خيمة لينكس Linux Tent

  احد طرق مراقبة النظام هي مراقبة التغيير الذي يحصل على ملفات النظام سواءً انشاء او حذف ملفات، تغيير صلاحياتها، .. الخ يقوم برنامج AIDE وهو اختصار Advanced Intrusion Detection Environment بمراقبة ما ترغب بمراقبته من ملفات وصلاحيات. لتثبيت برنامج AIDE نستخدم الامر التالي: sudo apt update sudo apt install aide بعد ذلك نقوم بعمل الاعدادات المبدئية من خلال الملف aide.conf: sudo nano /etc/aide/aide.conf نقوم باضافة تعريف المتغيرات في نهاية الملف: تعريف مراقبة الصلاحيات فقط: PERMS = p+u+g+acl+selinux+xattrs تعريف مراقبة محتوى الملف فقط: CONTENT = sha256+ftype تعريف مراقبة الصلاحيات والمحتوى ونوعية الملف: CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs تعريف مراقبة الصلاحيات والمحتوى: DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256 في نهاية الموضوع سأضع جميع الحروف التي يمكن استخدامها داخل كل متغير مع تعريف معناها. ثم نقوم باضافة المجلدات التي نرغب بمراقبتها بعد ذلك عن طريق كتابة المسار المطلوب مراقبته ثم مسافة ثم اسم المتغير الذي عرفناه مسبقا كالتالي: /path/to/directory\..*    PERMS /pa

في لينكس يحتفظ سطر الاوامر بقائمة بآخر الأوامر التي تم تنفيذها عليه ولكنها ذاكرة محدودة، قد تكون بشكل افتراضي آخر 1000 أمر. يمكن زيادة سعة هذه الذاكرة عن طريق التعديل على ملف bashrc كالتالي: sudo nano /etc/bash.bashrc واضافة الاسطر التالية: export HISTSIZE=10000 export HISTFILESIZE=10000   ثم حفظ الملف وبذلك سيتم تطبيقها على جميع المستخدمين وستحتفظ ذاكرة سطر الاوامر بآخر 10 الاف امر مدخل. يمكن وضع رقم اصغر من الصفر مثلا -1 وسيقوم سطر الاوامر بحفظ عدد لا نهائي من الاوامر السابقة. هناك بعض الاوامر الحساسة التي ترغب بحذفها من ذاكرة سطر الاوامر مثل تعديل كلمة المرور لبعض السكربتات والتي يتم ادخالها بشكل نصي، يمكن ذلك من خلال معرفة رقم الأمر الذي تريد حذفه في سطر الاوامر بالبحث عنه من خلال الأمر التالي: history | grep command وسيتم عرض الأمر ورقمه في ذاكرة سطر الاوامر. لحذفه نستخدم الامر التالي: history -d Line Number

من ضمن اعدادات الأمان الموصى بها هو عدم السماح للمستخدم بالدخول للسيرفر عن طريق كلمة المرور واجباره على استخدام مفاتيح ، لكن قد ترغب بالسماح لاحد المستخدمين تحديدا بالدخول باستخدام كلمة مرور ، وهناك طريقة لذلك. قم بفتح ملف sshd_config باستخدام المحرر كالتالي: sudo nano /etc/ssh/sshd_config قم باضافة التالي لنهاية الملف: Match User username PasswordAuthentication yes Match all ثم قم باعادة تشغيل خدمة ssh باستخدام الامر التالي sudo systemctl restart ssh بهذا الشكل سيتم السماح للمستخدم username بالدخول باستخدام كلمة المرور 

  كمدير للنظام تحتاج لمراجعة بعض اجزاء النظام ومنها عمليات الدخول. هنا بعض الاوامر المفيدة لمدير النظام: lastb يعرض محاولات الدخول الخاطئة للنظام مع الاي بي والوقت w   who   يعرض الجلسات الحالية للمستخدمين  sudo tail -n 100 /var/log/auth.log   يعرض آخر 100 سطر في ملف بيانات الدخول للنظام ويمكن تغيير عدد الاسطر للرقم الذي تريده sudo tail -n 1000 /var/log/auth.log | grep "invalid user" sudo tail -n 1000 /var/log/auth.log | grep "Failed password" عرض محاولات الدخول بإسم مستخدم او كلمة مرور خاطئة في آخر 1000 سطر في السجل  cat /etc/*-release لعرض كافة بيانات نظام التشغيل   sudo cat /var/log/auth.log | grep "Invalid user" | grep -oP "(\d+\.){3}\d+" | sort | uniq  لعرض قائمة بالايبيهات التي حاولت الدخول بإسم مستخدم خاطئ sudo cat /var/log/auth.log | grep "Unable to negotiate" | grep -oP "(\d+\.){3}\d+" | sort | uniq لعرض قائمة بالايبيهات التي حاولت الدخول باستخدام مفاتيح غير صحيحة يمكن نسخ قائمة الايبيهات ولصقها في الموقع التالي لعرض

 عند فقدان كلمة مرور واجهة webmin يمكن اعادة ضبط كلمة المرور بالدخول للسيرفر عن طريق الشل ssh واستخدام الامر التالي: sudo / usr/share/webmin/changepass.pl /etc/webmin username password وسيتم بشكل مباشر تغيير كلمة المرور وتستطيع الدخول مباشرة للوحة التحكم ملاحظة هامة: ستظهر كلمة المرور في حافظة سطر الاوامر history لذلك يجب عليك حذفها. لحذفها ادخل الامر التالي: sudo history | grep "changepass.pl" سيظهر قبل النتيجة رقم السطر، استخدم رقم السطر في الامر التالي للحذف: sudo history -d LineNumber

مضاد الفيروسات مفيد لتصيد الفيروسات الشائعة، صحيح انه لا يكفي لوحده لكنه مهم  لتثبيت clamav نستخدم الامر التالي: sudo apt install clamav clamav-daemon -y الأن نقوم بايقاف خدمة clamav-freshclam sudo systemctl clamav-freshclam.service الآن نقوم بتشغيل برنامج التحديث sudo freshclam وسيقوم بتحديث ملف التعريفات الآن نقوم بتفعيل خدمة التحديث بالامر التالي: sudo systemctl enable clamav-freshclam.service sudo systemctl start clamav-freshclam.service الآن لفحص النظام بالكامل نستخدم الامر: sudo calmscan -i -v -r --remove / تثبيت Rootkit Hunter هذا البرنامج له مهام متعددة اهمها اصطياد الملفات التنفيذية المشبوهة لتثبيته نستخدم الامر التالي: sudo apt install rkhunter نقوم باعدادات الايميل او نكتفي باختيار Local نستطيع القيام بعمل اختبار مبدئي باستخدام الامر sudo rkhunter --check لتشغيل البرنامج بشكل دوري نستطيع عمل ذلك من خلال ملف الاعدادات: sudo nano /etc/default/rkhunter ونقوم بتفعيل التالي: CRON_DAILY_RUN="true" CRON_DB_UPDAT="true" APT_AUTOGEN="true" ثم نقوم بحفظ ا

اهم اختصارات سطر الاوامر لينكس اوبنتو bash terminal  Ctrl + A العودة الى بداية سطر الاوامر Ctrl + E الذهاب لنهاية سطر الاوامر Ctrl + XX للتنقل بين بداية سطر الاوامر ونهايته Ctrl + L تنظيف سطر الاوامر مثل الامر clear Ctrl + S ايقاف عرض مخرجات الامر على الشاشة Ctrl + Z تعطيل عمل الامر الحالي وارساله الى الخلفية Ctrl + Q  اعادة الامر المتوقف في الخلفية الى العمل في الواجهة Ctrl + D اغلاق الجلسة الحالية لسطر الاوامر Ctrl + R البحث عن الاوامر المستخدمة سابقاً !!  تنفيذ آخر امر مرة اخرى Ctrl + U محو سطر الاوامر من النقطة الحالية إلى البداية Ctrl + K محو سطر الاوامر من النقطة الحالية إلى نهاية السطر Alt + T تبديل الكلمة الحالية مع الكلمة التي تسبقها ~ Tab Tab عرض جميع المستخدمين في النظام

التأكد من تحديث اباتشي sudo apt install apache2 التأكد ان اباتشي يعمل بيوزر بصلاحيات محدودة مثلا حتى لا يتمكن المهاجم من الوصول لصلاحيات اعلى في حالة اختراق اليوزر منع اباتشي من نشر معلومات عن السيرفر والنظام: ندخل لملف اعدادات اباتشي ونعدله باستخدام التالي sudo nano /etc/apache2/apache2.conf نضع المجلد الذي نرغب بحمايته لو كان ووردبريس نضع التالي: <Directory /var/www/wordpress>       AllowOverride All       Options -Indexes       ServerSignature off </Directory> الاوامر الثلاثة السابقة ، الاول يسمح بتعديل قواعد الامان في كل مجلد على حده ، والثاني يمنع عرض الملفات والمجلدات ، والثالث يمنع السيرفر من ارسال بيانات اصدار السيرفر ونظام التشغيل وغيرها وكذلك نقوم بتفعيل الخيار التالي كذلك من نفس الملف حتى نتمكن من استخدامها داخل المجلدات AccessFileName .htaccess الآن نقوم باعادة تشغيل اباتشي sudo systemctl restart apache2 السماح باستعراض الملفات او تعطيل ذلك داخل اي مجلد directory listing نقوم بعمل هذا باستخدام .htaccess  نقوم بانشاء ملف .htaccess داخل المجلد المطلوب حمايته كا