اطلاعیه

بستن
No announcement yet.

5 نمونه از بهترین روش ها برای امنیت و نگهداری سرورهای لینوکس

بستن
X
 
  • فیلتر کردن
  • زمان
  • نمایش
Clear All
پست های جدید

    5 نمونه از بهترین روش ها برای امنیت و نگهداری سرورهای لینوکس

    SSH (Secure Shell) یک پروتکل متن باز شبکه می باشد که برای کانکت شدن لوکال و یا ریموت به سرورهای لینوکس برای انتقال فایل ها، گرفتن بک آپ از راه دور، اجرای دستورات از راه دور و کارهای دیگر مربوط به شبکه با استفاده از scp و یا sftp بین دو سرور و از طریق کانالی امن تحت شبکه استفاده می شود.
    امنیت سرورهای لینوکس








    در این مقاله ما به شما ابزارها و ترفندهای ساده ای را نشان خواهیم داد که به شما کمک خواهد کرد که امنیت سرور ssh خود را محکم تر سازید. در اینجا به شما اطلاعات مفیدی در مورد اینکه چگونه سرور ssh خود را از حمله های brute force و dictionary attack ها محافظت کنید، خواهیم داد.



    1. DenyHosts

    DenyHosts یک اسکریپت امنیتی متن باز براساس log، برای جلوگیری از نفوذ به ssh سرورها است که به زبان python نوشته شده است که برای امین ها و کاربران لینوکس در نظر گرفته شده است که لاگ های دسترسی با ورود ناموفق به سرور ssh را که به عنوان dictionary based attacks و brute force attacks شناخته شده اند، مانیتور کرده و تحلیل کنند. اسکریپت براساس تحریم مجموعه آدرس های IP که به سرور ورود ناموفق داشته اند کار می کند و همچنین از حمله هایی برای دسترسی به سرور جلوگیری می کند.


    ویژگی های DenyHosts
    • نگهداری مسیر /var/log/secure برای پیدا کردن تمام تلاش ها برای ورود ناموفق و یا موفق و فیلتر کردن آنها.
    • نگهداری دقیق تمامی ورودهای ناموفق توسط کاربران و یا هاست متخلف.
    • مراقبت از تلاش های ورود ناموفق تمامی کاربران موجود و غیر موجود.
    • نگهداری ردپای کاربر و host متخلف، و تلاش برای لاگین مشکوک (اگر تعدادی از لاگین ها ناموفق بود) و تحریم کردن آن توسط اضافه کردن آدرس آی پی host در فایل /etv/hosts.deny.
    • ارسال ایمیل اطلاع رسانی به host های بلاک شده و یا لاگین های مشکوک.
    • نگهداری تمامی لاگینهای ناموفق معتبر و نامعتبر در فایل های جداگانه، همچنین ایجاد راهی آسان برای شناسایی کاربری که حمله کرده است. بنابراین میتوان آن اکانت را حذف کرده و یا پسورد را تغییر داده و یا آن را برای ورود به shell غیر فعال کرد.

    ادامه مقاله DenyHost : بلاک/مسدود کردن حملات Brute Force به سرور لینوکس با استفاده از DenyHosts



    2. Fail2Ban

    Fail2Ban یکی از محبوب ترین دستورالعمل های متن باز برای تشخیص/پیشگیری که به زبان پایتون نوشته شده است می باشد که براساس اسکن کردن لاگ فایل های /var/log/secure ،/var/log/auth.log ،/var/log/pwdfail و ... برای یافتن تلاش ها برای ورود ناموفق، عمل می کند. Fail2Ban از فایل hosts.deny ،Netfilter/iptables و یا TCP Wrapper، برای رد کردن آدرس IP مهاجم برای مدتی استفاده می کند. همچنین قادر است که یک آدرس IP بلاک شده را برای مدت زمان تعیین شده ای توسط ادمین مسدود کند که برای متوقف ساختن چنین حملات مخربی کافی میباشد.


    ویژگی های Fail2Ban
    • قابل پیکربندی Multi-threaded و Highly
    • پشتیبانی برای rotation لاگ فایل ها و توانایی هندل کردن چندین سرویس همانند (sshd,vsftpd,apache,…)
    • مانیتور لاگ فایل ها و جستجوی الگوهای شناخته شده و یا ناشناس
    • استفاده از جدول Netfilter/Iptabales و TCP Wrapper(/etc/hosts.deny) برای تحریم IP مهاجم
    • اجرای اسکریپت زمانیکه یک الگوی معین تشخیص داده شده توسط همان آدرسIP برای بیشتر از زمان X.

    ادامه مقاله Fail3Ban : راه اندازی Fail2ban برای ایمن کردن سرورهای لینوکس



    3. غیرفعال کردن لاگین root

    به طور پیش فرض در سیستم های لینوکس، لاگین از راه دور ssh برای هر کسی حتی خود root دسترسی داده شده است، که هر کس اجازه دارد به طور مستقیم به سیستم لاگین کند و دسترسی root داشته باشد. با این وجود سرور ssh راه امنیتی بهتری را برای فعال و غیرفعال کردن لاگین های root در اختیار قرار می دهد، غیرفعال کردن لاگین root همیشه ایده ی خوبی برای امن نگهداشتن سرور است.

    افراد زیادی هستندکه سعی دارند از طریق اکانت root حمله های ssh مانند brute force را به سادگی با نام و پسوردی متفاوت، یکی پس از دیگری انجام می دهند. اگر شما ادمین سیستم هستید، می توانید لاگ های ssh سرور خود را چک کنید، اینجا شما تعدادی از لاگین های ناموفق را پیدا خواهید کرد. دلیل اصلی این همه لاگین ناموفق داشتن پسوردی ضعیف است که آن مهاجمین و هکر ها را برای تلاش به لاگین حساس تر می سازد.

    اگر شما پسوردی قوی داشته باشید، مطمئنا بیشتر در امان خواهید بود، اما بهتر است که لاگین root را غیر فعال کنید و اکانت جداگانه ای برای لاگین داشته باشید، و در صورت نیاز از sudo و su استفاده کنید.

    ادامه مقاله غیرفعال کردن لاگین root : غیر فعال یا فعال کردن دسترسی login یوزر root به سرور لینوکس



    4. نمایش بنر SSH

    این یکی از قدیمی ترین ویژگی های در دسترس از شروع پروژه ی ssh است، اما من خیلی کم می بینم توسط هر کسی استفاده شود. به هر حال، من احساس می کنم که این ویژگی مهم و بسیار مفیدی است که برای تمامی سرورهای لینوکس مان از آن استفاده کنیم.

    این کار برای هدف امنیتی نیست، بیشترین استفاده این بنر برای نمایش پیام اخطار SSH و دسترسی غیرمجاز و پیام خوش آمدگویی به کاربران مجاز قبل از وارد کردن پسورد و پس از لاگین آنها می باشد.

    ادامه مقاله نمایش بنر SSH : نمایش Banner برای محافظت از Login به سرورهای لینوکس



    5. لاگین بدون پسورد SSH

    لاگین بدون پسورد SSH با SSH keygen یک رابطه ی مطمئن و امن بین دو سرور لینوکس برای انتقال فایل و همگام سازی راحتتر را ایجاد می کند. این روش بسیار مفید است اگر شما با بک آپ گیری های راه دور، اجرای اسکریپت ها از راه دور، انتقال فایل، مدیریت اسکریپت ها از راه دور و ... بدون وارد کردن پسورد، سرو کار دارید.

    ادامه مقاله لاگین کردن بدون پسورد : نحوه لاگین کردن به SSH بدون وارد کردن پسورد با استفاده از public key



    همچنین توصیه میشود مطالعه کنید :

    نحوه فعال کردن احراز هویت دو مرحله ای هنگام ssh (توسط Google Authentication)

    20 ترفند برای امنیت سرورهای CentOS - بخش 1

    چگونه امنیت سیستم عامل لینوکس خود را برقرار کنیم

    نحوه مقابله با باج افزار ها

    نحوه نصب FreeIPA (سرویس احراز هویت متمرکز لینوکسی)

    استفاده از Pam_Tally2 برای Lock کردن و Unlock کردن login های Fail شده به SSH

    7 ابزار برای رمزنگاری/رمزگشایی و پسورد گذاشتن روی فایل ها در لینوکس

    امنیت فایل ها و دایرکتوری ها با استفاده از ACL در لینوکس



    موفق باشید.
    ه.ا.ب.ی.ل.ی.////
    آخرین ویرایش توسط Habili; در تاریخ/ساعت 02-07-2021, 01:59 PM.
    اینستاگرام انجمن لینوکس ایران : https://www.instagram.com/iranlinuxforum

درباره انجمن منطقه لینوکسی ها

انجمن منطقه لینوکسی ها با هدف ارتقاء سطح علمی کاربران در سطح جهانی و همچنین کمک به بالا بردن سطح علمی عمومی در زمینه های تخصصی فوق پایه گذاری شده است. انجمن منطقه لینوکسی ها از طریق کارشناسان و متخصصان پاسخگوی سوالات گوناگون کاربران مبتدی یا پیشرفته میباشد تا حد امکان تلاش شده که محیطی متنوع و کاربر پسند و به دور از هرگونه حاشیه جهت فعالیت کاربران در این انجمن ایجاد شود. لذا ما به صورت مستمر برای پیشرفت کمی و کیفی محتوی و اطلاعات انجمنمان میکوشیم که این برای ما ارزشمند و حائز اهمیت است. کلیه حقوق،اطلاعات و مقالات در این انجمن متعلق به سایت منطقه لینوکسی ها میباشد، و هرگونه نسخه برداری بدون ذکر منبع مورد پیگرد قانونی خواهد شد.

شبکه های اجتماعی

ایمیل مدیریت

Habili@linux-zone.org

در حال انجام ...
X