شاید شما هم مثل خیلی از کاربران به دنبال روش های ایمن سازی و بالا بردن امنیت هر چه بیشتر سرور های لینوکسی از نوع ابنتو هستید
در این اموزش به موارد اصلی ایمن سازی در پنج مرحله اصلی اشاره خواهد شد
پیشنهاد می شود هر پنج مرحله را به دقت انجام دهید
توجه داشته باشید دستورات ذکر شده را باید در ترمینال لینوکس که به ان توسط نرم افزار هایی مثل putty متصل شده اید وارد کنید
1. به روز رسانی سیستم
قطعا به روز نگه داشتن سیستم یک امر حیاتی است. قبل از اینکه شروع به کار دیگری کنیم باید مطمئن شویم که سیستم به لحاظ دریافت به روز رسانی ها مشکلی نداشته باشد. به همین منظور مراحل زیر دنبال شود.
sudo apt-get update
sudo apt-get upgrade
sudo apt-get autoremove
sudo apt-get autoclean
همچنین شما می توانید به صورت خودکار و نصب به روزرسانی های امنیتی را انجام دهید. لازم به ذکر است همان طور که گفته شد بسیار مهم است که همیشه به روز باشید.
sudo apt-get install unattended-upgrades و سپس به جهت اینه برای اجرا فعال شود دستور زیر را اجرا کنید.
sudo dpkg-reconfigure -plow unattended-upgrades2. ساخت کاربر جدید
به دلایل امنیتی توصیه می شود که به جای کاربر root از یک کاربر عادی با دسترسی sudo استفاده کرد. برای بهبود وضعیت امینتی می توان یک نام کاربری تعیین کرد که به راحتی قابل حذف نباشد. مثلا نام کاربری irlnxusr25
نحوه ساخت کاربر:
sudo useradd -d /home/irlnxusr25 -s /bin/bash -m irlnxusr25به جهت دادن حق دسترسی sudo به این کاربر دستور زیر را اجرا می کنیم.
sudo usermod -a -G sudo irlnxusr25حال باید یک کلمه عبور برای این کاربر تعیین کرد.
sudo passwd irlnxusr25حتما دقت کنید که کلمه عبور شما شامل عدد، حروف کوچک و بزرگ، علامت و بیش از هشت کاراکتر باشد.
حال اگر با کاربر جدید که ساخته شده است وارد شوید. خواهید دید که برای sudo کلمه عبور درخواست خواهد شد.
3. غیر فعال کردن کاربر root
باز هم به دلایل امنیتی، بهتر است که کاربر root غیر فعال شود. حذف کلی Account ایده خوبی نیست. غیر فعال کردن آن می تواند در این زمینه به ما کمک کند. برای این منظور کامند زیر را اجرا کرده تا با استفاده از راهنمای کامند passwd و جستجوی کلمه lock در آن نحوه فعال و غیر فعال کردن یک کاربر در سیستم را مشاهده کنید.
پس برای غیر فعال کردن کاربر root به صورت زیر عمل می کنیم.
sudo passwd -l root
و اگر به هر دلیلی نیاز به فعال کردن مجدد آن داشتیم با استفاده از کامند زیر آن را فعال می کنیم.
sudo passwd -u root
4. ایمن کردن SWAP
به جهت ایمن کردن آن و جلوگیری از خوانده شدن توسط همگان دستورات زیر را دنبال کنید.
sudo chown root:root /swapfile
sudo chmod 0600 /swapfile
حال سیستم را ریبوت کرده و مطمئن شوید که همه چیز به درستی کار می کند.
5.محدود کردن رنج ایپی ورود به ترمینال
در صورتی که بخواهید SSH را برای IP یا رنجی از IPها محدود کنید به صورت زیر می توان عمل کرد.
sudo vi /etc/host.allow
خط زیر را ویرایش و یا به اخر فایل بالا اضافه کنید
sshd : 10.20.30.40, 10.20.3.15
دقت کنید که بجای اعداد باید رنج ایپی خودتون رو وارد کنید
برای بدست اوردن رنج ایپی به سایت زیر برید
https://wtfismyip.com/
اگر برای مثال ایپی شما
245.10.45.69
باشد
رنج ایپی شما بصورت زیر می شود و باید ان را در فایل بالا وارد کنید
245.10.
و سپس در فایل host.deny دسترسی همه را می بندیم:
sudo vi /etc/host.deny
sshd : ALL6.تغییر پورت ssh
یکی از مهم ترین بخش های افزایش امنیت تغییر پورت ssh می باشد که پیشنهاد میشه حتما انجام بدید
حتی برای امنیت بیشتر هر چند مدت یکبار تغییرش بدید
برای تغییر پورت ssh باید فایل sshd_config را در سرور خود ویرایش نمایئد، برای این منظور ابتدا با نرم افزار های ssh مثل putty به سرور متصل شده و بعد از وارد کنید یوزر و پسورد ، دستور زیر را وارد نمایید :
nano /etc/ssh/sshd_configاگر قبل از ورود به ویرایشگر پیام خاصی مشاهده کردید دکمه Y رو بزنید
پورت ssh برای سرور های لینوکس بصورت پیش فرض 22 می باشد، به همین خاطر در فایل مربوطه شما خط زیر را مشاهده خواهید کرد:
#Port 22حال می بایست عبارت مربوطه را به شکل زیر ویرایش کنید:
Port 8643عدد چهار رقمی بالا کاملا دلخواه است (دقت داشته باشید حتما علامت # قبل از پورت برداشته شود)
این عدد را به خاطر بسپارید
کلید Ctrl + X بفشارید و دکمه Y بزنید تا ذخیره شود. سپس دستور زیرا را وارد کنید
service sshd restartمراحل به اتمام رسید و با تغییر پورت دسترسی شما از طریق putty که قبلا با پورت 22 به آن وصل شده اید قطع می گردد و کافی است برای ورود مجدد از پورت جدید به عنوان پورت ورود به سرور استفاده نمایید.
