هاست لينوكس ارزان

امن‌سازي هاست لينوكس براي محافظت از داده‌هاي كاربران و مشتريان امري حياتي و عقلاني است و تأمين امنيت هاست لينوكس يكي از وظايف مديران سيستم است. در اين نوشتار ۲۰ راهكار براي افزايش امنيت يك سيستم هاست لينوكسي تازه نصب شده را عنوان مي‌كنيم. ما اين كار را با يك سرور مبتني بر ردهت انجام مي‌دهيم. اما براي نصب يا حذف بسته‌ها مي‌توانيد از ابزار مديريت بسته توزيع خود استفاده كنيد.

1-رمزگذاري ارتباطات داده
تمام داده‌هاي ارسال شده از طريق شبكه قابل شنود است. براي جلوگيري از شنود داده‌ها، داده‌هاي ارسال شده را تا حد ممكن با رمز عبور يا استفاده از كليد‌ها و گواهي‌نامه‌هاي امنيتي رمزگذاري كنيد. 
الف- از scp،ssh،rsync يا sftp براي ارسال داده‌ها استفاده كنيد. همچنين مي‌توانيد فايل سيستم سرور راه دور يا پوشه‌خانگي كامپيوتر سرور را با استفاده از ابزار مخصوص sshfs يا ابزار fuse مانت كرده و سپس به انتقال داده‌ بپردازيد. 

ب-GnuPG براي شما امكان رمزگذاري و امضا كردن داده‌ها و ارتباطات را فراهم مي‌كند. همچنين يك سيستم مديريت كليد همه‌كاره و ماجول‌هاي دسترسي به انواع كليد عمومي را به همراه دارد.

ج-Fugu يك رابط‌گرافيكي براي برنامه انتقال امن فايل Sftp است. SFTP مشابه ftp است اما بر‌خلاف آن، كل نشست را رمزگذاري مي‌كند و اين به آن معنا است كه هيچ رمز عبوري به شكل متني ارسال نخواهد شد. گزينه ديگر FileZilla است كه يك كلاينت مستقل از سكو است و از FTP، FTP از طريق SSL/TLS يا FTPS و پروتكل انتقال فايل ssh يا همان Sftp، پشتيباني مي‌كند. 
د-OpenVPN يك VPN سبك و كم هزينه با پشتيباني SSL است.
ه- پيكربندي  و نصب Lighthttpd SSL يا همان https را در نظر داشته باشيد.
و-پيكربندي  و نصب Apache SSL يا https از طريق ماجول mod_ssl آپاچي را هم فراموش نكنيد.

1-1 پرهيز از به كار بردن FTP،Telnet و Rlogin/Rsh

در بيشتر پيكربندي‌هاي پيش‌فرض شبكه‌ها، نام‌هاي كاربري، رمزهاي عبور، دستورات FTP/Telnet/Rsh و فايل‌هاي انتقال يافته به‌راحتي ممكن است توسط كاربري در همان شبكه به كمك برنامه‌هاي بو كشيدن بسته (packet sniffer) دريافت شوند. راه حل عمومي استفاده از OpenSSH، SFTP و FTPS است. دستور زير را اجرا كنيد تا NIS،Rsh و ساير سرويس‌هاي منسوخ را پاك كنيد:

yum erase inetd xinetd ypserv tftp-server telnet-server rsh-serve

2-حداقل‌كردن برنامه‌‌‌هابراي به حداقل رساندن نفوذ‌پذيري
آيا واقعاً به همه سرويس‌هاي وبي كه روي سيستم نصب شده است، احتياج داريد؟ براي كاهش نفوذ‌پذيري سيستم، از نصب نرم‌افزارهاي اضافي خودداري كنيد. از ابزار مديريت بسته مانند yum، apt-get يا dpkg براي بررسي بسته‌هاي نصب شده روي سيستم استفاده كنيد:

yum list installed
yum list packageName
yum remove packageName

يا درنمونه‌هاي دبياني:

dpkg –list
dpkg --info packageName
apt-get remove packageName

3- يك سرويس  شبكه اي روي هر سيستم يا هر ماشين مجازي
سرويس‌هاي شبكه‌اي مختلف را روي سرويس‌دهنده‌هاي مختلف يا ماشين‌هاي مجازي مختلف اجرا كنيد. اين كار تعداد سرويس‌هايي را كه ممكن است آسيب ببينند، محدود مي‌كند. در اين حالت به عنوان مثال اگر يك خرابكار وارد شبكه شود و بتواند در سرويس‌دهنده وب آپاچي نفوذ كند، قادر نخواهد بود تا در ديگر سرويس‌هاي شبكه مانند Mysql يا سرويس‌دهنده ايميل نفوذ كند.

4-هسته و برنامه‌هاي سيستم را به‌روز نگه‌داريد
اعمال وصله‌هاي امنيتي، مهم‌ترين بخش نگه‌داري يك سيستم هاست لينوكس  است. هاست لينوكس تمامي ابزارهاي لازم براي به‌روزنگه‌داشتن سيستم را فراهم كرده و اجازه ارتقاي آسان بين نسخه‌هاي مختلف را مي‌دهد. تمامي به‌روزرساني‌هاي امنيتي بايد بررسي و در اسرع وقت اعمال شوند. دوباره از ابزار مديريت بسته مانند yum يا apt براي به‌روز نگه داشتن سيستم استفاده كنيد:

yum update

يا

apt-get update && apt-get upgrade

مي‌توانيد ردهت، سنت او اس يا فدوراي خود را طوري تنظيم كنيد تا خبر انتشار يك به‌روزرساني براي هر يك از بسته‌هاي yum را از طريق ايميل به شما اطلاع دهد. گزينه ديگر، اعمال تمامي به‌روزرساني‌ها از طريق وظايف cron است. براي سيستم‌هاي دبيان واوبونتو ازapticron براي آگاه شدن از وجود به‌روزرساني‌ها استفاده كنيد.

5-از افزونه‌هاي امنيتي لينوكس استفاده كنيد

هاست لينوكس از وصله‌هاي امنيتي مختلفي براي محافظت در قبال تنظيم‌هاي نادرست يا برنامه‌هاي مشكل‌ساز استفاده مي‌كند. اگر ممكن است از SELinux يا ديگر ابزارهاي امنيتي اضافي لينوكس براي تشديد محدوديت‌هاي برنامه‌هاي شبكه و ساير برنامه‌ها استفاده كنيد. به عنوان مثال SELinux از سياست‌هاي امنيتي گوناگوني براي هسته هاست لينوكس استفاده مي‌كند.

- SELinux
ما استفاده از SELinux كه يك كنترل دسترسي الزام‌آور MAC (سرنام Mandatory Access Control) انعطاف‌پذير را فراهم مي‌كند، توصيه مي‌كنيم. در حالت استاندارد كنترل دسترسي احتياطي DAC (سرنام Discretionary Accesc Control)، برنامه يا پردازه‌اي كه به عنوان يك كاربر (UID يا SUID) اجرا مي‌شود،‌تمام مجوزهاي كاربر را براي دسترسي به اشيايي مانند فايل‌ها، سوكت‌ها و ساير پردازه‌ها دارد. اجراي كنترل دسترسي الزام‌آور، سيستم را از بدافزارهايي كه ممكن است آن را خراب يا نابود كنند، محافظت مي‌كند. براي اطلاعات بيشتر مي‌توانيد.

در واقع اگر هاستي سيستم عامل آن لينوكس باشد به آن هاست ، هاست لينوكس گفته مي شود يكي از دلايل مهم  اين كه هاست لينوكس داراي قيمت پاينتري نسبت به هاست ويندوز مي باشد اين است كه سيستم عامل لينوكس يك سيستم عامل رايگان است.