تأمين سيرفر Linux في 15 دقيقة: 10 خطوات عملية لحماية VPS

لماذا تأمين السيرفر ضروري

بمجرد تشغيل سيرفر VPS جديد وربطه بالإنترنت، تبدأ محاولات الاختراق الآلية خلال دقائق. الروبوتات تفحص ملايين عناوين IP يومياً بحثاً عن سيرفرات غير مؤمّنة. تأمين سيرفر Linux ليس رفاهية بل ضرورة حتمية لحماية بياناتك وبيانات عملائك.

وفقاً لتقرير Verizon Data Breach Investigations، فإن أكثر من 80% من الاختراقات تستغل كلمات مرور ضعيفة أو إعدادات افتراضية. هذا يعني أن تأمين سيرفر Linux الأساسي يمنع الغالبية العظمى من الهجمات.

في هذا الدليل، سنغطي 10 خطوات عملية يمكنك تنفيذها في 15 دقيقة فقط لرفع مستوى أمان سيرفرك بشكل كبير. لنبدأ.

الخطوة 1: تحديث النظام

أول خطوة في تأمين سيرفر Linux هي التأكد من أن جميع الحزم والبرامج محدّثة لآخر إصدار. التحديثات الأمنية تسد ثغرات معروفة يستغلها المهاجمون.

# لـ Ubuntu/Debian
sudo apt update && sudo apt upgrade -y

# لـ CentOS/RHEL/AlmaLinux
sudo dnf update -y

# التحقق من وجود تحديثات أمنية فقط
sudo apt list --upgradable 2>/dev/null | grep -i security

قاعدة مهمة: حدّث النظام فور تشغيل السيرفر وقبل تثبيت أي تطبيق. هذا يمنع استغلال ثغرات معروفة في الحزم القديمة.

الخطوة 2: تغيير منفذ SSH

المنفذ الافتراضي لـ SSH هو 22، وهو أول ما تستهدفه الروبوتات. تغيير المنفذ لا يوقف المهاجم المحترف، لكنه يقلل محاولات الاختراق الآلية بنسبة تزيد عن 99%. هذه خطوة بسيطة وفعّالة في تأمين سيرفر Linux.

# تعديل ملف إعدادات SSH
sudo nano /etc/ssh/sshd_config

# ابحث عن السطر التالي وغيّره:
# Port 22
Port 2222

# أعد تشغيل SSH
sudo systemctl restart sshd

تنبيه مهم: قبل إغلاق الجلسة الحالية، افتح جلسة SSH جديدة على المنفذ الجديد للتأكد من عمله. خطأ في هذه الخطوة قد يمنعك من الوصول للسيرفر.

# اتصل بالمنفذ الجديد للتأكد
ssh -p 2222 user@your-server-ip

الخطوة 3: تعطيل root login

تسجيل الدخول مباشرة كـ root عبر SSH يمثل خطراً أمنياً كبيراً. إذا تمكن المهاجم من تخمين كلمة المرور، سيحصل على صلاحيات كاملة فوراً. تعطيل root login خطوة أساسية في تأمين سيرفر Linux.

إنشاء مستخدم بديل أولاً

# إنشاء مستخدم جديد
sudo adduser admin_user

# منحه صلاحيات sudo
sudo usermod -aG sudo admin_user

# التأكد من أنه يعمل بتسجيل الدخول به في جلسة جديدة
su - admin_user
sudo whoami  # يجب أن يُظهر: root

تعطيل root login

# في ملف /etc/ssh/sshd_config
PermitRootLogin no

# أعد تشغيل SSH
sudo systemctl restart sshd

الخطوة 4: إعداد مفاتيح SSH

مفاتيح SSH أكثر أماناً بمراحل من كلمات المرور. مفتاح SSH بطول 4096 بت يستحيل تخمينه عملياً. هذه من أهم خطوات تأمين سيرفر Linux التي يجب تنفيذها فوراً.

إنشاء مفتاح SSH على جهازك المحلي

# إنشاء مفتاح Ed25519 (الأحدث والأقوى)
ssh-keygen -t ed25519 -C "[email protected]"

# أو RSA 4096 بت
ssh-keygen -t rsa -b 4096 -C "[email protected]"

# نسخ المفتاح العام إلى السيرفر
ssh-copy-id -p 2222 admin_user@your-server-ip

تعطيل تسجيل الدخول بكلمة المرور

بعد التأكد من عمل المفتاح، عطّل تسجيل الدخول بكلمة المرور:

# في /etc/ssh/sshd_config
PasswordAuthentication no
PubkeyAuthentication yes
ChallengeResponseAuthentication no

sudo systemctl restart sshd

راجع دليل SSH Academy لمزيد من التفاصيل حول أنواع المفاتيح وأفضل الممارسات.

الخطوة 5: تثبيت fail2ban

fail2ban يراقب سجلات النظام ويحظر عناوين IP التي تفشل في تسجيل الدخول عدة مرات. أداة أساسية في تأمين سيرفر Linux ضد هجمات القوة الغاشمة (Brute Force).

# التثبيت
sudo apt install fail2ban -y

# إنشاء ملف إعدادات مخصص
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

إعدادات fail2ban المثالية

[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 3
banaction = iptables-multiport

[sshd]
enabled = true
port = 2222
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 86400

# تشغيل وتفعيل fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# التحقق من الحالة
sudo fail2ban-client status sshd

# عرض عناوين IP المحظورة
sudo fail2ban-client status sshd | grep "Banned IP"

الخطوة 6: إعداد الجدار الناري UFW

UFW (Uncomplicated Firewall) هو واجهة مبسطة لإدارة iptables. يُعدّ إعداد الجدار الناري من أهم خطوات تأمين سيرفر Linux لأنه يمنع الوصول غير المصرّح به إلى أي منفذ.

# تثبيت UFW (مثبت افتراضياً في Ubuntu)
sudo apt install ufw -y

# السياسة الافتراضية: حظر كل شيء ثم السماح بما تحتاجه
sudo ufw default deny incoming
sudo ufw default allow outgoing

# السماح بـ SSH (المنفذ الجديد)
sudo ufw allow 2222/tcp comment 'SSH'

# السماح بـ HTTP و HTTPS
sudo ufw allow 80/tcp comment 'HTTP'
sudo ufw allow 443/tcp comment 'HTTPS'

# تفعيل الجدار الناري
sudo ufw enable

# التحقق من القواعد
sudo ufw status verbose

تحذير: تأكد من إضافة قاعدة SSH قبل تفعيل UFW، وإلا ستفقد الاتصال بالسيرفر.

قواعد إضافية حسب الحاجة

# السماح بـ MySQL من IP محدد فقط
sudo ufw allow from 192.168.1.100 to any port 3306 comment 'MySQL from trusted IP'

# السماح بمنفذ محدد مؤقتاً
sudo ufw allow 8080/tcp comment 'Temp testing port'

# حذف قاعدة
sudo ufw delete allow 8080/tcp

الخطوة 7: تعطيل الخدمات غير المستخدمة

كل خدمة تعمل على السيرفر هي نقطة هجوم محتملة. جزء مهم من تأمين سيرفر Linux هو تقليل سطح الهجوم (Attack Surface) بتعطيل الخدمات غير الضرورية.

# عرض جميع الخدمات العاملة
sudo systemctl list-units --type=service --state=running

# عرض المنافذ المفتوحة
sudo ss -tlnp

# تعطيل خدمة غير مستخدمة
sudo systemctl disable --now cups          # خدمة الطباعة
sudo systemctl disable --now avahi-daemon   # اكتشاف الشبكة
sudo systemctl disable --now rpcbind        # RPC (إذا لم تستخدم NFS)
sudo systemctl disable --now bluetooth      # Bluetooth (لا حاجة لها على سيرفر)

افحص المنافذ المفتوحة بانتظام وتأكد من أن كل منفذ مفتوح له سبب مشروع. أي منفذ مفتوح دون حاجة هو ثغرة محتملة.

الخطوة 8: إعداد التنبيهات

لا يكفي تأمين سيرفر Linux فقط، بل يجب مراقبته باستمرار. إعداد تنبيهات تلقائية ينبهك فوراً عند حدوث نشاط مشبوه.

تنبيه عند تسجيل الدخول

# أضف هذا السكريبت إلى /etc/profile.d/login-alert.sh
#!/bin/bash
SUBJECT="SSH Login Alert: $(hostname)"
BODY="User: $(whoami)
Date: $(date)
IP: $(echo $SSH_CONNECTION | awk '{print $1}')
Server: $(hostname -f)"

echo "$BODY" | mail -s "$SUBJECT" [email protected]

مراقبة الموارد

# سكريبت تنبيه عند امتلاء القرص
#!/bin/bash
THRESHOLD=85
USAGE=$(df / | tail -1 | awk '{print $5}' | sed 's/%//')
if [ "$USAGE" -gt "$THRESHOLD" ]; then
    echo "تحذير: استخدام القرص وصل إلى ${USAGE}%" | mail -s "Disk Alert: $(hostname)" [email protected]
fi

# أضفه كـ cron job يعمل كل ساعة
0 * * * * /usr/local/bin/disk-alert.sh

الخطوة 9: تفعيل التحديثات التلقائية

التحديثات الأمنية يجب تطبيقها فوراً. تفعيل التحديثات التلقائية للحزم الأمنية يضمن حماية السيرفر حتى لو نسيت التحديث يدوياً. هذه خطوة حيوية في تأمين سيرفر Linux.

# تثبيت unattended-upgrades
sudo apt install unattended-upgrades -y

# تفعيله
sudo dpkg-reconfigure -plow unattended-upgrades

تخصيص الإعدادات

# ملف /etc/apt/apt.conf.d/50unattended-upgrades
Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
};

// إرسال تقرير بالبريد
Unattended-Upgrade::Mail "[email protected]";

// إعادة تشغيل تلقائية إذا لزم الأمر (الساعة 4 صباحاً)
Unattended-Upgrade::Automatic-Reboot "true";
Unattended-Upgrade::Automatic-Reboot-Time "04:00";

// حذف الحزم القديمة
Unattended-Upgrade::Remove-Unused-Dependencies "true";

تحقق من أن التحديثات التلقائية تعمل بشكل صحيح:

sudo unattended-upgrades --dry-run --debug

الخطوة 10: مراقبة السجلات

السجلات هي عيونك على ما يحدث في السيرفر. مراقبة السجلات بانتظام تساعد في اكتشاف محاولات الاختراق مبكراً وهي جزء لا يتجزأ من تأمين سيرفر Linux.

سجلات مهمة يجب مراقبتها

# محاولات تسجيل الدخول الفاشلة
sudo grep "Failed password" /var/log/auth.log | tail -20

# محاولات الوصول المرفوضة
sudo grep "DENIED" /var/log/ufw.log | tail -20

# عرض آخر عمليات تسجيل الدخول الناجحة
last -20

# عرض محاولات sudo الفاشلة
sudo grep "authentication failure" /var/log/auth.log

أداة logwatch لتقارير يومية

# تثبيت logwatch
sudo apt install logwatch -y

# إرسال تقرير يومي بالبريد
sudo logwatch --output mail --mailto [email protected] --detail high --range yesterday

نصيحة: أرسل سجلاتك إلى خادم سجلات مركزي (مثل rsyslog أو Graylog) حتى لا يتمكن المهاجم من حذف السجلات إذا اخترق السيرفر. هذا مستوى متقدم من تأمين سيرفر Linux لكنه مهم للسيرفرات الحساسة.

الخلاصة

تأمين سيرفر Linux لا يحتاج ساعات طويلة. الخطوات العشر التي استعرضناها يمكن تنفيذها في 15 دقيقة وتوفر حماية ممتازة ضد الغالبية العظمى من الهجمات. إليك ملخصاً سريعاً:

• حدّث النظام فوراً وفعّل التحديثات التلقائية
• غيّر منفذ SSH وعطّل root login
• استخدم مفاتيح SSH وعطّل كلمات المرور
• ثبّت fail2ban وأعِد الجدار الناري
• عطّل الخدمات غير المستخدمة
• أعِد التنبيهات وراقب السجلات

تذكر أن تأمين سيرفر Linux عملية مستمرة وليست إجراءً واحداً. راقب سجلاتك بانتظام، طبّق التحديثات، وابقَ على اطلاع بآخر الثغرات الأمنية.

الأسئلة الشائعة

هل تغيير منفذ SSH كافٍ لتأمين السيرفر؟

لا، تغيير منفذ SSH وحده ليس كافياً. هو يقلل محاولات الاختراق الآلية لكن المهاجم المحترف سيجد المنفذ الجديد بسهولة. يجب دمجه مع مفاتيح SSH و fail2ban والجدار الناري كحزمة متكاملة من خطوات تأمين سيرفر Linux.

كيف أستعيد الوصول إذا أغلقت نفسي خارج السيرفر؟

إذا فقدت الوصول عبر SSH بسبب خطأ في الإعدادات، يمكنك استخدام وحدة التحكم عبر لوحة إدارة مزود الاستضافة (Console Access). معظم مزودي VPS مثل مرام هوست يوفرون وصولاً مباشراً عبر المتصفح لا يعتمد على SSH.

هل أحتاج برنامج حماية (Antivirus) على سيرفر Linux؟

برامج الحماية التقليدية ليست ضرورية على Linux في معظم الحالات. لكن أدوات مثل ClamAV مفيدة لفحص الملفات المرفوعة إذا كان السيرفر يستضيف مواقع تسمح برفع الملفات. الأهم هو اتباع خطوات تأمين سيرفر Linux المذكورة في هذا الدليل.

كم مرة يجب فحص أمان السيرفر؟

يُنصح بإجراء فحص أمني شامل مرة شهرياً على الأقل. يشمل ذلك مراجعة السجلات، التحقق من المنافذ المفتوحة، فحص صلاحيات الملفات، ومراجعة المستخدمين النشطين. أدوات مثل Lynis تساعد في أتمتة عملية الفحص.