خيمة لينكس Linux Tent

 يمكن اعطاء مستخدم صلاحيات مدير النظام root لكن على بعض الاوامر من خلال تعديل ملف sudo الخاص بالمستخدم. لو كان اسم المستخدم linuxtent ونريد فقط السماح له بإعادة تشغيل سيرفر اباتشي كمستخدم root باستخدام sudo فالخطوات كالتالي: اولا: تشغيل محرر sudo عن طريق الامر التالي: visudo ثم نظيف السطر التالي للملف:  linuxtent ALL=(root) /bin/systemctl restart apache2  ولو أردنا اضافة عدة اوامر مسموح للمستخدم تنفيذها كمدير النظام نستطيع اضافتها كالتالي: linuxtent ALL=(ALL) /path/to/command1, /path/to/command2, /path/to/command3  وبهذا لن يتمكن المستخدم من تشغيل أي امر آخر كمدير النظام وهذا يعطي حماية أفضل للنظام.

  احد طرق مراقبة النظام هي مراقبة التغيير الذي يحصل على ملفات النظام سواءً انشاء او حذف ملفات، تغيير صلاحياتها، .. الخ يقوم برنامج AIDE وهو اختصار Advanced Intrusion Detection Environment بمراقبة ما ترغب بمراقبته من ملفات وصلاحيات. لتثبيت برنامج AIDE نستخدم الامر التالي: sudo apt update sudo apt install aide بعد ذلك نقوم بعمل الاعدادات المبدئية من خلال الملف aide.conf: sudo nano /etc/aide/aide.conf نقوم باضافة تعريف المتغيرات في نهاية الملف: تعريف مراقبة الصلاحيات فقط: PERMS = p+u+g+acl+selinux+xattrs تعريف مراقبة محتوى الملف فقط: CONTENT = sha256+ftype تعريف مراقبة الصلاحيات والمحتوى ونوعية الملف: CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs تعريف مراقبة الصلاحيات والمحتوى: DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256 في نهاية الموضوع سأضع جميع الحروف التي يمكن استخدامها داخل كل متغير مع تعريف معناها. ثم نقوم باضافة المجلدات التي نرغب بمراقبتها بعد ذلك عن طريق كتابة المسار المطلوب مراقبته ثم مسافة ثم اسم المتغير الذي عرفناه مسبقا كالتالي: /path/to/directory\..*  ...

من ضمن اعدادات الأمان الموصى بها هو عدم السماح للمستخدم بالدخول للسيرفر عن طريق كلمة المرور واجباره على استخدام مفاتيح ، لكن قد ترغب بالسماح لاحد المستخدمين تحديدا بالدخول باستخدام كلمة مرور ، وهناك طريقة لذلك. قم بفتح ملف sshd_config باستخدام المحرر كالتالي: sudo nano /etc/ssh/sshd_config قم باضافة التالي لنهاية الملف: Match User username PasswordAuthentication yes Match all ثم قم باعادة تشغيل خدمة ssh باستخدام الامر التالي sudo systemctl restart ssh بهذا الشكل سيتم السماح للمستخدم username بالدخول باستخدام كلمة المرور 

الشرح موجه لمن يملك سيرفر خاص او vps لكن غالبية النصائح والخطوات تنطبق حتى على الاستضافات المشتركة   نصائح امنية هامة قبل البداية: - عند تثبيت ووردبريس يجب ان تضع ايميل تستخدمه باستمرار لحساب المدير تصلك التنبيهات عليه بشكل يومي حتى تعرف عن وجود اي اختراق او مشاكل في الوورد بريس، يمكن انشاء ايميل جديد وتحويل الرسائل التي تصلك من الموقع الى ايميلك الرئيسي اذا كنت لا تريد استخدام ايميلك الرئيسي - لا تستخدم يوزر admin بل استخدم اي يوزر آخر عند التثبيت - قم بانشاء كلمة مرور معقدة وصعبة باستخدام مولد كلمات المرور في اي مدير كلمات مرور واحفظها بمكان آمن ، انصح باستخدام BitWarden او KeePassXC فهي مجانية ومفتوحة المصدر - لا تستخدم اي كلمة مرور مستخدمة سابقا وافصل بين كلمات المرور للسيرفر وقاعدة البيانات والوردبريس الاضافات الهامة بعد تثبيت الوردبريس: مباشرة بعد تثبيت ووردبريس قم بحذف جميع الاضافات الافتراضية - اضافة Really Simple SSL : تقوم بتفعيل SSL على الووردبريس https://wordpress.org/plugins/really-simple-ssl/ - اضافة لتفعيل التحقق بخطوتين : قم بالبحث عن اضافة مناسبة باستخدام 2FA وهناك...

نقوم بتحديث مكتبات النظام sudo apt update ثم نقوم بتثبيت البرنامج التالي sudo apt install unattended-upgrades نقوم بتفعيل البرنامج خلال بداية التشغيل بالامر التالي sudo systemctl enable unattended-upgrades الآن نعدل ملف اعدادات البرنامج من المسار التالي nano /etc/apt/apt.conf.d/50unattended-upgrades نفعل الخيارات التالية Unattended-Upgrade::Mail "youremail@sample.com"; Unattended-Upgrade::MailReport "only-on-error"; Unattended-Upgrade::Remove-Unused-Kernel-Packages "true"; Unattended-Upgrade::Remove-New-Unused-Dependencies "true"; Unattended-Upgrade::Remove-Unused-Dependencies "true";   Unattended-Upgrade::Verbose "true"; نقوم بحفظ الملف ننشيء ملف جديد بالمسار التالي sudo nano /etc/apt/apt.conf.d/20auto-upgrades بداخل الملف نكتب الاسطر التالية APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Unattended-Upgrade "1"; APT::Periodic::AutoCleanInterval "7"; نحفظ الملف ونعيد تشغيل البرنامج sudo s...

 لحماية السيرفر من محاولات تخمين كلمات المرور للمستخدمين سنقوم بتثبيت واعداد برنامج Fail2ban للتثبيت نستخدم الامر التالي sudo apt install fail2ban -y سنقوم باضافة البرنامج للتشغيل التلقائي sudo systemctl enable fail2ban.service نقوم الآن بعمل الاعدادات من خلال عمل سجن للمتطفلين من خلال انشاء الملف التالي sudo cd /etc/fail2ban sudo nano jail.local وبداخل الملف نكتب التالي [sshd] enable = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 5 findtime = 300 bandtime = 3600 نقوم بحفظ الملف ctrl + x y enter الآن نقوم بتشغيل البرنامج sudo systemctl start fail2ban.service لتجربة عمل البرنامج نقوم بتسجيل الخروج باستخدام الامر logout ثم محاولة الدخول بكلمة مرور خاطئة لمدة 5 مرات وفي المرة السادسة سيقوم بحضر الاي بي الخاص بك للمدة المحددة بالثواني في bandtime  في الاعدادات وستظهر لك الرسالة التالية عند محاولة الدخول connection refused يمكن الاطلاع على ملخص المحاولات والاي بي الذي قام بها من خلال الامر التالي sudo fail2ban-client status sshd  لالغاء الحظر عن الاي بي...

 اذا كان لديك عدة مستخدمين على السيرفر يمكن انشاء عدد من الملفات خاصة بكل مستخدم ونقلها للسيرفر لو قلنا ان لديك مستخدم اسمه tenty نذهب للمسار cd ~/.ssh ثم ندخل الامر التالي sudo ssh-keygen -f tenty -t rsa هذا الامر سينتج ملفين هما tenty tenty.pub الملف الاخير هو ما سنرسله للسيرفر باستخدام الامر التالي sudo ssh-copy-id -i ~/.ssh/tenty.pub tenty@serverip بعدها تقوم بادخال كلمة المرور لهذا المستخدم على السيرفر ويتم نقله واعتماد لاحقا اذا اردت الدخول للسيرفر لهذا اليوزر نستخدم الامر التالي sudo ssh -i ~/.ssh/tenty tenty@serverip لاحظ اننا نستخدم هنا ملف التشفير الخاص بنا tenty وليس ملف التشفير العام وهو tenty.pub يمكن انشاء اختصار للامر السابق بحيث يكون الدخول اسرع لانشاء اختصار مثلا نسمي الاختصار tentylogin من سطر الاوامر نكتب التالي nano ~/.bashrc ونكتب الامر المطلوب التالي في نهاية الملف sudo alias tentylogin="sudo ssh -i ~/.ssh/tenty tenty@serverip" ونقوم بحفظ الملف ctrl+x y enter ثم نكتب الامر التالي source ~/.bashrc لتحديث سطر الاوامر  والآن في كل مرة تريد الدخول للسيرفر تس...

 الدخول الى السيرفر باستخدام حساب الروت ssh root@ip ادخال كلمة مرور حساب الروت اضافة حساب يوزر غير الروت useradd -m -s /bin/bash theNewUser اعطاء باسوورد لليوزر passwd theNewUser كتابة كلمة المرور المطلوبة تعطيل امكانية الدخول للروت من بعيد عن طريق الشيل ssh نعدل ملف sshd_config nano /etc/ssh/sshd_config نعدل السطر التالي PermitRootLogin yes نجعلها no PermitRootLogin no ملاحظة هامة: يجب عدم تعطيل الدخول للروت من بعيد الا بعد اضافة يوزر أخر يمكن استخدامه للدخول للسيرفر اعادة تشغيل الشل بالامر التالي systemctl restart ssh للدخول على حساب الروت بعد الدخول من حساب اليوزر الجديد يستخدم الامر التالي su root وادخال الباسورد وبهذا يمكن استخدام حساب الروت تعطيل الدخول باستخدام الباسورد للحساب الجديد نحتاج الى انشاء ملفات تشفير خاص بنا على الجهاز المحلي وهذا يتم عن طريق سطر الاوامر بالجهاز المحلي باستخدام امر ssh-keygen -t rsa اضغط y يمكنك وضع كلمة مرور اضافية لحماية الملف فيما لو وصل لأحد آخر يمكن ادخال كلمة المرور الجديدة عند طلبها  passphrase ستكون الملفات موجودة على المسار التالي دا...