LFCA - نصائح مفيدة لتأمين البيانات ونظام Linux - الجزء 18

منذ إطلاقه في أوائل التسعينيات ، حاز Linux على إعجاب المجتمع التكنولوجي بفضل ثباته وتعدد استخداماته ، التخصيص ، ومجتمع كبير من مطوري البرامج مفتوحة المصدر الذين يعملون على مدار الساعة لتوفير إصلاحات الأخطاء وتحسينات التشغيل النظام. بشكل عام ، Linux هو نظام التشغيل المفضل للسحابة العامة والخوادم وأجهزة الكمبيوتر العملاقة ، ويعمل ما يقرب من 75٪ من خوادم الإنتاج التي تواجه الإنترنت على Linux.

بصرف النظر عن تشغيل الإنترنت ، وجد Linux طريقه إلى العالم الرقمي ولم يتراجع منذ ذلك الحين. إنه يشغل مجموعة واسعة من الأدوات الذكية بما في ذلك الهواتف الذكية التي تعمل بنظام Android والأجهزة اللوحية والساعات الذكية والشاشات الذكية وغيرها الكثير.

هل لينكس آمن؟

تشتهر Linux بمستوى عالٍ من الأمان وهي أحد الأسباب التي تجعلها تختار الخيار المفضل في بيئات المؤسسات. ولكن إليكم حقيقة أنه لا يوجد نظام تشغيل آمن بنسبة 100٪. يعتقد العديد من المستخدمين أن Linux هو نظام تشغيل مضمون ، وهو افتراض خاطئ. في الواقع ، أي نظام تشغيل متصل بالإنترنت يكون عرضة للانتهاكات المحتملة وهجمات البرامج الضارة.

خلال سنواته الأولى ، كان لدى Linux مجموعة سكانية أقل بكثير تتمحور حول التكنولوجيا وكان خطر التعرض لهجمات البرامج الضارة بعيدًا. في الوقت الحاضر ، يعمل نظام Linux على تشغيل جزء كبير من الإنترنت ، وقد أدى ذلك إلى نمو مشهد التهديدات. أصبح التهديد بهجمات البرامج الضارة أكثر واقعية من أي وقت مضى.

خير مثال على هجوم البرمجيات الخبيثة على أنظمة Linux هو رانسومواري Erebus، برنامج ضار لتشفير الملفات أثر على ما يقرب من 153 خادمًا من خوادم Linux التابعة لشركة NAYANA ، وهي شركة استضافة مواقع كورية جنوبية.

لهذا السبب ، من الحكمة زيادة تقوية نظام التشغيل لمنحه الأمان المطلوب بشدة لحماية بياناتك.

نصائح تقوية خادم Linux

إن تأمين خادم Linux الخاص بك ليس معقدًا كما تعتقد. قمنا بتجميع قائمة بأفضل سياسات الأمان التي تحتاج إلى تنفيذها لتعزيز أمان نظامك والحفاظ على تكامل البيانات.

1. تحديث حزم البرامج بانتظام

في المراحل الأولى من خرق Equifax، استفاد المتسللون من ثغرة أمنية معروفة على نطاق واسع - دعامات اباتشي - على بوابة الويب الخاصة بشكاوى العملاء من Equifax.

دعامات اباتشي هو إطار مفتوح المصدر لإنشاء تطبيقات ويب Java حديثة وأنيقة تم تطويرها بواسطة Apache Foundation. أصدرت المؤسسة تصحيحًا لإصلاح الثغرة الأمنية في 7 مارس 2017 ، وأصدرت بيانًا بهذا المعنى.

تم إخطار Equifax بالثغرة الأمنية وتم نصحها بتصحيح التطبيق الخاص بها ، ولكن للأسف ، ظلت الثغرة الأمنية غير مصححة حتى يوليو من نفس العام حيث فات الأوان. تمكن المهاجمون من الوصول إلى شبكة الشركة واستخراج الملايين من سجلات العملاء السرية من قواعد البيانات. بحلول الوقت الذي تلقت فيه Equifax رياحًا مما كان يحدث ، كان قد مر شهران بالفعل.

فماذا يمكننا أن نتعلم من هذا؟

سيقوم المستخدمون الضارون أو المتسللون دائمًا بالتحقيق في الخادم الخاص بك بحثًا عن نقاط ضعف البرامج المحتملة التي يمكنهم الاستفادة منها بعد ذلك لخرق نظامك. لكي تكون في الجانب الآمن ، قم دائمًا بتحديث برنامجك إلى إصداراته الحالية لتطبيق التصحيحات على أي ثغرات أمنية موجودة.

إذا كنت تعمل أوبونتو أو الأنظمة القائمة على دبيان، فإن الخطوة الأولى عادةً هي تحديث قوائم الحزم أو المستودعات كما هو موضح.

sudo apt update. 

للتحقق من جميع الحزم مع التحديثات المتاحة ، قم بتشغيل الأمر:

قائمة $ sudo apt - قابلة للترقية. 

تقوم بترقية تطبيقات البرامج الخاصة بك إلى إصداراتها الحالية كما هو موضح:

sudo apt الترقية. 

يمكنك ربط هذين الأمرين في أمر واحد كما هو موضح.

تحديث $ sudo apt && sudo apt Upgrade. 

إلى عن على RHEL & CentOS قم بترقية تطبيقاتك عن طريق تشغيل الأمر:

تحديث $ sudo dnf (CentOS 8 / RHEL 8) تحديث $ sudo yum (الإصدارات السابقة من RHEL & CentOS)

خيار آخر قابل للتطبيق هو تمكين التحديثات الأمنية التلقائية لـ Ubuntu و أيضا إعداد التحديثات التلقائية لـ CentOS / RHEL.

2. قم بإزالة خدمات / بروتوكولات الاتصال القديمة

على الرغم من دعمها لعدد لا يحصى من البروتوكولات عن بعد ، إلا أن الخدمات القديمة مثل rlogin و telnet و TFTP و FTP يمكن أن تشكل مشكلات أمنية ضخمة لنظامك. هذه بروتوكولات قديمة وعفا عليها الزمن وغير آمنة حيث يتم إرسال البيانات بنص عادي. إذا كانت هذه موجودة ، ففكر في إزالتها كما هو موضح.

بالنسبة للأنظمة المستندة إلى Ubuntu / Debian ، نفِّذ:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server. 

إلى عن على RHEL / CentOS- الأنظمة القائمة على التنفيذ:

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv. 

3. أغلق المنافذ غير المستخدمة على جدار الحماية

بمجرد إزالة جميع الخدمات غير الآمنة ، من المهم أن تقوم بذلك افحص الخادم الخاص بك بحثًا عن المنافذ المفتوحة وإغلاق أي منافذ غير مستخدمة يمكن أن يستخدمها المتسللون كنقطة دخول.

افترض أنك تريد حظر المنفذ 7070 على ال جدار حماية UFW. سيكون الأمر لهذا:

sudo ufw deny 7070 / tcp. 

ثم أعد تحميل جدار الحماية لتصبح التغييرات سارية المفعول.

sudo ufw إعادة تحميل. 

إلى عن على جدار الحماية، قم بتشغيل الأمر:

sudo firewall-cmd - حذف المنفذ = 7070 / tcp - دائم. 

وتذكر إعادة تحميل جدار الحماية.

sudo firewall-cmd $ - إعادة تحميل. 

ثم تحقق من قواعد جدار الحماية كما هو موضح:

sudo firewall-cmd - قائمة الكل. 

4. بروتوكول SSH الآمن

بروتوكول SSH هو بروتوكول عن بعد يسمح لك بالاتصال الآمن بالأجهزة الموجودة على الشبكة. على الرغم من أنه يعتبر آمنًا ، إلا أن الإعدادات الافتراضية ليست كافية ، ويلزم إجراء بعض التعديلات الإضافية لردع المستخدمين الضارين عن اختراق نظامك.

لدينا دليل شامل عن كيفية تقوية بروتوكول SSH. فيما يلي النقاط الرئيسية.

  • تكوين تسجيل الدخول إلى SSH بدون كلمة مرور وتمكين مصادقة المفتاح الخاص / العام.
  • تعطيل تسجيل الدخول إلى الجذر عن بُعد لـ SSH.
  • تعطيل عمليات تسجيل الدخول عبر SSH من المستخدمين بكلمات مرور فارغة.
  • قم بتعطيل مصادقة كلمة المرور تمامًا والتزم بمصادقة المفتاح الخاص / العام لـ SSH.
  • تقييد الوصول إلى مستخدمي SSH محددين.
  • تكوين حد لمحاولات كلمة المرور.

5. تثبيت وتمكين Fail2ban

Fail2ban هو نظام منع اختراق مفتوح المصدر يحمي خادمك من هجمات القوة الوحشية. يحمي نظام Linux الخاص بك عن طريق حظر عناوين IP التي تشير إلى نشاط ضار مثل محاولات تسجيل دخول كثيرة جدًا. من خارج الصندوق ، يأتي مزودًا بمرشحات للخدمات الشائعة مثل خادم الويب Apache و vsftpd و SSH.

لدينا دليل حول كيفية القيام بذلك تكوين Fail2ban لتعزيز SSH بروتوكول.

6. فرض قوة كلمة المرور باستخدام وحدة PAM

تؤدي إعادة استخدام كلمات المرور أو استخدام كلمات مرور ضعيفة وبسيطة إلى تقويض أمان نظامك بشكل كبير. تقوم بفرض سياسة كلمة المرور ، استخدم pam_cracklib لتعيين أو تكوين متطلبات قوة كلمة المرور.

باستخدام وحدة بام، يمكنك تحديد قوة كلمة المرور عن طريق تحرير ملف /etc/pam.d/system-auth ملف. على سبيل المثال ، يمكنك تعيين تعقيد كلمة المرور ومنع إعادة استخدام كلمات المرور.

7. قم بتثبيت شهادة SSL / TLS

إذا كنت تقوم بتشغيل موقع ويب ، فتأكد دائمًا من تأمين المجال الخاص بك باستخدام ملف شهادة SSL / TLS لتشفير البيانات المتبادلة بين متصفح المستخدمين وخادم الويب.

8. تعطيل بروتوكولات التشفير الضعيفة ومفاتيح التشفير

بمجرد تشفير موقعك ، فكر أيضًا في تعطيل بروتوكولات التشفير الضعيفة. في وقت كتابة هذا الدليل ، كان أحدث بروتوكول هو TLS 1.3، وهو البروتوكول الأكثر شيوعًا والأكثر استخدامًا. ارتبطت الإصدارات السابقة مثل TLS 1.0 و TLS 1.2 و SSLv1 إلى SSLv3 بالثغرات الأمنية المعروفة.

[ قد يعجبك ايضا: كيفية تمكين TLS 1.3 في Apache و Nginx ]

تغليف

كان هذا ملخصًا لبعض الخطوات التي يمكنك اتخاذها لضمان أمان البيانات والخصوصية لنظام Linux الخاص بك.

كن شريكًا معتمدًا لتكنولوجيا المعلومات من مؤسسة Linux Foundation (LFCA)
Teachs.ru