تمثال الدب القطبي NordBastion في مطرقة حجرية Nordic يلحِم صفائح درع وأقفال نحاسية على برج سيرفر صغير على سندان، وحروف حماية فيروزية تلتف قاعدته، وتوهج مدفأة كهرماني وشرارات لحام كهرمانية

كيفية · قائمة المراجعة·10 دقائق قراءة · 60 دقيقة تطبيق

تصليب VPS — قائمة تحقق OPSEC للساعة الأولى.
ثماني خطوات. شغّل هذا على كل خادم جديد.

قائمة التحقق الشاملة قبل الإطلاق قبل وضع أي عبء عمل على VPS جديد. مفتاح SSH فقط، منفذ مخصص، جدار حماية، تحديثات تلقائية، fail2ban، لقطة، استرداد موثَّق. مُختبَر على Debian 12 / Ubuntu 22-24 / Alpine.

الخطوات الثماني

01
SSH key auth
02
Disable root + change port
03
Firewall baseline
04
Unattended-upgrades
05
Fail2ban
06
Time + swap
07
Baseline snapshot
08
Recovery doc

الخطوة 01-02 · SSH

المفاتيح، لا كلمات المرور. منفذ مخصص، لا 22.

على حاسوبك المحمول، أنشئ زوج مفاتيح ed25519 (أصغر وأسرع وأحدث):

ssh-keygen -t ed25519 -C "you@laptop"
ssh-copy-id -p 22 root@<vps-ip>
ssh root@<vps-ip>     # should now work without password

على VPS، حرّر /etc/ssh/sshd_config:

Port 54871                  # pick a random number 1024-65535
PermitRootLogin no          # use a non-root user with sudo
PasswordAuthentication no   # keys only
PubkeyAuthentication yes

أنشئ أولًا مستخدمًا بصلاحيات sudo غير root (adduser bear; usermod -aG sudo bear; ssh-copy-id -p 22 bear@vps)، واختبر تسجيل الدخول، ثم أعد تشغيل sshd: systemctl restart sshd. إذا أغلقت الوصول عن نفسك، فإن وحدة تحكم اللوحة توفر وصولًا إلى shell دون SSH.

الخطوة 03 · جدار الحماية

رفض الاتصالات الواردة افتراضيًا. أضف ما تحتاجه إلى القائمة البيضاء.

apt install -y ufw
ufw default deny incoming
ufw default allow outgoing
ufw allow 54871/tcp      # custom SSH port
ufw allow 80/tcp         # if running a web service
ufw allow 443/tcp        # if running TLS
ufw enable
ufw status verbose

كرِّر مجموعة القواعد ذاتها في جدار الحماية على مستوى الحصن في NordBastion عبر اللوحة (Networking → Firewall). يحجب جدار حماية الحصن الحزم قبل وصولها إلى VPS، مما يوفر CPU المخصص للفحص الحجمي. دفاعٌ متعمق.

الخطوة 04-05 · التحديثات التلقائية + fail2ban

حزمتان، خمس دقائق، تأثير حقيقي.

apt install -y unattended-upgrades fail2ban
dpkg-reconfigure -plow unattended-upgrades   # accept defaults
systemctl enable --now fail2ban
fail2ban-client status                       # shows sshd jail

unattended-upgrades يُطبِّق تصحيحات الأمان تلقائياً؛ fail2ban يحجب IPs التي تفشل في 5 محاولات مصادقة في غضون 10 دقائق لمدة ساعة واحدة. لا يتطلب أيٌّ منهما مزيداً من الإعداد لحالة الاستخدام الأساسية — كلاهما إعدادات افتراضية قوية تعمل للجميع.

الخطوة 06 · الوقت + المبادلة

عيِّن المنطقة الزمنية UTC. أضف ملف مبادلة.

timedatectl set-timezone UTC

fallocate -l 2G /swapfile
chmod 600 /swapfile
mkswap /swapfile
swapon /swapfile
echo "/swapfile none swap sw 0 0" >> /etc/fstab
free -h                                       # confirm swap is active

UTC على السيرفر يُبسِّط ترابط السجلات عبر الحصون والعملاء في أي منطقة زمنية. ملف مبادلة بـ 2-4 GB يحمي من ارتفاعات إنهاء OOM؛ على المستويات الصغيرة يهم، وعلى المستويات الكبيرة هو تأمين رخيص.

الخطوة 07-08 · لقطة + وثيقة الاسترداد

التقط الحالة النظيفة. دوّن مسار الاسترداد.

لقطة. في اللوحة: الخوادم → خادمك → اللقطات → إنشاء. سمّه baseline-hardened-YYYY-MM-DD. لقطات NordBastion خارج الخادم ومشفرة وتستغرق ثوانٍ. يمكنك الاستعادة في نحو 90 ثانية — نسختك المستقبلية ستشكرك في أول مرة تسير فيها الترقية بشكل خاطئ.

وثيقة الاسترداد. على ورقة أو في مدير كلمات مرور، دوّن:

بريد حساب NordBastion الإلكتروني + (عبارة تذكيرية لكلمة المرور، ليست كلمة المرور ذاتها)
أين يعيش مفتاحك الخاص SSH على الحاسوب المحمول
رقم منفذ SSH المخصص
اسم مستخدم sudo غير الجذر على VPS
اسم لقطة الخط الأساسي للاستعادة إليها
ملاحظة: «وحدة التحكم في اللوحة تعمل بدون SSH — استخدمها لاستعادة الوصول عند الإقفال»

أمن العمليات هو انضباط كتابة الأشياء اليوم حتى يتمكن نسختك المستقبلية من الاسترداد عندما تكون نسختك الحالية قد نسيت. المطبعة مغلقة عند اكتمال الوثيقة.

الأسئلة الشائعة · التصليب الأمني

أسئلة، أجوبة.

ثماني أسئلة يطرحها عميل VPS لأول مرة أثناء تشغيل قائمة المراجعة.

هل المصادقة بمفتاح SSH أكثر أمانًا فعلًا من كلمة مرور قوية؟

نعم، بفارق كبير. كلمة المرور — حتى ذات الـ 16 حرفاً العشوائية — قابلة للقوة العمياء في بعض نماذج التهديد الواقعية؛ مفتاح SSH من النوع ed25519 لديه 256 بتاً من الإنتروبيا وليس كذلك. المفتاح مرتبط أيضاً بالجهاز الذي يعيش فيه، لذا يحتاج المهاجم إلى ملف المفتاح وعبارة المرور التي تُفكِّك تشفيره. عطِّل PasswordAuthentication بالكامل في sshd_config وتنخفض سطح هجوم القوة العمياء إلى صفر.

هل يساعد تغيير منفذ SSH من 22 إلى منفذ عشوائي فعلًا؟

لا يوقف ذلك مهاجمًا مُصرًّا — سيفحص جميع المنافذ الـ 65,535. لكنه يُقلّل بالفعل حجم الضجيج الآلي من الروبوتات التي تجرب المنفذ 22 فقط، مما يعني سجلات أنظف وfail2ban أقل إجهادًا. اختر منفذًا عشوائيًا بين 1024 و65535، ودوّنه في مكان لن تفقده، وحدّث جدار الحماية للسماح به. المكسب الصافي: ضجيج سجلات أقل بنحو 90 بالمئة.

UFW أم nftables — أيهما؟

UFW لمن يتعلم أو يُشغِّل VPS واحداً — إنه غلاف سهل الاستخدام، والصياغة قابلة للقراءة البشرية، ويقع فوق iptables أو nftables تحته. nftables مباشرةً إذا أردت تركيب قواعد أصرم ومجموعات مجهولة أو تُشغِّل أكثر من حفنة من السيرفرات وتريد الاتساق. كلاهما ينتج نفس النتيجة على مستوى النواة.

هل أُشغِّل unattended-upgrades للنواة أيضاً؟

تصحيحات الأمان نعم — فهي تُصلح CVEs الحرجة والبديل هو تركها مفتوحة. ترقيات حزمة النواة الكاملة أكثر خطورة لأنها تحتاج إعادة تشغيل لتسريها؛ لن تُعيد unattended-upgrades التشغيل تلقائياً بشكل افتراضي. اقرأ /etc/apt/apt.conf.d/50unattended-upgrades وقرر: معظم عملاء NordBastion يتركون الإعداد التلقائي على "security-only"، ويُعيدون التشغيل يدوياً شهرياً خلال نافذة هادئة.

هل fail2ban ضروري إذا كنت قد عطّلت المصادقة بكلمة مرور؟

ليس مطلوباً صراحةً — بمجرد إيقاف مصادقة كلمة المرور، لا يمكن لهجوم القوة العمياء على SSH أن ينجح. يظل fail2ban مفيداً للخدمات الأخرى (البريد، صفحات تسجيل دخول تطبيقات الويب، أي شيء له طبقة بيانات اعتماد). تأمين رخيص: apt install fail2ban، اقبل الإعدادات الافتراضية، وتابع. الثلاثون ثانية التي يستغرقها التثبيت تستحق السجلات الأنظف والحماية الإضافية للخدمات.

ماذا عن تشفير القرص الكامل؟

ليس جزءًا من الساعة الأولى — يتطلب تشفير القرص الكامل بمفتاح يحتفظ به المستخدم إما تثبيتًا مخصصًا من ISO (تحميل LUKS عند الإقلاع بعبارة مرور يجب على شخص ما كتابتها) أو خيار NordBastion LUKS-on-provision القادم (خارطة طريق اللوحة). في الوقت الحالي، تعامل مع القرص بوصفه قابلًا للقراءة من NordBastion (في حالة أمر الاستدعاء غير المحتملة) وتعامل مع حماية الولاية القضائية لـ NordBastion بوصفها الطبقة التي تحافظ على أمانه. إن اشترط نموذج تهديدك FDE قبل الإطلاق، ثبّت Debian عبر ISO الإنقاذ في وحدة تخزين LUKS root وافتح القفل عبر وحدة تحكم اللوحة عند كل إقلاع — عملي لكن تغيير ملموس في العبء التشغيلي.

كم مرة يجب أن أأخذ لقطات؟

ثلاثة إيقاعات مفيدة. (1) قبل كل تغيير ذي معنى (ترقية حزمة، تحرير إعداد، ترقية نظام تشغيل). (2) بجدول — مرة في الأسبوع معيار معقول لأي عبء عمل إنتاجي. (3) قبل كل تدريب للتحقق من النسخ الاحتياطية، بحيث يمكنك إثبات أن الاستعادة تعمل. لقطات NordBastion خارج المضيف ومشفَّرة؛ لا تستهلك قرص VPS الخاص بك ويمكن استعادتها في حوالي 90 ثانية.

هل يجب مراقبة VPS، وكيف؟

للساعة الأولى: ليس بعد — أكمل التصليب الأمني، وشغّل حمل العمل، ثم أضف المراقبة بمجرد وجود شيء يستحق المراقبة. خيارات خفيفة الوزن: node_exporter + Prometheus + Grafana على VPS ثانٍ صغير، أو Netdata كلوحة تحكم ذاتية الاستضافة ثنائية واحدة، أو الأبسط، مدقق وقت تشغيل خارجي مجاني (UptimeRobot أو BetterStack) يختبر المنافذ العامة. اختر واحدًا وهيّئه وانسَه — المراقبة أكثر فائدة عندما تبقى صامتة.