بایگانی دسته ی امنیت سرور لینوکس

امنیت سرور لینوکس: امن سازی لاگین روت

در سیستم عامل لینوکس اکانت روت (root) به کل سیستم دسترسی دارد. بنابرین باید دسترسی به روت تا حد امکان محدود و دشوار باشد تا هکرها نتوانند به راحتی دسترسی روت پیدا کنند.

 

بستن اتصال ssh برای root

اولین مرحله در امن سازی اکانت root در لینوکس، بستن دسترسی ssh برای این اکانت است. برای این کار فایل /etc/ssh/sshd_config را ویرایش کرده و خط زیر را به آن اضافه کنید:

PermitRootLogin no

در صورتی که می‌خواهید اکانت روت همچنان قابلیت اتصال ssh با کلید خصوصی شما را داشته باشد، می‌توانید به جای no از آپشن prohibit-password استفاده کنید:

PermitRootLogin prohibit-password

 

افزایش دفعات هش کردن رمز عبور روت

با افزایش دفعاتی که رمز عبور شما هش (hash) می‌شود، امنیت لاگین به سرور لینوکسی شما نیز افزایش پیدا می‌کند؛‌ زیرا هکر باید برای کرک کردن رمز عبور روت، هش‌های بیشتری را پردازش کند. بصورت پیشفرض در سیستم‌های لینوکسی، shadow پنج هزار بار رمز عبور شما را هش می‌کند. با ویرایش آپشن زیر در فایل /etc/pam.d/passwd می‌توانید دفعات هش رمز عبور را افزایش دهید، اما به خاطر داشته باشید که با افزایش این عدد، لاگین شما به سرور لینوکس هم کندتر خواهد شد.

password required pam_unix.so sha512 shadow nullok rounds=65536

 

رمز عبور شما بعد از انجام این تنظیمات به صورت خودکار هش مجدد نمی‌شود، بنابرین باید بعد از انجام تغییرات،‌ یک بار رمز عبور خود را تنظیم کنید:

passwd $username

 

لاگین امن با اکانت روت

روش‌های زیاد و بدافزارهای فراوانی وجود دارند که یک هکر می‌تواند با استفاده از آن‌ها رمز عبور اکانت روت (root) را شنود یا اصطلاحا اسنیف کند. به همین جهت بهتر است از روش‌های سنتی برای ورود به اکانت روت استفاده نشود. البته بهتر است کلا از اکانت روت برای لاگین به سرور لینوکس استفاده نشود، اما این راهکار همیشه قابل اجرا نیست.

هیچ وقت به صورت مستقیم به اکانت روت سرور لینوکس لاگین نکنید؛ ترجیحا از اکانت شخصی خود هم برای ارتقای دسترسی به روت استفاده نکنید. برای این کار یک حساب کاربری مجزا که فقط برای دسترسی روت استفاده می‌شود ایجاد کنید (بهتر است این راهکار در اولین فرصت بعد از نصب سرور لینوکس انجام شود):

useradd admin

یک رمز عبور پیچیده هم برای آن انتخاب کنید:

passwd admin

سپس با ویرایش فایل /etc/sudoers.d/admin-account و اضافه کردن خط زیر، دسترسی سودو (sudo) یا سوپر یوزر را برای این اکانت فعال کنید:

admin ALL=(ALL) ALL

 

 استفاده از کیبورد امن لاگین ترمینال لینوکس

کلید امن لاگین (Secure Attention Key)، ترکیبی از کلیدهای کیبورد است که پروسه‌های اضافه در بک گراند صفحه لاگین ترمینال را می‌بندد تا از عدم وجود پروسه بدافزارها (تروجان و نرم افزارهای جاسوسی که برای گرفتن یا شنود رمز عبور استفاده می‌شوند) اطمینان حاصل کند. بنابراین قبل از وارد کردن کلمه عبور اکانت سرور حتما این کلیدهای لاگین امن را وارد کنید.

 

فعال سازی کیبورد امن لاگین سرور

توالی کلیدهای امن (SAK) در سرورهای لینوکسی فعال است. این توالی به صورت پیشفرض ALT+SYSRQ+K است. اما این کلیدها فقط زمانی کار می‌کنند که کرنل لینوکس با پشتیبانی از sysrq کامپایل شده باشد. بنابرین پیشنهاد می‌شود برای استفاده از SAK دنباله کلیدهای خود را در loadkeys تعریف کنید. با توجه به اینکه ctrl+alt+del از قبل برای ریبوت سرور رزرو شده است، ما در این مقاله از ctrl-alt-pause استفاده می‌کنیم. برای تعریف این دنباله دستور زیر را در فایل rc.sysinit (یا rc.local) اضافه کنید:

echo "control alt keycode 101 = SAK" | /bin/loadkeys

 

حالا می‌توانید با خیال راحت قبل از وارد کردن رمز اکانت روت، دنباله مذکور را وارد کنید تا تمام برنامه‌هایی که /dev/console را باز کرده‌اند، بسته شوند. ممکن است پراسس‌ها یا برنامه‌هایی هم به صورت ناخواسته بسته شوند، به خصوص برنامه‌هایی که به اشتباه /dev/console را باز کرده‌اند. در این صورت به جای لینوکس، توزیع و پکیج‌هایی که از آن استفاده می‌کنید را سرزنش کنید. می‌توانید از دستور زیر برای مشاهده پراسس‌هایی که با زدن کلید امن لاگین بسته می‌شوند، استفاده کنید.

# ls -l /proc/[0-9]*/fd/* | grep console

l-wx------    1 root     root           64 Mar 18 00:46 /proc/579/fd/0 -> /dev/console