اين وبلاگ توسط وب سايت شركت لينوكس وب تهيه شده است براي افرادي كه قصد خريد هاست لينوكس دارند ولي در مورد ويژگي هاست لينوكس و خود سيستم عامل هاست لينوكس اطلاعات چنداني ندارند اين وبلاگ به طور مختصر در مورد امن بودن هاست لينوكس توضيح مي دهد و اين كه مي توان به جاي هاست ويندوزبه هاست لينوكس فكر كرد. پس به شما پيشنهاد مي شود حتما اين مقاله را مطالعه نماييد.
امنسازي هاست لينوكس براي محافظت از دادههاي كاربران و مشتريان امري حياتي و عقلاني است و تأمين امنيت هاست لينوكس يكي از وظايف مديران سيستم است. در اين نوشتار ۲۰ راهكار براي افزايش امنيت يك سيستم هاست لينوكسي تازه نصب شده را عنوان ميكنيم. ما اين كار را با يك سرور مبتني بر ردهت انجام ميدهيم. اما براي نصب يا حذف بستهها ميتوانيد از ابزار مديريت بسته توزيع خود استفاده كنيد.
1-رمزگذاري ارتباطات داده
تمام دادههاي ارسال شده از طريق شبكه قابل شنود است. براي جلوگيري از شنود دادهها، دادههاي ارسال شده را تا حد ممكن با رمز عبور يا استفاده از كليدها و گواهينامههاي امنيتي رمزگذاري كنيد.
الف- از scp،ssh،rsync يا sftp براي ارسال دادهها استفاده كنيد. همچنين ميتوانيد فايل سيستم سرور راه دور يا پوشهخانگي كامپيوتر سرور را با استفاده از ابزار مخصوص sshfs يا ابزار fuse مانت كرده و سپس به انتقال داده بپردازيد.
ب-GnuPG براي شما امكان رمزگذاري و امضا كردن دادهها و ارتباطات را فراهم ميكند. همچنين يك سيستم مديريت كليد همهكاره و ماجولهاي دسترسي به انواع كليد عمومي را به همراه دارد.
ج-Fugu يك رابطگرافيكي براي برنامه انتقال امن فايل Sftp است. SFTP مشابه ftp است اما برخلاف آن، كل نشست را رمزگذاري ميكند و اين به آن معنا است كه هيچ رمز عبوري به شكل متني ارسال نخواهد شد. گزينه ديگر FileZilla است كه يك كلاينت مستقل از سكو است و از FTP، FTP از طريق SSL/TLS يا FTPS و پروتكل انتقال فايل ssh يا همان Sftp، پشتيباني ميكند.
د-OpenVPN يك VPN سبك و كم هزينه با پشتيباني SSL است.
ه- پيكربندي و نصب Lighthttpd SSL يا همان https را در نظر داشته باشيد.
و-پيكربندي و نصب Apache SSL يا https از طريق ماجول mod_ssl آپاچي را هم فراموش نكنيد.
1-1 پرهيز از به كار بردن FTP،Telnet و Rlogin/Rsh
در بيشتر پيكربنديهاي پيشفرض شبكهها، نامهاي كاربري، رمزهاي عبور، دستورات FTP/Telnet/Rsh و فايلهاي انتقال يافته بهراحتي ممكن است توسط كاربري در همان شبكه به كمك برنامههاي بو كشيدن بسته (packet sniffer) دريافت شوند. راه حل عمومي استفاده از OpenSSH، SFTP و FTPS است. دستور زير را اجرا كنيد تا NIS،Rsh و ساير سرويسهاي منسوخ را پاك كنيد:
yum erase inetd xinetd ypserv tftp-server telnet-server rsh-serve
2-حداقلكردن برنامههابراي به حداقل رساندن نفوذپذيري
آيا واقعاً به همه سرويسهاي وبي كه روي سيستم نصب شده است، احتياج داريد؟ براي كاهش نفوذپذيري سيستم، از نصب نرمافزارهاي اضافي خودداري كنيد. از ابزار مديريت بسته مانند yum، apt-get يا dpkg براي بررسي بستههاي نصب شده روي سيستم استفاده كنيد:
yum list installed
yum list packageName
yum remove packageName
يا درنمونههاي دبياني:
dpkg –list
dpkg --info packageName
apt-get remove packageName
3- يك سرويس شبكه اي روي هر سيستم يا هر ماشين مجازي
سرويسهاي شبكهاي مختلف را روي سرويسدهندههاي مختلف يا ماشينهاي مجازي مختلف اجرا كنيد. اين كار تعداد سرويسهايي را كه ممكن است آسيب ببينند، محدود ميكند. در اين حالت به عنوان مثال اگر يك خرابكار وارد شبكه شود و بتواند در سرويسدهنده وب آپاچي نفوذ كند، قادر نخواهد بود تا در ديگر سرويسهاي شبكه مانند Mysql يا سرويسدهنده ايميل نفوذ كند.
4-هسته و برنامههاي سيستم را بهروز نگهداريد
اعمال وصلههاي امنيتي، مهمترين بخش نگهداري يك سيستم هاست لينوكس است. هاست لينوكس تمامي ابزارهاي لازم براي بهروزنگهداشتن سيستم را فراهم كرده و اجازه ارتقاي آسان بين نسخههاي مختلف را ميدهد. تمامي بهروزرسانيهاي امنيتي بايد بررسي و در اسرع وقت اعمال شوند. دوباره از ابزار مديريت بسته مانند yum يا apt براي بهروز نگه داشتن سيستم استفاده كنيد:
yum update
يا
apt-get update && apt-get upgrade
ميتوانيد ردهت، سنت او اس يا فدوراي خود را طوري تنظيم كنيد تا خبر انتشار يك بهروزرساني براي هر يك از بستههاي yum را از طريق ايميل به شما اطلاع دهد. گزينه ديگر، اعمال تمامي بهروزرسانيها از طريق وظايف cron است. براي سيستمهاي دبيان واوبونتو ازapticron براي آگاه شدن از وجود بهروزرسانيها استفاده كنيد.
5-از افزونههاي امنيتي لينوكس استفاده كنيد
هاست لينوكس از وصلههاي امنيتي مختلفي براي محافظت در قبال تنظيمهاي نادرست يا برنامههاي مشكلساز استفاده ميكند. اگر ممكن است از SELinux يا ديگر ابزارهاي امنيتي اضافي لينوكس براي تشديد محدوديتهاي برنامههاي شبكه و ساير برنامهها استفاده كنيد. به عنوان مثال SELinux از سياستهاي امنيتي گوناگوني براي هسته هاست لينوكس استفاده ميكند.
- SELinux
ما استفاده از SELinux كه يك كنترل دسترسي الزامآور MAC (سرنام Mandatory Access Control) انعطافپذير را فراهم ميكند، توصيه ميكنيم. در حالت استاندارد كنترل دسترسي احتياطي DAC (سرنام Discretionary Accesc Control)، برنامه يا پردازهاي كه به عنوان يك كاربر (UID يا SUID) اجرا ميشود،تمام مجوزهاي كاربر را براي دسترسي به اشيايي مانند فايلها، سوكتها و ساير پردازهها دارد. اجراي كنترل دسترسي الزامآور، سيستم را از بدافزارهايي كه ممكن است آن را خراب يا نابود كنند، محافظت ميكند. براي اطلاعات بيشتر ميتوانيد.
در واقع اگر هاستي سيستم عامل آن لينوكس باشد به آن هاست ، هاست لينوكس گفته مي شود يكي از دلايل مهم اين كه هاست لينوكس داراي قيمت پاينتري نسبت به هاست ويندوز مي باشد اين است كه سيستم عامل لينوكس يك سيستم عامل رايگان است.