حماية خادم منزلك من الهجمات الخارجية.

اليوم ، سأقدم لك بعض النصائح حول كيفية الحصول على خادم منزلي أكثر أمانًا (أو أكبر قليلاً). لكن قبل أن يمزقوني حيا.

لا شيء آمن تمامًا

مع هذا الحجز المحدد جيدًا ، أواصل.

سأقوم بتقسيم الأجزاء ولن أشرح كل عملية بعناية شديدة. سوف أذكرها فقط وأوضح شيئًا أو آخر ، حتى يتمكنوا من الذهاب إلى Google مع فكرة أوضح عما يبحثون عنه.

قبل وأثناء التثبيت

  • يوصى بشدة بتثبيت الخادم "بأقل قدر ممكن". بهذه الطريقة نمنع تشغيل الخدمات التي لا نعلم بوجودها أو ما هي من أجلها. هذا يضمن أن كل الإعداد يعمل بنفسك.
  • يوصى بعدم استخدام الخادم كمحطة عمل يومية. (الذي تقرأ به هذه المشاركة. على سبيل المثال)
  • آمل ألا يحتوي الخادم على بيئة رسومية

التقسيم.

  • من المستحسن أن يتم تخصيص المجلدات التي يستخدمها المستخدم مثل "/ home /" "/ tmp /" / var / tmp / "" / opt / "إلى قسم مختلف عن قسم النظام.
  • يتم وضع المجلدات الهامة مثل "/ var / log" (حيث يتم تخزين كافة سجلات النظام) على قسم مختلف.
  • الآن ، اعتمادًا على نوع الخادم ، إذا كان على سبيل المثال خادم بريد. مجلد "/var/mail و / أو /var/spool/mail»يجب أن يكون قسمًا منفصلاً.

كلمه السر.

لا يخفى على أحد أن كلمة مرور مستخدمي النظام و / أو أنواع الخدمات الأخرى التي تستخدمهم ، يجب أن تكون آمنة.

التوصيات هي:

  • لا يحتوي على: اسمك ، اسم حيوانك الأليف ، اسم الأقارب ، التواريخ الخاصة ، الأماكن ، إلخ. فى الختام. يجب ألا تحتوي كلمة المرور على أي شيء متعلق بك ، أو أي شيء يحيط بك أو بحياتك اليومية ، ولا يجب أن يكون لها أي شيء متعلق بالحساب نفسه.  على سبيل المثال: تويتر # 123.
  • يجب أن تتوافق كلمة المرور أيضًا مع معلمات مثل: الجمع بين الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة.  على سبيل المثال: DiAFsd · 354 دولارًا أمريكيًا

بعد تثبيت النظام

  • إنه شيء شخصي. لكني أحب حذف مستخدم ROOT وتعيين جميع الامتيازات لمستخدم آخر ، لذلك أتجنب الهجمات على هذا المستخدم. يجري شائع جدا.
يجب تحرير ملف / etc / sudoers. هناك نضيف المستخدم الذي نريده أن يكون ROOT ثم نحذف المستخدم القديم (ROOT)
  • من العملي جدًا الاشتراك في قائمة بريدية حيث يعلنون عن ثغرات أمنية في التوزيع الذي تستخدمه. بالإضافة إلى المدونات أو bugzilla أو غيرها من الحالات التي يمكن أن تحذرك من الأخطاء المحتملة.
  • كما هو الحال دائمًا ، يوصى بإجراء تحديث مستمر للنظام وكذلك مكوناته.
  • يوصي بعض الأشخاص أيضًا بتأمين Grub أو LILO و BIOS الخاص بنا بكلمة مرور.
  • هناك أدوات مثل "chage" تسمح للمستخدمين بإجبارهم على تغيير كلمة المرور الخاصة بهم كل X مرة ، بالإضافة إلى الحد الأدنى من الوقت الذي يتعين عليهم الانتظار فيه للقيام بذلك وخيارات أخرى.

هناك طرق عديدة لتأمين جهاز الكمبيوتر الخاص بنا. كل ما سبق كان قبل تثبيت الخدمة. واذكر فقط بعض الأشياء.

هناك كتيبات كثيرة جدا تستحق القراءة. للتعرف على هذا البحر الهائل من الاحتمالات .. بمرور الوقت تتعلم شيئًا أو آخر. وستدرك أنها دائما مفقودة .. دائما ...

الآن دعونا نضمن أكثر من ذلك بقليل خدمات. توصيتي الأولى دائمًا: "لا تترك التكوينات الافتراضية". اذهب دائمًا إلى ملف تكوين الخدمة ، واقرأ قليلاً حول ما تفعله كل معلمة ولا تتركه كما هو مثبت. دائما يجلب مشاكل معها.

ومع ذلك:

SSH (/ etc / ssh / sshd_config)

في SSH يمكننا القيام بالعديد من الأشياء بحيث لا يكون من السهل انتهاكها.

على سبيل المثال:

- لا تسمح بتسجيل الدخول إلى ROOT (في حالة عدم تغييره):

"PermitRootLogin no"

- لا تدع كلمات المرور فارغة.

"PermitEmptyPasswords no"

-تغيير المنفذ الذي يستمع إليه.

"Port 666oListenAddress 192.168.0.1:666"

-تخويل بعض المستخدمين فقط.

"AllowUsers alex ref me@somewhere"   إن me @ في مكان ما هو إجبار هذا المستخدم على الاتصال دائمًا من نفس عنوان IP.

-تخويل مجموعات محددة.

"AllowGroups wheel admin"

نصائح.

  • إنه آمن تمامًا وهو أيضًا إلزامي تقريبًا لمستخدمي ssh من خلال chroot.
  • يمكنك أيضًا تعطيل نقل الملفات.
  • حدد عدد محاولات تسجيل الدخول الفاشلة.

أدوات أساسية تقريبًا.

Fail2ban: تتيح لنا هذه الأداة الموجودة في repos تحديد عدد مرات الوصول إلى العديد من أنواع الخدمات "ftp و ssh و apache ... إلخ" ، مما يحظر عناوين IP التي تتجاوز حد المحاولات.

هاردنرز: إنها أدوات تتيح لنا "تقوية" أو بالأحرى تسليح التثبيت بجدران الحماية و / أو حالات أخرى. بينهم "صلب و Bastille Linux«

أجهزة كشف الدخلاء: هناك العديد من NIDS و HIDS والأدوات الأخرى التي تسمح لنا بمنع الهجمات وحمايتها من خلال السجلات والتنبيهات. من بين العديد من الأدوات الأخرى. موجود "OSSEC«

فى الختام. لم يكن هذا دليل أمان ، بل كان عبارة عن سلسلة من العناصر التي يجب مراعاتها للحصول على خادم آمن إلى حد ما.

كنصيحة شخصية. اقرأ الكثير حول كيفية عرض وتحليل LOGS ، ولنصبح بعض المهووسين بـ Iptables. بالإضافة إلى ذلك ، كلما زاد عدد البرامج المثبتة على الخادم ، كلما أصبحت أكثر عرضة للخطر ، على سبيل المثال ، يجب إدارة نظام إدارة المحتوى بشكل جيد ، وتحديثه وإلقاء نظرة جيدة على نوع المكونات الإضافية التي نضيفها.

أريد لاحقًا إرسال منشور حول كيفية ضمان شيء محدد. هناك إذا كان بإمكاني تقديم المزيد من التفاصيل والقيام بالممارسة.


محتوى المقال يلتزم بمبادئنا أخلاقيات التحرير. للإبلاغ عن خطأ انقر فوق هنا.

8 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   إلينكس قال

    تم الحفظ في المفضلة!

    تحيات!

  2.   إيفان بارا قال

    نصائح ممتازة ، حسنًا ، في العام الماضي ، قمت بتثبيت العديد من أنظمة الأمان والمراقبة في "الخطوط الجوية الوطنية الرئيسية" وفوجئت عندما علمت أنه على الرغم من عشرات الملايين من الدولارات في المعدات (SUN Solaris و Red Hat و VM WARE ، Windows Server ، Oracle DB ، إلخ) ، أمان NADA.

    لقد استخدمت Nagios و Nagvis و Centreon PNP4Nagios و Nessus و OSSEC ، كانت كلمة مرور الجذر معرفة عامة ، حسنًا ، في عام واحد تم تنظيف كل ذلك ، والذي كان يستحق جني الكثير من المال ، ولكن أيضًا الكثير من الخبرة في هذا النوع من الأشياء. لا يضر أبدًا أن تأخذ في الاعتبار كل ما شرحته للتو.

    تحية.

  3.   بلير باسكال قال

    لطيف. مباشرة إلى المفضلة.

  4.   guzman6001 قال

    مقالة رائعة ... <3

  5.   خوان اجناسيو قال

    تشي ، في اليوم التالي يمكنك الاستمرار في شرح كيفية استخدام ossec أو غيرها من الأدوات! جيد جدا المنشور! أكثر من فضلك!

    1.    إيفان بارا قال

      في فبراير ، من أجل إجازتي ، أريد التعاون مع موقع Nagios وأدوات المراقبة.

      تحية.

  6.   كوراتسوكي قال

    مقال جيد ، لقد خططت فقط لإصلاح جهاز الكمبيوتر الخاص بي لكتابة واحدة أكثر شمولاً ، لكنك تقدمت على xD. مساهمة جيدة!

  7.   ارتورو مولينا قال

    أود أيضًا أن أرى منشورًا مخصصًا لكاشفات التسلل. مثل هذا أضفته إلى المفضلة.