سرورهایی لینوکس مزایای خود را دارند در حقیقت، سرورمجازی لینوکس در مقایسه با سیستم عامل های دیگر مانند ویندوز به دلیل مدل امنیتی لینوکس (LSM)بسیار امن تر است. ولی قطعا همه سرورها به صورت کامل امن نیستند و آسیب پذیرهستند در این مقاله تصمیم داریم راهکار را جهت افزایش امنیت سرور مجازی شما در مقابل هکرها بیان کنیم امنیت پیش فرض لینوکس بسیار خوب است و بهتر از اکثر رقبایش می باشد اما هنوز نقاط ضعفی دارد.
این تکنیک ها نیاز به زمان زیادی ندارند، اما به سطح خاصی از تجربه نیازمند است.
- دسترسی لاگین کاربر root راغیر فعال کنید:
در صورتی که می خواهید یک سرور مجازی (vps) امن داشته باشید هرگز با کاربرroot به آن لاگین نکنید. به طور پیش فرض هر سرور مجازی لینوکس یک کاربر root دارد که هکرها برای دسترسی به سرور شما تلاش برای یافتن رمز عبور کاربرroot می کنند. غیرفعال کردن ورود کاربر root به سرور یک لایه امنیتی دیگر را به سرورمجازی شما اضافه می کند زیرا هکر باید علاوه بر حدس زدن پسورد، نام کاربری شما را نیز حدس بزند.
بجای ورود به عنوان کاربر root شما باید یک نام کاربری دیگر ایجاد کنید و از دستور “sudo” برای اجرای دستورات سطح کاربری root استفاده کنید.
نکته : sudo یک حق دسترسی ویژه است که میتواند به کاربران مجاوز بدهد تا بتوانند دستورات لازم را اجرا کنند ونیاز بهدسترسی root رااز بین می برد.
قبل از غیر فعال کردن root، کاربر غیر root خود را ایجاد کنید و مجوزهای لازم را برای کاربرجدید ایجاد نمایید. زمانی که آماده برای غیر فعال کردن Root هستید به مسیر etc/ssh/sshd-conf بروید آن راتوسط none یا vi ویرایش کنید سپس “PermitRootLogin”را بیابید. این گزینه به صورت پیش فرض به روی yes تنظیم شده است آن را به no تغییر دهید و تغییرات خود را ذخیره کنید.
- تغییرپورت ssh :
پورت پیش فرض ssh عدد 22 است که معمولا هکرها این پورت استفاده می کند برای اضافه کردن یک لایه امنیتی دیگر به vps خود این پورت را به عدد دیگری تغییر دهید. حتما چک کنید که پورت جدید توسط سرویس دیگری در حال استفاده نباشد و تداخل در عملکرد شما ایجاد نکند همچنین اطمینان حاصل کنید که پورت جدید فایروال مسدود نمی باشد جهت تغیی رپورت باید وارد مسیر etc/ ssh/ sshd-config شوید و عدد مقابل port را از 22 به عدد دیگری تغییر دهید.
- نرم افزارهای موجود روی سرور خود را بروز نگه دارید:
بروز رسانی نرم افزار های موجود روی سرور دوشوار نیست. شمابه سادگی می توانید از بسته های مدیریت rpm/yum در سیستم عامل centos/RHEL و یا apt-get در سیستم عامل ابونتو/دبیان برای ارتقاء نسخه های جدید نرم افزار ها و ماژول ها و کامپونت آنها استفاده کنید. شما حتی می توانید سیستم عامل را برای ارسال پیام های بروزرسانی yum به ایمیل شخصی خود پیکربندی کنید تا در مورد آخرین بروزرسانی ها اطلاع داشته باشید و یا حتی میتوانید CronJob تعریف نمایید تا همه بروزرسانی های امنیتی موجود را از طرف شما اعمال کند. در صورتیکه از پنل های مانند پلسک یا سی پنل استفاده می کنید آن نیز باید بروز رسانی شوند اکثر پنل ها را می توانید تنظیم کنید که به صورت خودکار، خود را بروز کنند cpanel از easyApache برای بیشتر بروز رسانی بسته ها استفاده می کند.
در نهایت بهتر است شما هرچه زودتر موارد امنیتی را اعمال نماید هر چه زمان بیشتری برای این کار منتظر باشید احتمال هک شدن سرور شما بیشترمی شود.
- پورت های شبکه ای که استفاده نکرده اید را غیر فعال کنید.
پورت های شبکه باز استفاده نشده در سرور می توانند هدف مناسبی برای استفاده هکرها باشد شما می توانید از این نوع هک سرور خود را با غیر فعال کردن پورت ها محافظت کنید.
از دستور netstat برای مشاهده تمام پورت های شبکه که در حال حاضر باز هستند و خدمات مرتبط با آن استفاده کنید تنظیمات “iptables” را برای بستن تمام پورت های باز بدون استفاده و یا استفاده از دستور chkconfig را برای غیر فعال کردن سرویس های ناخواسته را در نظر بگیرید و اگر از فایروال مانند csf استفاده میکنید، حتی می توانید قوانین iptables را خودکار کنید.
- حذف ماژول ها و پکیچ های ناخواسته :
بعید به نظر می رسد که شما به تمام بسته ها و سرویس های که با توزیع لینوکس ارائه می شود نیاز داشته باشید هر سرویس که نیاز ندارید را حذف کنید هر سرویسی که حذف می کنید یکی از نگرانی های شما حذف می شود پس اطمینان حاصل کنید که فقط سرویس را اجرا می کنید که در واقع از آنها استفاده می کنید.
همچنین از نصب نرم افزار های غیر ضروری اجتناب کنید.
- غیر فعال کردن IPV6:
Ipv6 مزایای متعددی نسبت به Ipv4 دارد، اما بعید است که از آن استفاده کنید. اما آن توسط هکرها، که اغلب ترافیک مخربی را از طریق ipv6 ارسال می کنند،استفاده می شود باز بودن پروتکل می تواند شما را به سمت سوء استفاده های بالقوه سوق دهد برای مقابله با این مشکل مسیر etc/sysconfig/network را جهت ویرایش باز کنید و تنظیمات را به صورت زیر تغییر دهید.
Networking-Ipv6= no and Ipv6INTI=no,
- از رمز گذاری GnuPGاستفاده کنید:
هکره اغلب اطلاعات را در حالی که در حال انتقال از طریق یک شبکه هستند، هدف قرار می دهند. به همین دلیل ضروری است رمز عبور سرور شما با کلیدها و گواهینامه ها رمزگذاری شود. یکی از ابزارهای محبوب GNUPG یک سیستم تایدهویت مبتینی بر کلید است که برای رمز گذاری ارتباطات استفاده می شود. این یک “کلید عمومی” است که تنها با یک “کلید خصوصی” که فقط برای گیرنده درنظر گرفته شده است ، رمز گشایی می شود.
- یک سیاست رمزگذاری قوی داشته باشید:
کلمات عبور ضعیف همیشه یکی از بزرگترین تهدیدات امنیتی بوده و همیشه نیز وجود خواهند داشت. اجازه ندهید که حساب های کاربری دارای رمز های عبورضعیف و یا فیلدهای خالی مانند (123456) یا qwerty1234 باشند. شما میتوانید امنیت خود را با انتخاب پسوردهای پیچیده که شامل حروف کوچک و بزرگ و اعداد و علایم خاص هستند افزایش دهید همچنین برروی سیستم خود password agind رافعال کنید.
تا کاربران مجبور شوند در فواصل زمانی پسورد خود را تغییردهند واز پسوردهای قدیمی خود نتوانند استفاده کنند.
- به صورت منظم بک اپ تهیه کنید.
پشتیبانی گیری منظم از سرور یک اصل مهم در امنیت است زیرا هرچه هم که سرور امن باشد ممکن است هکرها روش جدیدی برای هک پیدا کنند و داشتن پشتیبان از سرور راه حل نهایی هر سرور است.
در مقاله بعدی سعی خواهد شد مطالب بیشتری در رابطه با امنیت سرور مجازی لینوکس در اختیار شما قرار دهیم.