حماية نبائط لينُكس

مُحدَّث في18 May 2021

الفهرس

…يجري تحميل الفهرس…

    إذا كنتم تستعملون إحدى توزيعات نظام التشغيل لينُكس، فلربما تكونون قد سمعتم أنه يستعصي على الاختراقات، لكنّ هذا غير صحيح. فالأمان يتوقّف على توليفة من كيفية استخدامنا النظام و تصميم النظام و إتقان تطبيقاته العديدة، و هي التي يمكننا أن نجد فيها ثغرات أمنية في أي وقت. الخطوات التالية تساعدكم على زيادة تأمين نظامكم، فاحرصوا على مراجعة التضبيطات المذكورة فيها من حين لآخر.

    هذا الدليل مفصّل على توزيعة أوبونتو، لكن حتّى إذا كنتم تستعملون غيرها فستجدون الدليل مفيدًا لمعرفة الجوانب المستهدفة بالتأمين و البحث عن كيفية أداء الإجراءات تفصيليا في وثائق و شروحات التوزيعة التي تستخدمونها و منتديات دعم المستخدمين.

    دليل مرئي

    يمكنكم الرجوع إلى هذا الدليل المرئي لمساعدتكم أثناء إجراء الخطوات في القائمة.

    الحرص على استخدام أحدث إصدارة ذات دعم طويل المدى من نظام التشغيل

    • عند تحديث البرمجيات ينبغي عمل ذلك من موضع آمن، مثل المنزل أو مقرّ العمل، لا من مقهى إنترنت أو مكان عمومي.
    • تحديث نظام التشغيل قد يجري على مراحل، مما يتطلّب تنزيل برمجيات و إعادة تشغيل النبيطة عدّة مرات، لذا فقد يستلزم تخصيص وقت كافٍ له لا تجدون أنفسكم أثناءه مضطرين إلى استخدام النبيطة نفسها. أجروا خطوات مقارنة الإصدارة العالمة لديكم بأحدث إصدارة متاحة و كرّروا ذلك إلى أن لا تتبقى تحديثات غير منصّبة لديكم.
    • أنظمة لينُكس عموما معروفة بأنها أكفأ في استغلال الموارد الحاسوبية، لذا فهي تمكّن من استغلال العتاد لمدّة أطول و إبطاء التقادُم التقني. لكن إذا كانت المتطلّبات العتادية لحدث إصدارة من إحى توزيعات لينُكس تفوق إمكانات عتادكم فجرّبوا إحدى التوزيعات الخفيفة المُصمّمة خصّصيا للعتاد الأقدم مثل لوبونتو.
    • تُستحسن إعادة تشغيل النظام بعد تنصيب التحديثات للتيقّن من تمام تنصيبها.
    • تمكنكم معرفة أحدث إصدار من نظام أوبونتو في موقع المشروع.
    • ثم مقارنتها بالإصدارة المنصّبة في نظامكم حاليا.
    المزيد عن توصيتنا هذه

    تُكتشف كُلّ يوم نقاط ضعف في الأكواد البرمجية الي تشغِّل النبائط و نظم التشغيل و التطبيقات، لأنّه لا يوجد إجراء يمكنه التنبوء بكّل العيوب و نقاط الضعف المحتملة بسبب التعقيد البالغ لتلك البرمجيات و تعدُّد طبقاتها. المهاجمون يستغلّون تلك الثغرات للنفاذ إلى النظم.

    يُصدِر مطوّرو البرمجيات تحديثات لإصلاح عيوب اكتُشِفت بعد صدور البرمجيات أو سدّ ثغرات أمنية، لذا فمن الضروري الحرص على تنصيب أحدث إصدارات نظام التشغيل لكل نبيطة تستعملونها، و يُستحسن ضبط نُظُمكم لتجري التحديثات تلقائيا دوريًّا، لإزاحة هذا العبء عنكم.

    استخدام تطبيقات موثوق بها

    • تنصيب البرمجيات يكون بطريق تطبيق Ubuntu Software الذي يجلبها من مستودعات التطبيقات القياسية للتوزيعة، و كذلك المستودعات التي تضيفونها.
    المزيد عن توصيتنا هذه

    تطبيق "برمجيات أوبونتو" (Ubuntu Software) هو التطبيق المستخدم لتنزيل و تنصيب التطبيقات في أوبونتو. يُستحسن عدم تنصيب تطبيقات إلا من المستودعات القياسية للتوزيعة التي يديرها مطوّرو النظام. لا تثقوا في الحزم البرمجية المنشورة على مواقع وِب إلّا إن تحرّيتم عن سمعة من ورائها و تثقون فيهم.

    ادرسوا المنهجية التي على أساسها نزكّي التطبيقات في عُدَّة الأمان.

    إزالة التطبيقات غير الضروريّة

    المزيد عن توصيتنا هذه

    تُكتشف كُلّ يوم نقاط ضعف في الأكواد البرمجية التي تشغِّل النبائط و نظم التشغيل و التطبيقات، لأنّه لا يوجد إجراء يمكنه التنبوء بكّل العيوب و نقاط الضعف المحتملة بسبب التعقيد البالغ لتلك البرمجيات و تعدُّد طبقاتها. المهاجمون يستغلّون تلك الثغرات للنفاذ إلى النظم. لذا من الضروري تنصيب التحديثات و استعمال أحدث الإصدارات من نظام التشغيل لكل العتاد الذي تستخدمونه، و نوصي دومًا بتفعيل وظيفة التحديث التلقائي لتقليل هذا العبء عنكم.

    مراجعة أذون التطبيقات

    المزيد عن توصيتنا هذه

    التطبيقات التي لها النفاذ إلى بيانات أو خدمات حسّاسة، مثل الموضع الجغرافي أو الميكروفون أو الكاميرا أو إعدادات النظام يمكن أن تتسرّب منها تلك البيانات أو يستغلّها المخترقون، لذا ينبغي سحب الأذون التي لا يلزمكم أن تحوزها التطبيقات لأداء ما تريدون منها من وظائف.

    تعطيل وظيفة الموضع الجغرافي و محو سجلّاتها

    • يُفضّل تعطيل وظيفة تحديد المواقع عمومًا، أو في الأثناء التي لا تحتاجونها فيها، على مستوى النظام كلّه و على مستوى كلّ تطبيق.
    • راجعوا سجّل المواضع الجغرافية و محوه إن كان قد سبق لكم تفعيل هذه الوظيفة.
    • كيفية تعطيل وظيفة تحديد المواقع مشروحة في وثائق أوبونتو.
    المزيد عن توصيتنا هذه

    تحفظ نبائط كثيرة تاريخ تحرّكاتنا باستخدام نظام GPS أو أبراج شبكة الهاتف أو شبكات WiFi. إذا حفظت نبيطتكم سجّل تحرّكاتكم فمن الممكن أن يستخرجه شخص بغير إذنكم لتتبعّكم، أو لإثبات وجودكم في مواضع بعينها في أوقات بعينها أو بصحبة أشخاص بعينهم.

    إنشاء حسابات مختلفة لمستخدمي النظام

    • يفضّل إنشاء أكثر من حساب واحد في النظام، بحيث يكون لأحدها الصلاحيات الإدارية و الباقين مستخدمين عاديين.
      • ينيغي ألّا يكون لغيركم نفاذ إلى الحساب الإداري.
      • الحسابات العادية يجب ألّا يُسمح لها بالنفاذ إلى كل التطبيقات و الملفات و التضبيطات في النظام.
    • يُفضّل استعمال حساب غير إداري للأعمال اليومية:
      • و قصر استخدام الحساب الإداري على أداء المهام التي تتطلّب إجراء تضبيطات متعلّقة بالنظام أو تغيير إعدادات الأمان و تنصيب البرمجيات.
      • استعمال حساب عادي يقلّل تعرّض النظام لمخاطر البرمجيات الخبيثة.
      • عند عبور الحدود قد يكون من المفيد وجود حساب مُخصّص لمثل هذه الظروف مفتوحًا في الحاسوب. أعملوا حُكمَكم في إن كان من المُرجّح أن تصادر السلطات النبيطة لفحصها بعناية، أم الأرجح أن يلقوا عليها نظرة سريعة. إذا كانت الثانية فاستخدام حساب عادي لإجراء المهام غير الحسّاسة قد يكون غطاء مقبولا.
    • إدارة حسابات المستخدمين
    • إدارة الصلاحيات الإدارية
    المزيد عن توصيتنا هذه

    نحثّكم بشدّة على ألا تتشاركوا النبائط التي تستخدمونها في الأعمال الحسّاسة مع غيركم، لكن إذا اضطررتم إلى فعل ذلك فتمكنكم حماية المعلومات الحسّاسة بإنشاء حسابات مختلفة للمستخدمين.

    حذف الحسابات غير المستخدمة

    المزيد عن توصيتنا هذه

    ما لم تقصدوا منح آخرين نفاذًا إلى نبيطة فالأحسن عدم ترك ذلك الباب مفتوحًا (و هو ما يُعرف بتقليص سطح التعرّض). كما أنّ مراجعة الحسابات القائمة في النبيطة قد يكشف لكم وجود حسابات لم تنشئوها!

    قفل الشاشات

    • ينبغي ضبط الشاشة على الانقفال تلقائيًّا بعد برهة من التوقّف عن استعمال النبيطة.
    • [يجب وضع عبارة سرّ طويلة، من عشرة محارف على الأقل، لا كلمة سرّ قصيرة و لا رقم تعريف PIN.
    • تفعيل الولوج ببصمات الأصابع و قزحية العين و ملامح الوجه أو الصوت لفتح قفل الشاشة قد يُستخدم رُغما عنك، لذا يُستحسن تجنّب هذه الوسائل إلّا إن كانت لديكم إعاقة توجب ذلك.
    • تنبغي إزالة بصمة الأصبع من النبيطة إن كنتم قد سجّلتموها بالفع، و ذلك من إعدادات > المستخدمين، ثم الضغط على "مُفعّل" التي تقابل "الولوج بالبصمة" و الضغط على "حذف البصمات".
    المزيد عن توصيتنا هذه

    للوهلة الأولى قد تبدو الهجمات التقنية التهديد الأخطر للأمان، لكن في الواقع من الأرجح أن تُصادر النبيطة أو تُسرق، لذا ينبغي وضع كلمة سرّ على قفل الشاشة لكي لا يتمكّن غيركم من النفاذ إليها بمجرّد تشغيلها.

    ننصح بتجنّب أقفال الشاشة غير كلمة السرّ، فقد تُرغَمون على فتح قفل الشاشة بشكل وجهكم أو صوتكم أو عينكم أو بصمة أصبعكم في حال ما اعتقلتم أو فُتِّشتم. فمن يحوز النبيطة بين يديه يمكنه استخدام برمجية لكسر كلمة السرّ القصيرة أو أرقام التعريف الشخصية. كذلك يمكن تخمين أنماط الأقفال بالنظر إلى آثار الأصابع على الشاشة. كما أنّ من لديه طبعة من بصماتك يمكنه عمل نسخة منها و استخدامها لفتح القفل. أيضا استُخدِمَت أساليب مشابهة لخداع الأقفال بصورة الوجهة.

    لهذه الأسباب فإنّ آمن قفل هو كلمة السرّ الطويلة.

    ما يظهر عند قفل الشاشة

    المزيد عن توصيتنا هذه

    قفل الشاشة القوي يوفّر بعض الحماية إذا سُرِقَت النبيطة أو صودِرَت، لكن إذا لم تمنعوا التنويهات من الظهور على شاشة القفل، فإنّ من يحوز النبيطة ستمكنه رؤية معلومات متسرّبة عن معارفكم و من يتراسل معكم و الرسائل التي تصلكم.

    وضع شاشة للخصوصية

    • شاشات الخصوصية رقائق بلاستيكية شفّافة تلصق على شاشات الحواسيب و النبائط لتصعيب رؤية ما عليها على من يسترقون النظر.
    المزيد عن توصيتنا هذه

    عادة ما نظن أنّ الهجمات على نظم المعلومات عالية التقنية دومًا، لكن الواقع أن مدافعين عن حقوق الإنسان تعرّضوا لسرقة بياناتهم أو اختراق حساباتهم بواسطة شخص استرق النظر إلى شاشاتهم من وراء ظهرهم أو استخدم كاميرا مراقبة لذلك الغرض. شاشات الخصوصية تصعّب على الخصوم فعل ذلك، و هي تُباع في دكاكين بيع كماليات الهواتف و الحواسيب.

    تغطية الكاميرا

    • عليكم ابتداءً تبيُّن ما إذا كانت توجد كاميرا في النبيطة. أغلب الحواسيب المحمولة تحوي كاميرات، و كذلك بعض شاشات سطح المكتب، و قد توجد أكثر من كاميرا إذا كنتم تصلون كاميرا خارجية إلى جانب المُضمّنة في النبيطة.
    • أغطية الكاميرا خفيضة التقنية: ضعوا ضمادة لاصقة على الكاميرا بحيث يكون الجزء المبطّن على العدسة و اللاصق حولها، و عندما تريدون استخدام الكاميرا تمكن إزالة الغطاء بسهولة و دون تخريب العدسة.
    • أو ابحثوا في دكاكين كماليات النبائط عن غطاء رقيق لعدسة كاميرا الوِب، مع ملاحظة أهمية كون الغطاء "رقيقًا" لأنّ السميك قد يحول دون غلق الحاسوب المحمول كما ينبغي.
    المزيد عن توصيتنا هذه

    بعض البرمجيات الخبيثة تستخدم الكاميرا المُضمَّنة في النبيطة دون أن تلاحظوا بغرض مراقبتكم أو التقاط صور لكم أو لمن حولكم، أو لمحيطكم.

    فصل الاتصالات غير المستخدمة

    المزيد عن توصيتنا هذه

    الوايفاي WiFi شبكة بيانات لاسلكية تمكّن النبائط المحمولة من الاتّصال بالشبكات الحاسوبية و منها الإنترنت باستخدام موجات الراديو، و ذلك بطريق نبيطة خاصة عادة ما تكون مُتّصلة بشبكة الاتصالات السلكية، و تُسمّى "المُسيِّرة". شبكة الهاتف تمكّننا أيضا من الاتصال بالشبكات الحاسوبية الأخرى بطريق الأبراج الخليوية. الاتصالات الحقلية القريبة (NFC) و البلوتوث وسائل اتّصال لاسلكية أخرى تصل النبائط القريبة من بعضها البعض باستخدام موجات كهرومغناطيسية لاسلكية أيضًا. كل أنواع الاتّصالات هذه مفيدة، إلا أنّ تشبيك النبائط ببعضها البعض يفتح باب استغلال الاتصّال للنفاذ بغير إذن إلى شبكات الآخرين و نبائطهم و بياناتهم.

    لذا فمن المفيد تعطيل وسائل الاتّصال التي لا نحتاج إليه، بالذات الوايفاي و البلوتوث، لتقليل الوقت المتاح للمهاجم في محاولته لاختراقها دون أن يلفت نظر مستخدم النبيطة إلى وجود أمر مريب مثل بطئ النبيطة أو سخونتها بسبب انشغالها بمعالجة أوامر المخترق و برمجياته.

    تنظيف قائمة شبكات الوايفاي

    • يُستحسن حفظ أسماء شبكات الوايفاي و كلمات سرّها في تطبيق إدارة كلمات السرّ عوضا عن قائمة النظام.
    • من المحبّذ حذف قائمة شبكات الوايفاي التي سبق للنبيطة تحسُّسها أو الشبك بها، و كذلك تعطيل "الاتصال التلقائي" و "متاحة للمستخدمين الآخرين"
    المزيد عن توصيتنا هذه

    عندما تفعّلون وظيفة الاتّصال بشبكات الوايفاي في نبيطتكم فإنّها تبحث عن أي شبكة وايفاي من تلك التي سبق الشبك بها، و ذلك بطريق النداء على كل شبكة في قائمتها لترى إن كانت ستجيب النداء. لذا فمن يُراقب الطيف التردُّدي في الجوار يمكنه تمييز النبيطة بسبب تفرُّد قائمة الشبكات التي تحفظها، و لأنها على الأغلب تحوي اسم شبكة المنزل و شبكة المكتب، بالإضافة إلى شبكات بيوت المعارف و الأماكن العامة التي ترتادونها. لذا فهذه البصمة تتيح للمُراقب تمييز الشخص المستهدف و معرفة الأماكن التي يتردّد عليها.

    لحماية أنفسكم من هذا النوع من الاستهداف احذفوا أسماء شبكات الوايفاي من نبيطتكم أوّلا بأوّل و اضبطوها على ألّا تتذكر أي شبكة تشبك بها. هذا سيبطئ سرعة الاتّصالات التالية لكنه حفظ هذه البيانات في مدير كلمات السرّ يحفظها لكم عند الحاجة، و هو أدعى للأمان.

    تعطيل التشاركات

    لا يمكن لأوبونتو مشاركة الملفات تلقائيًّا. إذا كنتم متأكدين من أن المشاركة مفعّلة في النظام فتحقّقوا مِن إنْ كان يتوجّب عليكم تعطيلها. إذا تعذّر عليكم إيجاد تحكّمات المشاركة فهذا على الأرجح يعني أن مكونّات النظام المطلوبة ليست منصّبة و أنّ وظيفة المشاركة ليست مفعّلة.

    المزيد عن توصيتنا هذه

    في بعض النبائط وظيفة التشارك في الملفات أو الخدمات مع مَنْ حولنا، و هي مفيدة، إلّا أنّ تركها عاملة دون حاجة إليها قد يتيح استغلالها من قبل مهاجمين بغرض النفاذ إلى الملفات في نبيطتنا.

    استعمال جدار نار

    • يوجد في أوبونتو جدار نار هو UFW و له واجهة رسومية اسمها Gufw
      • اضبطوا "الوارد" على "ممنوع" و "الصادر" على "مسموح"
    المزيد عن توصيتنا هذه

    جدران النار من وظائف التأمين، و هي تمنع الاتّصالات غير المرغوب فيها من أو إلى النظام. و مثل البوّاب الواقف عند المدخل ليحدّد من المسموح لهم بالدخول و من المسموح لهم بالخروج، فجدار النار يفحص الاتّصالات المارة عليه خروجا من النظام و دخولا. نحثّكم على تفعيل جدار النار لمنع البرمجيات الخبيثة من النفاذ إلى النظام. في أغلب الحالات تكون الإعدادات الاستبدائية كافية.

    لا تكون جدران النار دومًا مُفعّلة استبدائيًا، لكن هذا لا يعني أنّ النظام مفتوح على مصراعيه أمام كُلِّ الاتصالات الواردة من الشبكة، بل يعني أنّ مطوّري البرمجيات واثقون من أنّ برمجياتهم لا تقبل إلا الاتصالات التي يُفترض بها قبولها، مثل المبنى الذي لا بوّاب له و لا كاميرات مراقبة لأن مصمّميه يعلمون جيّدا أي منافذه موصدة جيّدا و أيها مفتوح و إلى أين تؤدّي.

    جدران النار تحمي الحواسيب و الشبكات عند وجود تطبيق عامل في النظام يقبل الاتصالات في ظروف لا يُفترض به قبولها فيها، أو لم تكن في حُسبان مُصمّميه، أو عندما توجد به عيوب برمجية تُمكِّن المخترِقين تجاوز الحماية المُطبّقة فيه. جدران النار التي تُراق بالاتّصالات الخارجة مفيدة في تنبيهنا إلى وجود برمجية في كنف النظم تسعى إلى سرقة بيانات بمحاولة إخراجها من نطاق الشبكة أو النظام الحاسوبي دون إذن. عند تفعيل مراقبة الاتّصالات الخارجة في جدار النار فسيكون عليكم بذل بعض الجهد في تدريبه على التعرف على الاتصالات المسموح بها لكي لا يطلق إنذارات كاذبة.

    مصادر أخرى

    إجابات أسئلة شائعة

    س: أصحيح أنّ نظام لينُكس لا يُصاب بالفيروسات لأنّ أغلب البرمجيات الخبيثة مُصمّمة لوِندوز؟

    ج غير صحيح، فمع أنّ أغلب البرمجيات الخبيثة تستهدف وِندوز، إلّا أنه توجد برمجيات خبيثة للينُكس إذا ضغطتم على رابط ناقل للعدوى أو فتحتم مرفقة حاملة لبرمجية خبيثة. يوجد المزيد عن البرمجيات الخبيثة في عُدَّة الأمان.

    س: هل أوبونتو أمنع على الاختراق من وِندوز أو ماك‌أوإس

    ج: ليس بالضرورة، فصيرورة اكتشاف نقاط الضعف و استغلالها هي نفسها تقريبا في كل نظم التشغيل.