بالنسبة لممارسي تكنولوجيا المعلومات على الإنترنت ، سيتم نقل المزيد والمزيد من العمل تدريجيًا إلى نظام Linux ، والذي يجب أن يتمتع بخبرة عميقة في التطوير والتشغيل والصيانة والاختبار. أصدر موقع W3Techs للمسح التكنولوجي تقرير مسح في نوفمبر 2018. أظهر التقرير أن معدل استخدام Linux في نظام خادم الموقع كان مرتفعًا إلى 37.2٪ ، وتُظهر هذه البيانات أيضًا أن نظام Linux مستخدم على نطاق واسع. في الواقع ، بالإضافة إلى التطبيقات في خوادم مواقع الويب ، تُستخدم أنظمة Linux أيضًا في خوادم تحليل اسم مجال DNS وخوادم البريد الإلكتروني وبعض تطبيقات البرامج مفتوحة المصدر (تطبيقات البيانات الضخمة: وفقًا لبحث مؤسسة Linux ، 86٪ من الشركات التي استخدمت Linux لتشغيل النظام ينفذ الحوسبة السحابية ، وبناء منصة البيانات الضخمة ) على الخادم ، وما إلى ذلك.


يفترض معظم المستخدمين أن Linux آمن افتراضيًا ، وفي بعض الأحيان يكون هذا الادعاء بالفعل موضوعًا مثيرًا للجدل. يحتوي Linux على نموذج أمان مدمج افتراضيًا. تحتاج إلى تشغيله وتخصيصه للحصول على نظام أكثر أمانًا. من الصعب إدارة Linux ، ولكنها أيضًا أكثر مرونة ، مع المزيد من خيارات التكوين.

بالنسبة لمسؤولي النظام ، كان جعل نظام المنتج أكثر أمانًا من المتسللين والمتسللين يمثل تحديًا دائمًا. علاوة على ذلك ، كانت هناك العديد من حالات الهجمات على Linux في السنوات الأخيرة ، لذا لطالما كانت كيفية بناء نظام Linux آمن وقوي ومتين موضوعًا استكشافيًا. اليوم ، أشقاؤك العمال المهاجرون سيشاركونك كيف أقوم ببناء أو تعزيز أمان أنظمة Linux في عملي اليومي من جميع مستويات النظام.

1. الأمن المادي
يجب أن يُقال أن هذه هي الخطوة الأولى في أمان الخادم.
يجب أولاً صيانة خوادم الأجهزة بشكل احترافي بواسطة متخصصين. والثاني هو إيقاف تشغيل وضع البدء الناعم من القرص المضغوط / قرص DVD وما إلى ذلك . في الوقت نفسه ، يمكن أيضًا تعيين كلمة مرور BIOS ، ويجب أن تكون هناك سياسات لتقييد الوصول والتحكم في العمليات المختلفة.
يمكنك أيضًا تعطيل أجهزة USB لأغراض أمنية:
vim /etc/modprobe.d/stopusb
تثبيت USB- تخزين / بن / صحيح
أو استخدم الأمر التالي لحذف برنامج تشغيل USB
[root @ rs-server ~] # mv /lib/modules/3.10.0-693.el7.x86_64/kernel/drivers/usb/storage/usb-storage.ko.xz

2. حافظ على النظام محدثًا
وهذا يعني ضمان عدم وجود ثغرات أخرى في النظام ، مثل: يجب إصلاح الثغرات الموجودة في الوقت المناسب. تأكد من احتواء النظام على أحدث إصدارات التصحيحات وإصلاحات الأمان والنواة المتاحة.
yum التحديثات
yum  check - update
يتطلب هذا من المسؤولين الانتباه دائمًا إلى المعلومات المتعلقة بأحدث نقاط الضعف وإصدارات التصحيح في الداخل والخارج.

3. تصغير مبدأ المعالجة
سواء كان نظام تثبيت أو برنامجًا شائع الاستخدام ، يجب اتباع هذا المبدأ: تقليل التثبيت وتقليل احتمالية حدوث الثغرات الأمنية.
بالنسبة لبعض الخدمات والمنافذ غير الضرورية في النظام ، يوصى بإغلاقها.
[root @ rs-server ~] # chkconfig --list | grep "3: on"
network 0 : off 1 : off 2 : on 3 : on 4 : on 5 : on 6 : off
ثم استخدم الأمر التالي للإغلاق:
chkconfig اسم الخدمة متوقف
4. تسجيل الدخول والاتصال
بالنسبة لخوادم Linux ، تُستخدم اتصالات تسجيل الدخول عن بُعد (SSH) بشكل عام لتسجيل الدخول. وبالتالي:
الخطوة الأولى هي تجنب استخدام المستخدم الجذر لتسجيل الدخول ما لم يكن ذلك ضروريًا. يمكنك استخدام sudo لإجراء عمليات تصعيد الامتياز ، ثم استخدام أوامر النظام لقفل ملف / etc / sudoers (لدى المستخدمين بخلاف المستخدم الجذر لا يوجد إذن للتعديل).
الخطوة 2: يوصى بتعديل ملف تكوين SSH ، مثل رقم المنفذ الافتراضي 22 ، وحظر تسجيل الدخول بكلمة مرور الجذر (يمكن لبعض المستخدمين أيضًا تعطيل تسجيل دخول المستخدم الجذر مباشرةً من خلال بروتوكول SSH) وما إلى ذلك.
[root @ rs-server ~] # vim / etc / ssh / sshd_config
#
يمكن تعديل المنفذ 22 إلى أرقام منافذ أخرى. غالبًا ما يستخدم العمال المهاجرون مزيجًا من IP + 22
# PermitRootLogin نعم غيّر
نعم إلى لا
# PermitEmptyPasswords no
افتح التعليق
# AllowUsers username
يحدد مستخدمًا معينًا للاتصال عن بُعد من خلال بروتوكول SSH
5. إدارة المستخدم
Linux هو نظام يمكن تشغيله من قبل عدة مستخدمين بالتوازي ، لذلك يقسم النظام أيضًا المستخدمين: مستخدمين ممتازين ومستخدمين عاديين. تختلف أذونات الاثنين ، لذا فإن الأشياء التي يمكنهم القيام بها مختلفة أيضًا ، لذا فهي أيضًا خطوة مهمة جدًا لإدارة المستخدم.
ضع كلمة سر للمستخدم:
يمكن تعيين هذا من خلال أمر النظام passwd. بشكل عام ، يوصى باستخدام كلمة مرور ذات قوة معقدة نسبيًا ، ويستخدم نفس المستخدم في كل نظام كلمة مرور مختلفة (يمكن استخدام المدير للإدارة اليومية).
[root @ rs-server ~] # passwd mingongge
تغيير كلمة المرور للمستخدم mingongge كلمة مرور
جديدة :
أعد كتابة كلمة المرور الجديدة :
passwd: تم تحديث كافة رموز المصادقة بنجاح.
إدارة المستخدم المؤقتة:
بالنسبة لهذا النوع من إدارة المستخدم المؤقتة المطلوبة ، يمكن عمومًا حذفها بعد الاستخدام ، أو يمكن قفلها بعد فترة زمنية بحيث لا يمكنها تسجيل الدخول مرة أخرى ، ويمكن فتح الأذونات مرة أخرى عند الحاجة إلى تسجيل الدخول التالي.
يعد حذف مستخدم أمرًا سهلاً ويمكن إجراؤه باستخدام اسم المستخدم userdel -r الخاص بأمر النظام.
يؤدي قفل المستخدم في الواقع إلى تعديل سمات المستخدم:
[root @ rs-server ~] # usermod -L mingongge
لنفتح المحطة ونحاول تسجيل الدخول لرؤية:
صورة
في هذا الوقت ، تبين أن اتصال تسجيل الدخول العادي لم يعد ممكنًا ، مما يشير إلى أن التكوين كان صحيحًا الآن. انتظر حتى المرة التالية التي تحتاج فيها إلى تسجيل الدخول ، يمكنك استخدام الأمر التالي لإلغاء القفل:
[root @ rs-server ~] # usermod -U mingongge
# -L lock
# -U unlock
6. إدارة الملفات
تشير إدارة الملفات هنا إلى الملفات المهمة التي تخزن معلومات المستخدم: / etc / passwd و / etc / shadow.
[root @ rs-server ~] # stat / etc / passwd
ملف : '/ etc / passwd '
الحجم : 945 كتل : 8 IO Block : 4096 ملف عادي الجهاز : fd00h / 64768d Inode : 17135889 الروابط : 1 الوصول : ( 0644 / -rw-r - r--) Uid : ( 0 / root) Gid : ( 0 / root) Access :


2019-08-06 01 : 14 : 37.439994172 + 0800
تعديل : 2019-08-06 01 : 14 : 37.440994172 + 0800
تغيير : 2019-08-06 01 : 14 : 37.442994172 + 0800
@ ولادة : ~
[root] # stat / etc / shadow
File : '/ etc / shadow '
الحجم : 741 كتل : 8 IO Block : 4096 منتظم
جهاز الملف : fd00h / 64768d Inode : 17135890 الروابط : 1
الوصول : ( 0000 / ----------) Uid : ( 0 / root) Gid : ( 0 / root)
Access : 2019-08-06 01 : 14 : 37.445994172 + 0800
التعديل : 2019-08-06 01 : 14 : 37.445994172 + 0800
تغيير : 2019-08-06 01 : 14 : 37.447994172 + 0800
الميلاد : -
بشكل عام ، يمكن أن نرى من سمات الملف أعلاه أنه تم العبث بهذه الملفات ، لذلك يوصى عمومًا بقفل هذين الملفين للمستخدمين بخلاف المستخدم الجذر دون إذن بتعديلهما والوصول إليه.
7. تمكين جدار الحماية
يعد استخدام جدار حماية النظام لتصفية حركة المرور الواردة والصادرة استراتيجية جيدة لمنع الهجمات ، ويمكن تعيين قواعد جدار حماية النظام واحدًا تلو الآخر ، وهو أمر قوي جدًا ويوصى بشدة بتمكينه.

8. إدارة حزم البرمجيات
بالنسبة للبرنامج المثبت على النظام ، نستخدم مدير حزمة RPM لإدارتها. بالنسبة للبرنامج المدرج بواسطة الأمر yum أو apt-get ، عند حذفه أو إلغاء تثبيته ، تأكد من استخدام الأوامر التالية:
yum -y remove software-package-name

sudo apt - احصل على إزالة اسم حزمة البرامج
9. قم بتعطيل إعادة تشغيل Crtl + Alt + Del
ستستخدم معظم الخوادم إعادة تشغيل الخادم بعد الضغط على مجموعة المفاتيح Crtl + Alt + Del . يعد هذا عامل أمان غير ملائم على الإطلاق للخوادم عبر الإنترنت ويجب حظره ، وإلا فسيكون لسوء التشغيل تأثير كبير.
# CentOS6 تعطيل Ctrl + Alt + Del وظيفة إعادة التشغيل # الطريقة 1: vi /etc/init/control-alt-delete.conf # start on control-alt-delete #Comment this line
# Method 2: mv / etc / init / control -alt-delete.conf /etc/init/control-alt-delete.conf.bak # ملاحظة : يمكن أن تسري كلتا الطريقتين دون إعادة تشغيل النظام






بالنسبة إلى CentOS7 ، يختلف النهج:
[root @ rs-server ~] # cat / etc / inittab
# inittab لم يعد مستخدماً عند استخدام systemd.
#
# إضافة التكوين هنا لن يكون لها أي تأثير على نظامك.
#
# Ctrl-Alt-Delete يتم التعامل معها بواسطة / usr / lib / systemd / system / ctrl-alt-del.target
#
# يستخدم النظام "الأهداف" بدلاً من مستويات التشغيل. افتراضيًا ، هناك هدفان رئيسيان:
#
# multi-user.target: مماثل لمستوى التشغيل 3
# graphical.target: مماثل لمستوى التشغيل 5
#
# لعرض الهدف الافتراضي الحالي ، قم بتشغيل: #
systemctl get-default
#
# للتعيينهدف افتراضي ، قم بتشغيل:
# systemctl set -default TARGET.target
#
سبق أن شرح هذا المستند المقدمة ذات الصلة.
صورة
بعد الاختبار ، إذا تم التعليق على التكوين في الملف أعلاه ، فلن يتم تفعيل أمر إعادة التشغيل:
[root @ rs-server ~] # ll / usr / lib / systemd / system /ctrl-alt-del.target
lrwxrwxrwx. 1 root root 13 Mar 14 17:27 / usr / lib / systemd / system / ctrl-alt- del.target -> reboot.target
هذا ctrl-alt-del.target هو رابط لين لإعادة التشغيل. لذلك ، فإن الطريقة الصحيحة النهائية هي: نقل هذا الملف إلى دليل آخر ، ثم إعادة تحميل ملف التكوين لاستخدام أخرى لتفعيلها. إذا كنت بحاجة إلى هذه الوظيفة مرة أخرى ، فأنت تحتاج فقط إلى إعادة إضافة ارتباط البرنامج هذا.

10. مراقبة سلوك المستخدم
إذا كان لديك الكثير من المستخدمين على نظامك ، فمن المهم جمع معلومات حول سلوك كل مستخدم واستهلاكه للعملية. يمكن إجراء تحليل المستخدم لاحقًا وعند التعامل مع بعض تحسينات الأداء وقضايا الأمان. ولكن ماذا عن مراقبة وجمع معلومات سلوك المستخدم؟ هناك نوعان من الأدوات المفيدة "psacct" و "acct" التي يمكن استخدامها لمراقبة سلوك المستخدم والعمليات على النظام.
[root @ rs-server ~] # yum تثبيت psacct -y
طريقة الاستخدام هي كما يلي:
حساب وقت اتصال المستخدم ac
#        عرض إجمالي وقت الاتصال لجميع المستخدمين
ac -p # عرض وقت الاتصال لكل مستخدم
ac -d # عرض إجمالي وقت الاتصال لجميع المستخدمين كل يوم
صمت # عرض وقت الاتصال المحدد user
ac -d silence # عرض المستخدم المحدد وقت الاتصال اليومي لمعلومات نشاط المستخدم الناتج

sa
#       عرض حالة تنفيذ الأمر لجميع المستخدمين
sa -u # عرض حالة تنفيذ الأمر بواسطة المستخدم
sa -m # عرض حالة تنفيذ الأمر بالعملية
sa - p # عرض حالة تنفيذ الأمر عن طريق الاستخدام

أخرج lastcomm أحدث معلومات أمر التنفيذ
lastcomm # عرض             جميع أوامر التنفيذ
lastcomm silence # عرض أوامر تنفيذ المستخدم المحددة
lastcomm ls # عرض حالة تنفيذ الأمر المحدد

آخر # عرض آخر         قائمة نجاح تسجيل دخول المستخدم الأخير
-x # عرض إيقاف تشغيل النظام وإعادة تشغيله ومعلومات أخرى أخيرًا

-a #Display IP في العمود
الأخير -d #Do تحليل اسم المجال لـ IP
الأخير -R # لا تعرض عمود IP
الأخير -n 3 # عرض آخر 3
lastb # اعرض        قائمة حالات فشل تسجيل دخول المستخدم الأخيرة
أمثلة استخدام محددة:
[root @ rs-server ~] # ac -p
root 71.88 إجمالي 71.88 [ root @ rs-server ~] # sa -u root 0 .00 cpu 1043k mem 0 io accton root 0 .00 cpu 3842k mem 0 io systemd-tty - اسأل الجذر 0.03 cpu 72576k mem 0 io pkttyagent root 0.00 cpu 32112k mem 0 io systemctl






root 0 .00 cpu 2674k mem 0 io systemd-cgroups
root 0 .07 cpu 37760k mem 0 io ps
root 0 .00 cpu 28160k mem 0 io grep
root 0 .00 cpu 1080k mem 0 io ac
root 0 .14 cpu 0k mem 0 io kworker / u256 : 0 *
جذر 0.10 وحدة المعالجة المركزية 0k mem 0 io kworker / 0 : 0 *
root 0 .02 cpu 0k mem 0 io kworker / 0 : 2 *

[root @ rs-server ~] # lastcomm sa
sa نقاط الجذر / 0 0 .00 ثانية الثلاثاء 6 أغسطس 02 : 15 [ root @ rs -server ~ ] # last -x root pts / 0192.168.1.14 الثلاثاء أغسطس


6 00:48 لا يزال مسجلاً في الجذر tty1 الثلاثاء أغسطس 6 00:48 لا يزال مسجلاً في [root @ rs-server ~ ] # lastb mingongg ssh : notty 192.168.1.14 الثلاثاء أغسطس 6 01 : 11 - 01 : 11 ( 00 : 00 ) mingongg ssh : notty 192.168.1.14 الثلاثاء أغسطس 6 01 : 11 - _




01:11 ( 00:00 ) btmp يبدأ الثلاثاء أغسطس 6 01:11:27 2019 _ _ _ _ _

11. تحقق بانتظام من السجل
احفظ النظام وسجلاته المهمة على خادم سجل احترافي غير هذا الخادم ، وذلك لمنع المتسللين من غزو النظام والتطبيقات من خلال تحليل السجلات. وفيما يلي ملفات السجل الشائعة:
صورة
12. النسخ الاحتياطي للبيانات
صورة
وغني عن القول ، أن هذا مهم للغاية ، خاصة بيانات الإنتاج المهمة ، والتي يجب نسخها احتياطيًا وتخزينها محليًا ، وخارج الموقع ، وعلى وسائط مختلفة ، وفي الوقت نفسه ، يجب التحقق من سلامة البيانات وتوافرها بانتظام.
13. أدوات السلامة
بالنسبة للنظام ، من الضروري استخدام أدوات فحص الأمان الشائعة ، مثل: فحص المنافذ المفتوحة nmap. بالنسبة لتطبيقات WEB في النظام ، يمكنك استخدام بعض الأدوات مفتوحة المصدر: IBM AppScan ، و SQL Map ، وما إلى ذلك. هناك أيضًا العديد من المنتجات التجارية من هذا النوع ، لذلك لن أقدمها هنا (ولا تعطيني رسومًا للإعلان ).
هناك أدوات لتشفير الملفات للملفات ، وبعض أدوات الكشف عن التسلل وفحص الثغرات الأمنية للأنظمة ، سواء كانت مفتوحة المصدر أو تجارية ، يمكنك تحديد الأداة التي يجب استخدامها بناءً على الاحتياجات الفعلية وتكاليف المؤسسة.
14. طرق الإدارة
من أجل إدارة السلامة ، من الضروري أيضًا وجود عملية ونظام إدارة جيد ، وإلا فإن الوظيفة الأساسية للنقاط الـ 13 المذكورة أعلاه هي 0. هناك طريقة ، ولكن لا يوجد نظام لتنفيذ الطريقة! !
لذلك ، بغض النظر عن المؤسسات الصغيرة أو المؤسسات الكبيرة ، فإن نظام العملية والإدارة يسبق دائمًا جميع طرق المعالجة. الموهبة هي العامل الذي لا يمكن السيطرة عليه في العالم! !
المؤلف: الأخ المهاجر
المصدر: طريق تكنولوجيا العمال المهاجرين
نصائح جيدة:

نظرًا للتغييرات الأخيرة في قواعد الدفع لمنصة WeChat العامة ، أفاد العديد من القراء أنهم لم يروا المقالات المحدثة في الوقت المناسب. وفقًا لأحدث القواعد ، يوصى بالنقر فوق "موصى بالقراءة والمشاركة والتجميع" وما إلى ذلك لتصبح قراءًا متكررين.

اقتراحات للقراءة:

الرجاء النقر فوق [مشاهدة] لإضافة أرجل الدجاج إلى المحرر

صورة