Top 10 Linux Server Hardening ▪️أفضل 10 ممارسات لحماية وتأمين خوادم لينكس (شرح موسّع)

 

 

 

Top 10 Linux Server Hardening

أفضل 10 ممارسات لحماية وتأمين خوادم لينكس (شرح موسّع)

زتأمين سيرفرات لينكس مش رفاهية… ده جزء أساسي لو بتدير مواقع، تطبيقات، شبكات أو أي خدمة Online.

في البوست ده هنعرف أهم 10 خطوات أساسية لازم تعملها على أي Linux Server علشان تقلل احتمالية الاختراق وتحافظ على استقرار النظام

التحديث المستمر للنظام (Regular Updates)

أغلب الاختراقات بتحصل بسبب ثغرات تم إصلاحها فعلًا في تحديثات النظام، لكن السيرفر مش متحدّث.

علشان كده أول خطوة هي تحديث الـ Kernel والباكدجات بشكل مستمر.

أوامر مهمة:

sudo apt update && sudo apt upgrade -y

sudo yum update -y

نصيحة: استخدم Automatic Updates لو السيرفر مش Production حساس.

منع تسجيل الدخول كمستخدم Root (Disable Root Login)

حساب Root هدف سهل للهجمات لأنه معروف على كل الأجهزة.

الأفضل تنشئ مستخدم عادي وتديله صلاحيات sudo، وتوقف الدخول المباشر للـ Root من SSH.

الخطوات:

افتح ملف إعدادات SSH:

sudo nano /etc/ssh/sshd_config

اضف/عدل:

PermitRootLogin no

بعدها:

sudo systemctl restart sshd

تغيير بورت SSH الافتراضي (Change Default SSH Port)

البورت 22 يتعرض لمحاولات Brute Force كتير.

تغييره لبورت غير مشهور يقلّل الهجمات التلقائية بنسبة كبيرة.

مثال:

Port 2222

وبعد التعديل:

sudo systemctl restart sshd

استخدام مفاتيح SSH بدل كلمات المرور (Use SSH Keys)

ملف المفتاح Private Key أقوى آلاف المرات من الباسورد… ومش بينفع يتخمن.

ده يخليك تقفل خاصية الباسورد تمامًا.

توليد مفتاح:

ssh-keygen -t rsa -b 4096

في ملف SSH:

PasswordAuthentication no

تفعيل الجدار الناري Firewall (UFW / Firewalld)

اختصار مهم:

لو الخدمة مش محتاجاها → اقفلها

ولو محتاجاها → افتح بورتها وبس.

مثال باستخدام UFW:

sudo ufw allow 2222/tcp

sudo ufw allow http

sudo ufw allow https

sudo ufw enable

تثبيت Fail2ban لمكافحة الهجمات

Fail2ban براقب محاولات الدخول الفاشلة ويعمل Ban للـ IP اللي بيحاول يكسر الباسورد.

التثبيت:

sudo apt install fail2ban -y

وتفعيل Jail SSH لحماية تسجيل الدخول.

تفعيل SELinux أو AppArmor (Mandatory Access Control)

دي طبقة حماية إضافية بتحدد لكل Application صلاحياته وبتمنع أي برنامج يعمل حاجة مش مسموح بيها.

في CentOS/RHEL → SELinux

في Ubuntu/Debian → AppArmor

مثال:

sudo setenforce 1

أنظمة كشف الاختراق IDS (مثل AIDE أو OSSEC)

الأدوات دي ترصد أي تعديل يحصل في ملفات النظام، وتبلغك فورًا.

مهم جدًا لو بتدير سيرفر حساس.

مثال AIDE:

sudo apt install aide -y

sudo aideinit

تعطيل الخدمات غير الضرورية (Reduce Attack Surface)

كل خدمة شغّالة = باب ممكن يطلع منه اختراق.

اقفل واحذف كل اللي مش محتاجه.

مثال:

عرض كل الخدمات:

systemctl list-units --type=service

تعطيل خدمة:

sudo systemctl disable servicename

تفعيل Logging و Auditing (مراقبة النظام)

الـ logs هي أول مكان تراجع فيه لو حصل Activity غريب.

استخدم Auditd لمراقبة أي تغيير في النظام.

مثال:

sudo apt install auditd

sudo systemctl enable auditd

sudo systemctl start auditd

---

لو نفذت الـ 10 خطوات دول على أي Linux Server:

هتعلي مستوى الأمان بشكل كبير

هتمنع الهجمات التلقائية الشائعة

وهتخلي السيرفر ثابت وآمن على المدى الطويل