در دنیای امروز، امنیت سرور مهمترین اولویت هر مدیر سیستم است. طبق آمار سال ۲۰۲۴، بیش از ۶۰٪ سرورهای لینوکسی به دلیل تنظیمات پیشفرض ناامن مورد نفوذ قرار میگیرند. در این مقاله، چکلیست امنیتی حیاتی برای سختسازی (Hardening) سرورهای اوبونتو و دبیان را بررسی میکنیم.
۱. بروزرسانی مداوم سیستم عامل
اولین و سادهترین قدم، بروزرسانی پکیجهاست. هکرها عاشق حفرههای امنیتی در نرمافزارهای قدیمی (CVE) هستند. پیشنهاد میشود این کار را به صورت هفتگی انجام دهید:
$ sudo apt update && sudo apt upgrade -y
$ sudo apt dist-upgrade۲. پیکربندی فایروال (UFW)
استراتژی ما "مسدودسازی همه، باز کردن ضروریها" (Whitelisting) است. هر پورتی که استفاده نمیشود باید بسته باشد:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable۳. ایمنسازی سرویس SSH
پورت پیشفرض 22 اولین هدف رباتهای بروتفورس است. فایل /etc/ssh/sshd_config را ویرایش کنید و تغییرات زیر را اعمال نمایید:
- Port: تغییر به یک عدد رندوم (مثلاً 2244).
- PermitRootLogin: تغییر به
no(ورود مستقیم روت ممنوع). - PasswordAuthentication: تغییر به
no(فقط استفاده از SSH Key).
۴. نصب Fail2Ban
این ابزار لاگهای سیستم را رصد میکند و اگر IP خاصی چندین بار رمز عبور اشتباه وارد کند، آن را در فایروال بلاک میکند. این خط دفاعی اصلی در برابر حملات Brute-force است.