبار را رمزنگاری می کند.
Sftp یا FtpOverSsh همچنان به عنوان ftp امن شناخته می شود زیرا علاوه بر رمزنگاری کردن اعتبارها ، فایل های که منتقل می شوند نیز رمزنگاری می کند.
- استفاده از firwall :
فایروال شما دروازبان سرور شما است که اجازه دسترسی یا عدم دسترسی به سرور را می دهد و اولین خط دفاع شما دربرابر هکرها است نصب و پیکربندی یک فایروال باید یکی از اولین موردی باشد که شما هنگام نصب و کانفیگ یک سرور مجازی باید آن را انجام دهید.
- نصب نرم افزار antimalvere/antiviras روی سرور
کار اصلی فایروال این است که دسترسی به هرگونه ترافیک مخرب شناخته شده را رد کند و به طور موثر به عنوان اولین خط دفاعی شما عمل می کند اما فایروال نمی تواند به صورت کامل امنیت سرور شما را فراهم کند و شما نیاز دارید یک رم افزار ضد مالور و ضد ویروس نیز روی سرور خود برای افزایش امنیت خود نصب کنید به صورت کلی استفاده از نرم افزارهای رایگان توصیه نمی شود اما در صورتی که به دلیل محدودیت بودجه خود می خواهید ازنرم افزار های رایگان استفاده کنید Clamav و یا maldet دو برنامه منبع باز هستند که میتوانند سرور شما را اسکن کنند و تهدیدات احتمالی را ارزیابی کنند.
- Cms خودرا بروز نگه دارید
Cms های متن باز مانند جوملا ، وردپرس و دروپال در صورتی که بروز نباشند می توانند هدف خوبی برای هکرها باشند. بنابراین لازم است این cms ها به آخرین نسخه ارائه شده از طرف شرکت های مربوطه به روز شوند این بروز رسانی میتواند خودکار و یا به صورت دستی توسط طراح سایت انجام شود.
- cPHulk را در whm فعال کنید:
سی پنل از cPHulk به عنوان یک فایروال قوی استفاده می کند. فایروال ها مصون از خطا نیستند و ممکن است موجب از بین رفتن ترافیک های خوب شوند که این می تواند برای وب سایت شما مضر باشد برای حل این مورد باید تنظیمات فایروال ها را بررسی کرد ولی می توانیم برای امنیت بیشتر از cPHulk استفاده کنید cPHulk مانند یک فایروال دوم عمل می کند و باعث جلوگیری ازحملات خشونت آمیز (تلاش مکرر برای حدس زدن رمز عبور) بر روی سرور می شود. پس cPHulk ابتدا ورود به سیستم را برای هکرمسدود می کند و اگر حملات ادامه داشت فایروال ، کل آی پی را بلاک خواهد کرد.
برای فعال کردن cPHulk لازم است شما اول وارد بخش امنیت whm (WHM Security Center) شوید و گزینه cpHulk Brute Force protection را فعال کنید.
- جلوگیری از آپلود FTP توسط افراد ناشناس
سی پنل و پلسک از آپلود ftp توسط افرادناشناس به صورت پیش فرض جلوگیری می کند اما سایر تنظیمات ممکن به صورت خودکار با آن فعال شود که باید بررسی شود.
اجازه دادن به کاربران ناشناس برای ارسال از طریق ftp یک خطرامنیتی بزرگ است زیرا اجازه می دهد تا هرکسی هر چیزی را که می خواهد برروی سرور آپلود کند. این مورد اصلا توصیه نمی شود مثل این مانند که شما دسته کلیدهای خود را به یک سارق بدهید.
- نصب rootkit scanner :
یکی از خطرناکترین تروجان ها، روت کیت است. این در سطح سیستم عامل وجود دارد لایه قبل از نرم افزار های امنیتی که می تواند دسترسی نامشخص به سرور داشته باشد حذف rootkitآسان نیست و بهترین راه حل برای حل مشکل اغلب نصب مجدد سیستم عامل است. به صورت منظم بک اپ تهیه کنید.
آخرین دیدگاهها