انتقل إلى المحتوى
VDS Panel
VDS Panel
إدارة الخادم
حماية 05 Nisan 2026 · 10 dk okuma

تقوية الخادم: الحماية ضد الهجمات باستخدام Fail2Ban وUFW وPentest

دليل أمان شامل يشرح استخدام Fail2Ban، وجدار الحماية UFW، وتقوية SSH، وتحديد المعدل، والماسح الضوئي المدمج لتأمين VPS الخاص بك.

#güvenlik #fail2ban #ufw #pentest #ssh #hardening
VDS Panel
VDS Panel Ekibi
Ürünü geliştiren ekip

يبدأ فحص الخادم الافتراضي الخاص (VPS) الذي تفتحه على الإنترنت خلال الساعة الأولى من إنشائه. تقوم الروبوتات تلقائيًا بفحص المنافذ مثل 22 (SSH)، و80 (HTTP)، و443 (HTTPS)، و3306 (MySQL) ومحاولة الاتصال بكلمات المرور الافتراضية. إذا نظرت إلى السجل الخاص بك، فسوف ترى الآلاف من محاولات تسجيل الدخول الفاشلة في اليوم الأول.

في هذا الدليل، سنشرح طرق تقوية VPS الخاص بك على مستوى مستوى الإنتاج، وما هي التدابير المهمة ولماذا، وكيف تقوم لوحة VDS بتثبيت هذه الطبقات تلقائيًا.

Bir bakışta
5-10 dk
محاولة الهجوم الأولى
1000+/يوم
محاكمة القوة الغاشمة
140+
عدد اختبارات pentest
99%
تم حظر حركة مرور الروبوت

طبقات الدفاع

الأمان ليس أداة واحدة، بل مزيج من طبقات متعددة:

  1. طبقة الشبكة، أغلق المنافذ غير الضرورية باستخدام جدار الحماية (UFW)
  2. طبقة الوصول، مفتاح SSH فقط، يمنع القوة الغاشمة باستخدام Fail2Ban
  3. طبقة التطبيق، حد المعدل، CSP، HSTS، تصلب CORS
  4. طبقة التدقيق، السجل، مسار تدقيق الأمان، اكتشاف الحالات الشاذة
  5. Pentest Layer، فحص الثغرات الأمنية، محاكاة الهجوم الحقيقي

تجاوز طبقة واحدة لا يعني الاستيلاء الكامل على الخادم الخاص بك.

الطبقة الأولى: جدار الحماية UFW

UFW (جدار الحماية غير المعقد) هو الوجه السهل الاستخدام لـ iptables. بشكل افتراضي، يرفض كافة الاتصالات الواردة، ولا يتم فتح سوى المنافذ التي تسمح بها.

ص0

لا يمكن الوصول إلى جميع المنافذ المتبقية (MySQL، وPostgreSQL، وRedis، والخدمات الداخلية للوحة) إلا من خلال المضيف المحلي. تقوم لوحة VDS بإعداد هذا التكوين تلقائيًا.

خطأ شائع: فتح منافذ قاعدة البيانات

لا تفتح منافذ PostgreSQL 5432 أو MySQL 3306 للعالم الخارجي. يتم فتحه لأسباب مثل “للاتصال عن بعد” وتبدأ الروبوتات على الفور في فرضه بالقوة. استخدم نفق SSH أو VPN للإدارة عن بعد.

الطبقة الثانية: تصلب SSH

إعدادات SSH الافتراضية ضعيفة. الاحتياطات الأساسية:

  1. 01
    قم بإيقاف تشغيل تسجيل الدخول بكلمة المرور
    رقم المصادقة كلمة المرور في /etc/ssh/sshd_config. تسجيل الدخول فقط باستخدام مفتاح SSH. القوة الغاشمة تصبح مستحيلة.
  2. 02
    قم بإيقاف تشغيل تسجيل الدخول الجذر
    رقم السماح لجذر الدخول يضطر المهاجم إلى تخمين اسم الحساب، فقط لتنفاد فرص محاولة "الجذر".
  3. 03
    تغيير المنفذ
    مثل 2222 بدلاً من 22. تقوم الروبوتات الآلية بفحص 22، وتفتقد المنفذ البديل. يعد الأمان من خلال الغموض مخفضًا ضعيفًا ولكنه فعال للضوضاء.
  4. 04
    استخدم مفتاح Ed25519
    Ed25519 بدلاً من RSA 2048. أقصر وأكثر أمانًا وأسرع. يتم إنشاؤه باستخدام الأمر ssh-keygen -t ed25519.
  5. 05
    تفعيل Fail2Ban
    في حالة محاولات تسجيل الدخول غير الناجحة، يتم حظر IP تلقائيًا. دعنا ننتقل إلى الطبقة 3.

الطبقة الثالثة: Fail2Ban

يراقب Fail2Ban ملفات السجل ويحظر عنوان IP مؤقتًا عندما يكتشف أنماطًا مشبوهة:

  • P0 → فشل تسجيل الدخول إلى SSH
  • P1 → تكرار HTTP 401/403/429
  • سجل تطبيقك المخصص → تعريفات السجن المخصصة

السلوك الافتراضي: حظر لمدة 10 دقائق لثلاث محاولات تسجيل دخول فاشلة. إذا حاول أكثر من مرة، سيتم تمديد فترة الحظر.

ص1

99%
تتم تصفية حركة مرور الروبوت
عند استخدام Fail2Ban + UFW معًا، يتم حظر جميع محاولات القوة الغاشمة التلقائية تقريبًا.

تقوم لوحة VDS تلقائيًا بتكوين Fail2Ban باستخدام سجون مخصصة: SSH وnginx auth وقواعد مخصصة لنقاط النهاية P0 وP1.

الطبقة الرابعة: أمان التطبيق

الحماية على مستوى نظام التشغيل ليست كافية؛ في طلبك:

تحديد المعدل

حد الطلب لكل نقطة نهاية:

  • نقطة نهاية تسجيل الدخول: 10 طلبات / 15 دقيقة / IP
  • واجهة برمجة التطبيقات العامة: 100 طلب/دقيقة/IP
  • واجهة برمجة تطبيقات المشرف: 500 طلب/دقيقة/مستخدم

في حالة التجاوز، يتم إرجاع 429 طلبًا أكثر من اللازم. تطبق اللوحة حدود معدل الطبقة المزدوجة على مستويات nginx والواجهة الخلفية.

رؤوس الأمان

ص2

تعمل هذه على إيقاف ناقلات الهجوم الشائعة مثل XSS، وclickjacking، وMIME sniving. ترسل لوحة VDS هذه الرؤوس بشكل افتراضي لكل مجال.

أمن JWT

  • التحقق الصارم من التوقيع ضد هجوم P0
  • تنتهي صلاحية الرموز خلال 24 ساعة
  • تم إدراج الرمز المميز في القائمة السوداء عند تسجيل الخروج
  • الخروج القسري مع P1

الطبقة الخامسة: الماسح الضوئي Pentest

بالإضافة إلى عمليات فحص التكوين الثابت، تشتمل لوحة VDS على ماسح ضوئي يحتوي على أكثر من 140 اختبارًا:

ما الذي يقوم Pentest بفحصه؟
  • SSL/TLS: مجموعة تشفير ضعيفة، نزيف القلب، شهادة منتهية الصلاحية
  • رؤوس HTTP: خيارات HSTS وCSP وX-Frame-Options مفقودة
  • المصادقة: JWT alg=لا شيء، قم بتسجيل الدخول بدون حماية من القوة الغاشمة
  • ناقلات حقن SQL
  • حمولات XSS (التحكم في الإدخال الخام)
  • اجتياز المسار وقائمة الدليل
  • التهديدات الشائعة المعروفة (استنادًا إلى إصدارات الحزمة المثبتة)
  • بيانات الاعتماد الافتراضية (محاولات المشرف/المسؤول)
  • فتح المنافذ (خدمة غير متوقعة)

يعمل الماسح الضوئي تلقائيًا أسبوعيًا، لكل ثغرة يجدها:

  • يسقط في سجل أحداث اللوحة
  • يتم إنشاء تقرير HTML
  • تحذير للمسؤول إذا كان هناك ثغرة أمنية حرجة

سجل التدقيق الأمني

تقوم اللوحة بتسجيل كافة العمليات الهامة بشكل دائم:

  • تسجيل الدخول، تسجيل الخروج، فشل تسجيل الدخول
  • إضافة/حذف المستخدمين الإداريين
  • إنشاء مشروع جديد
  • تجديد شهادة SSL
  • تغيير إعدادات اللوحة

يحتوي كل سجل على IP ووكيل المستخدم والطابع الزمني. السلسلة الكاملة متاحة عندما يكون فحص الطب الشرعي مطلوبًا.

التحديث التلقائي

مع حزمة Ubuntu P0، يتم تثبيت التحديثات الأمنية تلقائيًا:

ص3

تقوم لوحة VDS بتنشيط هذا تلقائيًا أثناء التثبيت. يتم تثبيت Kernel وتصحيحات الأمان الهامة أثناء تشغيل اللوحة، ويتم التخطيط لإعادة التشغيل التلقائي عند الضرورة.

خاتمة

لا يتم توفير أمان الخادم من خلال “رصاصة فضية” واحدة. يعمل كل من الدفاع طبقة تلو الأخرى، وجدار الحماية، وتقوية SSH، وFail2Ban، وتحديد المعدل، ورؤوس الأمان، وسجل التدقيق، واختبار الاختراق الدوري معًا.

تعمل لوحة VDS على تقليل الساعات التي تحتاجها لتثبيت هذه الطبقات يدويًا إلى دقائق. سجون Fail2Ban، وقواعد UFW، ورؤوس أمان nginx، وأكثر من 140 اختبارًا للاختراق؛ يتم تثبيت جميعها بشكل افتراضي ويتم مراقبتها باستمرار.

للحصول على تفاصيل حول ميزات الأمان، يمكنك زيارة الصفحة الرئيسية أو الحصول على استشارة بشأن السيناريو المحدد الخاص بك من نموذج الاتصال.

Paylaş X LinkedIn E-posta
اتصل بنا
مقالات ذات صلة

قد ترغب أيضا في هذه

حماية 7 دقيقة القراءة

شهادة SSL التلقائية: دعونا نقوم بتشفير تكامل اللوحة

الحصول على شهادة SSL وتجديدها وإدارتها لأكثر من نطاق كلها مهام يدوية. تقوم لوحة VDS بأتمتة هذه العملية بالكامل من خلال تكامل Let's Encrypt.

ابدأ القراءة
حماية 9 دقيقة القراءة

استراتيجية النسخ الاحتياطي VPS والتعافي من الكوارث: القاعدة 3-2-1

كيف تحمي خادمك في سيناريوهات الكوارث؟ النسخ الاحتياطي المشفر التلقائي، وقاعدة النسخ الاحتياطي 3-2-1، وعمليات الاختبار والاستعادة، وأهداف RTO وRPO.

ابدأ القراءة

هل ترغب في تجربتها على الخادم الخاص بك؟

اتصل بنا عبر نموذج الاتصال ودعنا نجهز ترخيصًا + خطة تثبيت مناسبة لسيناريو الاستخدام الخاص بك.

اتصل بنا مقالات أخرى
نحن هنا عندما تكون مستعدًا

تجربة نشر حديثة على الخادم الخاص بك، مجرد رسالة اتصال.

دعنا نفهم سيناريو الاستخدام الخاص بك ونقوم بإعداد الترخيص المناسب وخطة التثبيت لك. متوسط ​​وقت الاستجابة لدينا هو أقل من 24 ساعة.

اتصل بنا أرسل لي بريدا إلكترونيا