النقاشات
نقاش : كيفية بناء خوادم أكثر امان
تم أرشفة هذا المحتوى
من المعروف أنه لا يوجد مصطلح أسمه “حمايه كامله” للأنظمه والخوادم وفي هذا النقاش سوف نتكلم عن موضوع الحصول على أكبر درجه امان للسيرفرات الويب و أنظمتها.
موضوع النقاش:
- ما هي أكثر توزيعه لينكس تقترب من درجه أمن جداً .
- ما هي الخدمات التي يتم تنصيبها على السيرفر وتكون أساسيه.
- هل هنالك أسلوب يتبع لتوفير أقصى درجه حمايه دون فرض قيود على المستخدم.
- ما هي أقوى البرامج الموجوده لتوفير اكبر قدر من الحمايه بشكل تلقائي للسيرفر.
- بعض النصائح للحصول على حمايه أفضل.
هذه وجه نظري فقط وسوف أفتح باب النقاش لكم لكي نتشارك في الأراء وأرجو أن لا تكون المسأله فقط أجابه عن أسأله بل يكون نقاش مفتوح لكي نبين الطريقه الأفضل للحصول على سيرفرات ويب أمنه.
عن الكاتب:
محمد عسكر, مختبر أختراق من الأردن في السن الصغير أحب البرمجه بلغة البايثون , عندي خبره كبيره بإدارة السيرفرات أكتشاف الثغرات وأختبار الأختراق للشبكات والمواقع
أين تحية الاسلام عزيزي عسكر :d
ما هي أكثر توزيعه لينكس تقترب من درجه أمن جداً .
[#] لايوجد مايسمى أفضل توزيعة لينكس آمنة فأنت من يتحكم بهاويؤمن لها الحمابة
ما هي الخدمات التي يتم تنصيبها على السيرفر وتكون أساسيه.
[#] هنالك برامج كثيرة ومنها
Apache
MySQL
Exim
chkrootkit
qMail
GCC compiler
APF firewall
وعلى حسب احتياجك لها فلو كنت صاحب استظافة لأختلفت الامور قليلا واحتجت برامج اخرى
هل هنالك أسلوب يتبع لتوفير أقصى درجه حمايه دون فرض قيود على المستخدم.
[#] حقيقة لم أفهم السؤال لكن يبدو أنك تريد ان تقول أذا أردت حماية قصوى
يجب عليك التخلي عن بعض الامور المهمة مثل اذا أردت أستخدام تطبيق ويب وتعارض هذا التطبيق مع أحد الدوال يجب عليك الاستغناء عنه اذا كان هذا ماتقصده فهذا باب وله جواب ويحتاج لعدة مواضيع
ما هي أقوى البرامج الموجوده لتوفير اكبر قدر من الحمايه بشكل تلقائي للسيرفر.
[#] لايوجد , أو بالاصح أنت هذا البرنامج , حرصك ومتابعتك الى آخر المستجدات
في أرآشيف الثغرات وخبرة في التعامل معها وطرح الحلول لها اعتقد أن هذا يفي
بالعرض
بعض النصائح للحصول على حمايه أفضل.
قرآءة الكتب المختصة بأدآرة الخوادم والخدمات , الاطلاع على جديد الانظمة
وآخر التطورات البحث والقرآءة
هذا أحد المواقع التي تعرض جميع الخدمات في أنظمة لينكس
http://www.hscripts.com/tutorials/linux-services/
ومثبت علي سيرفر نظام Centos6 والسيرفر بعمل علي دور mail server and website
ومثبت عليه webmin هل في مشكلة في ذالك او ثغارات علي الويب مين ولة اية رائ حضرتك
1- لأعتقد أن أنظمه centOS أمنه لدرجه ممتازه.
2- أن تكون خدمات رئيسيه مثل sftp / apache.
3+4-انا برأيي أنها مسأله تتعلق بمدير السيرفر وخبرته وطبعاً لا يوجد برامج مسؤووله بشكل كامل عن حمايه السيرفر ولكن إذا أردنا أن نستخدم برامج لتوفير الوقت أنصح بمشروع ال F5 لتوفير اكبر قدر ممكن من الحمايه الذاتيه.
5-برأيي أنصح بتحديث جميع البرامج الموجوده على السيرفر بشكل دوري وتحديث الكيرنال خااصه ومتابعه أخر أخبار الثغرات ممكن أن يكوون مفيد جداً جداً لهذه المسأله.
في الحقيقة انا افضل استعمال توزيعة debian serveur نظرنا لعدة اسباب من اهمها سرعة التحديث على عكس بعض التوزعات مثل centos
و بنسبة للبرامج فأنا اسيعمل
PHP5
Apache
MySQL
Webmin
بالاضافة لبعض الادوات البسيطة وفعّالة لمراقبة السيرفر مثل htop,trafshow,logwatch..
انا في الحقيقه انا مع اخي Denver Boy فتوزيعات اللينكس ما يميزها عن اي نظام سواء كان لينكس ام اي نظام هو ليونتها في جعلها ما يناسب غرضك الامني او البرمجي او الاستخدام العادي
بالنسبه لي فانا لم اقوم يوم بعمل سرفر حقيقي او خادم حقيقي للعمل وانما سرفرات للتعلم او للتجربه لا غير فلهاذا فانا لا املك الخبره الكافيه للخوض في التفاصيل العميقه ولاكن
استطيع ان اقول برأيي الشخصي ان توزيعه open bsd قويه جدا ولما لها من جدار حمايه قوي جدا
وكما قلت فان اي توزيعه تستطيع جعلها اقوى توزيعه واقوى توزيعه بغلطه واحده قد تخسرها
فمصلطح الحمايه الكامله كما بدا اخي محمد عسكر في مقاله ليست الا مصطلح ليس له اي واقع حقيقي
فالحمايه الكامله قد تذهب بغلطه زر واحده او داله واحده او اي شي
قد تتخلى عن خدمه ما بسبب ضعفها الامني او ما شابه ولاكن لماذا قام اخي عبد المهيمن بانشاء هاذا الموقع
من اجل مناقشه ما هو الخطر كيف نتصدى له
قد يكون الخطر خدمه او شي اخر
بالنسبه ما هي البرامج او الادوات التي قد توفر الحمايه
اول شي متابعه التحديثات او بأول
ثانيا
على حسب طبيعه عمل الخادم لديك
اهم اهم اهم اهم اهم شي وقد قالها اخي عبد المهيمن في مدونته وانا اوافقه الرأي
لا يوجد اي شي امن اكثر من الباك اب
فمهما كنت اكثر ذكاء واكثر خطاره في اختراق موقعي او سرفري
فلن تستطيع امام الباك اب
تحياتي
نقاط اساسية في الخوادم
– لا يوجد توزيعة اساسية
– لا يوجد خدمات اساسية
قبل ان تبدأ باختيار التوزيعة والخدمات ادرس الموقع الذي سوف يستضاف على هذا الخادم واعرف تماماً وبشكل دقيق ماهي متطلبات هذا الموقع دون زيادة او نقصان وعلى هذا الاساس يتم تحديد الخدمات التي سوف يتم تركيبها (قبل التوزيعة) بعد ان حصلت على قائمة الخدمات والمتطلبات الان ياتي دور اختيار التوزيعة
ليه الخدمات قبل التوزيعة ؟ هنالك برامج وخدمات مطوريها يقدمون لها الدعم الكامل على توزيعة معينة او يفضلون توزيعة معينة على غيرها. غالباً وبنسبة 99% سوف يكون خيارك بين سنتوس او ديبيان.
وفي بعض الحالات خياراتك تكون محصورة على توزيعة بعينها مثلا ان كنت تريد تركيب سي بنل! سنتوس خيارك الوحيد وبعدين كلاود لينكس (نسخة من سنتوس معدلة)
نصائح اخرى
– لا تركب برامج لا تحتاجها فعلياً
– تابع اخبار البرامج المستخدمة لتستطيع ترقيع الثغرات اول باول
– امن السكربت (الموقع) بافضل ما يمكن (شخصياً لا اثق باي سكربت) ودائماً استعين بالمودسيكورتي بكتابة قوانين دقيقة جداً صحيح ان المودسيكورتي لما تكون قوانينك معقدة يجهد الاباتشي بالتالي يجهد السيرفر ككل لكن لكل شيء ثمن بهذه الحالة هاردوير افضل يفي بالغرض.
– حاول الابتعاد عن الاتصالات الغير مشفرة الي تربطك بلوحة ادارة الموقع او الخدمات الاخرى مثل الاف تي بي استخدم ftps
واللعب كله على فهم الموقع بدون فهم الموقع لن تستطيع توفير اي حماية معظم الاختراقات لا تاتي من السيرفر بل من السكربتات المركبة بالمواقع اذا فهمت السكربتات بتعرف نقاط ضعفها وتوفر لها حلول امنية.
ايضاً معظم الاختراقات xss or/and SQLi هنا ياتي دور Mod-security
وايضاً النسخ الاحتياطي لابد منه لاشيء مضمون ان لم يحصل اختراق فقد تتعطل الهارديسكات هذه كيف نأمنها بدون باك اب وان يكون dual backup on-site + off-site
وانصح ب RAID لكنه غير متوفر في جميع الحالات لاسباب مادية غالباً فعليك دائما التعامل حسب ميزانية عميلك
أوﻻ : ﻻ يوجد اعتماد على توزيعة معينة , كلما قل حجم الامكانيات النسخة يقل حجم خطورة وجود ثغرات امنية , أنصح باستخدام انظمه Redhat أو Centos او انظمة Debian لوجود دعم كبير للتحديثات أمنية.
ثانيا : الخدمات … , يجب استخدام البرتوكولات المشفرة او مايدعم امكانية التشفير بقدر الامكان مثل HTTPS او برتوكول SSH , ويدعم SSH اتصالات مشفرة وامكانية نقل مشفر عن طريق sftp او نسخ مشفر عن طريق scp ويمكن بواسطة SSH تشفير قنوات بروتوكولات اخرى مثل HTTP او SMTP … عن طريق port forwarding . ويجب الاقلال من عدد الخدمات بقدر الامكان لتقليل المخاطر الامنية
ثالثا :
اوﻻ : غلق كل Daemon غير مطلوب على النظام لامكانيته من اتصال دائم ببورت ويمكن الكشف عنها عن طريق netstat -ntlp لخدمات بروتوكول TCP او netstat -nulp لخدمات برتوكول UDP واغلاق الغير مطلوب فورا , او عن طريق اي برنامج scanner مثل nmap
ثانيا : تغيير كل يعطي بيانات عن النظام مثل صفحات الخطأ في apache او ملف issue في /etc/ وغيرها …
ثالثا : الاهتمام بهدمة syslog ومتابعة ملفات log باستمرار دون تأخير او اهمال لما هو فيها ويجب اخذ ما فيها على محمل الجد .
رابعا : معرفتك بدقة عن كل خدمة او برنامج يسمح للاتصال ومتابعة اخبارهم الامنية باستمرار والتحديثات.
خامسا : الاهتمام بالتحديثات الامنية للنظام
سادسا : عمل رسم تخطيطي لل Firewall قبل البدء فيه , مع فصل الشبكه الداخلية ووضعها في خانة لها تعامل خاص و rules خاصه بها في برنامج iptables , ووضع “جميع” الخدمات والبرامج المسموح بها للاتصال تحت بند المراقبة بواسطة iptables او اي برنامج firewall اخر.
سابعا : الاهتمام بالطبقات الامنية الاخرى DAC – MAC والخطر المتواجد الداخلي قبل الخارجي , اي وجب الاهتمام بالصلاحيات وتواريخ انتهاء المستخدمين والاهتمام بخدمات PAM وتفعيل SELinux ووضع قوانين صارمه للخدمات او للافراد ومارجعة Log الخاص به بدقة .
ثامنا : الاهتمام ببرامج كشف integrity للكشف اي عن عملية تغير في محتوى السيرفر باي طريقة او كشف عن برماج rootkit وبرنامجي المفضل هو AIDE
الخلاصة بتاعت الموضوع دا علشان الناس تريح دماغها وتبطل قلق 😀
لازم يكون السيرفر بتاعك يختلف عن اى سيرفر يعنى لو تقدر تعدل فى توزيعة عدل وتقلب اليمين شمال والشمال يمين
المهم تغير ملامحها وطريقة عملها بحيث تضمن ع الاقل اللى يخترقك مش اى حد لازم يكون فاهم هوا بيعمل ايه وتعب تعب السنين علشان يفهم انتا شغال ازاى 😉 مش الهواه اللى بيحملو ادوات ويطبقو فديوهات واهم حاجة عندهم كلمة Hacked By
=))
ودا تأكيد لنظرية ان مفيش حماية كاملة
وبكدا اللى يخترقنى يجب ان احترمه 😀 🙂 واتعرف عليه كمان ويكون صاحيبى 😛
علشان اكيد هتعلم منو حاجة جديدة او حاجة نسيتها 😉
ودا الصح اللى انا شايفو من وجهة نظرى
وفكك من تسطب برامج وجدران وافلامانات ملهاش لزمة غير انها بتساعد فى عملية الاختراق ^_^
كتوزيعة تقترب من مستوى(آمن جداً)
من واقع عايشته في محاولتين اختراق وبعيدا عن ذكر الاسباب لسيرفرين كلاً مستقل بذاته كلاهما كان FreeBSD
احداهما بائت بالفشل واخرى كلفتني الكثير لتتكلل بالنجاح.
الامر الذي دعاني للقراءة عنها ومن ثم استخدامها حتى انتهيت بإدارة سيرفر يعمل على التوزيعه نفسهاحتى انتهى بي المطاف حولها إلى وصفها ب(كومة الحديد) .
–
اختيار الخدمات
يعتمد على (ماذا ستقدم للاخرين من خلال الموقع)
وبناء علية يكون اختيارك للخدمة التي تحتاج التنصيب
وهذا يأتي بعد معرفتك التامة بآلية عمل الخدمة أثناء عملها
وكيفية اعدادها الاعداد الصحيح المناسب للمضمون المقدم واعتمادذلك في iptables
مهم بقدر اهمية اتقانك هذة الآلية
–
من الضروري فرض القيود على المستخدم
في ضل عدم ثقتك في مستوى معرفتك بالنظام الذي تقوم بإدارتة.
–
بالنسبة للبرامج
اعتقد لا يضاهي مرونة الخدمات الافتراضية بجميع التوزيعات شي، الجميع دون استثناء
اتوقع انهم يرون هذة التوزيعات اكثر مرونة اليوم
مما هي علية في السابق
وهذا يعتمد على مدى تمكنك بالتلاعب بالافتراضيات الخاصة بأدوات هذا المصدر المفتوح
—-
واختم بالتالي
شرفت الحقيقة بالمشاركة في موقع قائم علية اساتذة هم فالواقع اعلام
فجزاكم الله خير على ما تقدمون
والسلام عليكم