تأمين السيرفر خطوة بخطوة: دليل عملي لـ Hardening

دليل عملي ومباشر لتأمين السيرفرات: تحديثات، SSH/RDP، جدار ناري، مراقبة، نسخ احتياطي واستجابة للحوادث — خطوات قابلة للتنفيذ فوراً.

خطوات عملية ومباشرة لتأمين السيرفرات (Server Hardening) — من نظام التشغيل إلى التطبيقات والبنية التحتية.

لماذا تأمين السيرفرات مهم الآن؟

السيرفر هو قلب البنية التحتية. ٨٠٪ من الاختراقات تحدث بسبب ثغرات قديمة أو إعدادات افتراضية. تأمين السيرفر ليس رفاهية — هو شرط أساسي لحماية البيانات، العملاء، واستمرارية الخدمة.

1 — التحديث المستمر (Patching)

التحديثات تمنع استغلال ثغرات معروفة.

على Linux (Debian/Ubuntu):


sudo apt update && sudo apt upgrade -y

على Windows:
- فعّل Windows Update أو استخدم WSUS لإدارة التصحيحات.
قاعدة ذهبية: جرّب التحديث أولًا على Test Server قبل الإنتاج.

2 — تأمين الوصول الإداري (SSH / RDP)

التحكم بالوصول يقلل فرص الاستيلاء على النظام.

Linux — SSH

منع تسجيل root:


PermitRootLogin no

السماح بالمفتاح فقط (no password):


PasswordAuthentication no

تقييد المستخدمين:


AllowUsers admin1 admin2

استخدم Fail2Ban وMFA عبر حلول PAM أو Google Authenticator.

Windows — RDP

فعّل MFA لحسابات الإدارة.
لا تفتح RDP للإنترنت؛ استخدم VPN أو Bastion Host.
قيّد الوصول عبر Group Policy وFirewall.

3 — تقليل سطح الهجوم: تعطيل الخدمات غير الضرورية

كل خدمة تعمل = منفذ محتمل للهجوم.

على Linux:


systemctl list-unit-files --type=service
sudo systemctl disable --now service-name

على Windows: افتح services.msc وعطّل الخدمات غير المستخدمة.

4 — جدار ناري محلي قوي (Local Firewall)

سياسة Deny All ثم فتح ما تحتاجه فقط.

مثال UFW على Linux:


ufw default deny incoming
ufw default allow outgoing
ufw allow 443/tcp
ufw allow from 10.0.0.0/24 to any port 3306
ufw enable

Windows Firewall

اعمل Block All ثم Allow للـ ports الضرورية فقط، وحدد Subnets داخلية.

5 — حماية التطبيقات وقواعد البيانات

قواعد البيانات (MySQL/Postgres/MSSQL)

إيقاف الوصول من الـ Public.
السماح فقط من شبكات داخلية أو VPN.
إغلاق المستخدمين الافتراضيين، تغيير الـ default ports، وتفعيل TLS للاتصالات.

تطبيقات الويب

تفعيل HTTPS/TLS (شهادات من CA موثوقة أو Let's Encrypt).
إزالة Directory Listing، نقل ملفات config خارج webroot.
تفعيل WAF (مثل ModSecurity أو حلول Cloudflare).

6 — تقوية نظام التشغيل (OS Hardening)

فعّل SELinux أو AppArmor.
ضبط sysctl لخفض الهجمات:


net.ipv4.ip_forward = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0

راجع صلاحيات الملفات الحساسة:


/etc/shadow -> 600 (root only)

7 — المراقبة والسجلات والتنبيه (Logging & Alerts)

السيرفر بلا logs = أعمى.

استخدم ELK / Graylog / Wazuh أو حلول سحابية.
سجّل محاولات الدخول الفاشلة ومراقبة التغييرات في الملفات.
فعّل Fail2Ban لحظر المهاجمين تلقائيًا.
ضع Alerts تصل خلال ثوانٍ (مثال: محاولات اختراق متكررة، تغيير ملف نظام، CPU spike).

8 — النسخ الاحتياطي واستعادة الكوارث (Backup & DR)

سياسة Backup: يومي + أسبوعي + شهري.
خزّن النسخ Off-site وشفّرها.
اختبر الاستعادة عمليًا مرتين شهريًا — النسخة غير المختبرة لا قيمة لها.

9 — تقسيم الشبكة (VLANs) ومنع الحركة الجانبية

استخدم VLANs لعزل الخدمات:
- Web VLAN
- DB VLAN
- Management VLAN
هدف: عند اختراق ويب سيرفر، يمنع مهاجم الانتقال للـ DB بسهولة.

10 — خطة الاستجابة للحوادث (Incident Response)

ضع خطة مكتوبة ومُجرّبة:

عزل السيرفر المصاب.
حفظ وتحليل الـ Logs.
تحديد نقطة الدخول والثغرة.
استعادة الخدمة من Backup آمن.
إصلاح السبب (patch/config).
توثيق الحادث والدروس المستفادة.

قائمة فحص سريعة (Checklist) — ابدأ الآن

خلاصة سريعة

تأمين السيرفرات ليس مهمة واحدة بل سلسلة مستمرة: تحديثات، إدارة الوصول، جدران نارية، مراقبة، نسخ احتياطي، وخطة استجابة. ابدأ بالأساسيات أعلاه ثم انتقل لطبقات متقدمة (IDS/IPS، EDR، السياسات الأمنية المؤسسية).

تعديل المقال

راديو مغاربي – آخر الأخبار العاجلة من المغرب والعالم