5 وظیفه اول پس از نصب یک سرور اوبونتو
ارسال شده در |
پس از نصب یک سرور VPS جدید اوبونتو ، ممکن است به دنبال راهنمای کارهای بعدی باشید. بسیاری از اوقات تنظیمات پیش فرض بالاترین امنیت را برای سرور شما ارائه نمی دهند. در طول این مقاله، نکات امنیتی را در اختیار شما قرار می دهیم و سوالاتی را برای کمک به تعیین بهترین نوع راه اندازی برای محیط خود مطرح می کنیم.
1. کاربر root را ایمن کنید
این باید اولین کاری باشد که هنگام راه اندازی یک نصب جدید سرور اوبونتو انجام می دهید. به طور معمول، تنظیم رمز عبور برای کاربر ROOT در طول فرآیند نصب انجام می شود. با این حال، اگر زمانی در موقعیتی قرار گرفتید که مسئولیت سرور اوبونتو را بر عهده گرفته اید، بهتر است رمز عبور را با در نظر گرفتن بهترین روش ها برای رمزهای عبور مجدد تنظیم کنید.
- از کلمات انگلیسی استفاده نکنید
- از ترکیبی از نمادها و کاراکترهای الفبایی استفاده کنید
- طول – بر اساس احتمال و احتمال حدس زدن یا شکستن یک رمز عبور، می توانید بهترین امنیت را پس از اینکه یک رمز عبور به طول مشخصی رسید، ارائه دهید. بیش از یازده کاراکتر پسورد خوبی است، اما حتی گذرواژههای طولانیتر با کاراکترهای پیچیده راه امنتری است.
sudo passwd root
2. دسترسی SSH ایمن
بسیاری از اوقات، هنگامی که یک سرور راه اندازی می شود و در حال اجرا است، پیکربندی پیش فرض برای ورود از راه دور SSH به گونه ای تنظیم می شود که اجازه ورود به root را می دهد.
ما می توانیم سرور را ایمن تر از این بکنیم. برای اجرای دستورات سطح ریشه یا مدیریت روی سرور فقط باید از کاربر root استفاده کنید. این را می توان با ورود به سرور از طریق SSH با یک کاربر معمولی و سپس تغییر به کاربر اصلی پس از اینکه قبلاً وارد سرور شده اید انجام داد.
ssh admin9@myserver.com
su -
با انجام برخی تنظیمات در فایل sshd_config می توانید ورود SSH را برای کاربر اصلی غیرفعال کنید. مطمئن شوید که تمام دستورات زیر را به صورت روت یا با کاربری با امتیازات sudo اجرا کنید.
nano /etc/ssh/sshd_config
PermitRootLogin yes
PermitRootLogin no
برای اعمال تغییرات، باید سرویس SSH را مجدداً راه اندازی کنید:
/etc/init.d/ssh restart
اکنون میتوانید با خروج از سرور، آن را آزمایش کنید و سپس دوباره از طریق SSH با کاربر اصلی و رمز عبور وارد شوید. باید تلاش های شما برای انجام این کار را رد کند. این امر امنیت بسیار بیشتری را فراهم می کند زیرا به نام کاربری دیگری نیاز دارد تا از طریق SSH به سرور وارد شود. این دو مقدار را فراهم می کند که مهاجم باید به جای یک مقدار بداند، زیرا اکثر هکرها می دانند که کاربر Root در سرور لینوکس وجود دارد.
همچنین موارد زیر را نیز می توان تغییر داد تا دسترسی SSH ایمن تر شود مطابق مسیر قبلی /etc/ssh/sshd_config با ویرایشگر وارد می شوید و مطابق زیر مقدار تغییر خواهید داد.
PermitEmptyPasswords no
اطمینان حاصل کنید که دستورالعمل روی ” no” تنظیم شده است تا کاربران بدون رمز عبور نتوانند وارد سیستم شوند. در غیر این صورت، مهاجم فقط به یک اطلاعات نیاز دارد و در عین حال به آنها این امکان را می دهد که فقط با آگاهی از یک کاربر وارد شوند. البته این بدان معناست که آنها می توانند به حدس زدن کاربران نیز ادامه دهند و به راحتی وارد سیستم شوند. آخرین احتیاط این است که تنظیمات روتر یا فایروال را تنظیم کنید تا مطمئن شوید که دسترسی SSH راه دور به پورت 22 هدایت می شود و مستقیماً به پورت 22 دسترسی ندارد. با نام کاربری و رمز عبور تصادفی ممکن است لازم باشد به مستندات فایروال روتر یا سرور خود مراجعه کنید تا مطمئن شوید که پورت بالاتری نسبت به پورت 22 ارسال می کنید.
3. فایروال را نصب کنید
بهطور پیشفرض، نسخههای بعدی اوبونتو باید دارای فایروال بدون UFW باشند. با موارد زیر می توانید بررسی کنید که آیا UFW نصب شده است:
sudo ufw status
که وضعیت فعال یا غیرفعال را برمی گرداند. اگر نصب نیست می توانید آن را با این دستور در سرور مجازی یا سرور اختصاصی لینوکس خود نصب کنید:
sudo apt-get install ufw
ایده خوبی است که فهرستی از اجزایی که نیاز به دسترسی به سرور شما دارند را در نظر بگیرید.
آیا دسترسی SSH لازم است؟
آیا ترافیک وب مورد نیاز است؟
شما می خواهید خدمات مورد نیاز را از طریق فایروال فعال کنید تا ترافیک ورودی بتواند به روشی که شما می خواهید به سرور دسترسی داشته باشد.
در مثال ما اجازه می دهیم SSH و دسترسی به وب را فراهم کنیم.
sudo ufw allow ssh
sudo ufw allow http
این دستورات همچنین پورت ها را باز می کنند. همچنین میتوانید از روش پورت برای اجازه دادن به خدمات از طریق آن پورت خاص استفاده کنید برای مثال اگر پورت SSH تغییر داده اید آن پورت به فایروال برای ورودی مجاز اعلام کنید.
sudo ufw allow 80/tcp
sudo ufw allow 22/tcp
این اساساً مانند اجازه دادن به سرویس HTTP و SSH در پورت دیفالت خواهد بود. هنگامی که خدماتی را که می خواهید لیست کردید، می توانید فایروال را با این کار فعال کنید و بعد از آن تمام پورت های ورودی مسدود خواهند شد.
sudo ufw enable
این ممکن است اتصال SSH فعلی را قطع کند اگر به صورت صحیح پورت SSH وارد نکرده باشید، بنابراین مطمئن شوید که اطلاعات شما صحیح است تا از سیستم خارج نشوید. همچنین، مطمئن شوید که درک خوبی از افرادی که واقعاً نیاز به دسترسی به سرور دارند دارید و فقط کاربرانی را به سیستم عامل لینوکس اضافه کنید که واقعاً به دسترسی نیاز دارند.
4. آنچه را که میخواهید انجام دهید را درک کنید
مهم است که فکر کنید برای چه کاری از سرور خود استفاده خواهید کرد. آیا قرار است فقط یک سرور فایل باشد؟ یا وب سرور؟ یا یک وب سرور که نیاز به ارسال ایمیل از طریق فرم ها دارد؟ شما می خواهید یک طرح کلی از آنچه که از سرور استفاده خواهید کرد، ایجاد کنید تا بتوانید آن را مطابق با آن نیازهای خاص بسازید. بهتر است سرور را فقط با خدماتی که نیاز دارد تنظیم کنید. هنگامی که در نهایت سرویسهای اضافی را قرار میدهید که مورد نیاز نیستند، در معرض خطر داشتن نرمافزار قدیمی قرار میگیرید که تنها آسیبپذیری بیشتری را به سرور اضافه میکند. هر مؤلفه و سرویسی که اجرا می کنید باید به عنوان بهترین روش ایمن شود.
به عنوان مثال، اگر شما به شدت یک سایت ثابت را اجرا می کنید، نمی خواهید آسیب پذیری های ناشی از یک سرویس ایمیل قدیمی را داشته باشید پس سرویس ایمیل فعال نکنید و مسدود سازی لازم انجام دهید.
5. سیستم فایل را به روز نگه دارید
شما باید مطمئن شوید که سرور شما با آخرین وصله های امنیتی به روز می ماند. در حالی که یک سرور می تواند برای مدتی بدون تعمیر و نگهداری زیاد کار کند و همه چیز «فقط کار می کند»، باید مطمئن باشید که ذهنیت «تنظیمش کنید و فراموشش کنید» را دنبال نکنید. بهروزرسانیهای منظم در سرور اوبونتو میتواند مطمئن شود که سیستم امن و بهروز باقی میماند. برای این کار می توانید از موارد زیر استفاده کنید.
sudo apt-get update
در حالی که نصب سرور اوبونتو یک راه عالی برای یادگیری نحوه کار با لینوکس است، ایده خوبی است که در یک محیط امن یاد بگیرید. علاوه بر این، بهتر است تا زمانی که آماده نشده اید، سرور را در بستر اینترنت قرار ندهید. یک راه عالی برای شروع کار در خانه است که در آن می توانید از شبکه خصوصی خود به سرور دسترسی داشته باشید بدون اینکه اجازه دسترسی به سرور از طریق اینترنت یا روتر خانگی خود را بدهید. اگر و زمانی که سرور اوبونتو را مستقر می کنید، باید پنج مورد بالا را در نظر داشته باشید. مهم است که پیکربندی سرور پس از استقرار آن را بدانید تا بدانید عموم به چه نوع دسترسی می توانند دسترسی داشته باشند و هنوز چه چیزی باید سخت تر شود. از یادگیری لذت ببرید و از شکستن چیزی در محیط امن خود نترسید، زیرا این تجربه می تواند معلم بزرگی در زمان بر خط بودن سرور باشد.
و حتما مقالات دیگر آموزشی که دقیقتر و کاملتر هستند برای آموزش امنیت سرور لینوکسی از اینجا مطالعه کنید.
برای آزمایش و یادگیری سرور لینوکس میتوانید با خرید سرور مجازی لینوکس دیاکو وب که شروع قیمتی بسیار اقتصادی دارند بهره مند شوید و با حداقل منابع یک سرور کوچک آزمایشی راه اندازی کنید، در صورتی که زمان آزمایش و یادگیری به هر نوع مشکلی بخورد داشتید میتوانید از طریق کنترل پنل اقدام به نصب مجدد سیستم عامل و نیز میتوانید از کنسول مانیتور سرور مشاهده کنید حتی اگر فایروال به شما اجازه ورود به شما ندهد.
پشتیبانی دیاکو وب به صورت 24 ساعته در کنار شما برای رفع مشکلات سرویس های حساس و بر خط شما می باشد.