الفرق بين المراجعتين ل"تأمين جهاز به دبيان"

zh:确保其 Debian 的机器 de:Sicherung ihrer Debian-Rechner nl:Beveiligen zijn Debian machine it:Protezione relativa macchina Debian pt:Protegendo sua máquina Debian es:Su máquina Debian en:Securing its Debian machine fr:Sécuriser sa machine Debian

هام: تمت ترجمة هذه المقال باستخدام برامج للترجمة الآلية, لقرائة النسخة الأصلية أنقر على الرابط

<لا trad>

مقدمة

ضمان سلامة له آلة هو نقطة أساسية يجب أن لا يستهان بها تحت طائلة أن تصبح هدفا لهجمات مختلفة. السلطة الحالية من أجهزة الكمبيوتر اليوم مما يجعل الاختراقات كتقنيات هجوم القوة الغاشمة أو bruteforce بسيطة للغاية لتنفيذ للحصول على حق الوصول كمسؤول إلى الهدف في آلة زمنية قصيرة.
في هذه الصفحة سوف تجد قائمة غير حصرية من المسارات من أجل تأمين الملقم ديبيان على نقاط مختلفة مثل حساب الجذر، سة الوصول، وجدار الحماية، إلخ...

الحفاظ على نظام ديبيان حديثة، تأكد من وجود قائمة مستودعات الرسمية لتحديث. يمكنك العثور على قائمة المتوفرة في مستودعات عكلة والحصول على إرشادات التثبيت

 apt-get update
 apt-get upgrade 

.

الدلائل المستخدمين

بشكل افتراضي على نظام ديبيان، دلائل المستخدمين بالوصول إلى الحسابات المحلية الأخرى هذا على الجهاز. في هذا العنوان وللتغلب على هذا خلل في الأمن الضروري لتكوين السلوك الافتراضي.

تأكد من الدلائل التي للقراءة فقط من قبل أصحابها

 dpkg-reconfigure adduser

الجذر الوصول

السماح باتصالات من حساب dpkg-reconfigure adduserجذر بعد الأول استخدام عموما ليست فكرة جيدة. في الواقع الحساب جذر ou متميز لديه حق الوصول الكامل إلى النظام الخاص بك. إذا كان مهاجم يأتي للوصول إلى حساب
متميز ستكون لها السيطرة الكاملة على الجهاز الخاص بك.

سودو الأمر

للحد من المخاطر، على سبيل المثال، يمكنك إضافة مستخدم، إذا لزم الأمر، سوف تحصل على الحقوق لدينا متميز باستخدام الأمر سودو .

نحن بحاجة أولاً إلى إنشاء مستخدم جديد

وبعد ذلك، ملء الحقول فضلا عن كلمة السر التي يفضل أن تكون سوف يتم تشكيلها من الأحرف الصغيرة والأحرف الكبيرة، والأرقام.

ونحن الآن سيتم تثبيت سودو

 adduser votre_utilisateur

والآن بعد أن يتم إنشاء المستخدمين لدينا وهو تثبيت هذا سودو سيتعين عليها أن تكون في مجموعة سودو باستخدام الأمر

 apt-get install sudo

من الآن لدينا المستخدم قد، إذا لزم الأمر، تسبق الأمر الذي تريد سودو تشغيل بأذونات من

 usermod -a -G sudo votre_utilisateur

متميز .

وسيطلب كلمة المرور قبل أن يمكنك تشغيل أي أمر.

حظر دخول جذر

الآن أن لدينا مستخدم آخر يمكننا على سبيل المثال منع الاتصال بنظامنا من الحساب

 sudo cat /etc/password

جذر .

تحتاج أولاً إلى تحرير التكوين سة خدمة الملف

إيجاد وتحرير السطر التالي في الملف sshd_config، بتغيير

  vi /etc/ssh/sshd_config

نعم قبل no. هناك حاجة إلى uncomment السطر بحذف الرمز #.

تذكر ثم احفظ وأغلق ملف التكوين.

  PermitRootLogin no

عندما سيتم إعادة تشغيل خدمة SSH الخاص بك التغييرات نافذة المفعول.

 /etc/init.d/ssh restart

عادة يتم إجراء الاتصال والمصادقة على النظام الخاص بك عن طريق زوج دخول /كلمة مرور. أننا يمكن أن يحل محل هذه الطريقة التي ليست معصومة من الخطأ من مصادقة مفتاح.
بمجرد تنفيذ التغيير خلال كل نظام اتصال جديد سوف يشاهد إذا كان لدى المستخدم محاولة الاتصال مفتاح صالح، وإذا كان هذا الإذن للقيام تسجيل دخول لهذا المستخدم.
ورغم أن لا توجد طريقة مضمونة يتطلب ملف مفتاح مصادقة الشخص الذي يريد أن ندخل في هذا النظام أنه يحتوي هذا الملف. لذا، يمكننا أن نعزز الأمن مقابل كلمة سر التي يمكن تخمينها ب
القوة الغاشمة ' موجودة عدة عيوب، ومع ذلك، عندما يتم تحديد هذا الأسلوب، من الضروري أن يكون ملف المفتاح بغض النظر عن موقع الاتصال، على سبيل المثال بين أجهزة الكمبيوتر في العمل وفي المنزل.
تحتاج أيضا إلى إضافة كل ملف المفتاح الجديد الذي سيسمح للوصول إلى النظام الخاص بك، في حالة على سبيل المثال، لإضافة مستخدم جديد أو الوصول بها إلى شخص مرخص له بالنظام الخاص بك يدوياً.

تغيير المنفذ الافتراضي

واحدة من الطرق الأكثر فعالية لوقف الاختبارات التلقائية التي شنت على ملقمات يتم تغيير المنفذ الافتراضي SSH على جهازك. للقيام بتحرير هذا الملف الخاص بك
'sshd_config

إيجاد وتحرير السطر التالي في الملف عن طريق تغيير القيمة التي تم اختيارها واحدة

 vi /etc/ssh/sshd_config

إعادة تشغيل خدمة SSH

# What ports, IPs and protocols we listen for
Port 22

 /etc/init.d/ssh restart

إنشاء زوج مفاتيح

Windows

يمكنك إنشاء الخاصة بك مفتاح من بوتيجين البرمجيات المتاحة لنظام التشغيل Windows.

لينكس

تحت لينكس يمكنك كتابة الأمر التالي :

نسخ زوج المفاتيح

عندما يتم إنشاء الزوج أننا يجب أن تشير الآن إلى الملقم ما هم الأشخاص المسموح لهم بالاتصال بنا مستخدم جديد.

للقيام بذلك كل مستخدم لدينا نظام يحتوي على ملف

 ssh-keygen

'ssh/authorized_keys موجودة في الدليل المحلي.

إذا قمت يتم حاليا بتوليد مفاتيح على نظامك ديبيان يمكنك استخدام الأمر التالي لنسخ المفتاح تلقائياً إلى الملف.

وبدلاً من ذلك يمكنك يدوياً إضافة المفتاح العمومي الخاص بك إلى ملف الأشخاص المأذون لهم

في حالة عدم وجود المجلد.ssh في مجلد محلي للمستخدم لدينا نحن إنشائه

 ssh-copy-id votre_utilisateur@IP_VotreServeur

والآن ونحن بحاجة إلى إنشاء ملف

mkdir .ssh
chmod 700 .ssh

'authorized_keys في المجلد.ssh بنا

المفتاح العمومي ثم يتم إضافة إلى الملف، يجب أن تكون النتيجة مشابهة لهذا المثال

 vi .ssh/authorized_keys

حفظ وإغلاق الملف.

لأسباب أمنية ونحن سوف تقييد الوصول إلى الملف

 ssh-rsa AAAB3NzaC1yc2EAAAADAQaSdMTJXMy3MtlQhva+j9CgguyVbU3nCKneB+KjKiS/1rggpFmu3HbXBnWSUdf votre_utilisateur@machine.locale

من الآن مسموح لنا المستخدم الاتصال بالجهاز.

نظام استجذار

إعداد سجن،

 chmod 600 .ssh/authorized_keys

'استجذار ' ويمكن للمستخدمين حلاً جيدا لتأمين الملقم الخاص به. سجن على النظام سيكون المستخدمين لاختيار الأسهم انخفض إلى أوامر أذنت لك حتى.

سوف تجد المزيد من المعلومات حول
'استجذار ' وتنفيذه في مقالة متاحة على العنوان

جدار الحماية

استخدام جدار حماية ينصح بشدة لتأمين النظام الخاص بك. suivante جدار الحماية غالباً ما يكون الخط الأول للدفاع عن الجهاز الخاص بك ضد الخارج، هو في الواقع له الذين سيتم تحليل حركة المرور التي تمر بين جهازك والخارج.
وبفضل جدار الحماية أنت قادرة على منع أو السماح بالوصول إلى جهازك من الخارج إلى بروتوكولات أو منافذ معينة وبالتالي ضمان أمن النظام الخاص بك.

سياسات الأمن

في حالة جدار حماية من الضروري تعريف نهج أمان تنفيذها. دون تعريف فعالة سيكون الاختيار لحجب أو إذن من المنافذ والبروتوكولات عشوائية جداً.
ولذلك من الضروري أن تحدد مقدما سياسة واضحة لأمن شبكة الكمبيوتر أو الجهاز له.

تشمل مختلف السياسات ويشيع استخدام سياسات
'البيضاء ودي القائمة السوداء .

البيضاء

مبدأ السياسة البيضاء هو عرقلة حركة المرور جميع الدخول بدون استثناء والسماح صراحة فقط في منافذ والبروتوكولات التي نحن متأكدون تماما على سلامتهم. نهج الأمان هذا مزايا عديدة مقارنة القائمة السوداء . سيتم حظر بل جميع حركة المرور يسمح بشكل غير صريح، وسيؤدي هذا إلى منع معظم محاولات الاتصال التي نحن لن يكون بالضرورة لديه المعاكسة لتأمين. واحدة من مساوئ هذه السياسة هو الالتزام بالحاجة إلى تعريف كل المنافذ أو البروتوكولات المستخدمة لعدم حظر إعدام خدماتنا ( على سبيل المثال البروتوكول
http منفذ 80 )ولذلك يجب أن نعرف كل المنفذ المستخدم بواسطة الجهاز والحفاظ على النظام عند إضافة أو حذف خدمة. بشأن الصادرة في معظم الحالات لا تعتبر خطرة لكل إذن، بل لك من المفترض أن يعرف حركة المرور ترك الجهاز أو الشبكة الخاصة بك. ومع ذلك، من المستحسن للحفاظ على عملية تتبع الأمن الصادرة.

القائمة السوداء

مبدأ السياسة القائمة السوداء للسماح لحركة المرور الواردة كافة دون استثناء ومنع صراحة فقط المنافذ والبروتوكولات التي نحن على يقين من أنها تشكل خطرا على الأمن. هذه السياسة الأمنية لديه العديد من العيوب مقارنة
'البيضاء . في الواقع السماح لكافة حركات المرور بالدخول دون أي قيود غير مستحسن، حجب تشارك فقط في حالة المنفذ أو البروتوكول المعمول صراحة. بشأن الصادرة في معظم الحالات لا تعتبر خطرة لكل إذن، بل لك من المفترض أن يعرف حركة المرور ترك الجهاز أو الشبكة الخاصة بك. ومع ذلك، من المستحسن للحفاظ على عملية تتبع الأمن الصادرة.

[ايبتبلس]

[ايبتبلس] هو بالتأكيد الأكثر شهرة جدار حماية البرمجيات المتاحة ديبيان.

وإليك بعض الأوامر العملية بشأن :

التثبيت من [ايبتبلس]

قائمة القواعد المتبعة حاليا

 sudo apt-get install iptables

إزالة القواعد المرعية

 sudo iptables -L

إضافة قاعدة

sudo iptables -F
sudo iptables -X

# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip x.x.x.x par exemple
sudo iptables -A INPUT -p tcp --dport ssh -s x.x.x.x -j ACCEPT

فشل 2حظر

قد يكون من المفيد لتنفيذ خدمة

# Supprimer la règle n°2 de la catégorie OUTPUT
sudo iptables -D OUTPUT 2

'فشل 2حظر ' على النظام الخاص بك منعا لأي خطر من هجوم القوة الغاشمة . في الواقع الخدمة فشل 2حظر يسمح لك بحظر أي شخص عدم مصادقة عدد من المرات على الجهاز لوقت معين.

سوف تجد المزيد من المعلومات حول
'فشل 2حظر ' وتنفيذه في مقالة متاحة على العنوان . suivante