وبلاگ دیاکو وب

5 وظیفه اول پس از نصب یک سرور اوبونتو

پس از نصب یک سرور VPS جدید اوبونتو ، ممکن است به دنبال راهنمای کارهای بعدی باشید. بسیاری از اوقات تنظیمات پیش فرض بالاترین امنیت را  برای سرور شما ارائه نمی دهند. در طول این مقاله، نکات امنیتی را در اختیار شما قرار می دهیم و سوالاتی را برای کمک به تعیین بهترین نوع راه اندازی برای محیط خود مطرح می کنیم.

سرور اوبونتو
افزایش امنیت لینوکس

1. کاربر root را ایمن کنید

این باید اولین کاری باشد که هنگام راه اندازی یک نصب جدید سرور اوبونتو انجام می دهید. به طور معمول، تنظیم رمز عبور برای کاربر ROOT در طول فرآیند نصب انجام می شود. با این حال، اگر زمانی در موقعیتی قرار گرفتید که مسئولیت سرور اوبونتو را بر عهده گرفته اید، بهتر است رمز عبور را با در نظر گرفتن بهترین روش ها برای رمزهای عبور مجدد تنظیم کنید.

  1. از کلمات انگلیسی استفاده نکنید
  2. از ترکیبی از نمادها و کاراکترهای الفبایی استفاده کنید
  3. طول – بر اساس احتمال و احتمال حدس زدن یا شکستن یک رمز عبور، می توانید بهترین امنیت را پس از اینکه یک رمز عبور به طول مشخصی رسید، ارائه دهید. بیش از یازده کاراکتر پسورد خوبی است، اما حتی گذرواژه‌های طولانی‌تر با کاراکترهای پیچیده راه امن‌تری است.
				
					sudo passwd root

				
			

2. دسترسی SSH ایمن

بسیاری از اوقات، هنگامی که یک سرور راه اندازی می شود و در حال اجرا است، پیکربندی پیش فرض برای ورود از راه دور SSH به گونه ای تنظیم می شود که اجازه ورود به root را می دهد.

ما می توانیم سرور را ایمن تر از این بکنیم. برای اجرای دستورات سطح ریشه یا مدیریت روی سرور فقط باید از کاربر root استفاده کنید. این را می توان با ورود به سرور از طریق SSH با یک کاربر معمولی و سپس تغییر به کاربر اصلی پس از اینکه قبلاً وارد سرور شده اید انجام داد.

				
					ssh admin9@myserver.com
				
			
پس از ورود می توانید از کاربر “admin9” به کاربر اصلی تغییر دهید.
				
					su -
				
			

با انجام برخی تنظیمات در فایل sshd_config می توانید ورود SSH را برای کاربر اصلی غیرفعال کنید. مطمئن شوید که تمام دستورات زیر را به صورت روت یا با کاربری با امتیازات sudo اجرا کنید.

				
					nano /etc/ssh/sshd_config
				
			
در این فایل بخش Authentication را پیدا کنید و به دنبال خط زیر بگردید:
				
					PermitRootLogin yes
				
			
فقط آن را به این تغییر دهید:
				
					PermitRootLogin no
				
			

برای اعمال تغییرات، باید سرویس SSH را مجدداً راه اندازی کنید:

				
					/etc/init.d/ssh restart
				
			

اکنون می‌توانید با خروج از سرور، آن را آزمایش کنید و سپس دوباره از طریق SSH با کاربر اصلی و رمز عبور وارد شوید. باید تلاش های شما برای انجام این کار را رد کند. این امر امنیت بسیار بیشتری را فراهم می کند زیرا به نام کاربری دیگری نیاز دارد تا از طریق SSH به سرور وارد شود. این دو مقدار را فراهم می کند که مهاجم باید به جای یک مقدار بداند، زیرا اکثر هکرها می دانند که کاربر Root در سرور لینوکس وجود دارد.

همچنین موارد زیر را نیز می توان تغییر داد تا دسترسی SSH ایمن تر شود مطابق مسیر قبلی /etc/ssh/sshd_config با ویرایشگر وارد می شوید و مطابق زیر مقدار تغییر خواهید داد.

				
					PermitEmptyPasswords no
				
			

اطمینان حاصل کنید که دستورالعمل روی ” no” تنظیم شده است تا کاربران بدون رمز عبور نتوانند وارد سیستم شوند. در غیر این صورت، مهاجم فقط به یک اطلاعات نیاز دارد و در عین حال به آنها این امکان را می دهد که فقط با آگاهی از یک کاربر وارد شوند. البته این بدان معناست که آنها می توانند به حدس زدن کاربران نیز ادامه دهند و به راحتی وارد سیستم شوند. آخرین احتیاط این است که تنظیمات روتر یا فایروال را تنظیم کنید تا مطمئن شوید که دسترسی SSH راه دور به پورت 22 هدایت می شود و مستقیماً به پورت 22 دسترسی ندارد. با نام کاربری و رمز عبور تصادفی ممکن است لازم باشد به مستندات فایروال روتر یا سرور خود مراجعه کنید تا مطمئن شوید که پورت بالاتری نسبت به پورت 22 ارسال می کنید.

3. فایروال را نصب کنید

به‌طور پیش‌فرض، نسخه‌های بعدی اوبونتو باید دارای فایروال بدون UFW باشند. با موارد زیر می توانید بررسی کنید که آیا UFW نصب شده است:

				
					sudo ufw status

				
			

که وضعیت فعال یا غیرفعال را برمی گرداند. اگر نصب نیست می توانید آن را با این دستور در سرور مجازی یا سرور اختصاصی لینوکس خود نصب کنید:

				
					sudo apt-get install ufw
				
			

ایده خوبی است که فهرستی از اجزایی که نیاز به دسترسی به سرور شما دارند را در نظر بگیرید.

آیا دسترسی SSH لازم است؟

آیا ترافیک وب مورد نیاز است؟

شما می خواهید خدمات مورد نیاز را از طریق فایروال فعال کنید تا ترافیک ورودی بتواند به روشی که شما می خواهید به سرور دسترسی داشته باشد.

در مثال ما اجازه می دهیم SSH و دسترسی به وب را فراهم کنیم.

				
					sudo ufw allow ssh
sudo ufw allow http
				
			

این دستورات همچنین پورت ها را باز می کنند. همچنین می‌توانید از روش پورت برای اجازه دادن به خدمات از طریق آن پورت خاص استفاده کنید برای مثال اگر پورت SSH تغییر داده اید آن پورت به فایروال برای ورودی مجاز اعلام کنید.

				
					sudo ufw allow 80/tcp
sudo ufw allow 22/tcp

				
			

این اساساً مانند اجازه دادن به سرویس HTTP و SSH در پورت دیفالت خواهد بود. هنگامی که خدماتی را که می خواهید لیست کردید، می توانید فایروال را با این کار فعال کنید و بعد از آن تمام پورت های ورودی مسدود خواهند شد.

				
					sudo ufw enable

				
			

این ممکن است اتصال SSH فعلی را قطع کند اگر به صورت صحیح پورت SSH وارد نکرده باشید، بنابراین مطمئن شوید که اطلاعات شما صحیح است تا از سیستم خارج نشوید. همچنین، مطمئن شوید که درک خوبی از افرادی که واقعاً نیاز به دسترسی به سرور دارند دارید و فقط کاربرانی را به سیستم عامل لینوکس اضافه کنید که واقعاً به دسترسی نیاز دارند.

4. آنچه را که می‌خواهید انجام دهید را درک کنید

مهم است که فکر کنید برای چه کاری از سرور خود استفاده خواهید کرد. آیا قرار است فقط یک سرور فایل باشد؟ یا وب سرور؟ یا یک وب سرور که نیاز به ارسال ایمیل از طریق فرم ها دارد؟ شما می خواهید یک طرح کلی از آنچه که از سرور استفاده خواهید کرد، ایجاد کنید تا بتوانید آن را مطابق با آن نیازهای خاص بسازید. بهتر است سرور را فقط با خدماتی که نیاز دارد تنظیم کنید. هنگامی که در نهایت سرویس‌های اضافی را قرار می‌دهید که مورد نیاز نیستند، در معرض خطر داشتن نرم‌افزار قدیمی قرار می‌گیرید که تنها آسیب‌پذیری بیشتری را به سرور اضافه می‌کند. هر مؤلفه و سرویسی که اجرا می کنید باید به عنوان بهترین روش ایمن شود.

 به عنوان مثال، اگر شما به شدت یک سایت ثابت را اجرا می کنید، نمی خواهید آسیب پذیری های ناشی از یک سرویس ایمیل قدیمی را داشته باشید پس سرویس ایمیل فعال نکنید و مسدود سازی لازم انجام دهید.

5. سیستم فایل را به روز نگه دارید

شما باید مطمئن شوید که سرور شما با آخرین وصله های امنیتی به روز می ماند. در حالی که یک سرور می تواند برای مدتی بدون تعمیر و نگهداری زیاد کار کند و همه چیز «فقط کار می کند»، باید مطمئن باشید که ذهنیت «تنظیمش کنید و فراموشش کنید» را دنبال نکنید. به‌روزرسانی‌های منظم در سرور اوبونتو می‌تواند مطمئن شود که سیستم امن و به‌روز باقی می‌ماند. برای این کار می توانید از موارد زیر استفاده کنید.

				
					sudo apt-get update

				
			

در حالی که نصب سرور اوبونتو یک راه عالی برای یادگیری نحوه کار با لینوکس است، ایده خوبی است که در یک محیط امن یاد بگیرید. علاوه بر این، بهتر است تا زمانی که آماده نشده اید، سرور را در بستر اینترنت قرار ندهید. یک راه عالی برای شروع کار در خانه است که در آن می توانید از شبکه خصوصی خود به سرور دسترسی داشته باشید بدون اینکه اجازه دسترسی به سرور از طریق اینترنت یا روتر خانگی خود را بدهید. اگر و زمانی که سرور اوبونتو را مستقر می کنید، باید پنج مورد بالا را در نظر داشته باشید. مهم است که پیکربندی سرور پس از استقرار آن را بدانید تا بدانید عموم به چه نوع دسترسی می توانند دسترسی داشته باشند و هنوز چه چیزی باید سخت تر شود. از یادگیری لذت ببرید و از شکستن چیزی در محیط امن خود نترسید، زیرا این تجربه می تواند معلم بزرگی در زمان بر خط بودن سرور باشد.

برای آزمایش و یادگیری سرور لینوکس میتوانید با خرید سرور مجازی لینوکس دیاکو وب که شروع قیمتی بسیار اقتصادی دارند بهره مند شوید و با حداقل منابع یک سرور کوچک آزمایشی راه اندازی کنید، در صورتی که زمان آزمایش و یادگیری به هر نوع مشکلی بخورد داشتید میتوانید از طریق کنترل پنل اقدام به نصب مجدد سیستم عامل و نیز میتوانید از کنسول مانیتور سرور مشاهده کنید حتی اگر فایروال به شما اجازه ورود به شما ندهد.

پشتیبانی دیاکو وب به صورت 24 ساعته در کنار شما برای رفع مشکلات سرویس های حساس و بر خط شما می باشد.