نکته : به یاد داشته باشید که نابرده رنج گنج میسر نمیشود پس همانطوریکه مدتها وقت صرف یادگیری ویندوز کرده اید باید بدانید که حداقل همان مقدار را باید برای یادگیری گنو/لینوکس اختصاص دهید.
فرقی نمی کند که از چه توزیع لینوکسی استفاده میکنید ، در هر صورت شما باید قبل از ارتباط سیستم لینوکس خود با اینترنت نکات زیر را رعایت کنید :
1- برخلاف ویندوز که نسخه های اختصاصی برای کامپیوترهای رومیزی و سرور دارد ، اغلب سیستم عاملهای خانواده گنو لینوکس از ابتدا دارای قابلیت نصب بصورت سرور و یا ایستگاه کاری شبکه یا بصورت یک کامپیوتر خانگی هستند و این یعنی در هنگام نصب سیستم عامل باید به انتخاب دقیقتر نرم افزارهای کاربردی مورد نیاز با توجه به موقعیت و نوع استفاده از سیستم همت گماشت.
بدیهی است ، برای کاربران خانگی که از اتصال اینترنت dialup و بدون امکانات شبکه محلی LAN بهره میبرند نصب اجزاء سرور لینوکس نه تنها سودی ندارد بلکه باید تا جای ممکن محدود گردد ، چرا که نصب هر نرم افرار شبکه ای علاوه بر مصرف منابع ارزشمند سیستم مثل پردازنده و حافظه به معنای گشودن یک درگاه یا پورت اختصاصی برای ارتباط آن با شبکه جهانی اینترنت است و در صورت عدم دقت در پیکربندی امنیتی میتواند به یک نقطه ضعف سیستم تبدیل شود. پس تا جائی که ممکن است از نصب نرم افزارهای سرور برروی کامپیوترهای خانگی پرهیز کنید.
2- نصب و پیکربندی یک نرم افزار دیواره آتش یا فایروال که بصورت پیش فرض در اغلب توزیعهای لینوکس نصب میشود توصیه میشود . بعنوان مثال مندریوا لینوکس فایروال خود یعنی shorewall را نصب و امکان پیکربندی آنرا از طریق رابط گرافیکی ساده mcc یا mandriva control system فراهم میکند.
البته توجه داشته باشید که هنگام فعال کردن فایروال دقت لازم را در انتخاب سرویسهای مجاز یا غیر مجاز برای ارتباط با شبکه انجام دهید، بعنوان مثال اگر میخواهید از secure shell برای ارتباط با سیستم خود از راه دور استفاده کنید باید در مرحله پیکربندی فایروال گزینه allow را برای ssh فعال سازید.
در این صورت پورت 22 روی سیستم شما برای این ارتباط باز میگردد.
3- یکی از لایه های دیگر امنیتی صدور مجوز ارتباط یا جلوگیری از برقراری ترافیک با شبکه اینترنت از طریق تعریف کردن host های مجاز یا غیر مجاز است .
مثلا شما میتوانید به سادگی اطلاعات دو فایل مهم etc/hosts.deny و etc/hosts.allow را به نفع خود ویرایش کنید تا فقط آدرسهای بخصوصی اجازه دسترسی به کامپیوتر شما را بصورت از راه دور داشته باشند.
بهترین تنظیم برای فایل etc/hosts.deny شامل خط زیر است که باید به فایل اضافه شود:
ALL: ALL
بدیهی است که با این دستور بصورت پیش فرض همه کامپیوتر های را دور از دسترسی به سیستم شما منع میشوند ، سپس میتوانید در فایل etc/hosts.allow تنظیمات لازم یعنی آدرسهای دامنه یا آدرس آی پی مجاز را به تفکیک وارد کنید :
مثال :
sshd: 192.168.0.1 #allow 192.168.0.1 to access ssh
sshd: somebox.somedomain.com #allow somebox.somedomain.com to access ssh
4- بیاد داشته باشید که سرویسهای غیر ضروری فقط منابع حیاتی سیستم شما را مصرف کرده و از سرعت اجرای برنامه های دیگر کاسته و بیشتر اوقات به حفره های امنیتی خطر ناک تبدیل میشوند.
پس ابتدا با دستور chkconfig مبادرت به مشاهده سرویسهای مختلف فعال در سیستم خود کرده و درصورت اطلاع کامل از بلا استفاده بودن یکی یا چند تا از آنها حتما آنها را غیر فعال کنید زیرا عدم وجود یک سرویس فعال غیر ضروری همیشه بهتر از فعال بودن و بلا استفاده بودن آن است .
5- سرویسهای ضروری و فعال سیستم خود را شناسائی و تا جائی که ممکن است آنها را امن کنید . بعنوان مثال اگر از سرویس ssh استفاده می کنید حتما تنظیمات فایل etc/ssh/sshd_config را بررسی نموده و گزینه اتصال با کاربر ریشه root را غیر فعال کنید. در این صورت بعنوان نمونه از حملات broute force توسط هکرها برای بدست آوردن کنترل ریشه سیستم در امان خواهید بود .
6- با گزینه های امنیتی قابل تنظیم هسته kernel لینوکس که معمولا در etc/sysctl.conf قرار دارد آشنا شوید . از این طریق میتوانید بعنوان مثال تعیین نمائید که چه نوع اطلاعاتی در هنگام کار باشبکه توسط سیستم شما رونوشت برداری یا log شود تا بعدا از این اطلاعات ارزشمند در بر طرف کردن نقاط ضعف سیستم خود استفاده کنید .
7- همیشه سعی کنید بسته های به روز رسانی را از سایت تخصصی توزیع لینوکس مورد علاقه تان بارگزاری و یا در صورت تمایل و داشتن اطلاعات لازم بصورت دستی نصب کنید . در اینصورت امکان استفاده نفوذگران از نقاط ضغف نرم افزارهای کاربردی کاهش می یابد .
8- از نرم افزارهای جانبی مثل Bastille-Linux و یا Tripwire و غیره برای کشف نقاط ضعف امنیتی سیستم خود و احتمالا پیدا کردن اشتباهات کاربری در پیکربندی های امنیتی و سد کردن راههای نفوذ استفاده کنید .