10 خطوات أساسية لتكوين خادم جديد

  • 292 المشاهدات
  • قراءة دقيقة واحدة
هادي بهادوري
  • 26 أكتوبر 2024
0 الأسهم
0
0
0
0
0
الأسهم
0
0
0
0

مقدمة

هذا خادم لينكس جديد رائع لديك... سيكون من المؤسف أن يحدث له مكروه. قد يعمل فورًا، ولكن قبل تشغيله، هناك عشر خطوات يجب عليك اتباعها للتأكد من أمان إعداداتك. قد تختلف تفاصيل هذه الخطوات من توزيعة لأخرى، ولكن المفهوم ينطبق على أي توزيعة لينكس. باتباع هذه الخطوات على الخوادم الجديدة، يمكنك ضمان حصولها على حماية أساسية على الأقل ضد أكثر الهجمات الإلكترونية شيوعًا.

1- تكوين المستخدم

أول ما عليك فعله، إن لم يكن مُضمنًا في إعدادات نظام التشغيل لديك، هو تغيير كلمة مرور الجذر. من المفترض أن يكون هذا واضحًا، ولكن قد يتم إغفاله بشكل مفاجئ أثناء إعداد الخادم. يجب ألا تقل كلمة المرور عن 8 أحرف، وأن تجمع بين الأحرف الكبيرة والصغيرة والأرقام والرموز. أيضًا، إذا كنت ستستخدم حسابات محلية، فعليك إعداد سياسة كلمة مرور تحدد العمر، والحظر، والسجل، ومتطلبات التعقيد. في معظم الحالات، يجب تعطيل حساب الجذر تمامًا وإنشاء حسابات غير جذرية مع وصول sudo لمن يحتاجون إلى صلاحيات أعلى.

2- تكوين الشبكة

من أبسط الإعدادات التي عليك القيام بها تفعيل اتصال الشبكة بتعيين عنوان IP واسم مضيف للخادم. بالنسبة لمعظم الخوادم، ستحتاج إلى استخدام عنوان IP ثابت ليتمكن العملاء دائمًا من العثور على المورد على نفس العنوان. إذا كانت شبكتك تستخدم شبكات VLAN، ففكر في مدى عزلة قسم الخادم والمكان الأمثل لوضعه. إذا كنت لا تستخدم IPv6، فأوقف تشغيله. قم بإعداد اسم المضيف والنطاق ومعلومات خادم DNS. يجب استخدام خادمي DNS أو أكثر للتكرار، ويجب عليك اختبار nslookup للتأكد من أن تحليل الأسماء يعمل بشكل صحيح.

3- إدارة الحزم

من المحتمل أنك تُعدّ خادمك الجديد لغرض مُحدد، لذا ثبّت أي حزم قد تحتاجها إذا لم تكن مُضمنة في التوزيعة التي تستخدمها. قد تكون هذه حزم أدوات مساعدة مثل PHP أو MongoDB أو ngnix أو حزم دعم مثل pear. وبالمثل، يُنصح بإزالة أي حزم إضافية مُثبّتة على نظامك لتقليل حجم الخادم. يجب القيام بكل هذا من خلال حل إدارة الحزم الخاص بتوزيعتك، مثل Yum أو apt، لتسهيل الإدارة لاحقًا.

4 – تحديث التثبيت والتكوين

بعد تثبيت الحزم الصحيحة على خادمك، تأكد من تحديث كل شيء. ليس فقط الحزم المثبتة، بل أيضًا نواة النظام والحزم الافتراضية. ما لم تكن بحاجة إلى إصدار محدد، يُنصح دائمًا باستخدام أحدث إصدار إنتاجي للحفاظ على أمان نظامك. عادةً، يوفر حل إدارة الحزم لديك أحدث إصدار مدعوم. يجب عليك أيضًا إعداد التحديثات التلقائية في أداة إدارة الحزم إذا كان ذلك مناسبًا للخدمة (الخدمات) التي تستضيفها على هذا الخادم.

5- تكوين NTP

قم بتكوين خادمك لمزامنة وقته مع خوادم NTP. يمكن القيام بذلك إذا كانت بيئتك تحتوي على خوادم NTP داخلية، أو خوادم وقت خارجية يمكن لأي شخص الوصول إليها. المهم هو منع انحراف الساعة، حيث تنحرف ساعة الخادم عن الوقت الحقيقي. قد يسبب هذا العديد من المشاكل، بما في ذلك مشاكل المصادقة حيث يتم قياس الانحراف الزمني بين الخادم والبنية التحتية للمصادقة قبل منح الوصول. من المفترض أن تكون هذه حيلة بسيطة، ولكن البنية التحتية الموثوقة ضرورية.

6 – جدار الحماية و iptables

بناءً على توزيعك، قد تكون الجداول مغلقة تمامًا وتطلب منك فتح ما تحتاجه، ولكن بغض النظر عن التكوين الافتراضي، يجب عليك دائمًا التحقق والتأكد من إعداده بالطريقة التي تريدها. تذكر دائمًا اتباع مبدأ الحد الأدنى من الامتيازات وفتح المنافذ التي تحتاجها فقط للخدمات على ذلك الخادم. إذا كان خادمك محميًا بجدار حماية مخصص، فتأكد من رفض أي شيء باستثناء ما هو مطلوب هناك. بافتراض أن iptables/جدار الحماية لديك مقيد افتراضيًا، فلا تنسَ فتح ما تحتاجه لتشغيل خادمك!

7- تأمين SSH

SSH هو الوسيلة الأساسية للوصول عن بُعد لتوزيعات لينكس، ولذلك يجب تأمينه بشكل صحيح. يجب عليك تعطيل قدرة المستخدم الجذر على استخدام SSH عن بُعد، حتى لو عطلت الحساب، بحيث لا يمكن استغلاله عن بُعد حتى لو تم تفعيله على الخادم لسبب ما. يمكنك أيضًا تقييد SSH بنطاقات عناوين IP محددة إذا كانت لديك مجموعة ثابتة من عناوين IP الخاصة بالعملاء المتصلين. اختياريًا، يمكنك تغيير منفذ SSH الافتراضي لجعله مُبهمًا، ولكن في الواقع، سيكشف فحص بسيط عن المنفذ الجديد المفتوح لأي شخص يرغب في العثور عليه. أخيرًا، يمكنك تعطيل مصادقة كلمة المرور تمامًا واستخدام المصادقة القائمة على الشهادات لتقليل فرص استغلال SSH بشكل أكبر.

8 – تكوين الديمون

لقد نظّفت حزمك، ولكن من المهم أيضًا ضبط البرامج الصحيحة لتبدأ تلقائيًا عند إعادة التشغيل. تأكد من إيقاف تشغيل أي برامج شيطانية لا تحتاجها. من أساسيات خادم آمن تقليل المساحة النشطة قدر الإمكان، بحيث تكون المناطق السطحية الوحيدة المتاحة للهجوم هي تلك التي يتطلبها التطبيق (التطبيقات). بعد ذلك، يجب تعزيز الخدمات المتبقية قدر الإمكان لضمان مرونتها.

9 – SELinux والمزيد من التحصين

إذا سبق لك استخدام توزيعات Red Hat، فربما تكون على دراية بـ SELinux، وهي أداة لتعزيز نواة النظام تحميه من عمليات متعددة. تتميز SELinux بقدرتها الفائقة على الحماية من الاستخدام غير المصرح به والوصول إلى موارد النظام. كما أنها ممتازة في تعطيل التطبيقات، لذا تأكد من اختبار إعداداتك مع تفعيل SELinux، واستخدم السجلات للتأكد من عدم حظر أي تطبيقات شرعية. علاوة على ذلك، يُنصح بالبحث في تطبيقات تعزيز نواة النظام مثل MySQL أو Apache، فكلٌّ منها لديه مجموعة من أفضل الممارسات التي يجب اتباعها.

10 – تسجيل الدخول

أخيرًا، تأكد من تفعيل مستوى التسجيل المطلوب وتوافر الموارد الكافية له. ستتمكن في النهاية من استكشاف أخطاء هذا الخادم وإصلاحها، لذا أنشئ بنية التسجيل اللازمة لحل المشكلات بسرعة. تحتوي معظم البرامج على سجلات قابلة للتكوين، ولكن ستحتاج إلى بعض التجارب والاختبارات لإيجاد التوازن الأمثل بين المعلومات غير الكافية وغير الكافية. تتوفر العديد من أدوات التسجيل الخارجية التي تساعدك في كل شيء، من التجميع إلى التصور، ولكن يجب مراعاة احتياجات كل بيئة أولًا. بعد ذلك، يمكنك العثور على الأداة (الأدوات) التي ستساعدك على تلبية هذه الاحتياجات.

نتيجة

قد يستغرق إكمال كل خطوة من هذه الخطوات بعض الوقت، خاصةً في المرة الأولى. ولكن بإنشاء روتين أولي لتكوين الخادم، يمكنك ضمان مرونة الأجهزة الجديدة في بيئتك. قد يؤدي عدم إكمال أي من هذه الخطوات إلى عواقب وخيمة للغاية في حال تعرض خادمك لأي هجوم. اتباعها لا يضمن الأمان - فقد تحدث خروقات للبيانات - ولكنه يُصعّب على الجهات الخبيثة تجاوزها، ويتطلب مهارة عالية.

في هذه المقالة:
,
تم كتابة التدوينة بواسطة:
يتبع
اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

المقال السابق
المقال التالي
قد يعجبك أيضاً