تحصين خادم Linux - أمّن خوادمك ضد التهديدات الحديثة

تحصين احترافي لخادم Linux يتجاوز الإعدادات الافتراضية. أدقّق وأؤمّن SSH، والجدران النارية، ومعاملات النواة، وضوابط الوصول الإلزامية، وكشف الخدمات اتّباعًا لمعايير CIS.

خبير Linux تحصين SSH إعداد الجدار الناري معايير CIS

يحوّل تحصين خادم Linux التثبيت الافتراضي إلى نظام آمن ومقاوم للهجمات. تعطي إعدادات Linux الجاهزة الأولوية للتوافق على الأمان، تاركةً SSH مع المصادقة بكلمة المرور، وخدمات غير ضرورية قيد التشغيل، وقواعد جدار ناري متساهلة. وتدقّق خدمة تحصين خادم Linux الخاصة بي إعدادك بالكامل مقابل معايير CIS وأفضل الممارسات الصناعية، ثم تنفّذ تدابير التحصين التي تقلّل سطح هجومك دون أن تعطّل تطبيقاتك.

إعدادات Linux الافتراضية غير آمنة

SSH هو أكبر سطح هجوم لديك

تسمح إعدادات SSH الافتراضية بالمصادقة بكلمة المرور، وتسجيل دخول الجذر، وتستمع على المنفذ 22. وتطرق روبوتات القوة الغاشمة الآلية هذه الإعدادات الافتراضية ملايين المرات يوميًا. ومن دون تحصين SSH، فالأمر مسألة وقت لا أكثر.

خدمات غير ضرورية قيد التشغيل

تُفعِّل تثبيتات Linux الافتراضية خدمات لا تحتاجها: Avahi وCUPS وNFS وrpcbind وغيرها. وكل خدمة قيد التشغيل هي سطح هجوم. وإن لم تكن لازمة، فينبغي ألا تعمل.

ضوابط وصول ضعيفة

إعدادات sudoers الافتراضية، وحسابات الخدمة المشتركة، وغياب سياسات SELinux/AppArmor تجعل تصعيد الصلاحيات تافهًا لمهاجم يحصل على وصول أولي.

ما الذي يغطّيه تحصين خادم Linux الخاص بي

إغلاق SSH

مصادقة بالمفتاح فقط، وتعطيل تسجيل دخول الجذر، وقائمة بيضاء لعناوين IP، وتغيير المنفذ، وتحديد معدل الاتصالات، وإعداد fail2ban. أغلق أكثر نواقل الهجوم استهدافًا أولًا.

بنية الجدار الناري

قواعد iptables/nftables سليمة بسياسات الرفض الافتراضي، وتحديد المعدل، والتسجيل. والمنافذ المطلوبة صراحةً فقط هي المفتوحة، مع قيود على IP المصدر حيثما ينطبق.

تحصين النواة

ضبط sysctl لحماية حزمة الشبكة (SYN cookies، وقيود ICMP، ومنع انتحال IP)، وفرض ASLR، وقيود تفريغ النواة (core dump).

ضوابط الوصول الإلزامية

إعداد SELinux أو AppArmor لحصر الخدمات والحدّ من نطاق تأثير الاختراق. وحتى لو حصل مهاجم على وصول إلى خدمة، تحجب سياسات MAC الحركة الجانبية.

التوافق مع معايير CIS

كل تدبير تحصين مُربَط بضوابط معيار CIS لـ Ubuntu وDebian وRHEL أو CentOS. تحصل على توثيق يُرضي مدققي الامتثال.

تسجيل التدقيق والمراقبة

إعداد auditd للوصول إلى الملفات، وتصعيد الصلاحيات، وأحداث تسجيل الدخول. وإعداد logrotation وإرشادات حول الشحن المركزي للسجلّات لتكامل SIEM.

عملية تحصين خادم Linux

1

تقييم الأساس

أدقّق إعداد الخادم الحالي: إصدار نظام التشغيل، والخدمات قيد التشغيل، والمنافذ المفتوحة، وحسابات المستخدمين، وإعداد sudo، والحزم المثبَّتة.

2

تحليل الفجوة مقابل معيار CIS

يحدّد تسجيل CIS الآلي واليدوي كل انحراف عن خطوط الأساس الأمنية مع تصنيفات الخطورة.

3

تنفيذ التحصين

أنفّذ جميع تدابير التحصين: إغلاق SSH، وقواعد الجدار الناري، وتعطيل الخدمات، وضبط النواة، وأذونات نظام الملفات، وسياسات MAC.

4

اختبار توافق التطبيقات

بعد التحصين، أتحقق من أن جميع تطبيقاتك وخدماتك لا تزال تعمل بشكل صحيح. فالتحصين يجب ألا يعطّل أحمال العمل الإنتاجية.

5

التوثيق والتسليم

توثيق كامل لكل تغيير أُجري، وملفات الإعداد، ودليل تشغيل صيانة للأمان المستمر.

مخرجات التحصين

تحصين SSH

إغلاق sshd_config، ومصادقة بالمفتاح فقط، وإعداد fail2ban، وتحديد معدل الاتصالات.

قواعد الجدار الناري

مجموعة قواعد iptables/nftables بسياسة الرفض الافتراضي، واستثناءات موثَّقة، وتحديد المعدل.

ضبط أمان النواة

تحصين sysctl.conf لحزمة الشبكة، وحماية الذاكرة، وأمان نظام الملفات.

إعداد سياسات MAC

ملفات تعريف SELinux أو AppArmor لجميع الخدمات قيد التشغيل مع تفعيل وضع الفرض.

تقرير امتثال CIS

درجات معيار CIS قبل/بعد مع توثيق كل ضابط.

دليل تشغيل الصيانة

إجراءات الصيانة المستمرة: استراتيجية التحديث، ومراجعة السجلّات، وكشف انحراف الإعداد.

الأسئلة الشائعة حول تحصين خادم Linux

هل سيُعطّل تحصين الخادم تطبيقاتي؟

لا. أختبر جميع التغييرات مقابل تطبيقاتك قيد التشغيل قبل الإنهاء. ويُطبَّق التحصين تدريجيًا، مع التحقق من توافق كل تغيير. وإذا تعارض تدبير تحصين مع متطلب تطبيق مشروع، فأوثّق الاستثناء وأنفّذ ضوابط تعويضية بدلًا منه.

أي توزيعات Linux تدعم؟

أدعم Ubuntu Server وDebian وRHEL وCentOS Stream وRocky Linux وAlmaLinux وAmazon Linux. وتتوفّر معايير CIS لجميع هذه التوزيعات، وأكيّف إجراءات التحصين مع أنظمة إدارة الحزم وإدارة الخدمات لكل توزيعة.

هل تحصّن الخوادم السحابية (AWS وAzure وGCP)؟

نعم. تحتاج المثيلات السحابية إلى تحصين على مستوى نظام التشغيل بالإضافة إلى مجموعات الأمان السحابية وسياسات IAM. أحصّن نظام تشغيل Linux داخل المثيل وأراجع إعدادات الأمان على مستوى السحابة لضمان أن تعمل الطبقتان معًا.

كم يستغرق تحصين خادم Linux؟

يستغرق خادم واحد عادةً من 2 إلى 3 أيام عمل شاملةً التقييم، والتحصين، والاختبار، والتوثيق. ويمكن إنجاز عدة خوادم بإعدادات متطابقة بشكل أسرع باستخدام الأتمتة. وتتطلّب البيئات المعقّدة ذات الخدمات الكثيرة وقتًا إضافيًا لاختبار التوافق.

هل ينبغي أن أستخدم SELinux أم AppArmor؟

SELinux أقوى وهو الافتراضي على التوزيعات المبنية على RHEL. وAppArmor أسهل في الإعداد وهو الافتراضي على Ubuntu/Debian. أوصي باستخدام ما تأتي به توزيعتك وإعداده بشكل سليم بدلًا من التبديل، إلا إذا كانت لديك متطلبات امتثال محددة.

حصّن خوادم Linux قبل الهجوم التالي

صُمِّمت إعدادات Linux الافتراضية لسهولة الإعداد، لا للأمان. في كل يوم تعمل فيه خوادمك دون تحصين، تكون عرضة للهجمات الآلية، والقوة الغاشمة، وتصعيد الصلاحيات. دعني أغلقها كما ينبغي.

تواصل معنا