بلاگ کندو هاست | مقالات آموزشی VPS و هاستینگ مقالات حرفه ای سرور مجازی ، هاستینگ و مدیریت وب سایت
نکاتی درباره امنیت سرور خود (آموزش امنیت سرور) و اتصال سرور ایمن
هکرها همیشه به دنبال آسیب پذیری سرور هستند. این وظیفه شماست که از امنیت داده های خود اطمینان حاصل کنید. با اجرای نکات و بهترین شیوه های امنیتی سرور ما، خطرات را به حداقل برسانید و مطمئن باشید که داده های شما در سرورهای امن ایمن است.
امنیت سرور
۱- ایجاد و استفاده از یک اتصال امن
هنگام اتصال به سرور از راه دور، ایجاد یک کانال امن برای ارتباط ضروری است. استفاده از پروتکل SSH (Secure Shell) بهترین راه برای ایجاد ارتباط محافظت شده است. برخلاف Telnet قبلاً استفاده شده، دسترسی SSH تمام داده های منتقل شده در مبادله را رمزگذاری می کند.
شما باید SSH Daemon را نصب کرده و یک SSH Client داشته باشید که با آن دستورات را صادر کرده و سرورها را مدیریت کنید تا با استفاده از پروتکل SSH از راه دور دسترسی پیدا کنید.
به طور پیش فرض ، SSH از پورت ۲۲ استفاده می کند. همه ، از جمله هکرها ، این را می دانند. اکثر مردم این جزئیات به ظاهر بی اهمیت را پیکربندی نمی کنند. با این حال ، تغییر شماره پورت راهی آسان برای کاهش احتمال حمله هکرها به سرور شما است. بنابراین ، بهترین روش برای SSH استفاده از شماره های پورت بین ۱۰۲۴ تا ۳۲۷۶۷ است.
توجه: همه تفاوتهای Telnet و SSH و زمان استفاده از آنها را بیاموزید.
۲- از احراز هویت کلیدهای SSH برای امنیت سرور استفاده کنید
به جای گذرواژه، می توانید یک سرور SSH را با استفاده از یک جفت کلید SSH احراز هویت کنید، که جایگزین بهتری برای ورودهای سنتی است. کلیدها بیت های بیشتری نسبت به رمز عبور دارند و به راحتی توسط اکثر رایانه های مدرن کرک نمی شوند. رمزگذاری محبوب RSA 2048 بیتی معادل رمز ۶۱۷ رقمی است.
جفت کلید، شامل یک کلید عمومی و یک کلید خصوصی است.
کلید عمومی دارای چندین نسخه است که یکی از آنها روی سرور باقی می ماند، در حالی که نسخه های دیگر با کاربران به اشتراک گذاشته می شود. هرکسی که کلید عمومی داشته باشد می تواند داده ها را رمزگذاری کند، در حالی که فقط کاربر دارای کلید خصوصی مربوطه می تواند این داده ها را بخواند. کلید خصوصی با هیچ کس به اشتراک گذاشته نمی شود و باید ایمن نگه داشته شود. هنگام برقراری اتصال، سرور قبل از اجازه دسترسی ممتاز، شواهدی را در مورد اینکه کاربر دارای کلید خصوصی است درخواست می کند.
۳- پروتکل انتقال فایل ایمن
برای انتقال پرونده ها به و از یک سرور، بدون خطر هک شدن یا سرقت داده ها، استفاده از پروتکل انتقال فایل ایمن (FTPS) بسیار مهم است که فایل های داده و اطلاعات احراز هویت شما را رمزگذاری می کند.
FTPS از یک کانال فرمان و یک کانال داده استفاده می کند و کاربر می تواند هر دو را رمزگذاری کند. به خاطر داشته باشید که فقط از فایل ها، در هنگام انتقال محافظت می کند. به محض رسیدن به سرور ، داده ها دیگر رمزگذاری نمی شوند. به همین دلیل ، رمزگذاری فایل ها قبل از ارسال آنها یک لایه امنیتی دیگر می افزاید.
۴- گواهینامه لایه سوکت امن برای امنیت سرور
مناطق و فرم های مدیریت وب خود را با (Secure Socket Layer) SSL که اطلاعات منتقل شده بین دو سیستم از طریق اینترنت را محافظت می کند، ایمن کنید. SSL را می توان هم در سرور سرویس گیرنده و هم در ارتباط سرور – سرور استفاده کرد.
این برنامه داده ها را به هم می ریزد تا اطلاعات حساس (مانند نام، شناسه، شماره کارت اعتباری و سایر اطلاعات شخصی) در حمل و نقل دزدیده نشوند. وب سایت هایی که دارای گواهینامه SSL هستند دارای HTTPS در URL هستند که نشان می دهد آنها امن هستند.
گواهیامه SSL نه تنها داده ها را رمزگذاری می کند، بلکه برای احراز هویت کاربر نیز استفاده می شود. بنابراین، با مدیریت گواهی نامه برای سرورهای شما، به ایجاد اختیار کاربر کمک می کند. سرپرستان( ادمین ها) می توانند سرورها را طوری تنظیم کنند که با مرکز متمرکز و هرگونه گواهی دیگری که مقام امضا می کند ارتباط برقرار کنند.
۵- از شبکه های خصوصی و VPN یا VPS استفاده کنید
راه دیگری برای اطمینان از ارتباط ایمن استفاده از شبکه های خصوصی و مجازی خصوصی (VPNs) و نرم افزاری مانند OpenVPN است (راهنمای ما در مورد نصب و پیکربندی OpenVPN در CentOS را ببینید).
برخلاف شبکه های باز که برای جهان خارج قابل دسترسی هستند و بنابراین در معرض حملات کاربران مخرب قرار می گیرند، شبکه های خصوصی و خصوصی مجازی دسترسی کاربران منتخب را محدود می کند.
شبکه های خصوصی از یک IP خصوصی برای ایجاد کانال های ارتباطی جداگانه بین سرورها در محدوده یکسان استفاده می کنند. هچنین به چندین سرور تحت یک حساب اجازه می دهد تا اطلاعات و داده ها را بدون قرار گرفتن در معرض فضای عمومی مبادله کنند.
وقتی می خواهید به یک سرور از راه دور متصل شوید انگار که این کار را به صورت محلی از طریق یک شبکه خصوصی انجام می دهید ، از VPN استفاده کنید. این یک اتصال کاملاً امن و خصوصی را امکان پذیر می کند و می تواند چندین سرور از راه دور را در بر گیرد. برای اینکه سرورها تحت همان VPN ارتباط برقرار کنند ، باید داده های امنیتی و پیکربندی را به اشتراک بگذارند.
۶- نظارت بر ورود به سیستم
استفاده از نرم افزار جلوگیری از نفوذ برای نظارت بر تلاش های ورود به سیستم، راهی برای محافظت از سرور شما در برابر حملات بی رحمانه است. این حملات خودکار از روش آزمایش و خطا استفاده می کند و سعی می کند هر ترکیبی از حروف و اعداد را برای دسترسی به سیستم به دست آورد.
نظارت و مدیریت کاربران امنیت سرور بهتر را تضمین می کند.
نرم افزار جلوگیری از نفوذ بر کلیه پرونده های گزارش نظارت می کند و در صورت وجود ورود مشکوک به سیستم آنرا تشخیص می دهد. اگر تعداد تلاشها بیش از حد معمول باشد ، نرم افزار جلوگیری از نفوذ آدرس IP را برای مدت معینی یا حتی به طور نامحدود مسدود می کند.
۷- مدیریت کاربران
هر سرور دارای یک کاربر اصلی (root user) است که می تواند هر فرمانی را اجرا کند. به دلیل قدرت آن، اگر کاربر اصلی دست به اشتباه بزند، می تواند برای امنیت سرور شما بسیار خطرناک باشد. عملاً غیرفعال کردن ورود کاربر ریشه (اصلی) در SSH به طور کلی رایج است.
از آنجا که کاربر اصلی بیشترین قدرت را دارد ، هکرها توجه خود را بر تلاش برای شکستن رمز عبور آن کاربر خاص متمرکز می کنند. اگر تصمیم بگیرید که این کاربر را به طور کامل غیرفعال کنید ، مهاجمان را در نقطه ضعف قابل توجهی قرار می دهید و سرور خود را از تهدیدات احتمالی نجات می دهید.
برای اطمینان از سوء استفاده افراد خارجی از امتیازات کاربر اصلی ، می توانید یک حساب کاربری محدود ایجاد کنید. این حساب دارای اعتبار یکسان با کاربر اصلی نیست اما همچنان قادر است کارهای اداری را با استفاده از دستورات sudo انجام دهد. بنابراین ، می توانید اکثر وظایف را به عنوان حساب کاربری محدود اداره کنید و فقط در صورت لزوم از حساب اصلی استفاده کنید.
امنیت رمز عبور سرور
۸- الزامات رمز عبور را ایجاد کنید
اولین مورد این است که الزامات و قوانین رمز عبور را تعیین کنید که باید توسط همه اعضای سرور رعایت شود.
گذرواژه های خالی یا پیش فرض را مجاز نکنید. حداقل طول و پیچیدگی گذرواژه را اعمال کنید. سیاست قفل کردن داشته باشید. با استفاده از رمزگذاری برگشت پذیر رمزهای عبور را ذخیره نکنید. زمان فعال شدن جلسه را برای عدم فعالیت فعال کنید و احراز هویت دو عاملی را فعال کنید؛ این به امنیت سرور شما کمک می کند.
۹- تنظیم سیاست انقضای رمز عبور
تعیین تاریخ انقضا برای گذرواژه یکی دیگر از روشهای معمول هنگام تعیین الزامات برای کاربران است. بسته به سطح امنیت مورد نیاز ، رمز عبور ممکن است چند هفته یا چند ماه طول بکشد.
۱۰- از کلمات عبور قوی برای امنیت سرور استفاده کنید
دلایل متعددی وجود دارد که چرا استفاده از عبارت عبور به جای رمز عبور می تواند به افزایش امنیت سرور کمک کند. تفاوت اصلی این دو در این است که عبارت عبور طولانی تر است و فاصله بین کلمات را شامل می شود. بنابراین ، اغلب یک جمله است ، اما لازم نیست یک جمله باشد.
به عنوان مثال ، یک گذرواژه رمز ممکن این چنین باشد:
Ilove! ToEatPizzaAt1676MainSt
مثال داده شده طولانی تر از یک رمز عبور معمولی است و شامل حروف بزرگ و کوچک ، اعداد و نویسه های منحصر به فرد است.
علاوه بر این ، به خاطر سپردن یک عبارت عبور بسیار ساده تر از یک رشته حروف تصادفی است. در نهایت ، از آنجا که از ۴۹ کاراکتر تشکیل شده است ، شکستن آن دشوارتر است.
جمع بندی: ایمن سازی و امنیت سرور شما
پس از خواندن این مقاله و پیروی از توصیه های امنیتی ، باید از امنیت سرور خود اطمینان بیشتری داشته باشید.
بسیاری از اقدامات امنیتی باید در هنگام راه اندازی اولیه سرور اجرا شود ، در حالی که برخی دیگر باید بخشی از نگهداری مداوم یا دوره ای باشند. اگر نظارت بر سرور شما به صورت خودکار انجام نمی شود ، مطمئن شوید که برنامه ریزی های امنیتی برنامه ریزی شده را دنبال کرده اید.
بخش دوم نیز در حال آماده سازی می باشد که به زودی در این وبلاگ منتشر خواهد شد که کاربران اگر همه این موارد را رعایت کنند امنیت سرور خود را بصورت قابل توجهی افزایش خواهند داد.
