امنیت سرور (بخش اول)

عوامل مخرب، همیشه منجر به آسیب‌پذیری سرور خواهند شد.

مدیران سیستم و کارشناسان امنیت شبکه، مسئول اطمینان از ایمن بودن داده‌های روی سرور هستند.

با اجرای نکات امنیتی سرور، که در ادامه به آن‌ها اشاره می‌شود، خطرات را به حداقل برسانید و امنیت سیستمی را که از آن نگهداری می‌کنید، افزایش دهید.

امنیت سرور چیست؟

امنیت سرور، مجموعه‌ای از اقداماتی است که از سرور در برابر انواع تهدیدها مانند حملات DDoS، حملات brute force و کاربران بی‌دقت یا مخرب محافظت می‌کند.

این اقدامات می‌تواند شامل نصب و نگهداری فایروال‌ها، اجرای رمزهای عبور قوی و پروتکل‌های احراز هویت کاربر، نصب نرم‌افزار آنتی ویروس و تهیه نسخه پشتیبان به طور منظم برای جلوگیری از از دست رفتن داده‌ها باشد.

چرا امنیت سرور مهم است؟

سرورها، نقش کلیدی در پردازش و ذخیره‌سازی داده‌های حساس در کسب و کار دارند.

محافظت از سرورها، در برابر تهدیدات خارجی با اقدامات امنیتی سرور برای حفظ موارد زیر ضروری است:

• یکپارچگی: امنیت سرور، صحت و کامل بودن داده‌های ذخیره‌شده در سرور را با جلوگیری از تعدیل و تغییر تصادفی تضمین می‌کند.
• در دسترس بودن: اقدامات امنیتی، به مدیران سیستم کمک می‌کند سرور و خدمات آن را همیشه در دسترس کاربران مجاز نگه دارند.
• محرمانه بودن: حفاظت از داده‌های حساس ذخیره‌شده در سرور، از استفاده کاربران غیرمجاز از داده‌ها برای اهداف مخرب جلوگیری می‌کند.
• شهرت: یک نقض امنیتی می‌تواند منجر به از دست‌دادن داده‌ها یا اختلال در خدمات شود. این حوادث می‌تواند به اعتبار یک شرکت لطمه وارد کند و خسارات مالی به همراه داشته باشد.
• انطباق: شرکت‌های بزرگ، تابع مقررات خاص صنعت هستند که سرورهایشان را ملزم می‌کنند با استانداردهای امنیتی خاصی مطابقت داشته باشند. عدم رعایت این استانداردها اغلب منجر به جریمه‌های نظارتی می‌شود.

21 نکته برای ایمن‌سازی سرور

در لیست زیر 21 نکته برای بهبود امنیت سرور خدمت شما معرفی گردیده است.

این بخش دارای مواردی است که به اتصال به اینترنت و مدیریت کاربر اختصاص داده شده است، حوزه‌هایی که می‌توانید در آن‌ها بیشترین تلاش را برای بهبود قدرت کلی یک سیستم انجام دهید.

اتصال امن به سرور

1. ایجاد و استفاده از یک اتصال امن

هنگام اتصال به یک سرور راه دور، ایجاد یک کانال امن برای ارتباط ضروری است.

پروتکل SSH (Secure Shell) بهترین راه برای ایجاد یک اتصال محافظت شده است. برخلاف Telnet که قبلا استفاده می‌شد، دسترسی SSH تمام داده‌های ارسال‌شده در تبادل را رمزگذاری می‌کند.

برای دسترسی از راه دور با استفاده از پروتکل SSH، باید SSH Daemon و SSH Client را برای صدور دستورات و مدیریت سرورها نصب کنید.

به طور پیش‌فرض، SSH از پورت 22 استفاده می‌کند. تغییر شماره پورت پیش‌فرض، راهی آسان برای کاهش احتمال حمله هکرها به سرور شما است. بنابراین بهترین روش برای SSH استفاده از یک عدد پورت تصادفی بین 1024 تا 32767 است.

2. از SSH Keys Authentication استفاده کنید

به جای رمز عبور، می‌توانید یک سرور SSH را با استفاده از یک جفت کلید SSH احراز هویت کنید که جایگزین بهتری برای ورود به سیستم سنتی است.

کلیدها به طور قابل ملاحظه‌ای، بیت‌های بیشتری نسبت به رمز عبور دارند و رایانه‌های فعلی نمی‌توانند به راحتی آن‌ها را شکست دهند.

برای مثال، رمزگذاری محبوب RSA 2048 بیتی معادل یک رمز عبور 617 رقمی است.

جفت کلید SSH شامل یک کلید عمومی و یک کلید خصوصی است. کلید عمومی شامل چندین نسخه است که یکی از آن‌ها روی سرور باقی مانده و مابقی بین کاربران مشترک است.

هر کسی که کلید عمومی را داشته باشد، می‌تواند داده‌ها را رمزگذاری کند. در حالی که فقط کاربر با کلید خصوصی مربوطه، می‌تواند این داده‌ها را بخواند.

کلید خصوصی نباید با کسی به اشتراک گذاشته شود و باید ایمن نگه داشته شود. هنگام برقراری یک اتصال، سرور قبل از اجازه دسترسی ممتاز، شواهدی را درخواست می‌کند که کاربر کلید خصوصی را در اختیار دارد.

3. پروتکل انتقال امن فایل

استفاده از پروتکل امن انتقال فایل (FTPS) به انتقال فایل‌ها به سرور و از آن، بدون خطر عوامل مخرب به خطر انداختن یا سرقت داده‌ها کمک می‌کند.

FTPS با استفاده از کانال‌های فرمان و داده، فایل‌های داده و اطلاعات احراز هویت را رمزگذاری می‌کند.

با این حال، مهم است که در نظر داشته باشیدFTPS  فقط از فایل‌ها در هنگام انتقال محافظت می‌کند. به محض رسیدن به سرور، داده‌ها دیگر رمزگذاری نمی‌شوند. به همین دلیل، رمزگذاری فایل‌ها قبل از ارسال، لایه دیگری از امنیت را اضافه می‌کند

4. گواهینامه های لایه سوکت ایمن

مناطق و فرم‌های مدیریت وب خود را با لایه سوکت ایمن (SSL) ایمن کنید که از اطلاعات ارسالی بین دو سیستم از طریق اینترنت محافظت ‌کند.

SSL را می‌توان هم در ارتباط سرور-کلینت و هم در ارتباط سرور-سرور استفاده کرد.

این برنامه، داده‌ها را درهم می‌کند تا اطلاعات حساس (مانند نام، شناسه، شماره کارت اعتباری و سایر اطلاعات شخصی) در حین انتقال به سرقت نرود.

وب‌سایت‌های دارای گواهی SSL دارای HTTPS در URL هستند که نشان‌دهنده ایمن بودن آنهاست.

گواهی نه تنها داده‌ها را رمزگذاری می‌کند، بلکه برای احراز هویت کاربر نیز استفاده می‌شود.

بنابراین، با مدیریت گواهی‌ها برای سرورهای شما SSL به ایجاد اعتبار کاربر کمک می‌کند.

همچنین مدیران می‌توانند سرورها را برای برقراری ارتباط با مرجع متمرکز و هر گواهی دیگری که مرجع امضا می‌کند، پیکربندی کنند.

5. از شبکه های خصوصی و VPN استفاده کنید

راه دیگر برای اطمینان از برقراری ارتباط ایمن، استفاده از شبکه‌های خصوصی و مجازی خصوصی (VPN) و نرم‌افزارهایی مانند OpenVPN است. به راهنمای ما در مورد نصب و پیکربندی OpenVPN در CentOS مراجعه نمایید.

بر خلاف شبکه‌های باز، که برای دنیای خارج قابل دسترسی هستند و بنابراین در معرض حملات کاربران مخرب هستند، شبکه‌های خصوصی و مجازی دسترسی به کاربران منتخب را محدود می‌کنند.

شبکه‌های خصوصی از یک IP خصوصی برای ایجاد کانال‌های ارتباطی جدا شده بین سرورها در محدوده IP یکسان استفاده می‌کنند؛ که موجب تبادل اطلاعات و داده‌ها بدون قرار گرفتن در معرض یک فضای عمومی، در چندین سرور در یک شبکه می‌شود. هنگامی که می‌خواهید به یک سرور راه دور متصل شوید، از VPN استفاده کنید، گویی این کار را به صورت محلی از طریق یک شبکه خصوصی انجام می‌دهید.

VPN استفاده کنید، گویی این کار را به صورت محلی از طریق یک شبکه خصوصی انجام می‌دهید.

VPNها یک اتصال کاملا امن و خصوصی را فعال می‌کنند و می‌توانند چندین سرور راه دور را در برگیرند. برای اینکه سرورها تحت یکVPN  با هم ارتباط برقرار کنند، باید داده‌های امنیتی و پیکربندی را به اشتراک بگذارند.

ضمن تشکر از همراهی شما، در مقالات بعدی با ادامه موارد کاربردی به منظور افزایش امنیت سرور با شما همراه خواهیم بود.