امنیتاینترنتسرورشبکهلینوکسمجازی سازیمیم تک 18

امنیت سرور مجازی یا VPS : آشنایی با نکات کاربردی

7 نکته مهم در حفظ امنیت سرور مجازی یا VPS :
مقدمه:

ماشین مجازی ، VPS یا Virtual Private Server ، سرور مجازی ، سرور اختصاصی و … اصطلاحاتی در ارتباط با Hosting می باشند. تمام این موارد همان سیستم عامل مجازی سازی شده است که بر روی یک سرور فیزیکی پیاده سازی می شوند. یک سرور مجازی در سرتاسر اینترنت در دسترس کاربران می باشد. به همین دلیل بسیار مهم است که سطح امنیت آن را به حد بالایی برسانیم. در ادامه با نکاتی درباره ی امنیت و امن کردن سرور مجازی یا VPS لینوکس آشنا می شوید.

امنیت سرور مجازی یا VPS : آشنایی با نکات کاربردی

7 نکته مهم در حفظ امنیت سرور مجازی یا VPS :

1. پروتکل SSH

همان طور که میدانید، این پروتکل برای دسترسی مستقیم به محیط فرمان ( Terminal در لینوکس یا مثلا CMD در ویندوز ) سیستم عامل است.

پورت پیش‌فرض این پروتکل، 22 می باشد.

حداقل کاری که می‌توانید انجام دهید این است که پورت آن را تغییر دهید.

الف) فایل sshd_config را توسط دستور زیر باز کنید:

ب) بخش  Port 22 # را پیدا کنید و شماره پورت را تغییر دهید.

همچنین می‌توانید با اسکریپت های مدیریت سرویس، سرویس SSH را ساعاتی خاص باز بگذارید تا به کل راه ورودی به VPS از طریق SSH بسته شود.

پروتکل SSH

نکته: توجه داشته باشید که اگر فایروال فعال باشد، معمولا تمامی پورت های بلا استفاده را می بندد. در نتیجه قبل از تغییر پورت SSH، شماره پورت جدید را در تنظیمات فایروال به وضعیت Permit یا باز قرار دهید.

نکته: بهتر است دسترسی کاربر root به SSH را غیرفعال کنید و با نام های کاربری دیگر وارد شوید. این کار زمانی با ارزش است که مهاجم وارد سرور مجازی شما شده اما دیگر دسترسی های root به سیستم عامل ندارد.


2. رمز ورود قوی

Password یا رمز عبور باید بسیار سخت و دشوار باشد تا هکر ها نتوانند به راحتی آن را کرک کنند. به طور مثال از اعداد (مثل 123)، حروف انگلیسی بزرگ و کوچک (مثل AbCdEf) و علائم (مثل فاصله، @_#$%) به تعداد بالا مثلا 60 کاراکتر استفاده کنید.

همچنین میتوانید از سایت هایی مثل passwordsgenerator.net برای ساخت پسورد آماده و تصادفی استفاده کنید.

رمز ورود قوی


3. نصب و پیکربندی CSF Firewall

فایروال CSF با Config Server Firewall، یک فایروال رایگان با ویژگی های بسیار خوب است.

فیلتر کردن بسته ها، تشخیص Login/Intrusion/Flood، تشخیص حمله مثل SYN Floods و Login Brute Force همچنین دارای UI Integration برای cPanel، DirectAdmin و Webmin است.

برای اطلاعات بیشتر مقاله نصب و پیکربندی CSF Firewall را بخوانید.

نصب و پیکربندی CSF Firewall


4. نصب و پیکربندی Fail2Ban

این پکیج به طور مثال توانایی بلاک کردن IP ها با درخواست ورود ناموفق بالا را دارد.

به طور مثال اگر IP ی خاصی چهار بار یا بیشتر درخواست لاگین با رمز اشتباه بدهد، آن را به مدت 10 دقیقه بلاک کرده و تا 10 دقیقه هیچ کلاینتی از آن IP نمی‌تواند به سرور مجازی شما لاگین شود.

الف) با دستور  sudo apt install fail2ban پکیج مورد نظر را نصب کنید.

ب) فایل jail.conf را توسط دستور زیر باز کنید:

پ) بخش  maxretry=5 را پیدا کنید و به  maxretry=3  تغییر دهید. این بخش تعداد دفعات اشتباه را تعیین می کند.

ت) سرویس Fail2Ban را با دستور  sudo /etc/init.d/fail2ban restart ریستارت کنید.

همچنین می‌توانید با دستور sudo fail2ban-client status sshd از وضعیت IP های بلاک شده ی فعال و غیر فعال مطلع شوید.

برای آنبلاک یا Unban کردن یک IP خاص، می‌توانید از دستور sudo fail2ban-client status sshd unbanip x.x.x.x  استفاده کنید. (بخش x.x.x.x همان IP می‌باشد.)


5. نصب و پیکربندی ضد بدافزار های ClamAV و rkhunter

این دو پکیج همانند یک نوع آنتی ویروس عمل می‌کنند. می توان زمانبندی کرد تا کل فایل های سرور مجازی را در زمان هایی خاص، جستجو کند و موارد تحدید آمیز را پاک کند.

برای اطلاعات بیشتر مقالات نصب و پیکربندی ClamAV و نصب و پیکربندی rkhunter را بخوانید.

نصب و پیکربندی ضد بدافزار های ClamAV و rkhunter


6. به روز رسانی سیستم عامل و پکیج ها

همیشه به روز رسانی سیستم عامل مفید بوده و شامل ویژگی های جدید و جالب برایمان بود. اما در اینجا امنیت برایمان مهم است. زیرا اگر سیستم عامل همیشه به روز باشد، ضعف های امنیتی پیدا شده رفع می‌شود تا حداقل زیرساخت امنیتی توسط سیستم عامل را داشته باشید.

پس به روز رسانی سیستم عامل هم یکی از نکات مهم برای بالا بردن امنیت در سرور مجازی می باشد.

به روز رسانی سیستم عامل و پکیج ها


7. غیر فعال کردن IP ورژن 6

IPv6 یا IP ورژن 6 در بسیاری از کشور های دنیا بلا استفاده است اما به صورت پیش‌فرض در اکثر سیستم عامل ها فعال می‌باشد. به همین دلیل مهاجم می‌تواند از این راه وارد شود بسته های مخرب به سیستم شما وارد کند.

برای غیر فعال کردن IPv6 دستور های  sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1  و  sudo sysctl -w net.ipv6.conf.default.disable_ipv6=1  را در ترمینال وارد کنید.


امن کردن یا امنیت به معنی ایمن سازی صد در صدی نمی‌باشد. زیرا در دنیای گسترده ی شبکه و امنیت، این حرف کاملا بی معناست. ما فقط می‌توانیم سطح امنیت دستگاه ها و سیستم عامل هایمان را بالا ببریم تا درصد خطر را کم کنیم.

تا اینجا با 7 نکته مهم برای برقراری امنیت در سرور مجازی یا VPS آشنا شدیم.

این یک مقاله باز می‌باشد و موارد امنیتی جدیدی که در آینده به وجود می آید، به همین مقاله اضافه می‌گردد. همچنین می‌توانید با ارسال نظراتتان در انتهای همین صفحه، ما را در به روز بودن این مقاله در آینده یاری کنید.

موفق باشید!

ارسال پاسخ

محمد رستمی
محمد رستمی هستم، دانشجوی رشته نرم افزار و فعال در حوزه آی تی. علاقه مند به "تمامی مباحث شبکه"، "امنیت"، "لینوکس"، "اندروید"، "مجازی سازی" و ...