جميع الأنظمة تعمل بشكل طبيعي 21 العملات المشفرة المقبولة · Monero مرحّب بها سياسة بدون KYC
ChainVPS

الأمان

كيف تؤمّن VPS جديدًا: قائمة التحصين

قائمة مرتّبة وجاهزة للنسخ للساعة الأولى على خادم جديد — من مفاتيح SSH إلى جدار ناري يرفض افتراضيًا — تُغلق الثغرات التي يستغلّها المهاجمون فعلًا.

الأمانقراءة 8 دقائق readفريق ChainVPS

كيف تؤمّن VPS جديدًا: قائمة التحصين

يتعرض أي VPS جديد لهجمات آلية خلال دقائق من بدء تشغيله — يرشدك هذا الدليل خطوة بخطوة عبر الساعة الأولى من التحصين التي تحافظ على السيرفر ملكًا لك وحدك.

يبدأ كل سيرفر جديد حياته بنفس نقاط الضعف: تسجيل دخول افتراضي بحساب root، وباب SSH يعتمد على كلمة المرور فقط، وجدار حماية مفتوح بالكامل، وبدون تحديثات تلقائية. تقوم الروبوتات بمسح نطاق IPv4 بأكمله باستمرار، لذا فإن عبارة "لا أحد يعرف عنوان IP الخاص بي بعد" غير صحيحة أبدًا.

هذا الدليل عبارة عن قائمة تحصين مرتبة وجاهزة للتطبيق مباشرة. اعمل من الأعلى إلى الأسفل على سيرفر Debian أو Ubuntu جديد، وستُغلق الثغرات التي يستغلها المهاجمون فعليًا، لا تلك التي يهتم بها "مسرح الأمان" الشكلي فقط.

قبل أن تلمس السيرفر

قراران تتخذهما قبل أول تسجيل دخول يوفران عليك ساعات لاحقًا: جهّز مفتاح SSH الخاص بك واختر اسم مستخدم غير root.

  1. 1

    أنشئ مفتاح SSH حديثًا

    على جهازك الخاص، شغّل الأمر ssh-keygen -t ed25519 -C "you@device". مفاتيح Ed25519 قصيرة وسريعة وأقوى من إعداد RSA-2048 الافتراضي القديم.

  2. 2

    أبقِ المفتاح الخاص بعيدًا عن السيرفر

    لا يغادر النصف الخاص من المفتاح جهازك المحمول أبدًا. كل ما تنسخه إلى السيرفرات هو ملف .pub فقط. تجاهل هذه القاعدة هو ما يدفع الناس إلى حبس أنفسهم خارج السيرفر ويضطرهم لإعادة التهيئة من الصفر.

  3. 3

    دوّن بيانات اعتماد التزويد الخاصة بك

    يرسل معظم مزودي الخدمة كلمة مرور root مؤقتة عبر البريد الإلكتروني أو يدرجون مفتاحك وقت إنشاء السيرفر. إذا تم إدراج مفتاح مسبقًا، يمكنك الانتقال مباشرة إلى خطوة إنشاء مستخدم.

إذا كان مزود الاستضافة يُدرج مفتاح SSH الخاص بك وقت النشر، فلن تمر أبدًا بمرحلة تعتمد على كلمة المرور — أكبر سطح هجوم منفرد يختفي حتى قبل الإقلاع.

الخطوة 1 — حدّث كل شيء، ثم حافظ على التحديث

نواة النظام أو OpenSSL غير المحدّثين هما الثغرة الوحيدة التي لا تصلحها أي قاعدة جدار حماية. حدّث النظام قبل أن تُعدّ أي شيء آخر.

  • على Debian/Ubuntu: نفّذ apt update && apt full-upgrade -y ثم أعد التشغيل إذا تغيّرت النواة.
  • فعّل unattended-upgrades ليتم تطبيق تحديثات الأمان تلقائيًا: apt install unattended-upgrades && dpkg-reconfigure unattended-upgrades.
  • أعد التشغيل وفق جدول تتحكم فيه أنت — اضبط Unattended-Upgrade::Automatic-Reboot على ساعة هادئة بدلًا من ترك تحديثات النواة معلّقة في منتصف الطريق.

الخطوة 2 — أنشئ مستخدمًا حقيقيًا وتخلَّ عن root

تسجيل الدخول بحساب root يعني أن جلسة واحدة مخترقة تمتلك السيرفر بأكمله ولا تترك أي أثر للتدقيق. امنح نفسك بدلًا من ذلك حسابًا باسم محدد يملك صلاحيات sudo.

  1. 1

    أضِف المستخدم

    نفّذ adduser deploy ثم usermod -aG sudo deploy (استخدم wheel على أنظمة عائلة RHEL).

  2. 2

    ثبّت مفتاحك لهذا المستخدم

    من جهازك المحمول: نفّذ ssh-copy-id deploy@your-server-ip. يكتب هذا الأمر مفتاحك العام إلى ~/.ssh/authorized_keys بالصلاحيات الصحيحة.

  3. 3

    اختبر قبل أن تغلق الباب

    افتح طرفية ثانية وتأكد من قدرتك على تنفيذ ssh deploy@server وتشغيل sudo -v. لا تُعطّل root أو كلمات المرور أبدًا قبل التأكد من عمل جلسة جديدة.

القاعدة الذهبية لتحصين SSH: أبقِ جلستك الحالية مفتوحة وتأكد من عمل تسجيل الدخول الجديد في نافذة ثانية قبل تغيير أي إعداد للمصادقة. هذه العادة وحدها تمنع وقوعك في الحبس خارج السيرفر في معظم الحالات.

الخطوة 3 — تحصين SSH، الجزء الأكثر أهمية

SSH هو الباب الأمامي لأي VPS، وهو الموضع الذي تتركز عليه غالبية محاولات تسجيل الدخول الآلية. عدّل الملف /etc/ssh/sshd_config (أو ملف فرعي داخل /etc/ssh/sshd_config.d/) واضبط المفاتيح التالية.

PermitRootLoginno — لا يمكن لـ root تسجيل الدخول عبر الشبكة أبدًا
PasswordAuthenticationno — المفاتيح فقط، ما يقضي على هجمات القوة الغاشمة تمامًا
KbdInteractiveAuthenticationno — يغلق مسار الرجوع الاحتياطي لكلمة مرور PAM
PubkeyAuthenticationyes — الطريقة التي تستخدمها فعليًا
AllowUsersdeploy — أدرِج في القائمة البيضاء فقط الحسابات التي تحتاج إلى الوصول عبر الطرفية
X11Forwardingno — معطّل ما لم تكن تُمرّر فعليًا تطبيقات واجهة رسومية عبر نفق

طبّق التغييرات بتشغيل sshd -t للتحقق من صحة الصياغة، ثم نفّذ systemctl restart ssh. إذا أبلغ sshd -t عن خطأ، فأصلحه قبل إعادة التشغيل وإلا فقد تُسقط الخدمة بالكامل.

تغيير منفذ SSH عن 22 أمر اختياري ولا يفعل أكثر من تقليل الضجيج في السجلات — فهو تعتيم لا أمان حقيقي. فبمجرد تعطيل PasswordAuthentication، لا يعود لدى روبوتات فحص المنافذ ما تخمّنه، لذا ركّز جهدك على المفاتيح بدلًا من ألعاب تغيير المنافذ.

الخطوة 4 — فعّل جدار حماية بسياسة الرفض الافتراضي

حتى بعد تحصين خدمة SSH، فهي لا تزال تتشارك السيرفر مع كل خدمة أخرى تستمع على منافذ. جدار الحماية يجعل "مغلق ما لم أفتحه بنفسي" هو الوضع الافتراضي.

  1. 1

    حدد الأساس

    باستخدام ufw: نفّذ ufw default deny incoming و ufw default allow outgoing.

  2. 2

    اسمح فقط بما تقدّمه من خدمات

    نفّذ ufw allow OpenSSH، بالإضافة إلى ufw allow 80,443/tcp فقط إذا كان هذا السيرفر يستضيف فعليًا حركة مرور ويب.

  3. 3

    فعّل وتحقق

    نفّذ ufw enable ثم ufw status verbose. أي شيء غير مُدرج في القائمة أصبح الآن غير قابل للوصول من الإنترنت.

أضِف قاعدة السماح لـ SSH قبل تفعيل ufw. تفعيل جدار حماية بسياسة رفض افتراضية دون قاعدة سماح لمنفذك الخاص سيقطع جلستك فورًا.

الخطوة 5 — أبطئ هجمات القوة الغاشمة باستخدام Fail2ban

حتى بعد تعطيل كلمات المرور، تستمر الروبوتات في المحاولة وتُثقل سجلاتك. يقوم Fail2ban بحظر المخالفين المتكررين على مستوى جدار الحماية.

  • نفّذ apt install fail2ban — سجن sshd المرفق يعمل مباشرة دون إعداد إضافي.
  • انسخ jail.conf إلى jail.local وارفع قيمة bantime (مثلًا 1h) وقلّل maxretry (مثلًا 3) حسب رغبتك.
  • تحقق من عمله عبر fail2ban-client status sshd لمشاهدة عدد عناوين IP المحظورة.

الخطوة 6 — قلّص سطح الهجوم

أأمن خدمة هي التي لا تعمل أصلًا. دقّق فيما يستمع على المنافذ واحذف كل ما لا تحتاجه.

دقّق في المنافذ المفتوحة

يعرض أمر ss -tulpn كل مقبس يستمع على النظام والعملية المسؤولة عنه. تحقق من أي شيء لم تُشغّله عمدًا.

أزل الحزم غير المستخدمة

عطّل أو أزل الخدمات التي لا تستخدمها — فقاعدة بيانات أو وكيل بريد يعمل دون داعٍ هو مجرد عبء أمني.

اعزل الخدمات

اربط الخدمات الداخلية مثل قواعد البيانات بالعنوان 127.0.0.1 حتى لا تتعرض أبدًا للخطر حتى لو تعثر جدار الحماية.

شدّد الصلاحيات

تأكد من أن صلاحيات ~/.ssh هي 700 وأن صلاحيات authorized_keys هي 600. الصلاحيات الخاطئة تجعل sshd يتجاهل مفتاحك بصمت دون أي رسالة خطأ.

الخطوة 7 — سجّل، راقب، واعرف خط الأساس الخاص بك

التحصين ليس حدثًا لمرة واحدة. تحتاج إلى ملاحظة أي تغيير يطرأ.

  • راجع نشاط المصادقة عبر journalctl -u ssh أو lastb لعرض محاولات تسجيل الدخول الفاشلة.
  • فكّر في استخدام auditd للحصول على سجل مقاوم للعبث للإجراءات ذات الصلاحيات المرتفعة.
  • احتفظ بنسخة احتياطية خارج السيرفر لمجلد /etc وبياناتك، حتى يمكن إعادة بناء سيرفر مخترق من الصفر بدلًا من الوثوق به لاحقًا.

أين يصبح مزود الاستضافة نفسه مهمًا

تحصين البرمجيات يحمي نظام التشغيل، لكن مزود الاستضافة هو من يقرر ما يوجد تحته — تصفية حركة الشبكة، والأثر المالي، وما إذا كانت هويتك مرتبطة يومًا بالسيرفر. في ChainVPS، تأتي كل خطة مزودة بتصفية DDoS ونطاق ترددي غير محدود، وتُدفع السيرفرات من رصيد عملات رقمية مدفوع مسبقًا عبر 21 عملة بما فيها Monero، دون أي KYC. إذا كان نموذج التهديد لديك يتضمن عدم ربط السيرفر بهويتك، فإن خطط VPS الخارجية (offshore) لدينا مصمّمة تحديدًا لذلك.

الموقع الجغرافي جزء من التحصين أيضًا: ست من مناطقنا الخمس عشرة هي ولايات قضائية من فئة الخصوصية العالية (NL، CH، RO، IS، MD، LU). الجمع بين نظام تشغيل محصّن وسيرفر مخصص (dedicated) خارجي (offshore) يُبقي كلًا من السطح البرمجي والسطح القانوني محكمًا.

قائمة الساعة الواحدة، مختصرة

  • تحديث كامل للنظام + تفعيل تحديثات الأمان التلقائية
  • إنشاء مستخدم sudo باسم محدد، وتثبيت المفتاح، واختبار تسجيل الدخول
  • تعطيل تسجيل دخول root عبر SSH والمصادقة بكلمة المرور معًا
  • التحقق من إعدادات SSH باستخدام sshd -t وإعادة تحميلها
  • تفعيل جدار حماية بسياسة رفض افتراضية، مع فتح المنافذ الضرورية فقط
  • تشغيل Fail2ban على سجن sshd
  • تدقيق المنافذ المفتوحة وإزالة الخدمات غير المستخدمة
  • وضع نسخة احتياطية خارج السيرفر ومراجعة للسجلات
هل يجب أن أغيّر منفذ SSH إلى رقم آخر غير 22؟

هذا أمر اختياري ولا يقلل سوى من ضجيج السجلات، وليس من المخاطر الحقيقية. فبمجرد تعطيل المصادقة بكلمة المرور واشتراط استخدام المفاتيح، يضيف تغيير المنفذ تعتيمًا لا أمانًا فعليًا — امنح الأولوية لتعطيل كلمات المرور أولًا.

هل تعطيل المصادقة بكلمة المرور آمن إذا كان لدي مفتاح واحد فقط؟

نعم، شريطة أن تكون قد اختبرت تسجيل الدخول بالمفتاح في جلسة منفصلة وتحتفظ بنسخة احتياطية من المفتاح الخاص. كما يوفر العديد من مزودي الخدمة وحدة تحكم عبر الويب أو وضع استرداد، بحيث لا تُحبس فعليًا خارج العتاد أبدًا.

هل ما زلت بحاجة إلى جدار حماية إذا كان SSH هو الخدمة الوحيدة؟

نعم. جدار الحماية بسياسة الرفض الافتراضية يحميك من الخدمات التي نسيت أنك ثبّتها، ومن أي حزمة مستقبلية تبدأ الاستماع على منفذ بصمت. لا يكلفك شيئًا وهو يغلق المفاجآت غير المتوقعة.

كم مرة يجب أن أعيد النظر في إجراءات التحصين؟

تتولى التحديثات الأمنية التلقائية العمل اليومي، لكن راجع المنافذ التي تستمع وسجلات المصادقة بعد أي تثبيت رئيسي لبرمجية جديدة، وشهريًا على الأقل. تعامل مع خط الأساس المحصّن كشيء تتحقق منه باستمرار، لا كإعداد تضبطه مرة واحدة وتنساه.

طبّقه عمليًا.

انشر خادم أوفشور ابتداءً من $3.49/mo · 21 عملة رقمية · بدون KYC.