بیست نکته امنیتی برای مقاوم‌سازی سرورهای لینوکسی

امن‌سازی سرورهای لینوکس برای محافظت از داده‌های کاربران و مشتریان امری حیاتی و عقلانی است و تأمین امنیت سرورهای لینوکسی یکی از وظایف مدیران سیستم است. در این نوشتار ۲۰ راهکار برای افزایش امنیت یک سیستم سرور لینوکسی تازه نصب شده را عنوان می‌کنیم. ما این کار را با یک سرور مبتنی بر ردهت انجام می‌دهیم. اما برای نصب یا حذف بسته‌ها می‌توانید از ابزار مدیریت بسته توزیع خود استفاده کنید.

 
1-رمزگذاری ارتباطات داده

تمام داده‌های ارسال شده از طریق شبکه قابل شنود است. برای جلوگیری از شنود داده‌ها، داده‌های ارسال شده را تا حد ممکن با رمز عبور یا استفاده از کلید‌ها و گواهی‌نامه‌های امنیتی رمزگذاری کنید.
الف- از scp،ssh،rsync یا sftp برای ارسال داده‌ها استفاده کنید. همچنین می‌توانید فایل سیستم سرور راه دور یا پوشه‌خانگی کامپیوتر سرور را با استفاده از ابزار مخصوص sshfs یا ابزار fuse مانت کرده و سپس به انتقال داده‌ بپردازید.
ب-GnuPG برای شما امکان رمزگذاری و امضا کردن داده‌ها و ارتباطات را فراهم می‌کند. همچنین یک سیستم مدیریت کلید همه‌کاره و ماجول‌های دسترسی به انواع کلید عمومی را به همراه دارد.
ج-Fugu یک رابط‌گرافیکی برای برنامه انتقال امن فایل Sftp است. SFTP مشابه ftp است اما بر‌خلاف آن، کل نشست را رمزگذاری می‌کند و این به آن معنا است که هیچ رمز عبوری به شکل متنی ارسال نخواهد شد. گزینه دیگر FileZilla است که یک کلاینت مستقل از سکو است و از FTP، FTP از طریق SSL/TLS یا FTPS و پروتکل انتقال فایل ssh یا همان Sftp، پشتیبانی می‌کند.
د-OpenVPN یک VPN سبک و کم هزینه با پشتیبانی SSL است.
ه- پیکربندی  و نصب Lighthttpd SSL یا همان https را در نظر داشته باشید.
و-پیکربندی  و نصب Apache SSL یا https از طریق ماجول mod_ssl آپاچی را هم فراموش نکنید.

1-1 پرهیز از به کار بردن FTP،Telnet و Rlogin/Rsh

در بیشتر پیکربندی‌های پیش‌فرض شبکه‌ها، نام‌های کاربری، رمزهای عبور، دستورات FTP/Telnet/Rsh و فایل‌های انتقال یافته به‌راحتی ممکن است توسط کاربری در همان شبکه به کمک برنامه‌های بو کشیدن بسته (packet sniffer) دریافت شوند. راه حل عمومی استفاده از OpenSSH، SFTP و FTPS است. دستور زیر را اجرا کنید تا NIS،Rsh و سایر سرویس‌های منسوخ را پاک کنید:

yum erase inetd xinetd ypserv tftp-server telnet-server rsh-serve

 

2-حداقل‌کردن برنامه‌‌‌هابرای به حداقل رساندن نفوذ‌پذیری

آیا واقعاً به همه سرویس‌های وبی که روی سیستم نصب شده است، احتیاج دارید؟ برای کاهش نفوذ‌پذیری سیستم، از نصب نرم‌افزارهای اضافی خودداری کنید. از ابزار مدیریت بسته مانند yum، apt-get یا dpkg برای بررسی بسته‌های نصب شده روی سیستم استفاده کنید:

yum list installed
yum list packageName
yum remove packageName

یا درنمونه‌های دبیانی:

dpkg –list
dpkg --info packageName
apt-get remove packageName

 

3- یک سرویس  شبکه ای روی هر سیستم یا هر ماشین مجازی

سرویس‌های شبکه‌ای مختلف را روی سرویس‌دهنده‌های مختلف یا ماشین‌های مجازی مختلف اجرا کنید. این کار تعداد سرویس‌هایی را که ممکن است آسیب ببینند، محدود می‌کند. در این حالت به عنوان مثال اگر یک خرابکار وارد شبکه شود و بتواند در سرویس‌دهنده وب آپاچی نفوذ کند، قادر نخواهد بود تا در دیگر سرویس‌های شبکه مانند Mysql یا سرویس‌دهنده ایمیل نفوذ کند.

 

4-هسته و برنامه‌های سیستم را به‌روز نگه‌دارید

اعمال وصله‌های امنیتی، مهم‌ترین بخش نگه‌داری یک سیستم لینوکسی است. لینوکس تمامی ابزارهای لازم برای به‌روزنگه‌داشتن سیستم را فراهم کرده و اجازه ارتقای آسان بین نسخه‌های مختلف را می‌دهد. تمامی به‌روزرسانی‌های امنیتی باید بررسی و در اسرع وقت اعمال شوند. دوباره از ابزار مدیریت بسته مانند yum یا apt برای به‌روز نگه داشتن سیستم استفاده کنید:

yum update

یا

apt-get update && apt-get upgrade

می‌توانید ردهت، سنت او اس یا فدورای خود را طوری تنظیم کنید تا خبر انتشار یک به‌روزرسانی برای هر یک از بسته‌های yum را از طریق ایمیل به شما اطلاع دهد. گزینه دیگر، اعمال تمامی به‌روزرسانی‌ها از طریق وظایف cron است. برای سیستم‌های دبیان واوبونتو ازapticron برای آگاه شدن از وجود به‌روزرسانی‌ها استفاده کنید.

 

5-از افزونه‌های امنیتی لینوکس استفاده کنید

لینوکس از وصله‌های امنیتی مختلفی برای محافظت در قبال تنظیم‌های نادرست یا برنامه‌های مشکل‌ساز استفاده می‌کند. اگر ممکن است از SELinux یا دیگر ابزارهای امنیتی اضافی لینوکس برای تشدید محدودیت‌های برنامه‌های شبکه و سایر برنامه‌ها استفاده کنید. به عنوان مثال SELinux از سیاست‌های امنیتی گوناگونی برای هسته لینوکس استفاده می‌کند.

- SELinux
ما استفاده از SELinux که یک کنترل دسترسی الزام‌آور MAC (سرنام Mandatory Access Control) انعطاف‌پذیر را فراهم می‌کند، توصیه می‌کنیم. در حالت استاندارد کنترل دسترسی احتیاطی DAC (سرنام Discretionary Accesc Control)، برنامه یا پردازه‌ای که به عنوان یک کاربر (UID یا SUID) اجرا می‌شود،‌تمام مجوزهای کاربر را برای دسترسی به اشیایی مانند فایل‌ها، سوکت‌ها و سایر پردازه‌ها دارد. اجرای کنترل دسترسی الزام‌آور، سیستم را از بدافزارهایی که ممکن است آن را خراب یا نابود کنند، محافظت می‌کند. برای اطلاعات بیشتر می‌توانید به مستندات رسمی ردهت که پیکربندی  SELinux را توضیح می‌دهد، مراجعه کنید.


6-سیاست حساب‌های کاربری و رمزهای عبور قوی

از دستور useradd و usermod برای افزودن یک کاربر یا نگه‌داری یک حساب‌کاربری استفاده کنید. مطمئن شوید که از یک سیاست رمز عبور خوب و قوی استفاده می‌کنید. به عنوان مثال یک رمز عبور خوب حداقل شامل ۸ حرف و ترکیبی از حروف الفبای کوچک و بزرگ، اعداد و کاراکترهای خاص است. از همه مهم‌تر رمز عبوری انتخاب کنید که بتوانید آن را به خاطر بسپارید. از ابزارهایی نظیر John the ripper برای پی‌بردن به رمز‌های عبور ضعیف کاربران روی سرور استفاده کنید. pam_cracklib.so را برای اجباری کردن یک سیاست رمز عبور قوی، پیکربندی  کنید.

6-1-طول عمر رمزهای عبور
دستور chage تعداد روزهای بین تغییرات رمز عبور و تاریخی که آخرین‌بار رمز عبور تغییر کرده است را تغییر می‌دهد. این اطلاعات به‌وسیله سیستم استفاده می‌شود تا مشخص کند یک کاربر چه زمانی باید رمزعبورش را عوض کند. فایل etc/login.defs پیکربندی  رمزهای عبور مربوط به سایت، نظیر طول عمر آن‌ها، را بر عهده دارد. برای غیر فعال‌کردن تعیین طول عمر رمز عبور، دستور زیر را وارد کنید:

chage -M 99999 userName

در نهایت می‌توانید فایل etc/shadow/ را طبق الگوی زیر ویرایش کنید:

:{password}:{lastpasswdchanged}:{Minimum_days}:{Maximum_days}:{Warn}:{Inactive}:{expire}

گزینه‌های فوق به‌احتمال، نیازی به توضیح ندارند اما توصیه می‌شود به جای ویرایش فایل etc/shadow/ از دستور chage طبق الگوی زیر استفاده کنید:

chage -M 60 -m 7 -W 7 userName

 

6-2-محدود‌کردن استفاده از رمزهای قبلی
شما می‌توانید کاربران را از استفاده دوباره از رمز ‌عبور قبلی منع کنید. پارامتر remember در ماجول pam_unix می‌تواند برای پیکربندی  تعداد رمزهای عبور قبلی که نمی‌توانند دوباره استفاده شوند، مورد استفاده قرار بگیرد.

 

6-3-قفل‌کردن یک کاربر پس از ورود نا‌موفق
در لینوکس می‌توانید از دستور faillog برای مشاهده لاگ‌های ورود ناموفق یا اعمال محدودیت‌های ورود ناموفق استفاده کنید. Faillog محتویات فایل log را از گزارش‌های خطای ورود بانک اطلاعات var/log/faillog/ به‌روز می‌کند. همچنین faillog برای نگه‌داری تعداد خطاهای ورود و اعمال محدودیت استفاده می‌شود. برای دیدن تلاش‌های ناموفق در ورود به سیستم، دستور زیر را اجرا کنید:

faillog

برای بازکردن یک حساب کاربری قفل شده پس از تلاش در ورود ناموفقش، دستور زیر را اجرا کنید:

faillog -r -u userName

توجه داشته باشید که می‌توان از دستور passwd برای قفل کردن و باز کردن یک حساب کاربری استفاده کرد.
برای قفل‌کردن یک حساب کاربری:

passwd -l UserName

برای بازکردن یک حساب‌‌کاربری:

passwd -u UserName

6-4-چگونه حساب‌های‌کاربری بدون رمز را پیدا کنیم؟
دستور زیر را اجرا کنید:

awk -F: ‘($2 == “”) {print}’ /etc/shadow

و سپس با استفاده از دستور Passwd که قبلاً شرح داده شد، حساب های بدون رمزعبور را قفل کنید.

 

6-5-مطمئن شوید شناسه هیچ کاربری به جز کاربر ریشه، عدد صفر نباشد
فقط کاربر ریشه با شناسه کاربری صفر امکان دسترسی کامل به سیستم را دارد. برای پیدا کردن تمام حساب‌های کاربری با شناسه صفر دستور زیر را وارد کنید:

awk -F: ‘($3 == “0”) {print}’ /etc/passwd

پس از اجرا باید تنها یک خط مانند زیر ببینید:

root:x:0:0:root:/root:/bin/bash

اگر حساب‌های دیگری از شناسه کاربری صفر استفاده می‌کنند، آن‌ها را حذف کنید یا مطمئن شوید که آن‌ها را می‌شناسید.


7-ورود کاربرریشه را غیر فعال کنید

هیچ وقت با کاربر ریشه وارد سیستم نشوید. شما باید از sudo برای اجرای دستورات در سطح کاربر ریشه استفاده کنید. دستورsudo به‌شدت امنیت سیستم را بالا می‌برد به دلیل این‌که دیگر لازم نیست رمز ‌کاربر ریشه را در اختیار سایر مدیران سیستم قرار دهید. علاوه بر این sudo قابلیت پیگیری دستورات استفاده شده را دارد.
 

8-امنیت فیزیک سرور

شما باید سرور را از نظر دسترسی فیزیکی به کنسول محافظت کنید. بایوس را برای غیر فعال‌کردن امکان بوت سیستم از طریق دی‌وی‌دی، سی‌دی یا حافظه‌های USB تنظیم کنید. همچنین روی بایوس و گراب، رمز عبور بگذارید. تمام رک‌ها باید توسط دیتا‌سنتر قفل شوند و هویت تمام اشخاص پیش از دسترسی به آن‌ها به نوعی بررسی شود.
 

9-سرویس‌هایی را که نیاز ندارید، غیر فعال کنید

سرویس‌ها و دایمون‌هایی (سرویس‌هایی که در پس زمینه اجرا می‌شوند) را که نیاز ندارید، غیر‌فعال کنید. همچنین باید تمامی این سرویس‌های ناخواسته را از استارت‌آپ سیستم بردارید. دستور زیر را برای فهمیدن این‌که چه دستوراتی در سطح۳ (#3 run Level) اجرا خواهند شد، اجرا کنید:

chkconfig --list | grep ‘3:on

برای غیر فعال‌کردن این سرویس‌ها می‌توان از دستورات زیر استفاده کرد

service serviceName stop
chkconfig serviceName off

9-1-پورت‌هایی را که به شبکه گوش می‌دهند، بیابید
از دستور زیر برای پیدا‌کردن پورت‌های باز شبکه و برنامه‌های مربوط به آن استفاده کنید:

netstat -tulpn

 یا

nmap -sT -O localhost

nmap -sT -O server.example.com

از iptables برای بستن پورت‌های باز یا از دستورهای service و chkconfig برای توقف سرویس‌هایی که به این پورت‌ها گوش می‌کنند، استفاده کنید.

 

10-محیط Xراپاک کنید

به‌طور معمول در سرورها به محیط X  نیازی نیست. دلیلی برای استفاده از محیط X در سرور اختصاصی mail یا وب‌سرور آپاچی وجود ندارد. شما می‌توانید محیط X را غیر‌فعال یا حذف کنید تا امنیت و بازدهی سرور بالا رود. فایل etc/inittab/ را ویرایش کنید و سطح پیش‌فرض را به ۳ تغییر دهید. سرانجام محیط X را با دستور زیر حذف کنید:

yum groupremove “X Window System

11-پیکر‌بندیiptables وTCPWrappers

Iptables برنامه‌ای است که در فضای کاربر (User Spare) اجرا می‌شود و به ما اجازه پیکربندی  فایروال تعبیه شده در هسته لینوکس (Netfilter) را می‌دهد. از فایروال برای پالایش کردن ترافیک و صدور مجوز فقط برای ترافیک لازم، استفاده کنید. از TCPWrappers برای فیلتر‌کردن دسترسی شبکه به اینترنت استفاده کنید. شما می‌توانید از بسیاری از حملات DoS به کمک برنامه iptables جلوگیری کنید.

 

12-مقاوم‌سازیetc/sysctl.conf/
فایل etc/sysctl.conf/ برای پیکربندی  هسته لینوکس در زمان اجرا استفاده می‌شود. هسته تنظیمات صورت گرفته در فایل فوق را در هنگام بوت می‌خواند و اعمال می‌کند. یک فایل نمونه به صورت زیر است:

Turn on execshield#
kernel.exec-shield=1
kernel.randomize_va_space=1
Enable IP spoofing protection#
net.ipv4.conf.all.rp_filter=1
Disable IP source routing#
net.ipv4.conf.all.accept_source_route=0
Ignoring broadcasts request#
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.icmp_ignore_bogus_error_messages=1
Make sure spoofed packets get logged#
net.ipv4.conf.all.log_martians = 1

 

13-پارتیشن‌های جداگانه

جدا کردن سیستم‌های‌فایلی سیستم‌عامل از فایل‌های کاربران می‌تواند سیستم بهتر و امن‌تری را برای کاربر به ارمغان بیاورد. مطمئن شوید که سیستم‌های‌فایلی /usr ، /home ، /var و /tmp  در پارتیشن‌های جداگانه‌ای مانت شده‌اند.
پارتیشن‌های جداگانه‌ برای مسیر ریشه آپاچی و سرویس‌دهنده FTP بسازید. etc/fstab/ را ویرایش کنید و مطمئن شوید که گزینه‌های پیکربندی  زیر را در آن فایل اعمال کرده‌اید:
الف- noexec: اجازه ندادن به اجرای فایل‌های باینری در این پارتیشن برای جلوگیری از اجرا شدن فایل‌های موجود در آن پارتیشن به جز فایل‌های اسکریپت.
ب-nodev: اجازه‌ندادن به کاراکتر یا دستگاه‌های مخصوص در این پارتیشن برای پیشگیری از استفاده از فایل دستگاه‌هایی نظیر zero و sda و...
ج- nosuid: اجازه ندادن به دسترسی به SUID وSGID در این پارتیشن به منظور جلوگیری از فعال‌شدن بیت setuid.
یک مثال از etc/fstab/ برای محدود‌کردن دسترسی ‌‌کاربری به پارتیشن dev/sda5/ که پارتیشن ریشه سرویس‌دهنده ftp است، مانند زیر است:

dev/sda5   /ftpdata         ext3    defaults,nosuid,nodev,noexec 1 2/

 

13-1-سهمیه‌بندی دیسک
مطمئن شوید که سهمیه‌بندی دیسک برای تمام کاربران فعال شده باشد. برای پیاده‌سازی سهمیه‌بندی دیسک مراحل زیر را انجام دهید:
الف- سهمیه‌بندی برای هر فایل سیستم را با تغییر etc/fstab/ اعمال کنید.
ب- فایل سیستم(ها) را دوباره مانت کنید.
ج- پایگاه داده سهیمه‌هارا ایجاد کرده و جدول استفاده از دیسک را بسازید.
د- سیاست‌های سهمیه‌بندی را اعمال کنید.

 

14-IPv6 را  غیر فعال کنید

آی‌پی نسخه ۶، یک لایه اینترنتی جدید از پروتکل TCP/IP است که جایگزین آی پی نسخه ۴ خواهد شد و مزایای زیادی نیز به همراه خواهد داشت. هم‌اکنون ابزارهای خوبی برای بررسی مشکلات امنیتی یک سیستم IPv6 موجود نیست. تعداد زیادی از توزیع‌ها اقدام به فعال‌کردن IPv6 به‌طور پیش‌فرض کرده‌اند. چون بیشتر مدیران سیستم آی‌پی نسخه۶ را نظارت نمی‌کنند، نفوذگرها می‌توانند یک ترافیک بد را از طریق IPv6 وارد شبکه کنند. بنابراین، یا IPv6 را غیرفعال کنید یا فایروال IPv6 لینوکس را پیکربندی  کنید.

15-فایل‌های SUID و SGID ناخواسته را غیرفعال کنید.

تمام فایل‌هایی که بیت SUID/SGID آن‌ها فعال شده، می‌توانند در صورت وجود مشکل امنیتی یا باگ مورد سوء استفاده قرار بگیرند. تمامی کاربران محلی یا راه‌دور می‌توانند از این فایل‌ها استفاده کنند. ایده خوبی است که تمام این فایل‌ها را پیدا کنیم. از دستور find برای این منظور استفاده کنید:
پیدا‌کردن تمام فایل‌هایی که بیت user id آن‌ها فعال شده:

find / -perm +4000

پیدا‌کردن تمام فایل‌هایی که بیت group id آن‌ها فعال شده:

find / -perm +2000

یا برای پیدا‌کردن هر دوی آن‌ها:

find / \( -perm -4000 -o -perm -2000 \) -print
find / -path -prune -o -type f -perm +6000 -ls

شما باید درباره هر فایل گزارش شده، تحقیق کنید. برای اطلاعات بیشتر نیز راهنمای آن فایل‌ها را بخوانید.

15-1-فایل‌های قابل نوشتن عمومی
هر فایل قابل نوشتن عمومی می‌تواند توسط هر کسی مورد استفاده قرار بگیرد و این باعث به وجود آمدن مشکلات امنیتی خواهد شد. توسط دستور زیر فایل‌های قابل نوشتن عمومی و با بیت‌های sticky فعال شده را پیدا کنید:

find /dir -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print

نیاز است که درباره هر فایل گزارش شده تحقیق کنید و سپس بیت SUID و GUID آن‌ها را تنظیم یا پاک کنید.

 

15-2-فایل‌های بدون مالک
فایل‌های بدون مالک می‌توانند مشکل امنیتی به وجود بیاورند. با دستور زیر، این فایل‌ها را که به هیچ کاربر یا گروه معتبری تعلق ندارند، پیدا کنید:


find /dir -xdev \( -nouser -o -nogroup \) -print

پس از آن باید در مورد گزارش‌های خروجی این دستور تحقیق کنید و مالکیت فایل‌ها را به کاربران یا گروه‌های شناخته شده انتقال دهید.



16-از یک سرویس تأیید هویت مرکزی استفاده کنید

بدون یک سیستم هویت‌سنجی متمرکز، داده‌های هویت‌سنجی کاربران، ناپایدار و غیرقابل اعتماد می‌شوند. این امر باعث به وجود آمدن امکان دسترسی برای حساب‌های تاریخ گذشته یا حساب‌های فراموش شده‌ای می‌شود که باید از روی سیستم پاک می‌شدند. یک سرویس تأیید هویت مرکزی به شما اجازه می‌دهد تا امکان کنترل و نگه‌داری حساب‌های Linux/UNIX و داده‌های هویت‌سنجی آن‌ها را به صورت متمرکز در اختیار داشته باشید. همچنین شما می‌توانید داده‌ها را بین سرورهای خود همسان (Sync) کنید. از سرویس NIS برای این سیستم تأیید هویت مرکزی استفاده نکنید و به جای آن OpenLDAP را برای سرورها و کاربران به کار ببرید.

16-1- Kerberos

 Kerberos هویت‌سنجی را به صورت یک سرویس طرف سوم قابل اعتماد و با استفاده از رمز‌گذاری و با این فرض انجام می‌دهد که بسته‌های شبکه در فضایی نا امن منتقل می شوند و ممکن است توسط هر کسی خوانده، ویرایش و دستکاری شوند. Kerberos براساس رمزنگاری با کلید متقارن کار می کند و به یک مرکز توزیع کلید نیاز دارد. به کمک این ابزار شما می‌ توانید از راه دور به سیستم لاگین کرده، فایل‌ها را کپی کنید و کپی فایل درون سیستمی و سایر عملیات با خطر بالا را امن‌تر کنید. به این ترتیب زمانی که کاربرانی با استفاده از Kerberos در یکی از سرویس‌‌های شبکه لاگین می‌کنند، ‌کسانی که سعی می‌کنند با پایش اطلاعات شبکه رمزهای عبور را بدزدند،‌ ناکام خواهند ماند.

 

17-گزارش‌گیری و حسابرسی

باید سیستم گزارش‌گیری و حسابرسی را برای جمع‌آوری اطلاعات تلاش‌های نفوذ تنظیم کنید. به صورت پیش‌فرض گزارش‌های سیستمی در مسیر var/log/ ذخیره می‌شوند. این کار همچنین برای پی‌بردن به پیکربندی  نامناسب نرم‌افزار که سیستم را برای حمله آماده می‌سازد، مفید است. خواندن راهنماهای syslogd و syslog.conf نیز مفید خواهد بود.

17-1-گزارش‌های مشکوک را با logwatch/logcheck بررسی کنید

گزارش‌ها را با logwatch و logcheck بخوانید. این ابزارها خواندن گزارش‌ها را ساده‌تر می‌کنند و درباره موارد نامعمول توضیحات جزئی‌تری فراهم می‌کنند. یک نمونه از خواندن فایل‌های گزارش توسط logwatch در فهرست۱ آورده شده است.

17-2-حسابرسی سیستم با استفاده از auditd


auditd به منظور انجام حسابرسی سیستم ایجاد شده است. auditd مسئول نوشتن گزارش‌های audit روی دیسک است. در حین فرآیند بوت سیستم قواعد موجود در etc/audit.rules/ توسط سرویس پس‌زمینه auditd خوانده می‌شوند.
می‌توان فایل etc/audit.rules/ را باز کرده و تغییرات مورد نظر مانند تنظیم محل فایل گزارش و سایر گزینه‌ها را تنظیم کرد. توسط auditd می‌توانید از موارد زیر اطلاع پیدا کنید:
الف- رخدادهای هنگام استارت‌آپ و خاموش شدن سیستم
ب- تاریخ و زمان یک رخداد
ج- نام کاربری که مسئول یک رخداد است
د- نوع رخداد (ویرایش، دسترسی، پاک کردن، نوشتن و...)
ﻫ- موفقیت یا شکست یک رخداد
و- ثبت رخدادهایی که تاریخ و زمان را تغییر می‌دهند
ز-‍ آگاهی از این که چه کسی تنظیمات شبکه سیستم را تغییر داده است
ح- ثبت رخدادهایی که اطلاعات کاربر/گروه را تغییر می‌دهند
ط- آگاهی از این‌که چه کسی یک فایل را تغییر داده و...

 

18-سرور OpenSSH خود را امن کنید

استفاده از پروتکل SSH برای ورود و انتقال فایل‌ها از راه دور توصیه می‌شود. با توجه به این که SSH در معرض انواع حملات قرار دارد، سعی کنید آن را تا حد امکان امن کنید. جزئیات این کار از حوصله این مقاله خارج است، اما منابع آنلاین فراوانی را می‌‌توانید برای این کار بیابید.

 

19-سیستم‌های تشخیص نفوذ را نصب کرده و به کار ببرید

سیستم تشخیص نفوذ شبکه NIDS (سرنامNetwork Intrusion Detection System) سیستمی برای کشف فعالیت‌های مخرب؛ نظیر حملات Dos‌، اسکن‌کردن پورت‌ها و هر تلاشی برای شکستن سیستم، از طریق مانیتور‌کردن ترافیک شبکه است.
بهتر است تمام نرم‌افزارهای کنترل سلامت و یکپارچگی سیستم را قبل از فعال شدن سیستم در محیط کاری نصب و آزمایش کنید. حتی پیشنهاد می‌کنیم نرم‌افزار AIDE را قبل از اتصال سرور به هر شبکه‌ای نصب کنید. AIDE یک سیستم تشخیص نفوذ مبتنی بر host است. این برنامه می‌تواند سازوکار درونی سیستم را
پایش کند.
Snort هم نرم‌افزاری است که می‌تواند تحلیل بی‌درنگ بسته‌ها در شبکه IP رابرای کشف نفوذ،‌ به انجام برساند.

 

20-محافظت از پوشه‌ها، فایل‌ها و ایمیل‌ها

لینوکس محافظت‌های عالی در برابر دستیابی به اطلاعات برای افراد احراز هویت نشده دارد و سطوح دسترسی فایل‌ها و MAC جلوی دستیابی افراد ناشناس به فایل‌ها را می‌گیرند؛ هر چند مجوزهای لینوکس، در صورتی که حمله کننده به سیستم دسترسی فیزیکی داشته باشد و بتواند هارددیسک آن را به کامپیوتر دیگری منتقل کند، ‌هیچ سودی نخواهد داشت. اما به وسیله ابزارهای دیگری می‌توان ضریب امنیت را بالا برد:
الف- استفاده از gpg برای رمز‌نگاری و رمزگشایی فایل‌ها به‌وسیله رمز عبور
ب- رمزهای عبور لینوکسی و یونیکسی از فایل‌ها در هنگام استفاده از Open SSL یا سایر ابزارهای مشابه محافظت می‌کند.
ج- encryptfs می‌تواند برای رمزنگاری پوشه‌ها استفاده شود
د- True Crypt یک برنامه رمزنگاری دیسک متن باز برای سیستم‌های لینوکسی، ویندوزی و مک است.