۱۰ روش امن کردن سرورمجازی لینوکس

 امن کردن سرورمجازی لینوکس چگونه انجام میشود؟ سرورهای مجازی لینوکس مزایای زیادی دارند. در حقیقت، VPS لینوکس در مقایسه با دیگر سیستم عامل‌ها مثل ویندوز امن‌تر است که علت آن نصب بودن LSM (Linux’s security model) است. اما این سیستم کافی نیست و به طور کامل نمی‌تواند امنیت سرور مجازی شما را تامین کند. در این مطلب قصد داریم ۱۰ روش برای امن‌تر کردن سرور مجازی لینوکس به شما آموزش دهیم.

لینوکس به طور پیشفرض امنیت مناسبی نسبت به باقی رقیبانش دارد، اما هنوز ضعف‌هایی در این سیستم وجود دارد که باید رفع گردد.

ما در استادشو ضرب‌المثلی داریم که می‌گوییم، سرور خوب، سرور امن است. به همین خاطر راهکارهایی به شما ارائه می‌دهیم تا بتوانید جلوی دسترسی‌های که هکرها از آنها برای نفوذ به سایت و دسترسی به اطلاعات شما استفاده می‌کنند ببندید.

تکنیک‌های که امروز برای امن‌تر کردن لینوکس به شما آموزش می‌دهیم، نیاز به تخصص بالایی برای راه‌اندازی ندارد و به راحتی می‌توانید از این روش‌ها استفاده کنید.

در مورد امنیت میزبان وب خود تحقیق کنید

ابتدا باید بدانیم که امنیت ۱۰۰% وجود ندارد و چنین ادعایی نمی‌تواند علی و فنی باشد.ارائه دهنده هاست مورد نظر باید زیرساخت امنیتی قوی داشته باشد و محافظت بیشتری برای ایمن نگه داشتن سرور ارائه دهد. در مورد سابقه سرویس دهنده خود تحقیق کنید.

غیرفعال کردن لاگین با کاربر روت

یک VPS امن می‌خواهید؟ شما هرگز نباید به عنوان کاربر روت وارد شوید. به طور پیش فرض، هر سرور مجازی لینوکس یک «root» به عنوان نام کاربری اصلی دارد، در نتیجه هکرها تلاش می‌کنند تا با حملات bruteforce که انجام می‌دهند، رمز عبور آنرا به دست آورند و به آن دسترسی پیدا کنند. غیرفعال کردن لاگین از نام کاربری «root» یک سطح امنیت دیگر به سرور شما اضافه می‌کند و از ورود کاربر روت توسط هکرها جلوگیری می‌کند.

به جای وارد شدن به عنوان کاربر روت، نیاز خواهید داشت که یک نام کاربری دیگر ایجاد کنید و از دستور «sudo» برای اجرای دستورات سطح روت استفاده کنید. Sudo یک حق دسترسی ویژه است که می‌تواند به کاربران احرازهویت شده داده شود تا بتوانند دستورات مدیریتی اجرا کنند و نیاز به دسترسی روت را حذف کند.

قبل از غیرفعال کردن کاربر روت دقت داشته باشید که دسترسی‌های کاربری که قصد استفاده از آن را دارید به دقت مشخص کرده باشید.

وقتی آماده انجام این کار شدید، در کنسول سرور دستور،  را در nano یا vi باز کنید و پارامتر “PermitRootLogin” را بیابید.

به طور پیش فرض، مقدار آن برابر “yes” است .

آن را به “no” تغییر دهید و تغییرات را ذخیره کنید.

برای کاهش آسیب پذیری بهتر است نرم افزارهای موجود را به حداقل برسانید

به این فکر کنید که ایا واقعا به تمامی سرویس هایی که بر روی سرور خود نصب کرده اید نیاز دارید؟ از نصب نرم افزارهای غیر ضروری بر روی سرور اجتناب کنید تا آسیب پذیری آن را کمتر نمایید. از مواردی همچون Yum یا apt-get استفاده کنید تا بتوانید تمامی بسته های نرم افزاری نصب شده بر روی سرور را مرور کنید.

به روز نگه داشتن نرم‌افزار سرور

به روز نگه داشتن نرم افزار سرور سخت نیست. شما می‌توانید به راحتی از مدیر بسته rpm/yum[1] یا apt-get(Ubuntu/ Debian) برای به روزرسانی نسخه‌های جدیدتر نرم افزار نصب شده، ماژول‌ها و عناصر استفاده کنید.

شما می‌توانید حتی سیستم عامل را برای ارسال هشدارهای به روزرسانی بسته yum از طریق ایمیل، پیکربندی کنید. این کار پیگیری تغییرات را آسان‌تر می‌کند. و اگر دوست دارید که وظایف را اتوماتیک کنید، می‌توانید cronjob را تنظیم کنیدتا همه به روزرسانی‌های امنیتی موجود در سمت شما اعمال شوند.

اگر از پنل‌های مثل دایرکت ادمین یا سی‌پنل استفاده می‌کنید، همیشه آنها را باید بروزرسانی کنید، البته اکثر این این پنل‌ها دارای بروزرسانی خودکار هستند و جای نگرانی نیست.

شما همیشه باید پچ‌های امنیتی را در اولین فرصت نصب کنید، چرا که هرچه زمان بگذرد امکان نفوذ به سرور شما افزایش پیدا خواهد کرد.

Root Login را غیرفعال کنید

هر VPS لینوکس یک کاربر root دارد که در مقایسه با سایر کاربران دارای بیشترین امتیازات است. مجرمان سایبری ممکن است آنها را برای دسترسی کامل به سرور هدف قرار دهند.

بنابراین، غیرفعال کردن ورود از کاربر root برای ایمن سازی سرور در برابر حملات brute-force بسیار مهم است. همچنین توصیه می کنیم یک نام کاربری جایگزین با امتیاز اجرای دستورات سطح root ایجاد کنید.

حذف ماژول‌ها یا بسته‌های ناخواسته

احتمالاً شما هم سرویس‌هایی رو سرور خود دارید که همه برای سرور لینوکس شما لازم نیست. توجه داشته باشید که هرسرویسی که شما از روی سرور خود حذف می‌کنید کمی از نگرانی‌های امنیتی شما کمتر می‌کند، پس اطمینان حاصل کنید که از سرویس‌هایی روی سرور خود استفاده می‌کنید که واقعاً نیاز دارید.

حتماً در آینده هم از نصب نرم‌افزار‌های غیرضروری اجتناب کنید تا مشکلات امنیتی برای شما بوجود نیاید.

از رمز عبور قوی استفاده کنید

رمزهایی حاوی اطلاعات مربوط به هویت یا عبارت رمزی (passphrase) ساده به راحتی قابل حدس زدن هستند. بنابراین یک رمز عبور طولانی و قوی با چندین عنصر مانند حروف کوچک و بزرگ، اعداد و کاراکترهای خاص به افزایش امنیت سرور مجازی لینوکس کمک نموده و انجام این کار سیستم شما را در برابر حملات brute-force ایمن می کند.

علاوه بر این، از یک رمز عبور برای سرورهای مختلف  استفاده نکنید.

بسیاری از کاربران هنوز از رمزهایی مانند myP@ssword ، ۱۲۳۴۵ و… استفاده می‌کنند، این عزیزان براین باروند که مگر من با سرور چکار می‌کنم که کسی بخواهد من را هک کند!

توجه کنید که شما مالک سرویس هستید و باید امنیت آن را ارتقاء دهید چون مسئولیت سرور با شما خواهد بود. سرورهایی با رمز عبور ضعیف حتی می‌توانند در کمتر از یکساعت هک یا آلوده شوند.

از اکستنشن های امنیتی لینوکس استفاده کنید

همانطور که می دانید لینوکس بسته های امنیتی متعددی را ارائه می کند و می توان از این بسته ها  برای محافظت از سیستم در برابر برنامه هایی که دچار مشکل شده اند یا به درستی پیکربندی نشده اند استفاده کرد. اگر برایتان ممکن بود از SELinux و سایر اکستنشن های امنیتی لینوکس برای اعمال  محدودیت بر روی شبکه خود استفاده کنید. به عنوان مثال SELinux طیف وسیعی از سیاست های امنیتی را برای کرنل لینوکس فراهم می کند.

استفاده از رمزگذاری GnuPG

هکرها معمولا داده‌ها را زمانی مورد هدف قرار می‌دهند که داده ها در حال انتقال در شبکه هستند. به همین دلیل است که رمزگذاری انتقال‌ها به سرور با استفاده از پسوردها، کلیدها و گواهی‌ها ضروری است. یک ابزار پرطرفدار GnuPG است، یک سیستم احرازهویت مبتنی بر کلید که برای رمزگذاری ارتباطات استفاده می‌شود. این سیستم از “کلید عمومی” استفاده می‌کند که تنها توسط “کلید خصوصی” رمزگشایی می‌شود که تنها در سمت گیرنده موردنظر موجود است.

پیشنهاد مطالعه: آشنایی با مراحل اولیه راه اندازی وب سایت

پیکربندی دیوار آتش

شما نیاز به یک دیوار آتش دارید اگر بخواهید واقعا یک VPS امن داشته باشید. خوشبختانه، موارد زیادی هستند که بتوان انتخاب کرد. NetFilter یک دیوار آتش است که با هسته لینوکس یکپارچه شده است و شما می‌توانید آن را برای فیلتر کردن ترافیک ناخواسته تنظیم کنید. با کمک NetFilter و iptables، شما می‌توانید با حملات denial of service (DDos) مقابله کنید. تنظیم دیوارآتش کافی نیست، مطمئن شوید که به درستی پیکربندی شده باشد.

TCPWrapper یک برنامه مفید دیگر است، یک سیستم لیست کنترل دسترسی مبتنی بر میزبان برای فیلتر کردن دسترسی شبکه برای برنامه‌های مختلف استفاده شده است. این برنامه اعتبارسنجی نام میزبان، logging استانداردشده و حفاظت در مقابل جاسوسی را نیز می‌دهد، همه آنها به بالا بردن امنیت شما کمک می‌کنند.

دیوارهای آتش پرطرفدار دیگر شامل CSF و APF هستند، هر دو پلاگین‌هایی برای پنل‌های پرطرفدار مثل cPanel و Plesk دارند. مشکلات در زیرساخت وب سرور می‌تواند بسیار بد باشد، مثل شنا در یک آب پر از کوسه با دندان‌های تیز است.

میلیون‌ها هکر در سراسر دنیا هستند که روی کوچکترین ضعف‌های امنیتی VPS شما کار می‌کنند. لازم است که VPS خود را در مقابل این تهدیدات امن کنید، چون دیر یا زود، هکرها به سراغ شما می‌آیند.

سایت‌های شرکت‌ها و فروشگاه‌های اینترنتی، بهترین هدف‌های هکرهای سراسر دنیا هستند. با این که اکثر شرکت‌ها معیارهای امنیتی پایه را دارند، اما معمولا به راحتی مورد نفوذ قرار می‌گیرند.

سرورهای مدیریت شده ما شامل مسائل امنیتی و سخت‌سازی امنیتی می‌شوند. ما امنیت سرورهای شما را مدیریت می‌کنیم تا شما بتوانید بر کار خود تمرکز داشته باشید.