تحسين أمان خوادم Linux بشكل شامل

الكاتب：Eve Cole وقت التحديث：2009-06-04 17:16:50

كما نعلم جميعًا، يتمتع Linux بمزايا أكثر من Windows من حيث الأمان. ومع ذلك، بغض النظر عن توزيع Linux الذي تختاره، يجب عليك إجراء بعض التكوينات الضرورية بعد اكتمال التثبيت لتعزيز أمانه. فيما يلي بعض الخطوات لتقوية خادم Linux. في الوقت الحاضر، يقوم العديد من المستخدمين الصغار والمتوسطين بتحديث أو ترقية شبكاتهم باستمرار بسبب تطوير الأعمال، مما يؤدي إلى اختلافات كبيرة في بيئات المستخدم الخاصة بهم Windows و Mac على جانب الكمبيوتر الشخصي. لذلك، في تطبيقات المؤسسات، غالبًا ما تتعايش أنظمة التشغيل Linux وUnix وWindows لتكوين شبكات غير متجانسة.

1. تثبيت وتكوين جدار الحماية

جدار الحماية الذي تم تكوينه بشكل صحيح ليس فقط خط الدفاع الأول للنظام للرد بفعالية على الهجمات الخارجية، ولكنه أيضًا خط الدفاع الأكثر أهمية. قبل أن يتصل النظام الجديد بالإنترنت للمرة الأولى، يجب تثبيت جدار الحماية وتكوينه. سيكون تكوين جدار الحماية لرفض استلام جميع حزم البيانات، ثم تمكين استقبال حزم البيانات، مفيدًا لأمان النظام. يوفر لنا Linux أداة جدار حماية ممتازة جدًا، وهي netfilter/iptables (http://www.netfilter.org/). إنه مجاني تمامًا ويعمل بشكل جيد على جهاز قديم بمواصفات منخفضة. لمعرفة طريقة الإعداد المحددة لجدار الحماية، يرجى الرجوع إلى استخدام iptables.

2. إغلاق الخدمات والمنافذ غير المفيدة

يتم إجراء أي اتصالات بالشبكة من خلال منافذ التطبيقات المفتوحة. إذا فتحنا أقل عدد ممكن من المنافذ، فسنجعل هجمات الشبكة سلبية، مما يقلل بشكل كبير من فرصة نجاح المهاجم. يعد استخدام Linux كخادم مخصص خطوة ذكية. على سبيل المثال، إذا كنت تريد أن يصبح Linux خادم ويب، فيمكنك إلغاء جميع الخدمات غير الأساسية في النظام وتمكين الخدمات الأساسية فقط. يمكن أن يؤدي ذلك إلى تقليل الأبواب الخلفية، وتقليل المخاطر الخفية، وتخصيص موارد النظام بشكل عقلاني لتحسين الأداء العام للآلة. فيما يلي بعض الخدمات الأقل استخدامًا:

1. يقوم Fingerd (خادم الإصبع) بالإبلاغ عن المعلومات الشخصية للمستخدم المحدد، بما في ذلك اسم المستخدم والاسم الحقيقي والقشرة والدليل ومعلومات الاتصال، وسيعرض النظام لأنشطة جمع معلومات استخباراتية غير مرحب بها، ويجب عليك تجنب بدء هذه الخدمة.

2. توفر خدمات R (rshd، rlogin، rwhod، rexec) مستويات مختلفة من الأوامر، ويمكن تشغيلها على المضيفين البعيدين أو التفاعل معهم، وتسجيل الدخول في بيئة شبكة مغلقة دون الحاجة إلى أسماء المستخدمين وكلمات المرور، وهو أمر مناسب تمامًا. ومع ذلك، سيتم الكشف عن المشاكل على الخوادم العامة، مما يؤدي إلى تهديدات أمنية.

3. قم بحذف حزم البرامج غير المستخدمة

عند التخطيط للنظام، المبدأ العام هو إزالة جميع الخدمات غير الضرورية. Linux الافتراضي هو نظام قوي يقوم بتشغيل العديد من الخدمات. ولكن هناك العديد من الخدمات غير المطلوبة ويمكن أن تسبب مخاطر أمنية بسهولة. هذا الملف هو /etc/xinetd.conf، الذي يحدد الخدمات التي سيراقبها /usr/sbin/xinetd. قد تحتاج إلى واحدة منها فقط: ftp، وفئات أخرى مثل telnet، وshell، وlogin، وexec، وtalk، وntalk. ، imap، Finger، auth، وما إلى ذلك، إلا إذا كنت تريد حقًا استخدامها، قم بإيقاف تشغيلها.

4. لا تقم بتعيين المسار الافتراضي

في المضيف، يجب منع تحديد المسار الافتراضي، أي المسار الافتراضي، منعا باتا. يوصى بتعيين مسار لكل شبكة فرعية أو مقطع شبكة، وإلا فقد تتمكن الأجهزة الأخرى من الوصول إلى المضيف من خلال طرق معينة.

5. إدارة كلمة المرور

يجب ألا يقل طول كلمة المرور بشكل عام عن 8 أحرف. يجب أن يكون تكوين كلمة المرور مزيجًا من الأحرف الكبيرة والصغيرة والأرقام والرموز غير المنتظمة. تجنب تمامًا استخدام الكلمات أو العبارات الإنجليزية لتعيين كلمات المرور، ويجب أن تكون كلمة المرور الخاصة بكل مستخدم يتم تغيير العادات بانتظام. بالإضافة إلى ذلك، تتضمن الحماية بكلمة المرور أيضًا حماية الملفين /etc/passwd و/etc/shadow، حيث يمكن لمسؤولي النظام فقط الوصول إلى هذين الملفين. يمكن أن يساعدك تثبيت أداة تصفية كلمات المرور وإضافة npasswd في التحقق مما إذا كانت كلمات المرور الخاصة بك قادرة على مقاومة الهجمات. إذا لم تقم بتثبيت هذه الأداة من قبل، فمن المستحسن أن تقوم بتثبيتها الآن. إذا كنت مسؤول نظام ولم تكن هناك أداة لتصفية كلمات المرور مثبتة في نظامك، فيرجى التحقق فورًا مما إذا كان من الممكن البحث في كلمات مرور جميع المستخدمين بشكل شامل، أي إجراء هجوم بحث شامل على ملف /ect/passwd الخاص بك. إن استخدام الكلمات ككلمات مرور لا يمكن أن يصمد أمام هجمات القوة الغاشمة. غالبًا ما يستخدم المتسللون كلمات شائعة لاختراق كلمات المرور. قال أحد المتسللين الأمريكيين ذات مرة إن مجرد استخدام كلمة "كلمة المرور" يمكن أن يفتح معظم أجهزة الكمبيوتر في الولايات المتحدة. الكلمات الأخرى الشائعة الاستخدام تشمل: account، ald، alpha، beta، Computer، dead، Demo، Dollar، games، bod، hello، help، intro، kill، love، no، ok، OK، Please، sex، Secret، superuser، النظام، الاختبار، العمل، نعم، إلخ. إعدادات ومبادئ كلمة المرور:

1. إنها طويلة بما يكفي، فقط قم بتحريك إصبعك لإضافة رقم واحد إلى كلمة المرور، مما قد يزيد من جهد المهاجم عشرة أضعاف.

2. لا تستخدم كلمات كاملة، بما في ذلك الأرقام وعلامات الترقيم والأحرف الخاصة وما إلى ذلك قدر الإمكان؛

3. مزج الأحرف الكبيرة والصغيرة؛

4. قم بالمراجعة بشكل متكرر.

6. إدارة التقسيم

[قص الصفحة]

سيحاول الهجوم المحتمل أولاً تجاوز سعة المخزن المؤقت. في السنوات القليلة الماضية، أصبحت الثغرات الأمنية من نوع تجاوز سعة المخزن المؤقت هي الشكل الأكثر شيوعًا. والأخطر من ذلك هو أن ثغرات تجاوز سعة المخزن المؤقت تمثل الغالبية العظمى من هجمات الشبكات البعيدة. وهذا النوع من الهجمات يمكن بسهولة أن يمنح مستخدم الإنترنت المجهول الفرصة للحصول على تحكم جزئي أو كامل في المضيف!

ولمنع مثل هذه الهجمات، يجب علينا الانتباه عند تثبيت النظام. إذا كنت تستخدم القسم الجذر لتسجيل البيانات، مثل ملفات السجل، فقد يتم إنشاء عدد كبير من السجلات أو البريد العشوائي بسبب رفض الخدمة، مما يتسبب في تعطل النظام. لذلك، يوصى بإنشاء قسم منفصل لـ /var لتخزين السجلات ورسائل البريد الإلكتروني لمنع تجاوز قسم الجذر. من الأفضل إنشاء قسم منفصل للتطبيقات الخاصة، خاصة البرامج التي يمكنها إنشاء كمية كبيرة من السجلات. يوصى أيضًا بإنشاء قسم منفصل لـ /home حتى لا يتمكنوا من ملء القسم /، وبالتالي تجنب بعض أقسام Linux تجاوزات الهجمات الخبيثة.

غالبًا ما يستخدم العديد من مستخدمي Linux لسطح المكتب أنظمة Windows و Linux المزدوجة. من الأفضل استخدام محركات الأقراص الصلبة المزدوجة. الطريقة هي كما يلي: قم أولاً بإزالة كابل البيانات الخاص بالقرص الصلب الرئيسي، وابحث عن قرص ثابت بسعة حوالي 10 جيجابايت وقم بتعليقه على الكمبيوتر، وقم بتعيين القرص الصلب الصغير كقرص تابع، ثم قم بتثبيت إصدار خادم Linux وفقًا لـ العمليات المعتادة، إلا أن برنامج التمهيد بدء التشغيل يتم وضعه في MBR، لا يوجد فرق آخر. بعد اكتمال التثبيت وخروج تصحيح الأخطاء من سطح المكتب، قم بإيقاف تشغيل الكمبيوتر. قم بإزالة كابل البيانات الخاص بالقرص الصلب الصغير، وقم بتثبيت القرص الصلب الأصلي، وقم بتعيينه كقرص رئيسي (بحيث يتم توصيل القرص الصلب الأصلي والقرص الصلب الصغير بنفس كابل البيانات في نفس الوقت)، ثم قم بتثبيت برنامج Windows. قم بتعليق كلا القرصين الصلبين على كابل البيانات، وهو واجهة IDE 0. قم بتعيين القرص الصلب الأصلي كقرص رئيسي والقرص الصلب الصغير كقرص تابع. إذا كنت تريد التمهيد من القرص الصلب الأصلي، فاضبط تسلسل التمهيد في CMOS على "C, D, CDROM" أو "IDE0 (HDD-0)". بهذه الطريقة، عندما يبدأ تشغيل الكمبيوتر، فإنه يدخل إلى واجهة Windows. إذا كنت تريد التمهيد من قرص ثابت صغير، قم بتغيير تسلسل التمهيد إلى "D، C، CDROM" أو "IDE1 (HDD-1)". عادةً لا يتمكن نظاما التشغيل من الوصول إلى بعضهما البعض.

7. منع استنشاق الشبكة:

تُستخدم تقنية Sniffer على نطاق واسع في صيانة الشبكة وإدارتها، وهي تعمل مثل السونار السلبي، حيث تتلقى بصمت معلومات مختلفة من الشبكة، ومن خلال تحليل هذه البيانات، يمكن لمسؤولي الشبكة الحصول على فهم متعمق لحالة الشبكة الحالية بالترتيب لتحديد نقاط الضعف في الشبكة. اليوم، عندما يجذب أمن الشبكات المزيد والمزيد من الاهتمام، يجب علينا ليس فقط استخدام المتشممين بشكل صحيح، ولكن أيضًا منع الضرر الذي يسببه المتشممون بشكل معقول. بالنسبة للمؤسسات ذات المتطلبات الأمنية الصارمة، من الضروري استخدام هيكل آمن وتشفير الجلسة وعناوين ARP الثابتة.

8. إدارة السجل كاملة

تسجل ملفات السجل حالة تشغيل نظامك لك في جميع الأوقات. عندما يأتي المتسللون، لا يمكنهم الهروب من أعين السجلات. لذلك، غالبًا ما يقوم المتسللون بتعديل ملفات السجل أثناء الهجمات لإخفاء آثارهم. لذلك، نحتاج إلى تقييد الوصول إلى ملف /var/log ومنع المستخدمين الذين لديهم أذونات عامة من عرض ملف السجل.

استخدم أيضًا خادم السجل. إنها فكرة جيدة الاحتفاظ بنسخة من معلومات سجل العميل، وإنشاء خادم مخصص لتخزين ملفات السجل، والتحقق من السجلات للعثور على المشاكل. قم بتعديل الملف /etc/sysconfig/syslog لقبول التسجيل عن بعد.

/etc/sysconfig/syslog

SYSLOGD_OPTIONS="-السيد 0"

يجب عليك أيضًا إعداد تخزين السجلات عن بعد. قم بتعديل الملف /etc/syslog.conf لإضافة إعدادات خادم السجل، وسيقوم سجل النظام بحفظ نسخة على خادم السجل.

/etc/syslog.conf

*.* @log_server_IP

تتوفر مرشحات السجل الملونة. مرشح مقام سجل الألوان، الإصدار الحالي هو 0.32. استخدم loco /var/log/messages |. المزيد لعرض السجلات الملونة، مع تحديد موقع الجذر والأوامر غير الطبيعية في السجلات بوضوح. يمكن أن يؤدي ذلك إلى تقليل الإغفالات البشرية عند تحليل السجلات. مطلوب أيضًا إجراء فحوصات منتظمة للسجلات. يوفر Red Hat Linux أداة مراقبة السجل، التي تقوم تلقائيًا بفحص السجلات بانتظام وإرسال رسائل البريد الإلكتروني إلى صندوق بريد المسؤول. تحتاج إلى تعديل الملف /etc/log.d/conf/logwatch.conf وإضافة عنوان البريد الإلكتروني للمسؤول بعد المعلمة MailTo = root. سيقوم Logwatch بفحص السجلات بانتظام وتصفية المعلومات المتعلقة بتسجيل الدخول باستخدام الجذر، وsudo، وtelnet، وftp، وما إلى ذلك لمساعدة المسؤولين في تحليل الأمان اليومي. يجب أن تتضمن إدارة السجل الكاملة صحة بيانات الشبكة وصلاحيتها وقانونيتها. يمكن أن يؤدي تحليل ملفات السجل أيضًا إلى منع عمليات الاقتحام. على سبيل المثال، إذا كان لدى المستخدم 20 سجل تسجيل فاشل في غضون ساعات قليلة، فمن المحتمل أن يحاول الدخيل كلمة مرور المستخدم.

[قص الصفحة]

9. إنهاء الهجمات المستمرة

إذا كنت تتحقق من ملفات السجل وعثرت على مستخدم يقوم بتسجيل الدخول من مضيف غير معروف لك، وكنت متأكدًا من أن هذا المستخدم ليس لديه حساب على هذا المضيف، فقد تتعرض للهجوم. أولاً، تحتاج إلى قفل هذا الحساب على الفور (في ملف كلمة المرور أو ملف الظل، أضف Ib أو أحرف أخرى قبل كلمة مرور المستخدم). إذا كان أحد المهاجمين متصلاً بالفعل بالنظام، فيجب عليك على الفور قطع اتصال المضيف فعليًا بالشبكة. إذا كان ذلك ممكنًا، يجب عليك التحقق أيضًا من سجل هذا المستخدم لمعرفة ما إذا كان قد تم انتحال هوية مستخدمين آخرين وما إذا كان المهاجم لديه أذونات الجذر. قم بإنهاء جميع العمليات الخاصة بهذا المستخدم وأضف قناع عنوان IP الخاص بهذا المضيف إلى الملف hosts.deny.

10. استخدم أدوات وبرامج الأمان:

لدى Linux بالفعل بعض الأدوات لضمان أمان الخادم. مثل الباستيل لينكس وSelinux.

يعد Bastille linux برنامجًا مناسبًا جدًا للمستخدمين الذين ليسوا على دراية بإعدادات أمان Linux. والغرض من Bastille linux هو بناء بيئة آمنة على نظام Linux الحالي.

Security Enhanced Linux (SELinux) هو مشروع بحث وتطوير تابع لوزارة الأمن الأمريكية، والغرض منه هو تحسين نواة Linux للتعليمات البرمجية المطورة لتوفير إجراءات حماية أقوى لمنع بعض التطبيقات المتعلقة بالأمان من الانعطاف وتخفيف البرامج الضارة كارثة. يعتمد أمان أنظمة Linux العادية على النواة، ويتم إنشاء هذه التبعية من خلال setuid/setgid. في ظل آلية الأمان التقليدية، يتم الكشف عن بعض مشكلات ترخيص التطبيق أو مشكلات التكوين أو مشكلات تشغيل العملية، مما يتسبب في حدوث مشكلات أمنية للنظام بأكمله. توجد هذه المشاكل في أنظمة التشغيل اليوم بسبب تعقيدها وقابلية التشغيل البيني مع البرامج الأخرى. يعتمد SELinux فقط على نواة النظام وسياسات تكوين الأمان. بمجرد قيامك بتكوين النظام بشكل صحيح، فإن تكوين التطبيق غير الصحيح أو الأخطاء لن يؤدي إلا إلى إرجاع الأخطاء إلى برنامج المستخدم وبرامج النظام الخاصة به. لا يزال من الممكن تشغيل أمان برامج المستخدم الأخرى وبرامج الخلفية الخاصة بها بشكل طبيعي والحفاظ على بنية نظام الأمان الخاصة بها. بكل بساطة: لا يمكن لأي خطأ في تكوين البرنامج أن يتسبب في تعطل النظام بأكمله. تثبيت SELinux يمكن تنزيل نواة SELinux والأدوات والبرامج/مجموعات الأدوات والوثائق من موقع الويب الخاص بـ Enhanced Security Linux. يجب أن يكون لديك نظام Linux موجود لتجميع النواة الجديدة حتى تتمكن من الوصول إلى حزمة تصحيح النظام التي لم تتغير.

11. استخدم عناوين IP المحجوزة:

---- إن أبسط طريقة للحفاظ على أمان الشبكة هي التأكد من عدم تعرض المضيفين في الشبكة للعالم الخارجي. الطريقة الأساسية هي عزل نفسك عن الشبكة العامة. إلا أن هذه الاستراتيجية الأمنية القائمة على العزلة غير مقبولة في كثير من الحالات. في الوقت الحالي، يعد استخدام عناوين IP المحجوزة طريقة بسيطة وممكنة، تتيح للمستخدمين الوصول إلى الإنترنت مع ضمان درجة معينة من الأمان. - يحدد RFC 1918 نطاق عناوين IP التي يمكن استخدامها بواسطة شبكات TCP/IP المحلية، ولا يتم توجيه عناوين IP هذه على الإنترنت، لذلك ليست هناك حاجة لتسجيل هذه العناوين. ومن خلال تعيين عناوين IP في هذا النطاق، يتم تقييد حركة مرور الشبكة بشكل فعال على الشبكة المحلية. هذه طريقة سريعة وفعالة لمنع الوصول إلى أجهزة الكمبيوتر الخارجية مع السماح بالتوصيل البيني لأجهزة الكمبيوتر الداخلية. نطاق عنوان IP الاحتياطي:

---- 10.0.0 .0 - 10.255.255.255

---- 172.16.0.0 - 172.31.255.255

--- 192.168.0.0 - 192.168.255.255

لا تمر حركة مرور الشبكة من عنوان IP محجوز عبر جهاز توجيه الإنترنت، لذلك لا يمكن الوصول إلى أي جهاز كمبيوتر تم تعيين عنوان IP محجوز له من خارج الشبكة. ومع ذلك، فإن هذا الأسلوب أيضًا لا يسمح للمستخدمين بالوصول إلى الشبكات الخارجية. يمكن أن يؤدي تنكر IP إلى حل هذه المشكلة.

[قص الصفحة]

12. اختر توزيعة Linux بشكل معقول:

بالنسبة لإصدار Linux الذي يستخدمه الخادم، لا تستخدم أحدث إصدار ولا تختر إصدارًا قديمًا جدًا. يجب استخدام إصدار أكثر نضجًا: الإصدار الأخير من المنتج السابق، مثل RHEL 3.0، وما إلى ذلك. بعد كل شيء، الأمن والاستقرار يأتيان في المقام الأول بالنسبة للخوادم.

13. نشر برنامج Linux المضاد للفيروسات

لطالما اعتبر نظام التشغيل Linux منافسًا قويًا لنظام Windows لأنه ليس آمنًا ومستقرًا ومنخفض التكلفة فحسب، بل نادرًا ما ينشر الفيروسات. ولكن نظرًا لأن المزيد والمزيد من الخوادم ومحطات العمل وأجهزة الكمبيوتر تستخدم برامج Linux، فقد بدأ منشئو فيروسات الكمبيوتر أيضًا في مهاجمة النظام. يعد التحكم في الأمان والأذونات في أنظمة Linux، سواء على الخوادم أو محطات العمل، قويًا نسبيًا، ويرجع ذلك أساسًا إلى تصميمه الفني الممتاز، والذي لا يجعل نظام التشغيل صعب التعطل فحسب، بل يجعل من الصعب أيضًا إساءة استخدامه. بعد أكثر من 20 عامًا من التطوير والتحسين، أصبح Unix قويًا جدًا، وقد ورث Linux مزاياه بشكل أساسي. في Linux، إذا لم تكن مستخدمًا متميزًا، فسيكون من الصعب نجاح البرامج التي تصيب ملفات النظام بشكل ضار. على الرغم من أن الفيروسات مثل Slammer، وBlast، وSobig، وMimail، وWin32.Xorala لن تلحق الضرر بخادم Linux، إلا أنها ستنتشر بين الأشخاص الذين يصلون إليه باستخدام نظام التشغيل Windows.

[قص الصفحة]

تصنيف الفيروسات ضمن منصة Linux:

1. فيروسات الملفات القابلة للتنفيذ: تشير فيروسات الملفات القابلة للتنفيذ إلى الفيروسات التي يمكنها التطفل على الملفات واستخدام الملفات كأهداف العدوى الرئيسية. بغض النظر عن السلاح الذي يستخدمه صانعو الفيروسات، أو التجميع أو لغة C، فمن السهل إصابة ملفات ELF. الفيروسات في هذه المنطقة تشمل Lindose.

2. الفيروس الدودي: بعد ظهور دودة موريس في عام 1988، قدم يوجين سبافورد تعريفًا تقنيًا للدودة من أجل التمييز بين الديدان والفيروسات body." يتم نشر الإصدار الوظيفي على أجهزة كمبيوتر أخرى. "تنتشر الفيروسات المتنقلة بشكل كبير على نظام التشغيل Linux، مثل ramen وlion وSlapper وما إلى ذلك، والتي تستغل ثغرات النظام لتنتشر. وقد أصابت هذه الفيروسات عددًا كبيرًا من أنظمة Linux. وتسبب في خسائر فادحة.

3. فيروسات البرامج النصية: يوجد حاليًا المزيد من الفيروسات المكتوبة بلغة البرامج النصية Shell. هذا النوع من الفيروسات سهل الكتابة نسبيًا، لكن قوته التدميرية مذهلة بنفس القدر. نحن نعلم أن هناك العديد من ملفات البرامج النصية التي تنتهي بـ .sh في نظام Linux، ويمكن لبرنامج نصي Shell مكون من عشرة أسطر فقط أو نحو ذلك اجتياز جميع ملفات البرامج النصية الموجودة في القرص الصلب بأكمله للإصابة في وقت قصير.

4. برنامج الباب الخلفي: في التعريف الواسع للفيروس، تم أيضًا تضمين الباب الخلفي في فئة الفيروسات. الباب الخلفي النشط في أنظمة Windows، وهو سلاح للمتسللين، نشط للغاية أيضًا على منصات Linux. بدءًا من الأبواب الخلفية البسيطة التي تضيف حسابات مستخدمين متميزين للنظام إلى تحميل خدمة النظام، وحقن ملفات المكتبة المشتركة، ومجموعات أدوات rootkit، وحتى وحدات kernel القابلة للتحميل (LKM)، تعد تقنية الأبواب الخلفية في نظام Linux ناضجة جدًا ومخفية للغاية ويصعب إزالتها. إنها مشكلة مزعجة للغاية لمسؤولي نظام Linux.

بشكل عام، لا تشكل فيروسات الكمبيوتر خطرًا كبيرًا على أنظمة Linux. ومع ذلك، ولأسباب مختلفة، غالبًا ما تتعايش أنظمة التشغيل Linux وWindows في تطبيقات المؤسسات لتكوين شبكات غير متجانسة. ولذلك، تنقسم استراتيجية مكافحة الفيروسات في Linux إلى قسمين:

1. استراتيجيات الوقاية لنظام التشغيل Linux نفسه (الخوادم وأجهزة الكمبيوتر التي تستخدمه كسطح مكتب).

يمكن بشكل أساسي منع الوقاية من فيروسات الملفات القابلة للتنفيذ، والفيروسات الدودية، وفيروسات البرامج النصية عن طريق تثبيت برنامج فحص الفيروسات GPL وقتلها. على جانب الخادم، يمكنك استخدام AntiVir (http://www.hbedv.com/)، الذي يعمل ضمن سطر الأوامر ويستهلك موارد نظام أقل عند التشغيل.

لمنع البرامج الخلفية، يمكنك استخدام LIDS (http://www.lids.org/) وChkrootkit (http://www.chkrootkit.org/) LIDS عبارة عن أداة لتصحيح نواة Linux وأداة مسؤول النظام (lidsadm). مما يقوي نواة لينوس. يمكن حماية الملفات المهمة في دليل dev/. يمكن لـ Chkrootkit اكتشاف سجلات وملفات النظام لمعرفة ما إذا كانت هناك أي برامج ضارة قد غزت النظام، والبحث عن الإشارات المرتبطة ببرامج ضارة مختلفة. يمكن لأحدث إصدار من Chkrootkit0.45 اكتشاف 59 نوعًا من المتشممين، وأحصنة طروادة، والديدان، والجذور الخفية، وما إلى ذلك.

2. استراتيجيات الوقاية من الفيروسات لأنظمة Windows باستخدام الواجهات الخلفية لخادم Linux.

تستخدم العديد من الشركات الخوادم الوكيلة للوصول إلى الإنترنت. يصاب العديد من مستخدمي Windows بالفيروسات عند تصفح صفحات ويب HTTP وتنزيل الملفات، لذلك يمكنك إضافة عامل تصفية للفيروسات إلى الخادم الوكيل لاكتشاف الفيروسات على صفحات ويب HTTP التي يتصفحها المستخدمون. إذا تم اكتشاف إصابة أحد المستخدمين بفيروس أثناء تصفح الويب، فسيقوم الخادم الوكيل بحظره، وتجاهل الطلبات التي تحتوي على فيروسات، وحظر العمليات غير الآمنة في الخادم الوكيل، ومنع البيانات التي تحتوي على فيروسات من الانتشار إلى جهاز الكمبيوتر العميل . Squid هو برنامج خادم وكيل ممتاز جدًا، لكنه لا يحتوي على وظيفة مخصصة لتصفية الفيروسات. يمكنك التفكير في استخدام خادم وكيل لتصفية الفيروسات قائم على نظام التشغيل Linux تم تطويره من قبل المتحمسين الألمان مفتوحي المصدر - HAVP (http://www.server-side.de/). يمكن استخدام برنامج الخادم الوكيل لتصفية الفيروسات HAVP بشكل مستقل أو بالتسلسل مع Squid لتعزيز وظيفة تصفية الفيروسات لخادم وكيل Squid.

يعد توفير خدمات البريد الإلكتروني تطبيقًا مهمًا في خوادم Linux. يمكنك استخدام ClamAV (http://www.clamwin.com/). الاسم الكامل لبرنامج ClamAV هو Clam AntiVirus، مثل Liunx، فهو يؤكد على مفاهيم كود البرنامج المفتوح والترخيص المجاني الذي يمكنه حاليًا اكتشاف أكثر من 40000 فيروس والديدان، وبرامج حصان طروادة، وتحديث قاعدة البيانات في أي وقت. هناك مجموعة من خبراء الفيروسات الموزعين حول العالم الذين يقومون بتحديث قاعدة بيانات الفيروسات والحفاظ عليها على مدار 24 ساعة يوميًا. ويمكن لأي شخص يجد فيروسًا مشبوهًا الاتصال بهم في أي وقت وتحديث رمز الفيروس على الفور في وقت قصير جدًا وفي غضون أيام قليلة، أكملت خوادم البريد التي تستخدم ClamAV على الشبكة أحدث إجراءات الحماية.

[قص الصفحة]

14. تعزيز أمان تسجيل الدخول

من خلال تعديل الملف /etc/login.defs، يمكنك إضافة إعدادات مثل تأخير خطأ تسجيل الدخول، والتسجيل، والحد الأقصى لطول كلمة مرور تسجيل الدخول، وحد انتهاء الصلاحية.

/etc/login.defs # كلمة مرور تسجيل الدخول صالحة لمدة 90 يومًا

PASS_MAX_DAYS 90 #الحد الأدنى لوقت تعديل كلمة مرور تسجيل الدخول لمنع المستخدمين غير القانونيين من تغييرها عدة مرات في فترة زمنية قصيرة

PASS_MIN_DAYS 0 # الحد الأدنى لطول كلمة مرور تسجيل الدخول هو 8 أحرف

PASS_MIN_LEN 8 # المطالبة بتغيير كلمة مرور تسجيل الدخول قبل 7 أيام من انتهاء صلاحيتها

PASS_WARN_AGE 7 # مدة الانتظار 10 ثوانٍ عند حدوث خطأ في تسجيل الدخول

FAIL_DELAY 10 # تم تسجيل خطأ في تسجيل الدخول

FAILLOG_ENAB Yes #Use عند تقييد المستخدمين المتميزين لإدارة السجلات

SYSLOG_SU_ENAB Yes #Use عند تقييد سجلات إدارة مجموعة المستخدمين المتميزين

SYSLOG_SG_ENAB نعم # استخدم عند استخدام md5 كطريقة لتشفير كلمة المرور

15. استخدم OPENSSH بدلاً من FTP وTelnet

إن برامج النقل عبر الشبكة التي نستخدمها عادةً، مثل FTP وTelnet، غير آمنة بطبيعتها لأنها تنقل كلمات المرور والبيانات بنص عادي على الشبكة. ومن السهل جدًا على المتسللين اعتراض كلمات المرور والبيانات هذه باستخدام المتسللين. الاسم الإنجليزي الكامل لـ SSH هو Secure SHell. باستخدام SSH، يمكن للمستخدمين تشفير جميع البيانات المرسلة، بحيث حتى لو تمكن أحد المتسللين على الشبكة من اختطاف البيانات المرسلة من قبل المستخدم، إذا تعذر فك تشفيرها، فلن يشكل ذلك تهديدًا حقيقيًا لنقل البيانات. بالإضافة إلى ذلك، يتم ضغط البيانات المرسلة، وبالتالي يمكن تسريع سرعة النقل. يتمتع SSH بالعديد من الوظائف، فهو لا يمكنه استبدال Telnet فحسب، بل يوفر أيضًا "قناة نقل" آمنة لـ FTP. وفي بيئة اتصالات الشبكة غير الآمنة، فإنه يوفر آلية مصادقة قوية وبيئة اتصال آمنة للغاية. تم تطوير SSH (Secure Shell) في الأصل من قبل شركة في فنلندا، ولكن بسبب القيود المفروضة على حقوق النشر وخوارزميات التشفير، تحول العديد من الأشخاص إلى البرنامج البديل المجاني OpenSSH. يعد استخدام OPENSSH من سطر الأوامر أمرًا مزعجًا. نقدم هنا gFTP وOPENSSH المدمجين معًا لتوفير حل نقل مشفر رسوميًا. يعد gFTP سهل الاستخدام للغاية مثل CuteFtp ضمن Windows، وتأتي جميع توزيعات Linux تقريبًا مزودة بـ gFTP، والذي يمكن استخدامه بدون تثبيت. هناك العديد من برامج العملاء التي تدعم SSH ضمن نظام التشغيل Windows، ويوصى باستخدام PuTTY وFilezilla.

16. عمل نسخة احتياطية من الملفات الهامة

تخفي العديد من أحصنة طروادة والفيروسات المتنقلة والأبواب الخلفية نفسها عن طريق استبدال الملفات المهمة، ومن العادات الجيدة إجراء نسخ احتياطي للأوامر الأكثر أهمية والأكثر استخدامًا. قم بإعداد مجموعة من وسائط القراءة فقط أو الأقراص المضغوطة أو محركات أقراص USB المحمولة، أو حتى قم بتنزيلها عبر الإنترنت. باختصار، استخدم الأوامر الأصلية عند الضرورة بدلاً من الأوامر التي قد تكون مصابة في النظام. الأشياء التي يجب ملاحظتها حول النسخ الاحتياطي هي كما يلي:

/bin/su

/ بن / ملاحظة

/ بن / دورة في الدقيقة

/usr/bin/top

/sbin/ifconfig

/بن/جبل

17. قضايا التصحيح

يجب عليك دائمًا الانتقال إلى الصفحة الرئيسية لناشر النظام الذي تقوم بتثبيته للبحث عن أحدث التصحيحات. نظام التشغيل هو روح نظام الكمبيوتر، حيث يحافظ على الطبقة السفلية من النظام ويدير وجدولة الأنظمة الفرعية مثل الذاكرة والعمليات. إذا كانت هناك ثغرة أمنية في نظام التشغيل نفسه، فسيكون التأثير قاتلاً. تعتبر نواة نظام التشغيل أمرًا بالغ الأهمية لأمن الشبكة. حاليًا، تنقسم صيانة kernel بشكل أساسي إلى وضعين: لأنظمة التشغيل الخاصة، مثل Windows/Solaris وما إلى ذلك، حيث لا يمكن للمستخدمين الفرديين الوصول مباشرة إلى كود المصدر الخاص بهم، ويتم الحفاظ على الكود الخاص بهم بواسطة المطورين الداخليين للشركة، ويتم ضمان أمانه. بواسطة نفس الفريق، يتم إصدار إصلاحات Kernel في حزم التصحيح/SP تمامًا مثل التطبيقات الأخرى. بالنسبة لنظام مفتوح مثل Linux، فهو عبارة عن بنية مفتوحة. وينبغي أن يقال أن النموذج المفتوح هو سيف ذو حدين. من الناحية الميكانيكية، يمكن للمطورين في جميع أنحاء العالم الحصول على الكود المصدري واكتشاف الثغرات الموجودة فيه، ويبدو أن الأمان يجب أن يكون أفضل، ولكن في الوقت نفسه، إذا لم يتمكن مديرو الشبكة من تحديث النواة في الوقت المناسب، فستكون هناك مخاطر أمنية أيضًا غادر. علاوة على ذلك، هناك العديد من العوامل التي تؤثر على أمان نظام التشغيل. من مستوى الترجمة إلى مستوى استخدام المستخدم، وما إلى ذلك، ستؤثر جميعها على أمان النظام. لا يمكن حل المشكلات الأمنية بشكل أساسي بمجرد فتح أو إغلاق كود المصدر. إذا كنت مسؤول شبكة Linux، فغالبًا ما تحتاج إلى الانتقال إلى موقع الويب المقابل لمعرفة ما إذا كانت هناك تصحيحات، وما إذا كانت هناك إصلاحات للأخطاء، وما إذا كانت هناك حاجة إلى ترقيات. لا تجازف، وإلا فقد يؤدي برنامج شل النصي إلى تدمير موقعك على الويب. لإعادة صياغة مقولة شهيرة: يمكن دائمًا الاستيلاء على خادمك من قبل المتسللين في اليوم التالي.

تشمل البرامج التي تعمل على خادم Linux بشكل رئيسي: Samba، Ftp، Telnet، Ssh، Mysql، Php، Apache، Mozilla وغيرها. معظم هذه البرامج هي برامج مفتوحة المصدر، ويتم ترقيتها باستمرار، مع ظهور إصدارات مستقرة وإصدارات تجريبية بالتناوب. على www.samba.org وwww.apache.org، يشير أحدث سجل للتغيير إلى: إصلاح الأخطاء وإصلاح الأخطاء الأمنية. لذلك، يجب على مسؤولي شبكة Linux دائمًا الاهتمام بإصلاحات الأخطاء وترقيات مواقع الويب ذات الصلة، وترقية التصحيحات أو إضافتها في الوقت المناسب.

تلخيص:

فكما لا يوجد درع غير قابل للكسر، لا يوجد نظام آمن تمامًا. وكذلك في المجال الأمني، لا يمكن لأحد أن يقول إنه سيد. يتم تحقيق أمان النظام من خلال عرق وحكمة العديد من أسلافه.

[قص الصفحة]

غالبًا ما يستخدم العديد من مستخدمي Linux لسطح المكتب أنظمة Windows و Linux المزدوجة. من الأفضل استخدام محركات الأقراص الصلبة المزدوجة. الطريقة هي كما يلي: قم أولاً بإزالة كابل البيانات الخاص بالقرص الصلب الرئيسي، وابحث عن قرص ثابت بسعة حوالي 10 جيجابايت وقم بتعليقه على الكمبيوتر، وقم بتعيين القرص الصلب الصغير كقرص تابع، ثم قم بتثبيت إصدار خادم Linux وفقًا لـ العمليات المعتادة، إلا أن برنامج التمهيد بدء التشغيل يتم وضعه في MBR، لا يوجد فرق آخر. بعد اكتمال التثبيت وخروج التصحيح من سطح المكتب، قم بإيقاف تشغيل الكمبيوتر. قم بإزالة كابل البيانات الخاص بالقرص الصلب الصغير، وقم بتثبيت القرص الصلب الأصلي، وقم بتعيينه كقرص رئيسي (بحيث يتم توصيل القرص الصلب الأصلي والقرص الصلب الصغير بنفس كابل البيانات في نفس الوقت)، ثم قم بتثبيت برنامج Windows. قم بتعليق كلا القرصين الصلبين على كابل البيانات، وهو واجهة IDE 0. قم بتعيين القرص الصلب الأصلي كقرص رئيسي والقرص الصلب الصغير كقرص تابع. إذا كنت تريد التمهيد من القرص الصلب الأصلي، فاضبط تسلسل التمهيد في CMOS على "C, D, CDROM" أو "IDE0 (HDD-0)". بهذه الطريقة، عندما يبدأ تشغيل الكمبيوتر، فإنه يدخل إلى واجهة Windows. إذا كنت تريد التمهيد من قرص ثابت صغير، قم بتغيير تسلسل التمهيد إلى "D، C، CDROM" أو "IDE1 (HDD-1)". عادةً لا يتمكن نظاما التشغيل من الوصول إلى بعضهما البعض.

7. منع استنشاق الشبكة:

8. إدارة السجل كاملة

/etc/sysconfig/syslog

SYSLOGD_OPTIONS="-السيد 0"

/etc/syslog.conf

*.* @log_server_IP

تتوفر مرشحات السجل الملونة. مرشح مقام سجل الألوان، الإصدار الحالي هو 0.32. استخدم loco /var/log/messages |. المزيد لعرض السجلات الملونة، مع تحديد موقع الجذر والأوامر غير الطبيعية في السجلات بوضوح. يمكن أن يؤدي ذلك إلى تقليل الإغفالات البشرية عند تحليل السجلات. مطلوب أيضًا إجراء فحوصات منتظمة للسجلات. يوفر Red Hat Linux أداة مراقبة السجل، التي تقوم تلقائيًا بفحص السجلات بانتظام وإرسال رسائل البريد الإلكتروني إلى صندوق بريد المسؤول. تحتاج إلى تعديل الملف /etc/log.d/conf/logwatch.conf وإضافة عنوان البريد الإلكتروني للمسؤول بعد المعلمة MailTo = root. سيقوم Logwatch بفحص السجلات بانتظام وتصفية المعلومات المتعلقة بتسجيل الدخول باستخدام الجذر، وsudo، وtelnet، وftp، وما إلى ذلك لمساعدة المسؤولين في تحليل الأمان اليومي. يجب أن تتضمن إدارة السجل الكاملة صحة بيانات الشبكة وصلاحيتها وقانونيتها. يمكن أن يؤدي تحليل ملفات السجل أيضًا إلى منع عمليات الاقتحام. على سبيل المثال ، إذا كان لدى المستخدم 20 سجل تسجيل فاشل في غضون ساعات قليلة ، فمن المحتمل أن يحاول المتسلل كلمة مرور المستخدم.