با سلام ;

امروزه خیلی از سازمان ها و جاهایی که بحث هایی مثل data losing یا Mirorring یا مباحث دیگری که در پست های قبلی در مورد برتری فری بی اس دی نسبت به توزیع های شبه یونیکسی توضیح دادم ، براشون مهم هست میل به سمت این سیستم عامل دارند تا با خیال راحت به فارغ از ترس و وحشت از دست دادن اطلاعات به کارشون ادامه بدهند . ولی خوب همینطور که میدونید سیستم های یونیکسی همون قدر که قوی هستند توی بخش بازده و کارایی اگر به قول معروف چفت و بست های امنیتی داخلش رعایت نشه به مراتب خطر پذیر تر خواهد بود . قصد دارم به یاری ایزد منان توی همین پورتال به صورت زنجیری مباحث امنیتی این سیستم عامل قدرتمند رو پایه ریزی کنم تا یک ویکی یا رفرنسی برای خودم و دوستان عزیز تر از جانم باشه .

خوب حالا که تا اینجا اومدین بیاین چند پله از پله های اولیه ی این نردبون بلند رو با هم بالا بریم ، به امید نقطه ی اوج …

خوب فرض کنید یه سرور بهتون دادند که فری بی اس دی 10 روش نصبه . اولین چیزی که خود بنده به ذهنم میرسه که لازم به تغییر در اون هست ، نوع الگوریتم پسورد های سیستم هست که به صورت پیشفرش MD5 و باید به BlowFish تغییر کنه . چطوری ؟

بعد از اینکه این فایل ویرایش شد لازمه که یه بار دیتابیس لاگین اصطلاحا Rebuild شه .

خوب مرحله بعدی تغییر Security Level ها توی فایل sysctl.conf هست :

تو مرحله بعد میگم خوب دایرکتوری ها و فایل هایی که به صورت temporary هست رو به صورت اتوماتیک روزانه پاک کن.

توی مرحله بعد پیشنهاد میکنم از فایروال محبوب pf مخفف packet filter که فری بی اس دی به صورت وراثتی از اوپن بی اس دی دریافتش کرده :دی استفاده کنید ، لازم به ذکره که بگم این فایروال یه محیط کاملا Practical در اختیارتون قرار میده تا بتونین تحت هر شرایطی نقش هاتون رو تعریف کنید مثل Iptables با رابط کاربری بهتر . برای فعالسازی این فایروال و پیاده سازی رول ها به شکل زیر باید عمل کنید :

 

به عنوان مثال هم یه رول در اختیارتون میذارم که راحت تر بتونید تفسیر کنید :

برای محکم کاری رول ها هم که همچین Stable بشه باید سطح امنیت کرنل رو روی 3 بزاریم ( تو پست های بعد در مورد این سطوح بیشتر توضیح خواهم داد.)

یه مساله ای هم که همیشه به عنوان ادمین باید در نظر داشته باشید اینه که همیشه باید همه آپدیت ها و نصب ها و نصب شده ها تحت مانیتورتون باشند . یه نرم افزار مناسب توی پورت های بی اس دی هست به اسم portaudit

این دستورم واسه آپدیت کردن دیتابیسش هست :

خوب مورد بعدی که قطعا باهاش آشنا هستید چک کردن مداوم پورت های باز روی سیستم هست ، لازم به ذکره که خود بی اس دی به صورت پیشفرض پورتی رو روی سیستم باز نمیذاره مگر اینکه مثلا میل سرویس یا وب سرور یا سرویس های به این شکل راه اندازی کنید ، برای دیدن پورت هایی که به صورت Real Time مورد استفاده قرار گرفته شدند میشه از sockstat استفاده کرد .

سوئیچی که استفاده کردم برای sockstat کانکشن های از نوع Listening تحت Ipv4 رو نشون میده واسه دیدن ipv6 هم می تونین از -6l استفاده کنید . برای دیدن جفتش کنار هم میتونین از -l استفاده کنید .

خوب تا اینجای کار امیدوارم توضیحات به کارتون اومده باشه . منتظر بخش های بعدی باشید.

از همراهیتون ممنونم

نویسنده : محمد ورمزیار (N3td3v!l)

منبع : او اس لرن دات آی آر

 

از این مطلب راضی هستید ؟ می خواهید به سایت کمک کنید ؟ رضایت خودتون رو با دونیت به ما اعلام کنید . برای دونیت روی خرید کلیک کنید . با تشکر

[parspalpaiddownloads id=”8″]

درباره نویسنده :

محمد ورمزیار هستم معروف به N3td3v!l ، دانشجوی کارشناسی ارشد فناوری اطلاعات ، از سال 2006 تا به حال در حوزه لینوکس و شبکه تحت عنوان هک و امنیت فعالیت میکنم ، اهل تهرانم ، دارای مدارک و تجربه در زمینه های CEH ، Security ، CCNA routing ، LPIC ، RHCE ، unix & BSD ، ISMS و علاقه شدیدی به کار روی مباحث جدید توی حوزه لینوکس و یونیکس دارم .

تمام پست های من - وب سایت من