كيفية تأمين خادم منزلي يعمل بنظام Linux

هناك الكثير من الأسباب لإعداد خادم منزلي. يمكنك استخدامه كخادم وسائط أو خادم ملفات أو حتى خادم نسخ احتياطي محلي. في الأساس ، فإن أي ملفات من ملفاتك التي لا تحتاج إلى الاتصال بالإنترنت تعد مرشحة جيدة لأن تكون لخادم منزلي. من السهل نسبيًا إعداد خادم منزلي يعمل بنظام Linux ، خاصةً هذه الأيام. ومع ذلك ، فإن الحفاظ على هذا الخادم آمنًا هو قصة أخرى تمامًا. يمكن أن يكون الحفاظ على الأمن صعبًا كما هو مهم.

كيفية تأمين خادم منزلي يعمل بنظام Linux - لينكس

فقط عليك تثبيت ما تحتاج إليه تماما

واحدة من أسهل الطرق للحفاظ على أمان خادم منزلك هي وضع الأمان في الاعتبار من البداية. هذا يبدأ من التثبيت. هل أنت غير متأكد إذا كنت بحاجة إلى تطبيق أو خدمة؟ لا تثبيته. يمكنك دائما تثبيته في وقت لاحق.

إذا قمت بتثبيت نظام Linux عدة مرات ، فسيكون ذلك أسهل. بدلاً من الالتصاق بالإعدادات الافتراضية ، استخدم الأوضاع التي تمنحك أقصى قدر من التحكم في التثبيت. في بعض الأحيان تسمى هذه “وضع الخبير” أو شيء مشابه.

حفظ خيارات التثبيت بعناية يمكن أن يوفر لك الوقت في تعطيل الخدمات لأسباب أمنية في وقت لاحق.

تكوين sudo

قبل الانتقال إلى أي خطوات أخرى ، تحتاج إلى تكوين sudo. لماذا ا؟ لأنه بمجرد الانتهاء من ذلك هنا ، ستقوم بتسجيل الدخول إلى الخادم الخاص بك عبر SSH ، ولن تكون قادرًا على تسجيل الدخول كحساب الروت. لإجراء أي تغييرات أخرى على نظامك ، ستحتاج إلى استخدام sudo.

أولاً ، تحقق مما إذا كنت قادرًا بالفعل على استخدام sudo. من حساب المستخدم الخاص بك ، قم بتشغيل الأمر التالي باستخدام اسم المستخدم الخاص بك بدلاً من USERNAME:

sudo -lU USERNAME

إذا رأيت رسالة معروضة تفيد بأن اسم المستخدم الخاص بك يمكنه تشغيل “(ALL) ALL” أو شيء مشابه ، فأنت مستعد للمتابعة.

الآن ، كحساب بصلاحيات الروت على الخادم الخاص بك ، قم بتشغيل التالي لتحرير ملف “/etc/sudoers“. إذا كنت تفضل محررًا آخر ، فاستخدمه بدلاً من nano.

EDITOR=nano visudo

قم بتحرير الملف لتضمين ما يلي ، باستخدام اسم المستخدم الخاص بك بدلاً من USERNAME:

USERNAME   ALL=(ALL) ALL

تكوين SSH

كيفية تأمين خادم منزلي يعمل بنظام Linux - لينكس

قد يكون لديك بالفعل SSH ممكّن على خادم منزلك. من المحتمل أن تفعل ، في الواقع ، لأن هذه هي الطريقة التي تتفاعل بها مع الخادم.

أولاً ، تأكد من تثبيت OpenSSH. إذا كنت تستخدم توزيعةً أخرى ، فسيختلف الأمر ، ولكن يجب أن يكون اسم الحزمة ثابتًا إلى حد ما. على Ubuntu ، قم بما يلي:

sudo apt install openssh-server

يعد استخدام المصادقة المستندة إلى المفاتيح أكثر أمانًا من مصادقة كلمة المرور ، لذلك سنقوم بإعداد SSH للعمل بهذه الطريقة. للقيام بذلك ، تأكد من أنك تعمل على جهاز عميل تخطط للاتصال به مع الخادم ، وليس الخادم نفسه. أولاً ، تريد التأكد من أنك لا تملك بالفعل أي مفاتيح SSH:

ls ~/.ssh/

إذا رأيت “id_rsa” و “id_rsa.pub” بين أسماء الملفات المدرجة ، فلديك بالفعل مفاتيح SSH. تخطي هذه الخطوة التالية.

ssh-keygen -t rsa -b 4096 -C "youremail@domain.com"

الآن ستقوم بنسخ مفتاح SSH إلى الخادم الخاص بك:

ssh-copy-id USERNAME@SERVER

بالنسبة للخادم المنزلي ، من المحتمل أنك تستخدم عنوان IP لخادمك بدلاً من الاسم. إذا كنت لا تعرف اسم الخادم الخاص بك ، فاستخدم عنوان IP الخاص بك بدلاً من SERVER أعلاه.

سنقوم الآن بتعديل إعدادات SSH لتأمينها أكثر. قم بتسجيل الدخول إلى الخادم الخاص بك من العميل الذي قمت بإنشاء المفاتيح عليه. سيمكّنك هذا من تسجيل الدخول مرة أخرى بعد هذه الخطوة. قم بتشغيل التالي ، واستبدل nano بالمحرر الذي تختاره.

sudo nano /etc/ssh/sshd_config

عليك تحرير الملف مع الإعدادات التالية. ستكون هذه موجودة في أماكن مختلفة في الملف. تأكد من عدم وجود تكرارات ، حيث سيتم إستخدام هذه للتكرار الأول فقط من الإعداد.

ChallengeResponseAuthentication no

PasswordAuthentication no

UsePAM no

PermitRootLogin no

أنت الآن بحاجة إلى إعادة تشغيل خادم SSH باستخدام أحد الأوامر التالية.

على Ubuntu، قم بتشغيل:

sudo systemctl restart ssh

تكوين جدار الحماية

بناءً على الخدمات التي تقوم بتشغيلها ومقدار الوقت الذي يكون فيه خادمك متصل بالإنترنت ، قد ترغب في تشغيل جدار حماية. هناك بعض الخيارات لهذا ، لكن الطريقة المجربة والحقيقية على نظام Linux هي iptables.

يعد إعداد iptables خارج نطاق هذه المقالة ، ولكن لا تقلق. لدينا دليل كامل لتكوين iptables على جهازك.

هناك طريقة أخرى أسهل لإعداد جدار الحماية وهي استخدام ufw. يمكنك تثبيته باستخدام الأمر:

sudo apt install ufw

بشكل افتراضي ، سيتم حظر جميع المنافذ. لتمكين الوصول عبر الإنترنت و ssh ، قم بتشغيل أوامر ufw التالية لفتح المنافذ 80 و 443 و 22:

sudo ufw allow 80

sudo ufw allow 443

sudo ufw allow 22

وأخيرًا ، قم بتمكين خدمة ufw:

sudo ufw enable

إبقاء الخادم بشكل مًحدث

كيفية تأمين خادم منزلي يعمل بنظام Linux - لينكس

يمكن أن تكون الخوادم سهلة النسيان إذا كانت تعمل فقط ، ولكن هذا قد يكون خطيرًا. تأكد من تحديث البرنامج الخاص بك. يمكنك استخدام ترقيات غير مراقبة ، لكن قد لا يمكن التنبؤ بها. الطريقة الأكثر أمانًا هي تحديد موعد منتظم لصيانة الخادم أسبوعيًا أو شهريًا للتأكد من أن كل شيء على ما يرام.

أين أذهب من هنا

الآن لديك بداية جيدة للحفاظ على خادمك محميًا من التهديدات الخارجية. ماذا لو كنت بحاجة للوصول إلى الخادم الخاص بك من المنزل ، على الرغم من هذا؟ من المحتمل أن يستخدم المهاجم كل منفذ تفتحه ، وكل منفذ مفتوح يزيد من ضعفك.

تتمثل إحدى أسهل الطرق للوصول إلى شبكتك المنزلية من الخارج في استخدام VPN ، والتي تقع خارج نطاق هذه المقالة ، ولكن لا تقلق ، لقد قمنا بتغطيتها. ألقِ نظرة على قائمتنا لأفضل خدمات VPN الآمنة المتاحة لفكرة خياراتك.

المصدر
زر الذهاب إلى الأعلى