X
تبلیغات
رایتل
آموزش لینوکس و معرفی نرم افزارهای کاربردی مرجع باز (open source)

آرشیو ماهانه مقالات

طبقه بندی موضوعی

برای عضویت در خبرنامه این وبلاگ نام کاربری خود در سیستم بلاگ اسکای را وارد کنید
نام کاربری
تعداد بازدیدکنندگان : 675178


Powered by BlogSky.com

شنبه 26 آذر‌ماه سال 1384
ترفندهای امنیتی قبل از اتصال گنو/لینوکس به اینترنت

securityنکته : به یاد داشته باشید که نابرده رنج گنج میسر نمیشود پس همانطوریکه مدتها وقت صرف یادگیری ویندوز کرده اید باید بدانید که حداقل همان مقدار را باید برای یادگیری گنو/لینوکس اختصاص دهید.

فرقی نمی کند که از چه توزیع لینوکسی استفاده میکنید ، در هر صورت شما باید قبل از ارتباط سیستم لینوکس خود با اینترنت نکات زیر را رعایت کنید :

 

1- برخلاف ویندوز که نسخه های اختصاصی برای کامپیوترهای رومیزی و سرور دارد ، اغلب سیستم عاملهای خانواده گنو لینوکس از ابتدا دارای قابلیت نصب بصورت سرور و یا ایستگاه کاری شبکه یا بصورت یک کامپیوتر خانگی هستند و این یعنی در هنگام نصب سیستم عامل باید به انتخاب دقیقتر نرم افزارهای کاربردی مورد نیاز با توجه به موقعیت و نوع استفاده از سیستم همت گماشت.

بدیهی است ، برای کاربران خانگی که از اتصال اینترنت dialup  و بدون امکانات شبکه محلی LAN بهره میبرند نصب اجزاء سرور لینوکس نه تنها سودی ندارد بلکه باید تا جای ممکن محدود گردد ، چرا که نصب هر نرم افرار شبکه ای علاوه بر مصرف منابع ارزشمند سیستم مثل پردازنده و حافظه به معنای گشودن یک درگاه یا پورت اختصاصی برای ارتباط آن با شبکه جهانی اینترنت است و در صورت عدم دقت در پیکربندی امنیتی میتواند به یک نقطه ضعف سیستم تبدیل شود. پس تا جائی که ممکن است از نصب نرم افزارهای سرور برروی کامپیوترهای خانگی پرهیز کنید.

 

2- نصب و پیکربندی یک نرم افزار دیواره آتش یا فایروال که بصورت پیش فرض در اغلب توزیعهای لینوکس نصب میشود توصیه میشود . بعنوان مثال مندریوا لینوکس فایروال خود یعنی shorewall  را نصب و امکان پیکربندی آنرا از طریق رابط گرافیکی ساده mcc  یا mandriva control system  فراهم میکند.

البته توجه داشته باشید که هنگام فعال کردن فایروال دقت لازم را در انتخاب سرویسهای مجاز یا غیر مجاز برای ارتباط با شبکه انجام دهید، بعنوان مثال اگر میخواهید از secure shell برای ارتباط با سیستم خود از راه دور استفاده کنید باید در مرحله پیکربندی فایروال گزینه allow را برای ssh  فعال سازید.

در این صورت پورت 22 روی سیستم شما برای این ارتباط باز میگردد.

 

3- یکی از لایه های دیگر امنیتی صدور مجوز ارتباط یا جلوگیری از برقراری ترافیک با شبکه اینترنت از طریق تعریف کردن host  های مجاز یا غیر مجاز است .

مثلا شما میتوانید به سادگی اطلاعات دو فایل مهم etc/hosts.deny  و etc/hosts.allow  را به نفع خود ویرایش کنید تا فقط آدرسهای بخصوصی اجازه دسترسی به کامپیوتر شما را بصورت از راه دور داشته باشند.

بهترین تنظیم برای فایل etc/hosts.deny  شامل خط زیر است که باید به فایل اضافه شود:

ALL: ALL

بدیهی است که با این دستور بصورت پیش فرض همه کامپیوتر های را دور از دسترسی به سیستم شما منع میشوند ، سپس  میتوانید در فایل etc/hosts.allow  تنظیمات لازم یعنی آدرسهای دامنه یا آدرس آی پی مجاز را به تفکیک وارد کنید :

مثال :

sshd: 192.168.0.1 #allow 192.168.0.1 to access ssh
sshd: somebox.somedomain.com #allow somebox.somedomain.com to access ssh

4- بیاد داشته باشید که سرویسهای غیر ضروری فقط منابع حیاتی سیستم شما را مصرف کرده و از سرعت اجرای برنامه های دیگر کاسته و بیشتر اوقات به حفره های امنیتی خطر ناک تبدیل میشوند.

پس ابتدا با دستور chkconfig  مبادرت به مشاهده  سرویسهای مختلف فعال در سیستم خود کرده و درصورت اطلاع کامل از بلا استفاده بودن یکی یا چند تا از آنها حتما آنها را غیر فعال کنید زیرا عدم وجود یک سرویس فعال غیر ضروری همیشه بهتر از فعال بودن و بلا استفاده بودن آن است .

5- سرویسهای ضروری و فعال سیستم خود را شناسائی و تا جائی که ممکن است آنها را امن کنید . بعنوان مثال اگر از سرویس ssh  استفاده می کنید حتما تنظیمات فایل   etc/ssh/sshd_config    را بررسی نموده و گزینه اتصال با کاربر ریشه root  را غیر فعال کنید. در این صورت بعنوان نمونه از حملات broute force  توسط هکرها برای بدست آوردن کنترل ریشه سیستم در امان خواهید بود .

6- با گزینه های امنیتی قابل تنظیم هسته kernel لینوکس که معمولا در   etc/sysctl.conf قرار دارد آشنا شوید . از این طریق میتوانید بعنوان مثال تعیین نمائید که چه نوع اطلاعاتی در هنگام کار باشبکه توسط سیستم شما رونوشت برداری یا log  شود تا بعدا از این اطلاعات ارزشمند در بر طرف کردن نقاط ضعف سیستم خود استفاده کنید .

7- همیشه سعی کنید بسته های به روز رسانی را از سایت تخصصی توزیع لینوکس مورد علاقه تان بارگزاری و یا در صورت تمایل و داشتن اطلاعات لازم بصورت دستی نصب کنید . در اینصورت امکان استفاده نفوذگران از نقاط ضغف نرم افزارهای کاربردی کاهش می یابد .

8- از نرم افزارهای جانبی مثل Bastille-Linux  و یا  Tripwire  و غیره برای کشف نقاط ضعف امنیتی سیستم خود و احتمالا پیدا کردن اشتباهات کاربری در پیکربندی های امنیتی و سد کردن راههای نفوذ استفاده کنید .


عناوین آخرین مقالات و اخبار و یادداشت های وبلاگ کاوشگر لینوکس