شش توصیه امنیتی برای مدیران سیستم تازه‌کار در گنو/لینوکس

وظایف یک مدیر سیستم گسترده است؛ یک مدیر سیستم معمولا وظیفه مدیریت، نصب، پشتیبانی و نگاهداری سیستم‌های کامپیوتری را بر برعهده‌دارند. معمولا نگهداری، تنظیم و به روز رسانی یک سیستم برای حفظ آن در بهترین شرایط، وظیفه آسانی نیست. شغل مدیر سیستم می‌تواند علاوه بر مدیریت و نگهداری از سیستم، پشتیبانی و بهبود امنیت شبکه در برابر حمله و سرقت از کاربران نیز باشد. برای موفقیت یک سیستم رایانه‌ای پایدار و امن، مدیر سیستمی که نگهداری از آن را بر عهده دارد، نقش مهمی را ایفا می‌کند. یکی از نکات مهم نیز همان نکات امنیتی مهمی است که مدیر سیستم باید آن نکات را رعایت کند و معمولا با کمی سهل‌انگاری ممکن است مشکلات زیادی برای شبکه از لحاظ امنیتی به وجود آید. مثلا گاهی به عنوان کاربری عادی سرویس‌گیرنده گنو/لینوکس که در یک شبکه در حال کار هستید، اطلاع ندارید که نقش و کار مدیر سامانه در نگهداری از خدمات دهندگان شبکه در شرایط سنگین چقدر می‌تواند مهم باشد.

خدمات دهندگان بزرگ امکان دارد که دارای چندین کاربر بوده و از خدمات متفاوتی بر روی آن استفاده کنند که مسائل مدیریتی مختلفی مانند مدیریت حساب‌های کاربری، دیمن‌های خدمات و ترافیک شبکه همراه آن وجود دارد. در مواقعی که فقط یک رایانه داشته باشید، با وجود آنکه تنها کاربر آن هستید نیز به عنوان کاربر شناخته خواهید شد و هم مدیر آن سامانه. همچنین مسئولیت‌های یک مدیر سامانه گنو/لینوکس، می‌تواند شامل بسیاری از بخش‌های سیستم‌عامل شود. موفقیت یک سیستم رایانه‌ای پایدار و امن تا حدود زیادی بر عهده مدیر سیستمی که نگهداری از آن را انجام می‌دهد، است.

امن‌ترین سیستم، سیستمی است که به شبکه جهانی اینترنت و یا هیچ وسیله ارتباطی دیگر متصل نیست و تک کاربرِ است. بااین‌حال در دنیایی زندگی می‌کنیم که اکثر سیستم‌ها با هم در ارتباط بوده و به تبادل اطلاعات می‌پردازند و حتی ایزوله کردن یک سیستم نیز راه‌حل مناسبی برای بهبود امنیت نیست.. بنابراین باید نحوه دسترسی کاربران به گونه‌ای باشد؛ تا دسترسی به منابع سیستمی همراه با مدیریت و محدودیت امکان‌پذیر باشد و همچنین به تنظیم و استفاده از ابزارهایی پرداخت که منجر به بهبود امنیت سیستم‌ها شوند. بنابراین در زیر موارد ساده‌ای را که می‌تواند به بهبود امنیت یک سامانه گنو/لینوکس منجر شود را  به اختصار مرور خواهیم کرد.

۱− از کاربر ریشه (root) استفاده نکنید

معمولا برای دسترسی و مدیریت تنظیمات سیستمی نیاز است تا به دسترسی‌های بیشتری دسترسی داشته باشید که معمولا این دسترسی‌ها را کاربر ریشه دارد. اما توصیه نمی‌شود که با کاربر ریشه «root» وارد سیستم شوید؛  معمولا چیزی که مرسوم است استفاده از یک کاربر عادی  به همراه دستور سودو «sudo» است که باعث می‌شود در هنگامی که به موارد پایه‌ای نیاز دارید، به برخی فایل‌های سیستمی دسترسی داشته باشید و در مواقع لزوم نیز از دستور سودو استفاده خواهید کرد که این دستور به شما دسترسی ریشه را خواهد داد. بنابراین هرگاه به دسترسی بیشتری نیاز داشتید از دستور فوق استفاده کرده و از دسترسی برنامه‌های دیگر به موارد حساس و حیاتی جلوگیری به عمل خواهید آورد. زیرا اگر به عنوان کاربر ریشه وارد سیستم شوید؛ اکثر برنامه‌ها می‌توانند با دسترسی ریشه برای سیستم شما مشکل‌آفرین شوند.

۲− وصله‌های امنیتی جدید را اعمال کنید

تقریباً اکثر برنامه‌ها در هنگامی‌که منتشر می‌شوند دارای ایرادات امنیتی هم هستند که بعد از مدتی توسط توسعه‌دهندگان جامعه متن‌باز/آزاد و یا تیم خود برنامه مرتفع می‌شوند. برای اینکه شما نیز این وصله‌های امنیتی را بر روی نرم‌افزار موردنظر خود اعمال کنید؛ با توجه به شرایط باید کارهای مورد نیاز را انجام دهید. برخی مواقع ممکن است این نرم‌افزارها توسط توزیع موردنظر شما آماده شده باشند که همان توزیع به اعمال وصله‌ها و سپس قرار دادن آنان در مخازن با شماره ویرایش جدید، اقدام خواهد کرد. در این مواقع تنها کاری که شما باید انجام دهید این است که سیستم خود را به‌روز نگاهدارید. اما اگر نرم‌افزار شما در مخازن نیست و به شکل دستی ترجمه «کامپایل» شده است؛ بهتر است عضو خبرنامه آن نرم‌افزار شده و یا به هر شکلی خود را در مورد وصله‌های آن آگاه نگاهدارید تا در مواقع لزوم نیز به اعمال وصله‌های موردنظر بپردازید. بااین‌وجود اکثر نرم‌افزارهای مهم را می‌توان در توزیع‌های مطرح یافت مثلا در دبیان، ردهت، سنت‌اواس و …

۳− خدمات فعلی را بازبینی کرده و خدمات غیرضروری را غیرفعال کنید

در اکثر مواقع خدماتی  را که به آنان نیاز دارید، باید در پس‌زمینه در حال اجرا باشند؛ مثلا خدمت آپاچی که یک خدمتگزار اطلاعات اینترنتی است که برای اجرا و نمایش محتوای یک پایگاه اینترنتی ضروری است و باید همیشه در پس‌زمینه به صورت یک دیمن در حال اجرا باشد؛ بااین‌حال همیشه با بررسی این نوع خدمات که در پس‌زمینه اجرا می‌شوند، خواهید توانست تا مقداری از بار اضافی که بر دوش سیستم است بکاهید.  به‌عنوان نمونه توصیه می‌کنم خدمت Telnet را تا زمانی که به آن نیاز نداشتید، فعال نکنید؛ زیرا برای نفوذ گران راه نفوذ بسیار خوبی خواهند بود.

به طور کلی خدمات در حال اجرا را همواره بررسی نمایید که اگر مواردی، دیگر در حال استفاده نیستند را غیر فعال نمایید. یا مواردی را تا وقتی که مورد نیاز هستند، اجرا کنید و اگر دیگر به آنان نیاز نداشتید، نگذارید در پس‌زمینه منابع را هدر دهند.

۴− درگاه‌های باز را بررسی کنید

اطلاعات خود را در رابطه با شبکه و امنیت و مبانی اینترنت بالا ببرید، با مطالعه کتاب‌های شبکه و کتاب‌هایی که به معرفی کارکرد درگاه‌ها و نحوه مدیریت آنان نوشته‌اند پرداخته و دانش خود را در این زمینه غنا بخشید. برخی موارد باز بودن برخی درگاه‌ها بدون اینکه نیاز باشد ممکن است راه نفوذ را برای نفوذگران را تسهیل سازد. با بررسی درگاه‌های باز می‌توانید، دید خوبی نسبت به آنان داشته باشید و موارد غیرضروری را ببندید. معمولا بهتر است اکثر درگاه‌ها بسته باشد و فقط درگاه‌های موردنیازی مثل 8080، 3306 و … را باز بگزارید. همچنین نحوه کار با ابزار  nmap و رابط‌های گرافیکی آن مانند zenmap را نیز فراگیرید.

zenmap-multi-1220x700

۵− SELinux را فراگیرید،غیر‌فعالش نکنید!

SELinux ابزاری برای بهبود و مدیریت دسترسی‌ها و امنیت در گنو/لینوکس است؛ که پیشنهاد می‌شود کارکرد آن را فراگیرید و به‌جای پاک کردن صورت  یک مساله، آن مساله راحل کنید. این ابزار برای مدیریت دسترسی برنامه‌ها و کاربران به فایل‌ها و منابع است که دید بهتری را به یک مدیر سیستم ازآنچه رخ‌داده است، خواهد بخشید. برخی از توزیع‌های گنو/لینوکس مانند فدورا، ردهت، سنت‌اواس به‌طور پیش‌فرض از این ابزار برخوردار هستند.

1024px-SELinux_admin

۶− پشتیبان بگیرید

یکی از روش‌های مرسوم و البته کمی هزینه‌بر اما مطمئن را می‌توان پشتیبان گیری دانست. اکثر مواقع پیش می‌آید که رسانه‌ای جانبی سیستمی خراب‌شده و یا اطلاعاتش از بین رفته باشد برای بازگرداندن فایل‌ها و اطلاعات موجود در آن رسانه جانبی باید قبلاً از آنان یک نسخه پشتیبان گرفته و به صورت فشرده یا عادی در جایی نگاه داشته باشید که در صورت لزوم آن را برگردانید. به‌عنوان‌مثال اگر خدمت وبلاگ بلاگفا، از نسخه پشتیبان دائمی و منظم بر روی سروری دیگر برخوردار بود؛ اگر اطلاعاتش در سرور اصلی پاک می‌شد نیز به راحتی و در مدت‌زمانی کوتاه پشتیبان را بر می‌گرداند و به راحتی می‌توانست اطلاعات سابق را بازیابد. پس بنا به اهمیت مطالب و اطلاعات، بهتر است تا نسخه‌ای پشتیبان در دوره زمانی خاص مثلا ماهانه، هفتگی، روزانه و در برخی موارد ۲۴ ساعته، تهیه کنید؛ تا در صورت وقوع مشکل برای اطلاعات سریعاً آنان بازیابی شوند.

با وجود اینکه ممکن است موارد ذکر شده برای شما بدیهی باشند اما افرادی نیز وجود دارند که ممکن است از این موارد غافل باشند. با این حال تکرار این موارد برای افراد مطلع نیز خالی از لطف نیست و ممکن است حتی مواردی نیز برای آنان تازگی داشته باشد. در هر صورت به تمامی مدیران سیستم تازه‌کار  و کار کشته گنو/لینوکس توصیه می‌کنم که  همان‌طور که باید سیستم را به‌روز کرد؛ همیشه خود را نیز به روز نگاهدارند تا از ترفندها و اطلاعات جدید آگاهی داشته باشند.

وردپرس › خطا

یک خطای مهم در وب سایت شما رخ داده است.

دربارهٔ اشکال‌زدایی در وردپرس بیشتر بدانید.