امنیت یکی از مهم ترین مسائل در خصوص مدیریت سرور های مجازی می باشد که مناسفانه اکثر اوغات به آن توجه زیادی نمی شود؛ و زمانی این مسئله هائز اهمیت می گردد که کار از کار گذشته است! در این پست سعی داریم موارد کلی جهت افزایش امنیت سرور مجازی لینوکس را شرح دهیم.
رمز عبور قوی انتخاب کنید
چه قدر مسئله رمز عبور برای شما مهم است؟ آیا بعد از خرید سرور مجازی رمز عبوری که فروشنده برایشما در نظر گرفته را تغییر می دهید؟ آیا ترجیح می دهید یک رمز عبور ساده داشته باشید تا همیشه آن را به یاد داشته باشید؟ انتخاب رمز عبور قوی که شامل اعداد و حروف و کارکتر های خاص باشد و همچنین تغییر دوره ای رمز عبور از مسائلی است که همیشه باید به آن توجه داشته باشید؛ در سرور های لینوکس می تواید با Putty به SSH متصل شوید و از طریق دستور زیر یک رمز عبور قوی برای خود انتخاب نمایید:
passwd
همچنین شما می توانید نام کاربری پیشفرض که ROOT باشد را نیز جهت امنیت بیشتر تغییر دهید! برای ساخت یوزر جدید از طریق دستور زیر افدام نمایید:
/usr/sbin/adduser newuser
به جای newuser نام کاربری مورد نظر را قرار دهید و سپس از دستور زیر برای ایجاد یک رمز فوی برای این یوزر اقدام نمایید:
passwd newuser
حالا باید سطح دسترسی بهاین یوزر بدهید :
/usr/sbin/visudo
چنین پیغامی دریافت می کنید:
# User privilege specification root ALL=(ALL) ALL
حالا دستور زیر را وارد کتید( توجه داشته باشید همه جا به جای newuser از نام کاربری خودتان استفاده نمایید.)
newuser ALL=(ALL) ALL
تغییر پورت SHH مطمئنا یکی از اصولی ترین مسائل امنیتی در سرور است که باید قبل از هر نوع کانفیگی در سرور مجازی انجام شود:
nano /etc/ssh/sshd_config
حالا خط زیر را پیدا کنید :
#port 22
و به کد زیر تغییر دهید:
port 2020
به جای 2020 می توانید هر پورت دیگری انتخاب کنید.
حال برایغیر فعال کردن یوزر root خط زیر را در همین فایل پیدا کنید:
#PermitRootLogin yes
و به کد زیر تغییر دهید :
PermitRootLogin no
خط زیر را پیدا کنید :
#UseDNS yes
و به کد زیر تغییر دهید :
UseDNS no
فایل را به هیچ وجه نبندید چون باید یوزری که ساختید را حالا فعال کنید؛ خط زیر را در انتهای همین فایل اضافه نمایید:
AllowUsers newuser
حالا با کلید ترکیبی ctrl+x فایل زا ذخیره کنید. حالا SSH را ریلود کنید تا تغییرات اعمال شود :
/etc/init.d/sshd reload
همیشه سیستم عامل خود را به روز کنید :
yum upgrade
چک کردن پورت های باز شبکه :
netstat -tulpn
بسیاری از کاربران از پسووردهای ضعیف استفاده میکنند و این پسووردها بهراحتی توسط یک حملهی brute-force و یا حمله با استفاده از دیکشنری قابل هک شدن هستند. ماژول ‘pam_cracklib‘ در بستهی ماژول PAM Pluggable Authentication Modules) موجود است و کاربر را مجبور به انتخاب پسووردهای محکم میکند. فایل زیر را در ادیتور باز کنید.
vi /etc/pam.d/system-auth
و سپس خط را با استفاده از پارامترهای اعتبار (lcredit ، ucredit، dcredit و یا ocredit که به ترتیب حروف کوچک، بزرگ، عدد و غیره هستند) اضافه کنید.
lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1/
لاگها را به یک سرور لاگ اختصاصی انتقال دهید تا افراد دیگر براحتی نتوانند آنها را اصلاح کنند. در زیر لیستی از لاگهای پیش رفض متداول لینوکس و کاربردهای آنها را ببینید:
• var/log/message/ :محل ذخیرهی تمام لاگهای سیستم و لاگهای فعالیتها
• var/log/auth.log/ :لاگهای احراز هویت
•var/log/kern.log/ :لاگهای کرنل
• var/log/cron.log/ :لاگهای cronjob
• var/log/maillog/ :لاگهای سرور ایمیل
• var/log/boot.log/ :لاگهای بوت سیستم
• var/log/mysqld.log/ :فایل لاگ سرور دیتابیس MySQL
• var/log/secure/ :لاگ احراز هویت
• var/log/utmp/ یا var/log/wtmp/ :فایل ذخیرهی لاگین
var/log/yum.log/ :فایلهای لاگ Yum
در یک سیستم ، داشتن بک آپ از فایلهای مهم و نگهداری آنها در مکانی امن مانند یک سایت دور از دسترس، یکی از ضروریات است.
اولین باشید که نظر می دهید