نوشته‌ها

, ,

چطور مدرک لینوکس دریافت کنیم؟

مدارک لینوکس به طور فزاینده‌ای برای افرادی که به طور تخصصی در زمینه لینوکس کار می‌کنند اهمیت بیشتری پیدا کرده است. مدارک معتبر لینوکس این ویژگی را دارد که افراد متخصص را از سایر افراد جدا کند و همین‌طور از لحاظ مالی نیز برای آن‌ها بهتر باشد. در حال حاضر این گواهی‌نامه‌ها نه تنها نشانه‌ای از مهارت هستند بلکه به پیشرفت شما نیز کمک خواهند کرد. جو فالترا، مدیر خدمات زیرساخت در شرکت مادیس معتقد است که شما با در اختیار داشتن یک مدرک لینوکسی دیگر هیچ مسیری را اشتباه نخواهید رفت. در ادامه نیز می‌گوید: من در استخدام کردن افراد بیشتر به مدارک آن ها اهمیت می‌دهم تا تجربه‌شان؛ چرا که این افراد تلاشی تحسین برانگیز برای یادگیری و قبولی در امتحان داشته اند.

در همین راستا، تقاضا برای گرفتن مدرک لینوکسی با افزایش استفاده از خدمات ابری، به طور قابل توجهی افزایش یافته است. به گفته کلایدسپرساد، نایب رئیس بنیاد لینوکس و مدیر کل آموزش و صدور گواهینامه، ابر عمومی تقریبا به صورت جهانی بر روی انواع لینوکس اجرا می‌شود و این بدین معنی است که آشنایی با لینوکس به طور فزاینده‌ای روند توسعه را سریع‌تر می‌کند.

 

چطور مدرک بگیریم؟

CompTIA، بنیاد لینوکس و موسسه حرفه‌ای لینوکس، سه سازمان اصلی هستند که گواهی نامه‌های لینوکس اعطا می‌کنند که این گواهی نامه‌ها در هر محیط و توزیعی از لینوکس مفید است. در مواردی، شرکت‌های خصوصی نیز با توجه به نیازشان، گواهی نامه‌های خاص خود را ارائه می‌کنند.

CompTIA مدارک لینوکس پلاس خود را با توجه به پیشرفت افراد در طول دوره اعطا می‌کند. دارندگان گواهی باید نحوه اجرای پیکربندی سخت افزار، سیستم، امنیت، عیب یابی و اسکریپتینگ ساده و اتوماسیون را بدانند. امتحان آن نیز تا حدی سوالات تشریحی و بعد از آن نیز یک امتحان مبتنی بر عملکرد ست که در آن، دانش آموزان باید اشکالات چند سیستم لینوکسی را حل کنند. مدرک لینوکس پلاس ۳۳۸ دلار هزینه دارد و تا سه سال بعد از آن نیز اعتبار دارد. CompTIA رنج طیف گسترده‌ای از گزینه‌های آماده سازی را ارائه می‌دهد که شامل فلش کارت‌های آنلاین،‌ آموزش مجازی، آزمایشگاه‌های مجازی و غیره می‌شوند.

مدارک بنیاد لینوکس نیز در سه بخش آی تی، ادمین سیستم و مهندس سیستم اعطا می‌شوند که به ترتیب خدمات پایه، میانی و پیشرفته سازمان را نشان می‌دهد. از سوی دیگر، گواهی نامه LFCA مدیریت کاربرد اساسی آی تی، برنامه نویسی و مهارت‌های دیگر مربوط به محیط آی تی را پوشش می‌دهد. یک گام بالاتر از آن اما مدرک LFCS‌ است که دارنده آن قادر است پیاده سازی، طراحی و مدیریت سیستم‌های لینوکس را در یک سطح پیشرفته‌تر انجام دهد. مدرک LFCE نیز که مانند مدرک قبلی یک گواهی نامه پیشرفته است، دارنده را قادر می‌سازد تا استقرار و مدیریت سیستم‌های لینوکسی را در سطح معماری سازمانی فرا گیرد.

دو مدرک پیشرفته‌تر یعنی LFCS و LFCE، هر کدام ۳۰۰ دلار هزینه دارند ولی LFCA ۲۰۰ دلار هزینه دارد.

هر ۳ مدرک به مدت سه سال اعتبار دارند و بنیاد لینوکس نیز آپشن‌های امادگی زیادی را از آموزش الکترونیک تا کورس بوتکمپ و غیره برگزار می‌کند.

موسسه حرفه ای لینوکس نیز به مانند دو سازمان قبلی مدرک لینوکس ارائه می‌کند که هر کدام نشان دهنده سطح بالاتری از حرفه‌ای بودن در رابطه با سیستم عامل لینوکس هستند. در طی این دوره، مدرک LPIC-1 به شما آموزش‌هایی مرتبط با نگهداری و عیب یابی سیستم می‌دهد و در ادامه مدرک LPIC-2 به دانشجویان این قابلیت را می‌دهد که بتوانند شبکه های کوچک تا متوسط را نظارت کنند. بعد از آن نیز سه گواهی‌نامه جداگانه وجود دارند که تمرکز هر کدام بر روی محیط سازمانی لینوکس، امنیت سازمانی و مجازی سازی است. مدرک پایه این سازمان که به Linux Essentials معروف است، ۱۲۰ دلار هزینه داشته و بعد از آن LIPC-1 و LPIC-2، ۴۰۰ دلار هزینه دارند و هر کدام از سه مدرک LIPC-3 نیز ۲۰۰ دلار هزینه بر هستند. مدرک اول یعنی Linux Essentials مادام العمر بوده و بقیه مدارک تا پنج سال معتبر هستند.

 

آیا مدرک بالاتر به معنی درآمد بالاتر است؟

البته که گواهی نامه‌های لینوکس می‌توانند منجر به افزایش حقوق و یا شغل های جدید شوند اما تضمینی نیز در این رابطه وجود ندارد. هرچند ارتباط خیلی مستقیمی بین افزایش درآمد و مدارک لینوکس نیست ولی همیشه بایستی به این نکته توجه کنیم که دنیا بیشتر و بیشتر به ادمین‌های لینوکس احتیاج پیدا خواهد کرد در نتیجه افزایش درآمد نیز در انتظارتان خواهد بود. البته اگر مهارت‌های دوره ها را به طور صحیح دریافت کرده باشید!

 

/0 دیدگاه /توسط
, , ,

عرضه نسخه رایگان ردهت لینوکس برای سازمان‌های غیرانتفاعی

زمانی که Red Hat (شرکت مادر لینوکس CentOS) اعلام کرد که به منظور توسعه لینوکس انترپرایز ردهت یا همان RHEL، تمرکز خود را از CentOS برمیدارد، کاربران CentOS دیگر مثل قبل خوشحال نبودند. ولی هم اکنون و به منظور تعهد به شرکت های متن باز، ردهت در حال معرفی یک نسخه رایگان از RHEL است.

در نتیجه اگر سازمان شما یا پروژه‌ای که بر روی آن کار می‌کنید، بر پایه open-source‌ است، می‌توانید یک سابسکریپشن RHEL دریافت کنید. ولی خانواده ردهت در نهایت چه راه حل‌هایی برای خانواده متن باز به همراه دارد؟ در حال حاضر این راه حل ها به این شکل است:

  • فدورا برای توسعه سیستم‌های لینوکسی و بهبود بخشیدن به آن‌ها
  • سنت‌اواس استریم که برای آزمایش کاربردها و حجم کاری که پلتفرم بعدی لینوکس با آن درگیر خواهد بود استفاده می‌شود.
  • RHEL که برای بهبود بخشیدن به زیرساخت جامعه متن باز و برای ایجاد یک جامعه پایدار و در نتیجه آن میزبانی نرم افزارهای نوآورانه و پایدار برای پروژه‌ها، سازمان‌ها و سایر سازمان‌هایی که از RHEL استفاده می‌کنند، استفاده می‌شود.

جیسون بروکس، مدیر برنامه پروژه ردهت توضیح می‌دهد:

حمایت از اکوسیستم نرم افزارهای منبع باز یک هدف اصلی برای Red Hat است و این تنها به منزله ساخت RHEL و سایر راهکارهای ردهت که در این حوزه قرار دارند نیست. ما می‌دانیم که بخشی از یک اکوسیستم بزرگ‌تر هستیم که خود نیز از آن بهره‌مند می‌شویم و تلاش می‌کنیم تا حمایت درستی از آن انجام دهیم. این حمایت در اشکال مختلفی صورت می‌گیرد اما اغلب شامل کمک به پروژه‌های نرم افزاری متن باز، بنیادها و موسسات و در جهت دستیابی هر چه بهتر آن‌ها به تکنولوژی‌های مورد نیاز برای تست و توسعه است.

ما اغلب هیچ هزینه‌ای بابت دسترسی به RHEL دریافت نمی‌کنیم، اما این پروسه به اندازه کافی به صورت رسمی، سازگار و شفاف نبوده و لذا باید به یک پروسه شفاف و قابل دسترس‌تر تبدیل شود. با اعلام این خبر که ما در پایان سال ۲۰۲۱ منابع‌مان را به CentOS Stream انتقال می‌دهیم، قصد داریم اطمینان حاصل کنیم که سازمان‌هایی که با پروژه های متن‌باز درگیر هستند، دسترسی کاملی به RHEL‌ دارند.

یک سازمان حداقل در حال حاضر از RHEL استقبال کرده است. مدیر اجرایی گنوم، نیل مکگورن در این باره می‌گوید:

ما به عنوان یک سازمان غیر انتفاعی،‌ برای رسیدن به این هدف که همه در هر جای دنیا بتوانند از تکنولوژی‌ای که به آن اعتماد دارند استفاده کنند، همیشه روی کمک‌های مالی حساب می‌کنیم. سابسکریپشن‌های RHEL یک بخش مهم از این هدف هستند که با ارائه دسترسی کامل برای مدیریت سیستم و آپدیت‌های امنیتی، اکنون ما قادر هستیم بدون نگرانی در رابطه با زیرساخت، بر روی هدف‌مان که ارائه سرویس گنوم برای یوزرها و توسعه دهندگان است تمرکز کنیم. رد هت اکنون سال‌ها ست که سخاوتمندانه این خدمات را بدون هزینه در اختیار گنوم قرار داده است و ما مشتاقانه آماده ادامه روابط خود برای مدت زمان طولانی‌تری هستیم.

اما سهم توزیع های مختلف در بازار سرورهای لینوکس چگونه است؟ ۳۱ درصد کل وبسایت ها در سطح اینترنت از لینوکس استفاده میکنند. در این بین سهم اوبونتو از همه بیشتر است. با ۴۵.۶ درصد اوبونتو بیشترین سهم از این بازار را به خود اختصاص داده است؛ دبیان با ۲۱.۷ درصد، سنت او اس با ۱۵.۵ درصد و در ادامه رد هت با ۱.۵ درصد در رتبه های بعدی قرار دارند.

اگر مشتاق هستید که بیشتر در رابطه با زیرساخت متن باز RHEL بدانید، می‌توانید به [email protected] پیام بدید و در این رابطه سوال کنید.

 

 

/0 دیدگاه /توسط
, ,

ردیابی ترافیک پورت در سرور لینوکس

بیایید فرض کنیم که یک سرور لینوکس در حال اجرا داریم و می‌خواهیم ترافیک گذرنده از آن را ردیابی کنیم و یا این که می‌خواهیم بدانیم که سرور جدید ما در حال انجام چه کاری است؟

برای انجام این کار می‌توانید از ابزارهای مختلفی استفاده کنید که بعضی از آن ها شناخته شده نیز هستند. هرچند که بعضی از این دستورها پیچیده خواهند بود و یا امکان دارد آن طور که شما انتظار دارید کار نکنند.

حال باید ببینیم بهترین راهی که یک ادمین انتخاب می‌کند چه خواهد بود؟

یکی از ابزارهایی که در این حوزه بسیار محبوب بوده Tshark نام دارد که جایگزینی به صورت command line برای Wireshark است؛ چرا که وقتی داریم با یک سرور اصطلاحا headless کار می‌کنیم، یک رابط کاربری گرافیکی به دردمان نخواهد خورد.

با Tshark میتوانید ترافیک پورت مورد نظر خود را ببینید و هم چنین پورت سرور لینوکسی خود را مانیتور کنید.

به چه چیزی احتیاج داریم؟

  • یک لینوکس سرور
  • یک یوزر با دسترسی sudo

 

چگونه Tshark را نصب کنیم؟

نصب تی شارک ساده است، یک پنجره ترمینال در سرور خود باز کنید و دستور زیر را تایپ کنید:

sudo apt-get install tshark -y

این تمام چیزی است که برای نصب احتیاج دارید.

چگونه رابط شبکه خود را پیدا کنیم؟

با استفاده از Tshark رابط شبکه شما در واقع به یک شماره متصل است. اگر فقط یک Interface دارید، موردی برای نگرانی نیست. با این حال اگر چند interface دارید بایستی بدانید که Tshark به کدام رابط listen میکند. برای این کار از دستور زیر استفاده کنید:

sudo tshark -D

این دستور همه ی Interface های شما را مانند تصویر زیر لیست میکند.

چگونه با استفاده از تی‌شارک listen کنیم؟

حالا که رابط را مشخص کرده ایم، میتوانیم به صورت real-time ترافیک را مشاهده کنیم. برای مثال برای listen کردن بر روی ens5، که سرور اصلی ما است، دستور زیر را تایپ میکنیم:

sudo tshark -i 6

در این جا یک لیست از خروجی پورت های مختلف را داریم :

اگر بخواهیم فقط به یک پورت خاص گوش دهیم نیز Tshark به ما کمک میکند. برای مثال بیایید فرض کنیم که میخواهید فقط ترافیک پورت 22 را بررسی کنیم. در این صورت دستور زیر را تایپ میکنیم:

sudo tshark -i 6 -f "tcp port 22"

دستور فوق فقط اطلاعات مربوط به پورت 22 را نشان می‌دهد.
هرچند که Tshark کاربردهایی بیشتر از این دارد، اما تنها مواردی که برای بررسی ترافیک پورت خود احتیاج دارید موارد بالا است. امیدواریم که این مطلب برای شما مفید بوده باشد.

/0 دیدگاه /توسط
, ,

سرورهای لینوکس هدف بعدی هکرها

در زمانی که استفاده از سیستم عامل های منبع باز در حال افزایش است، محققان شرکت کسپراسکای هشدار داده‌اند که هکرها به طور فزاینده ای و با استفاده از ابزارهای مخصوص طراحی شده برای استفاده از آسیب پذیری‌های سیستم عامل، دستگاه‌ها و سرورهای مبتنی بر لینوکس را هدف قرار می‌دهند.

به گفته کسپراسکای، این مهاجمان به طور فزاینده‌ای از ابزارهای لینوکس استفاده می‌کنند که در نتیجه به آن ها دسترسی گسترده تری نسبت به سیستم‌هایی که هدف قرار می‌دهند، خواهد داد. بسیاری از سازمان ها از لینوکس به عنوان سرور و سیستم‌های مهم استراتژیک خود استفاده می‌کنند. امروزه نیز با گرایش قابل توجه بسیاری از تجارت‌های بزرگ و ارگان های دولتی به دسکتاپ‌های لینوکسی، مهاجمان به نوبه خود در حال توسعه بدافزارهای بیشتری برای سیستم عامل مذکور هستند.

رئیس تیم تحقیق و تجزیه و تحلیل کسپراسکای در روسیه می‌گوید: ” روند استفاده از این ابزارآلات تهدید آمیز در گذشته نیز بارها توسط متخصصان ما شناسایی شده بود و اکنون نیز ابزارهای متمرکز بر لینوکس از این قاعده مستثنی نیستند.”

به گفته کسپراسکای بیش از ده مورد APT  (advanced persistent threat) شناسایی شده اند که از بد افزارهایی مرتبط با لینوکس و یا ماژول های مبتنی بر آن استفاده می‌کنند. اخیرا، این مورد در کمپین های بدافزار LightSpy نیز مشاهده شده است. Lightspy قابلیت هدف قرار دادن ویندوز و لینوکس را داشته و حتی می‌تواند سیستم عامل iOS و دستگاه های Mac را نیز مورد حمله قرار دهد.

کسپراسکای هم چنین اظهار داشت که تعداد اندکی از این حملات نمایانگر خطری نبود که این بدافزارها تولید می‌کردند و این نشان می‌دهد که مورد حمله واقع شدن یک سرور لینوکسی می‌تواند تبعات مختلفی داشته باشد چرا که بد افزار می‌تواند در طول شبکه حرکت کرده و به یوزرهای نهایی که از ویندوز یا مک استفاده می‌کنند برسد و در نتیجه آن دسترسی بیشتری به مهاجمان خواهد داد.

به عنوان مثال، گروه روسی مولد تورلا در طول سال‌ها مجموعه ابزار خود را تغییر داده است، از جمله این تغییرات می‌توان به تغییر Linux backdoors اشاره کرد. طبق گفته کسپراسکای، تغییر Linux backdoor در ورژن penguinx64 اکنون ده‌ها سرور در اروپا و ایالات متحده را تحت تاثیر قرار داده است.

برای کاهش خطرات قربانیان حملات در سیستم های لینوکسی میتوان اقدامات مختلفی انجام داد، از جمله اقدامات ساده‌ای مانند اطمینان از راه اندازی فایروال‌ها به طور صحیح و مسدود کردن پورت های بلااستفاده، خودکارسازی به روزرسانی های امنیتی و استفاده از یک راه حل امنیتی اختصاصی.

علاوه بر این به سازمان ها توصیه می‌شود تا همواره تعدادی از منابع نرم افزاری را در نظر داشته باشند و استفاده از کانال های به روز رسانی نشده و رمزگذاری شده را محدود کنند، از احراز هویت ssh که مبتنی بر key است استفاده کنند، از احراز هویت دو عاملی استفاده کنند و کلیدهای حساس را روی دستگاه های خارجی ذخیره کنند و در ضمن از اجرای اسکریپت های مختلف از منابع غیر قابل اعتماد دوری کنند.

/0 دیدگاه /توسط
,

امنیت سرور لینوکس

نکات امنیتی استفاده از سرورهای لینوکس

ایمن‌سازی سرورهای لینوکس جنبه های مثبت مختلفی در جهت محافظت داده‌ها، مالکیت معنوی و سایر موارد دارد. مدیر سیستم مسئول بررسی و تامین مقدمات امنیتی سیستم است.
در قسمت اول این مطلب ما 10 نکته امنیتی مهم برای نصب سیستم لینوکس را ارائه می‌دهیم.
بایستی توجه داشته باشید که دستوراتی که در ادامه به آن ها اشاره می‌کنیم با ورژن‌های Ubuntu/Debian و CentOS/RHEL لینوکس سازگاری دارند.

1- رمزگذاری ارتباط داده‌ها برای سرور لینوکس:

تمامی داده‌هایی که در طول شبکه انتقال پیدا میکنند قابل نظارت کردن هستند و همینطور میتوانید این داده‌ها را به وسیله پسورد و یا certificate مخصوص، رمزگذاری کنید. به چند نمونه از این روش‌ها اشاره می‌کنیم.
• برای انتقال فایل می‌توانید از دستورهای ssh، scp، rsync و یا sftp استفاده کنید. همچنین با استفاده دستور sshf می‌توانید فایل‌های سرور ریموت و یا دایرکتوری خود را mount کنید.
• GnuPG به شما اجازه می‌دهد تا داده‌ها و ارتباطات خود را با استفاده از یک سیستم مدیریت کلیدی متنوع و همچنین دسترسی به ماژول‌های مختلف دایرکتوری کلیدهای عمومی رمزگذاری کنید.
• نصب و استفاده از Apache SSL
• نصب و استفاده از Lighttpd SSL

2- استفاده از سرویس‌های FTP، Telnet را بر روی لینوکس متوقف کنید:

تحت اکثر تنظیمات شبکه، نام کاربری، رمز عبور، دستورات rsh، telnet، FTP و همینطور فایل‌های منتقل شده توسط هر شخصی در همان شبکه قابل ضبط هستند. راه حل متداول برای رفع این مشکل استفاده از OpenSSH، SFTP و یا FTPS است که رمزگذاری SSL یا TLS را به FTP اضافه می‌کنند.
برای این منظور به شکل زیر از دستور yum استفاده کنید:

yum erase xinetd ypserv tftp-server telnet-server rsh-server#

اگر از سرور لینوکسی بر پایه ی اوبونتو/دبیان استفاده میکنید، از دستور زیر برای حذف سرویس های نا امن استفاده کنید:

sudo apt-get --purge remove xinetd nis yp-tools tftpd atftpd tftpd-hpa telnetd rsh-server rsh-redone-server$
3- برای حداقل‌سازی آسیب به لینوکس از نصب نرم افزارهای اضافه خودداری کنید:

برای جلوگیری از آسیب پذیری به نرم افزار از نصب نرم افزارهای غیرضروری خودداری کنید. از سیستم‌های مدیریت بسته RPM مانند Yum و apt-get و dpkg برای بررسی و مرور بسته‌های نصب شده بر روی سیستم خود استفاده کنید.برای پاک کردن پکیج های غیر ضروری، مانند دستور زیر عمل کنید:

yum list installed#
yum list packageName#
yum remove packageName#

یا

dpkg --list#
dpkg --info packageName#
apt-get remove packageName#
4- کرنل لینوکس خود را آپدیت نگه دارید:

استفاده از پچ‌های امنیتی یکی از مهم‌ترین بخش‌های حفظ و نگهداری سرورهای لینوکس است. لینوکس تمام ابزارهای لازم برای به روزرسانی سیستم شما را فراهم میکند و هم‌چنین امکان استفاده آسان بین نسخه ها را نیز فراهم می‌کند.
همه‌ به روزرسانی‌های امنیتی باید در اسرع وقت بررسی و اعمال شوند، برای این منظور بایستی از دستورات yum و یا apt-get استفاده کنید.

yum update#

یا

apt-get update && apt-get upgrade#
5- حساب‌های کاربری لینوکس و استفاده از رمز عبور قوی برای آن‌ها:

از دستورات useradd/usermod برای ایجاد و نگهداری حساب‌های کاربری استفاده کنید؛ همچنین اطمینان حاصل کنید که از یک رمز عبور قوی استفاده می‌کنید. به عنوان مثال یک رمز عبور خوب شامل 8 کاراکتر و ترکیبی از اعداد و کاراکترها و حروف بزرگ و کوچک است.
برای یافتن رمز عبورهای ضعیف می‌توانید از ابزاری مانند “John the ripper” استفاده کنید.

6- تنظیم رمز عبور مدت‌دار برای کاربران لینوکس در جهت امنیت بهترسیستم:

دستور change command تاریخ بین تغییر پسورد، از اولین پسورد تنظیم شده تا اخرین پسورد را اندازه گیری کرده و تغییر می‌دهد. سیستم از این اطلاعات برای تعیین کردن زمان تغییر پسورد توسط کاربر استفاده می‌کند.

7- محدودسازی استفاده از رمزهای عبور قبلی در لینوکس:

می‌توانید از استفاده مجدد پسورد توسط کاربران جلوگیری کنید. با استفاده از پارامتر pam_unix می‌توانید استفاده مجدد از پسوردهای قدیمی را محدود کنید.

8- می‌توانید از دستور faillog برای نمایش سوابق عدم ورود موفق به سیستم و یا محدود کردن ورود ناموفق به سیستم، استفاده کنید:

دستور faillog محتوای failure log را از آدرس var/log/faillog database/log file فرمت می‌کند. همچنین می‌توانید برای ذخیره تعداد ورودهای ناموفق به سیستم از آن استفاده کنید. برای دیدن تلاش های ناموفق ورود به سیستم مانند زیر عمل کنید:

Faillog

برای باز کردن قفل حساب پس از عدم موفقیت در ورود به سیستم، دستور زیر را اجرا کنید:

faillog -r -u userName

توجه داشته باشید که می‌توانید از دستور passwd برای قفل کردن و باز کردن حساب‌ها استفاده کرد:

# lock Linux account
passwd -l userName
# unlock Linux account
passwd -u userName
9- چگونه اطمینان حاصل کنیم که هیچ اکانتی پسورد خالی ندارد:

دستور زیر را اجرا کنید:

# awk -F: '($2 == "") {print}' /etc/shadow

برای قفل کردن همه‌ی حساب ها با رمز عبور خالی:

# passwd -l accountName
10- چگونه اطمینان حاصل کنیم که هیچ اکانتی غیر از Root مقدار UID برابر 0 ندارد:

فقط اکانت root دارای UID برابر 0 و مجوز کامل برای دسترسی به سیستم است. دستور زیر را اجرا کنید تا همه اکانت‌ها با UID=0 نمایش داده شوند:

# awk -F: '($3 == "0") {print}' /etc/passwd

در ادامه باید تنها یک خط مانند زیر ببینید:

root:x:0:0:root:/root:/bin/bash

اگر خطوط دیگری را مشاهده می‌کنید آن ها را حذف کنید.

11- غیرفعال کردن سرویس‌های غیر ضروری:

همه خدمات غیرضروری و سرویس‌هایی که در پس زمینه اجرا میشوند را متوقف کنید، تمام سرویس هایی که در start-up اجرا می‌شوند را متوقف کنید. دستور زیر را اجرا کنید تا تمام سرویس‌هایی که در بوت اجرا می‌شوند را ببینید.

chkconfig --list | grep '3:on'#

برای متوقف کردن سرویس‌ها دستور زیر را اجرا کنید:

service serviceName stop#
chkconfig serviceName off#

برای خاموش کردن یک سرویس در هنگام بوت از دستور زیر استفاده کنید:

systemctl disable service#
systemctl disable httpd.service#

برای شروع، توقف، ری‌استارت کردن سرویس از دستور زیر استفاده کنید:

systemctl disable service#
systemctl disable httpd.service#

برای گزارش وضعیت سرویس از دستور زیر استفاده کنید:

systemctl status service#
systemctl status httpd.service#

برای دریافت گزارشات لاگ، از دستور زیر استفاده کنید:

journalctl#
journalctl -u network.service#
journalctl -u ssh.service#
journalctl -f#
journalctl -k#
12- پورت‌های باز شبکه را پیدا کنید. (Listening Ports):

از دستور زیر برای نمایش تمام پورت‌ها و برنامه‌های متصل استفاده کنید:

netstat -tulpn

یا از دستور SS به همین منظور:

$ ss -tulpn

و یا:

nmap -sT -O localhost
nmap -sT -O server.example.com
13- از SUID و SGID های غیرضروری جلوگیری کنید:

زمانی که فایل های SUID و SGID مشکلی دارند ممکن است با مشکلات امنیتی و باگ های سیستمی رو به رو شوید، بروز این مشکلات برای تمام کاربرانی که با سیستم کار میکنند امکان پذیر است در نتیجه پیشنهاد میکنیم برای پیدا کردن این مشکلات از دستور زیر استفاده کنید:

#See all set user id files:
find / -perm +4000
# See all group id files
find / -perm +2000
# Or combine both in a single command
find / \( -perm -4000 -o -perm -2000 \) -print
find / -path -prune -o -type f -perm +6000 -ls
14- پیدا کردن فایل های World-Writable:

فایل های world-writable میتوانند تبدیل به یک مشکل امنیتی شوند، از دستور زیر برای پیدا کردن این فایل ها استفاده کنید:

find /dir -xdev -type d \ (-perm -0002 -a! -perm -1000 \) -print

بعد از این میتوانید مقادیری که میخواهید را نگه داشته و بقیه را حذف کنید.

15- فایل هایی که مربوط به هیچ کاربری نمیشوند را پیدا کنید:

فایل هایی که توسط کاربر یا گروهی اداره نمیشوند ممکن است به مشکلات امنیتی بیانجامد، این فایل ها را با استفاده از دستور زیر پیدا کنید:

find /dir -xdev \ (-nouser -o -nogroup \) -print

بعد از اینکه این فایل ها را پیدا کردید، بایستی آن را به یک کاربر یا گروه خاص اختصاص داده یا آن را حذف کنید.

16- دستگاه های USB، Firewire، thunderbolt را غیرفعال کنید:

برای غیرفعال کردن دیوایس های USB از دستور زیر استفاده کنید:

echo 'install usb-storage /bin/true' >> /etc/modprobe.d/disable-usb-storage.conf#

همچنین برای غیرفعال کردن ماژول های firewire و thunderbolt، از دستور زیر استفاده کنید:

echo "blacklist firewire-core" >> /etc/modprobe.d/firewire.conf#
echo "blacklist thunderbolt" >> /etc/modprobe.d/thunderbolt.conf#

پس از انجام دادن این کار کاربران نمیتوانند داده های حساس را به سرعت در دستگاه های USB کپی کرده و یا بدافزار یا ویروس را بر روی سیستم لینوکس نصب کنند.

17- سرویس هایی که از آن ها استفاده نمیکنید را غیر فعال کنید:

میتوانید سرویس هایی که از آن استفاده ای نمیشود را با استفاده از دستور زیر غیر فعال کنید:

sudo systemctl stop service $
sudo systemctl disable service $

به عنوان مثال، اگر نمیخواهید مدتی از سرویس NginX استفاده کنید، آن را غیرفعال کنید:

sudo systemctl stop nginx $
sudo systemctl disable nginx $
18- امن سازی سرور Apache، PHP، Nginx:

فایل httpd.conf را ادیت کرده و مقادیر زیر را اضافه کنید:

ServerTokens Prod
ServerSignature Off
TraceEnable Off
Options all -Indexes
Header always unset X-Powered-By

برای ری استارت کردن سرویس های hhtpd/apache2 بر روی لینوکس، دستور زیر را اجرا کنید:

sudo systemctl restart apache2.service $

و یا :

sudo systemctl restart httpd.service $

چنانچه موارد فوق را برای VPS لینوکسی خود انجام داده‌اید، می‌توانید از ابزار OpenSCAP برای بررسی امنیت سرور مجازی خود استفاده کنید.

/1 دیدگاه/توسط