امن کردن سرورمجازی لینوکس چگونه انجام میشود؟ سرورهای مجازی لینوکس مزایای زیادی دارند. در حقیقت، VPS لینوکس در مقایسه با دیگر سیستم عاملها مثل ویندوز امنتر است که علت آن نصب بودن LSM (Linux’s security model) است. اما این سیستم کافی نیست و به طور کامل نمیتواند امنیت سرور مجازی شما را تامین کند. در این مطلب قصد داریم ۱۰ روش برای امنتر کردن سرور مجازی لینوکس به شما آموزش دهیم.
لینوکس به طور پیشفرض امنیت مناسبی نسبت به باقی رقیبانش دارد، اما هنوز ضعفهایی در این سیستم وجود دارد که باید رفع گردد.
ما در استادشو ضربالمثلی داریم که میگوییم، سرور خوب، سرور امن است. به همین خاطر راهکارهایی به شما ارائه میدهیم تا بتوانید جلوی دسترسیهای که هکرها از آنها برای نفوذ به سایت و دسترسی به اطلاعات شما استفاده میکنند ببندید.
تکنیکهای که امروز برای امنتر کردن لینوکس به شما آموزش میدهیم، نیاز به تخصص بالایی برای راهاندازی ندارد و به راحتی میتوانید از این روشها استفاده کنید.
در مورد امنیت میزبان وب خود تحقیق کنید
ابتدا باید بدانیم که امنیت ۱۰۰% وجود ندارد و چنین ادعایی نمیتواند علی و فنی باشد.ارائه دهنده هاست مورد نظر باید زیرساخت امنیتی قوی داشته باشد و محافظت بیشتری برای ایمن نگه داشتن سرور ارائه دهد. در مورد سابقه سرویس دهنده خود تحقیق کنید.
غیرفعال کردن لاگین با کاربر روت
یک VPS امن میخواهید؟ شما هرگز نباید به عنوان کاربر روت وارد شوید. به طور پیش فرض، هر سرور مجازی لینوکس یک «root» به عنوان نام کاربری اصلی دارد، در نتیجه هکرها تلاش میکنند تا با حملات bruteforce که انجام میدهند، رمز عبور آنرا به دست آورند و به آن دسترسی پیدا کنند. غیرفعال کردن لاگین از نام کاربری «root» یک سطح امنیت دیگر به سرور شما اضافه میکند و از ورود کاربر روت توسط هکرها جلوگیری میکند.
به جای وارد شدن به عنوان کاربر روت، نیاز خواهید داشت که یک نام کاربری دیگر ایجاد کنید و از دستور «sudo» برای اجرای دستورات سطح روت استفاده کنید. Sudo یک حق دسترسی ویژه است که میتواند به کاربران احرازهویت شده داده شود تا بتوانند دستورات مدیریتی اجرا کنند و نیاز به دسترسی روت را حذف کند.
قبل از غیرفعال کردن کاربر روت دقت داشته باشید که دسترسیهای کاربری که قصد استفاده از آن را دارید به دقت مشخص کرده باشید.
وقتی آماده انجام این کار شدید، در کنسول سرور دستور، را در nano یا vi باز کنید و پارامتر “PermitRootLogin” را بیابید.
به طور پیش فرض، مقدار آن برابر “yes” است .
آن را به “no” تغییر دهید و تغییرات را ذخیره کنید.
برای کاهش آسیب پذیری بهتر است نرم افزارهای موجود را به حداقل برسانید
به این فکر کنید که ایا واقعا به تمامی سرویس هایی که بر روی سرور خود نصب کرده اید نیاز دارید؟ از نصب نرم افزارهای غیر ضروری بر روی سرور اجتناب کنید تا آسیب پذیری آن را کمتر نمایید. از مواردی همچون Yum یا apt-get استفاده کنید تا بتوانید تمامی بسته های نرم افزاری نصب شده بر روی سرور را مرور کنید.
به روز نگه داشتن نرمافزار سرور
به روز نگه داشتن نرم افزار سرور سخت نیست. شما میتوانید به راحتی از مدیر بسته rpm/yum[1] یا apt-get(Ubuntu/ Debian) برای به روزرسانی نسخههای جدیدتر نرم افزار نصب شده، ماژولها و عناصر استفاده کنید.
شما میتوانید حتی سیستم عامل را برای ارسال هشدارهای به روزرسانی بسته yum از طریق ایمیل، پیکربندی کنید. این کار پیگیری تغییرات را آسانتر میکند. و اگر دوست دارید که وظایف را اتوماتیک کنید، میتوانید cronjob را تنظیم کنیدتا همه به روزرسانیهای امنیتی موجود در سمت شما اعمال شوند.
اگر از پنلهای مثل دایرکت ادمین یا سیپنل استفاده میکنید، همیشه آنها را باید بروزرسانی کنید، البته اکثر این این پنلها دارای بروزرسانی خودکار هستند و جای نگرانی نیست.
شما همیشه باید پچهای امنیتی را در اولین فرصت نصب کنید، چرا که هرچه زمان بگذرد امکان نفوذ به سرور شما افزایش پیدا خواهد کرد.
Root Login را غیرفعال کنید
هر VPS لینوکس یک کاربر root دارد که در مقایسه با سایر کاربران دارای بیشترین امتیازات است. مجرمان سایبری ممکن است آنها را برای دسترسی کامل به سرور هدف قرار دهند.
بنابراین، غیرفعال کردن ورود از کاربر root برای ایمن سازی سرور در برابر حملات brute-force بسیار مهم است. همچنین توصیه می کنیم یک نام کاربری جایگزین با امتیاز اجرای دستورات سطح root ایجاد کنید.
حذف ماژولها یا بستههای ناخواسته
احتمالاً شما هم سرویسهایی رو سرور خود دارید که همه برای سرور لینوکس شما لازم نیست. توجه داشته باشید که هرسرویسی که شما از روی سرور خود حذف میکنید کمی از نگرانیهای امنیتی شما کمتر میکند، پس اطمینان حاصل کنید که از سرویسهایی روی سرور خود استفاده میکنید که واقعاً نیاز دارید.
حتماً در آینده هم از نصب نرمافزارهای غیرضروری اجتناب کنید تا مشکلات امنیتی برای شما بوجود نیاید.
از رمز عبور قوی استفاده کنید
رمزهایی حاوی اطلاعات مربوط به هویت یا عبارت رمزی (passphrase) ساده به راحتی قابل حدس زدن هستند. بنابراین یک رمز عبور طولانی و قوی با چندین عنصر مانند حروف کوچک و بزرگ، اعداد و کاراکترهای خاص به افزایش امنیت سرور مجازی لینوکس کمک نموده و انجام این کار سیستم شما را در برابر حملات brute-force ایمن می کند.
علاوه بر این، از یک رمز عبور برای سرورهای مختلف استفاده نکنید.
بسیاری از کاربران هنوز از رمزهایی مانند myP@ssword ، ۱۲۳۴۵ و… استفاده میکنند، این عزیزان براین باروند که مگر من با سرور چکار میکنم که کسی بخواهد من را هک کند!
توجه کنید که شما مالک سرویس هستید و باید امنیت آن را ارتقاء دهید چون مسئولیت سرور با شما خواهد بود. سرورهایی با رمز عبور ضعیف حتی میتوانند در کمتر از یکساعت هک یا آلوده شوند.
از اکستنشن های امنیتی لینوکس استفاده کنید
همانطور که می دانید لینوکس بسته های امنیتی متعددی را ارائه می کند و می توان از این بسته ها برای محافظت از سیستم در برابر برنامه هایی که دچار مشکل شده اند یا به درستی پیکربندی نشده اند استفاده کرد. اگر برایتان ممکن بود از SELinux و سایر اکستنشن های امنیتی لینوکس برای اعمال محدودیت بر روی شبکه خود استفاده کنید. به عنوان مثال SELinux طیف وسیعی از سیاست های امنیتی را برای کرنل لینوکس فراهم می کند.
استفاده از رمزگذاری GnuPG
هکرها معمولا دادهها را زمانی مورد هدف قرار میدهند که داده ها در حال انتقال در شبکه هستند. به همین دلیل است که رمزگذاری انتقالها به سرور با استفاده از پسوردها، کلیدها و گواهیها ضروری است. یک ابزار پرطرفدار GnuPG است، یک سیستم احرازهویت مبتنی بر کلید که برای رمزگذاری ارتباطات استفاده میشود. این سیستم از “کلید عمومی” استفاده میکند که تنها توسط “کلید خصوصی” رمزگشایی میشود که تنها در سمت گیرنده موردنظر موجود است.
پیشنهاد مطالعه: آشنایی با مراحل اولیه راه اندازی وب سایت
پیکربندی دیوار آتش
شما نیاز به یک دیوار آتش دارید اگر بخواهید واقعا یک VPS امن داشته باشید. خوشبختانه، موارد زیادی هستند که بتوان انتخاب کرد. NetFilter یک دیوار آتش است که با هسته لینوکس یکپارچه شده است و شما میتوانید آن را برای فیلتر کردن ترافیک ناخواسته تنظیم کنید. با کمک NetFilter و iptables، شما میتوانید با حملات denial of service (DDos) مقابله کنید. تنظیم دیوارآتش کافی نیست، مطمئن شوید که به درستی پیکربندی شده باشد.
TCPWrapper یک برنامه مفید دیگر است، یک سیستم لیست کنترل دسترسی مبتنی بر میزبان برای فیلتر کردن دسترسی شبکه برای برنامههای مختلف استفاده شده است. این برنامه اعتبارسنجی نام میزبان، logging استانداردشده و حفاظت در مقابل جاسوسی را نیز میدهد، همه آنها به بالا بردن امنیت شما کمک میکنند.
دیوارهای آتش پرطرفدار دیگر شامل CSF و APF هستند، هر دو پلاگینهایی برای پنلهای پرطرفدار مثل cPanel و Plesk دارند. مشکلات در زیرساخت وب سرور میتواند بسیار بد باشد، مثل شنا در یک آب پر از کوسه با دندانهای تیز است.
میلیونها هکر در سراسر دنیا هستند که روی کوچکترین ضعفهای امنیتی VPS شما کار میکنند. لازم است که VPS خود را در مقابل این تهدیدات امن کنید، چون دیر یا زود، هکرها به سراغ شما میآیند.
سایتهای شرکتها و فروشگاههای اینترنتی، بهترین هدفهای هکرهای سراسر دنیا هستند. با این که اکثر شرکتها معیارهای امنیتی پایه را دارند، اما معمولا به راحتی مورد نفوذ قرار میگیرند.
سرورهای مدیریت شده ما شامل مسائل امنیتی و سختسازی امنیتی میشوند. ما امنیت سرورهای شما را مدیریت میکنیم تا شما بتوانید بر کار خود تمرکز داشته باشید.