التثبيت الافتراضي لنظام Linux مريح، لكنه ليس آمنًا. تحصين خادم Linux هو عملية تقليص سطح الهجوم للخادم وإحكام إعداداته، بحيث لا يجد المسح الحتمي القادم من الإنترنت شيئًا سهل الاستغلال. يغطي هذا الدليل خطوات التحصين الأكثر أهمية في عام 2026، وفق ترتيب منطقي للأولويات.

الخلاصة السريعة

  • إن SSH هو أكبر سطح مكشوف لديك: استخدم المصادقة القائمة على المفاتيح، وعطّل تسجيل الدخول بحساب root وكلمات المرور، وحدّد معدل الاتصالات
  • شغّل جدارًا ناريًا يرفض بشكل افتراضي، وأوقف كل خدمة ومنفذ لا تحتاج إليه
  • أبقِ النظام مُحدَّثًا بالرقع تلقائيًا، وطبّق تحصين النواة والحسابات
  • استخدم SELinux أو AppArmor، وفعّل سجلات التدقيق، وقِس نفسك مقابل معيار CIS Benchmark الخاص بتوزيعتك

1. أغلق SSH بإحكام

SSH هو الطريقة التي تدير بها الخادم، وهو الطريقة التي يحاول بها المهاجمون الدخول. حصّنه أولًا.

  • استخدم المصادقة القائمة على المفاتيح وعطّل مصادقة كلمة المرور بالكامل (PasswordAuthentication no).
  • عطّل تسجيل الدخول المباشر بحساب root (PermitRootLogin no)؛ سجّل الدخول كمستخدم عادي واستخدم sudo.
  • قيّد المستخدمين الذين يمكنهم تسجيل الدخول عبر SSH.
  • حدّد المعدل وكبح المحاولات الفاشلة المتكررة (على سبيل المثال باستخدام fail2ban) لإضعاف هجمات القوة الغاشمة.
  • أبقِ SSH على إصدار مدعوم وعطّل الشيفرات الضعيفة والبروتوكولات القديمة.

2. شغّل جدارًا ناريًا يرفض بشكل افتراضي

  • اضبط الجدار الناري (nftables أو ufw أو firewalld أو CSF) ليقوم بالرفض بشكل افتراضي ويسمح فقط بالمنافذ التي تقدّم خدمتها فعليًا.
  • اكشف الحد الأدنى: عادةً SSH (مقيّد) وHTTP وHTTPS لخادم ويب، ولا شيء غير ذلك.
  • قيّد منافذ الإدارة إلى عناوين مصدر معروفة أو إلى شبكة VPN حيثما أمكن.

3. قلّل سطح الهجوم

  • أزل أو عطّل الخدمات والعمليات الخفية التي لا تستخدمها. كل خدمة تنصت هي نقطة دخول محتملة.
  • دقّق المنافذ المفتوحة (ss -tulpn) وتأكد من أن كل واحد منها مقصود.
  • أزل الحزم والمترجمات غير الضرورية من خوادم الإنتاج.

4. أبقِ النظام مُحدَّثًا بالرقع

  • فعّل التحديثات الأمنية التلقائية (unattended-upgrades على Debian/Ubuntu، وdnf-automatic على أنظمة عائلة RHEL).
  • تتبّع تواريخ انتهاء العمر الافتراضي لتوزيعتك وقم بالترقية قبل انتهاء الدعم. تشغيل نظام تشغيل غير مدعوم هو خطر دائم.

5. حصّن الحسابات والوصول

  • افرض سياسات قوية لكلمات المرور والحسابات، وأزل الحسابات غير المستخدمة.
  • استخدم sudo بأقل امتياز بدلًا من وصول root مشترك، وسجّل استخدام sudo.
  • اضبط قيمًا افتراضية معقولة لـ umask وأحكم أذونات الملفات الحساسة.
  • فكّر في المصادقة الثنائية لوصول الإدارة.

6. طبّق تحصين النواة والشبكة

  • اضبط إعدادات sysctl لتقليل المخاطر على مستوى الشبكة (على سبيل المثال تعطيل توجيه المصدر IP وإعادة توجيه ICMP، وتفعيل ترشيح المسار العكسي).
  • قيّد الوصول إلى سجلات النواة ومؤشراتها، وفعّل إجراءات التخفيف المتاحة للاستغلال.
  • عطّل وحدات النواة وأنظمة الملفات غير المستخدمة.

7. فعّل التحكم الإلزامي في الوصول

  • أبقِ SELinux (عائلة RHEL) أو AppArmor (Debian/Ubuntu) مفعّلًا وفي وضع الإنفاذ (enforcing).
  • قاوم إغراء تعطيله لكي “تعمل الأمور”؛ بدلًا من ذلك اضبط السياسة أو اكتبها. يحتوي التحكم الإلزامي في الوصول (MAC) الضرر عند اختراق خدمة ما.

8. التسجيل والتدقيق وسلامة الملفات

  • فعّل عملية تدقيق Linux (auditd) لتسجيل الأحداث المتعلقة بالأمان.
  • مركّز السجلات خارج الخادم حتى لا يتمكن المهاجم من محوها ببساطة.
  • انشر مراقبة سلامة الملفات (على سبيل المثال AIDE) لاكتشاف التغييرات غير المتوقعة في ملفات النظام.
  • راجع السجلات بانتظام، أو غذّها إلى المراقبة والتنبيه.

9. القياس مقابل معيار CIS Benchmark

ينشر مركز أمن الإنترنت (CIS) معايير تحصين مفصّلة وخاصة بكل توزيعة. استخدم معيار CIS Benchmark الخاص بنظام تشغيلك كقائمة تحقق موضوعية وتحليل للفجوات؛ فهو يحوّل “نظن أنه محصّن” إلى خط أساس قابل للقياس يمكنك التدقيق مقابله بمرور الوقت.

أبرز النقاط

  • ابدأ بـ SSH: مفاتيح فقط، ولا تسجيل دخول بحساب root، وتحديد للمعدل.
  • جدار ناري يرفض بشكل افتراضي، وإزالة كل خدمة لا تحتاج إليها.
  • أتمِت الترقيع وطبّق تحصين الحسابات والنواة والتحكم الإلزامي في الوصول (SELinux/AppArmor).
  • فعّل سجلات التدقيق وسلامة الملفات، وقِس نفسك مقابل CIS لجعل التحصين قابلًا للقياس.

احصل على تحصين احترافي لخادم Linux

تحصين خادم واحد يدويًا أمر ممكن؛ أما القيام بذلك باتساق عبر منظومة كاملة من الخوادم، دون كسر التطبيقات، فهو حيث تؤتي الخبرة ثمارها. تغطي خدمة تحصين خادم Linux إغلاق SSH، وهندسة الجدار الناري، وضبط النواة، وسياسة SELinux/AppArmor، وتحليل فجوات CIS، ودليل تشغيل للصيانة. للحصول على شرح يركّز على الجدار الناري، فإن دليل تأمين خوادم Linux باستخدام CSF ، وهو أقدم لكنه ما زال مفيدًا، يتناول ConfigServer Security & Firewall بعمق.

الأسئلة الشائعة (FAQ)

ما أهم خطوة في تحصين Linux؟ إغلاق SSH بإحكام: استخدم المصادقة القائمة على المفاتيح، وعطّل تسجيل الدخول بكلمة المرور وتسجيل الدخول المباشر بحساب root، وحدّد معدل المحاولات الفاشلة. إن SSH هو نقطة الدخول الأكثر تعرّضًا للهجوم على خادم متصل بالإنترنت.

هل ينبغي أن أعطّل SELinux أو AppArmor لإصلاح مشكلة؟ لا. تعطيل التحكم الإلزامي في الوصول يزيل طبقة احتواء رئيسية. بدلًا من ذلك، اضبط السياسة أو اكتبها للسماح بالسلوك المشروع. إبقاؤه في وضع الإنفاذ يحدّ من الضرر إذا اختُرِقت خدمة ما.

ما هو معيار CIS Benchmark؟ معيار تحصين مفصّل وخاص بكل توزيعة، ينشره مركز أمن الإنترنت. يمنحك قائمة تحقق موضوعية تضبط بموجبها وتدقّق خوادمك بمرور الوقت، مما يجعل التحصين أمرًا قابلًا للقياس.

هل ما زلت بحاجة إلى جدار ناري إذا كان لدى مزوّدي جدار ناري للشبكة؟ نعم، استخدم كليهما. الجدار الناري القائم على الخادم، الذي يرفض بشكل افتراضي، يحمي الخادم حتى لو أُسيء ضبط ضوابط الشبكة أو جرى تجاوزها، وهو يفرض مبدأ كشف المنافذ التي تقدّم خدمتها فعليًا فقط.

كم مرة ينبغي مراجعة خادم محصّن؟ بانتظام، لأن الإعدادات تنحرف وتظهر ثغرات جديدة. أعِد الفحص مقابل خط أساس CIS الخاص بك بعد التغييرات المهمة ووفق جدول دوري، وأبقِ التحديثات الأمنية التلقائية مفعّلة فيما بين ذلك.