امنیت لینوکس (بخش سوم)

• راه های امن کردن vps لینوکس (بخش اول)
• راه های امن کردن vps لینوکس (بخش دوم)
• راه های امن کردن vps لینوکس (بخش سوم)

توصیه هایی در مورد امنیت لینوکس

در حالیکه ابزارها و پیکربندی های بالا می توانند به شما در ایمن کردن بخش هایی از سیستم شما کمک کنند ، امنیت لینوکس تنها از اجرای یک ابزار و رها نمودن آن ، به دست نمی آید. امنیت خوب ، خود را در طرز فکر خاص آشکار می کند و از طریق سعی و کوشش ، بررسی، و درگیر شدن در امنیت به عنوان یک فرایند ، به دست می آید.

بعضی قوانین کلی وجود دارند که می توانند به تنظیم مسیر درست در رابطه با استفاده امن از سیستم تان کمک کنند .

به آپدیت ها و به روز رسانی منظم توجه کنید

آسیب پذیری های نرم افزار در هر زمان در هر نوع نرم افزار که ممکن است بر روی سیستم خود داشته باشید ، یافت می شود.
نگهدارنده های توزیع به طور کلی کار خوبی در نگهداری ازآخرین افزونه های امنیتی و نشاندن آن آپدیت ها بر روی انبارهای خود، انجام می دهند .
به هر حال ، اگر آپدیت ها را دانلود و نصب نکرده باشید ،داشتن آپدیت های امنیتی موجود در انبار برای سرور شما به خوبی عمل نمی کند.
اگر چه بسیاری از سرورها از نسخه های ثابت و مورد آزمایش قرار گرفته نرم افزار سیستم ، بهره مند می شوند ، افزونه های امنیتی نباید کنار گذاشته شده و باید آپدیت های ضروری در نظر گرفته شوند.
اکثر توزیع ها ، لیست های پستی امنیتی و انبارهای امنیتی جداگانه صرفا برای دانلود و نصب افزونه های امنیتی فراهم می کنند.

در هنگام دانلود نرم افزار خارج از کانال های رسمی مراقب باشید

اکثر کاربران از نرم افزارهای در دسترس از انبارهای رسمی برای توزیع های خودشان استفاده می کنند ، و بیشتر توزیع ها بسته های امضا شده ارائه می کنند . کاربران به طور کلی می توانند به نگهدارنده های توزیع اعتماد کنند و در مورد امنیت نرم افزار پیدا کرده خارج از کانال های رسمی نگران باشند .
شما ممکن است اعتماد به بسته های توزیع های خودتان یا نرم افزاری که در وب سایت رسمی پروژه موجود است را انتخاب کنید ، اما آگاه باشید که مگر در حالتی که شما هر قطعه از نرم افزارتان را بازرسی کنید ، خطری وجود خواهد داشت. اکثر کاربران ، احساس می کنند که این سطح قابل قبولی از خطر است.
از طرف دیگر ، نرم افزارهای پیدا کرده از آرشیوهای تصادفی و بسته های شخصی که توسط مردم یا سازمانهایی که شما نمی شناسید نگهداری می شوند ،می تواند یک ریسک امنیتی بزرگ باشد. هیچ مجموعه قوانینی وجود ندارد و اکثریت منابع نرم افزاری غیر رسمی به احتمال زیاد به طور کامل امن است ، اما آگاه باشید شما در زمانی که به طرف دیگر اعتماد می کنید در حال انجام یک ریسک هستید.
مطمئن باشید که می توانید به خودتان توضیح دهید که چرا به منبع اعتماد می کنید. اگر نمی توانید این کار را انجام دهید ، نگرانی در مورد وزن خطر امنیتی خود را بییشتر از راحتی که به دست خواهید آورد ، در نظر بگیرید.

سرویس های خودتان را بشناسید و آنها را محدود نمایید

اگرچه کل مرحله ی اجرای سرور به احتمال زیاد برای ارائه خدماتی است که شما می توانید دسترسی داشته باشید ، سرویس هایی که بر روی سیستم تان در حال اجرا هستند را به آنهایی که استفاده می کنید و نیاز دارید ،محدود کنید.هر سرویس فعال را یک بردار تهدید احتمالی در نظر بگیرید و سعی کنید که تا آنجائیکه می توانید بردارهای تهدید را بدون تحت تاثیر قرار گرفتن عملکرد هسته خود،حذف نمایید.
این بدین معنی است که اگر شما یک سرور بدون اتصال به نمایشگر را اجرا کرده و هیچ برنامه گرافیکی (غیر وب) را اجرا نمی کنیدT باید X server¹ نمایش داده شده خود را غیرفعال و احتمالا حذف نمایید. اقدامات مشابه را می توان در زمینه های دیگر به کار گرفت. پرینتری ندارید ؟ سرویس ” IP” را غیرفعال کنید. شبکه به اشتراک گذاشته شده ویندوز ندارید؟ سرویس “samba” را غیرفعال کنید.

از FTP استفاده نکنید ؛ به جای آن از sftp استفاده کنید

این ممکن است برای بسیاری از مردم برای اینکه با آن کنار بیایند کار سختی باشد، اما FTP پروتکلی است که ذاتا ناامن است ،همه احراز اهویت در یک متن آشکار ارسال می شود. به این معنی که هر کس که اتصال مابین سرور شما و کامپیوتر محلی را نظاره می کند می تواند جزئیات ورود به سیستم(لاگین) شما را مشاهده کند.
تنها نمونه های کمی وجود دارند که اجرای FTP احتمالا مناسب است .اگر شما در حال اجرای برنامه ی Download mirror فقط خواندنی ، عمومی و ناشناس باشید ، FTP یک انتخاب مناسب و معقول است ، حالت دیگر که FTP یک انتخاب مناسب است موقعی است که شما به سادگی فایلها را مابین دو کامپیوتر که پشت فایروال فعال NAT قرار دارند انتقال می دهید و به اینکه شبکه تان امن است اعتماد دارید.
تقریبا در همه موارد دیگر ، شما باید از جایگزین امن تری استفاده نمایید . مجموعه SSH که همراه با یک پروتکل جایگزین می آید SFTP نام دارد که بر روی رویه یکسان کار می کند اما بر پایه امنیت مشابه بر روی پروتکل SSH است.
این به شما اجازه می دهد که اطلاعات را به-از سرور خودتان به همان روشی ارسال کنید که شما به طور معمول از FTP استفاده می کردید ، اما بدون پذیرفتن ریسک . اکثر سرویس گیرنده های FTPجدید نیز می توانند  با سرویس دهنده SFTP ارتباط برقرار نمایند.

پیاده سازی سیاست های امنیتی کاربری معقول

تعدادی مراحل است که شما می توانید برای امن کردن بهتر سیستم تان زمانی که مدیریت کاربران را بر عهده دارید انجام دهید.
پیشنهاد ما غیرفعال کردن ورود روت است.از آنجائیکه کاربر روت بر روی تمام سیستم های از نوع POSIX (مخفف عبارت رابط سیستم عامل قابل حمل^۲)) موجود است و آن یک حساب کاربری قدرتمند است ، هدف جذاب برای بسیاری از مهاجمان است .غیر فعال کردن ورودهای روت معمولا ایده خوبی برای بعد از این است که شما دسترسی Sudo را تنظیم کرده اید ، و یا با دستور su راحت هستید. بسیاری از مردم با این پیشنهاد مخالف هستند ، اما در صورتی که برای شما مناسب است آن را بررسی نمایید.
غیر فعال کردن ورود به سیستم روت از راه دور با ssh یا غیرفعال کردن ورودهای محلی امکان پذیر است ، شما می توانید محدودیت هایی در فایل /etc/securetty ایجاد کنید . شما همچنین می توانید دسترسی روت از طریق shell را برای غیرفعال کردن آن تنظیم کرده ونیز قوانین PAM (مخفف pluggable authentication module) را برای محدود کردن ورودهای روت راه اندازی کنید. REDHAT دارای یک مقاله خوب در مورد نحوه غیرفعال کردن ورودهای روت است .سیاست خوب دیگر برای اجرا با حساب های کاربری ، ایجاد یک حساب کاربری منحصر به فرد برای هر کاربر و سرویس و دادن مجوز حداقل به آنها است. هر آنچه که دسترسی به آن را نیاز ندارید قفل کنید.
این یک سیاست مهم است به دلیل اینکه اگر یک کاربر یا سرویس به خطر بیفتد ، منجر به این نشود که به مهاجمان اجازه دهد که دسترسی حتی بیشتری از سیستم داشته باشند.این سیستم دفاعی در جداسازی مسائل به شما کمک می کند بسیار شبیه به سیستم دیوارها و درب های ضدآب که می تواند به جلوگیری از غرق شدن یک کشتی که یک نقص در بدنه اش وجود دارد کمک کند.
به همین منوال ، در مورد سیاست های سرویس ها در بالا بحث کردیم ،شما همچنین باید مراقب غیرفعال کردن حساب های کاربری که دیگر لازم نیستند، باشید. این ممکن است وقتی اتفاق بیفتد که شما برنامه ای راحذف می کنید، یا می خواهید جلوی دسترسی یک کاربر را به سیستم بگیرید.

به تنظیمات مجوز توجه داشته باشید

مجوزهای فایل یک منبع بزرگ سرخوردگی برای بسیاری از کاربران است. پیدا کردن یک تعادل برای مجوز که به شما اجازه انجام آنچه شما باید انجام دهید در حالیکه خود را در معرض آسیب قرار ندهید را بدهد ،می تواند مشکل بوده و خواستار توجه دقیق و تفکر در هر سناریو باشد.
راه اندازی یک سیاست umask سالم (خاصیتی که مجوز پیش فرض برای فایل های جدید و دایرکتوری ها را تعریف می کند) می تواند راه طولانی در ایجاد یک پیش فرض خوب باشد. شما می توانید در مورد چگونگی کار مجوز و چگونگی تنظیم مقدار umask خود اینجا را بخوانید.
به طور کلی ، شما باید قبل از تنظیم هر چیز و عمومی کردن آن دوباره فکر کنید به خصوص اگر آن به هر طریقی در اینترنت قابل دسترس باشد. این می تواند عواقب شدیدی داشته باشد. علاوه بر این ، شما نباید بیت SGID یا SUID را تنظیم کنید مگر اینکه کاملا بدانید که چه انجام می دهید. همچنین بررسی کنید که فایل های شما یک مالک و گروه داشته باشند.
تنظیمات مجوزهای فایل شما بسته به استفاده شما تا حد زیادی تفاوت خواهد کرد ، اما شما همیشه باید سعی کنید تا ببینید که آیا راهی برای دریافت توسط مجوزهای کمتر وجود دارد. این یکی از ساده ترین چیزها برای اشتباه کردن است ودر منطقه ای که در آن مشاوره های بسیار بد شناور در اطراف در اینترنت وجود دارد.

چگونه نرم افزار خاصی را که استفاده می کنید امن کنید

با اینکه این راهنما به اندازه کافی برای پرداختن به جزئیات تامین امنیت هر نوع سرویس و یا نرم افزار ، بزرگ نیست ، بسیاری از آموزش ها و دستورالعمل های آنلاین در دسترس وجود دارد. شما باید توصیه های امنیتی مربوط به هر پروژه ای که قصد پیاده سازی آن بر روی سیستم خود دارید را ، مطالعه کنید.
بعلاوه ، نرم افزار سرور پرطرفدار مثل سرورهای وب یا سیستم های مدیریت پایگاه داده ، وب سایت های کامل و پایگاه داده های مختص امنیت دارند. به طور کلی ، شما باید به گردآوری اطلاعات پرداخته و هر سرویس را قبل از قرار دادن آنلاین آن امن کنید.

نتیجه

شما در حال حاضر باید درک مناسبی از شیوه های امنیت عمومی که می توانید بر روی سرور لینوکس خود پیاده سازی کنید ، داشته باشید. درحالیکه ما سخت تلاش کرده ایم ، برای ذکر بسیاری از حوزه های با اهمیت بالا ، در پایان روز شما خودتان باید تصمیمات بسیاری را بگیرید. هنگامی که شما یک سرور را مدیریت می کنید ، باید مسئولیت امنیت سرور خودتان را به عهده بگیرید. این چیزی نیست که شما بتوانید آن را با سرخوشی و به سرعت در آغاز پیکربندی نمایید ، این یک فرایند و تمرین مداوم در بازرسی سیستم شما ، اجرای راه حل ها، ارزیابی Log ها و هشدارها، ارزیابی مجدد با نیازهای شما وغیره می باشد. شما باید در محافظت از سیستم خودتان هوشیار باشید و همیشه نتایج راه حل های خود را ارزیابی و نظارت نمایید.

توضیحات مترجم

X server ¹ برنامه ای در سیستم X Windows است که بر روی کامپیوترهای محلی(کامپیوترهایی که مستقیما توسط کاربران استفاده می شود) اجرا می شود و همه دسترسی به کارت های گرافیکی را به کار می برد و صفحه های نمایش و دستگاههای ورودی (به طور معمول یک صفحه کلید و موس) را بر روی آن کامپیوترها ، نشان می دهد.

Portable Operating System Interface ²

 منبع

ترجمه شده توسط آرزو رنجبرپور