سرور محرمانه: پیکربندی حداکثر ناشناسی

اولین گام، کاهش «سطح حمله» و به حداقل رساندن اطلاعاتی است که سرور درباره خودش به اسکنرها نشان می‌دهد:

# تغییر پورت SSH به پورت غیر استاندارد
nano /etc/ssh/sshd_config
# Port 2222

# غیرفعال کردن لاگین root با پسورد
PasswordAuthentication no
PermitRootLogin prohibit-password

# حذف بنر نسخه SSH
DebianBanner no
Banner none

systemctl restart sshd

فایروال با سیاست deny-all:

ufw default deny incoming
ufw default allow outgoing
ufw allow 2222/tcp  # SSH پورت جدید
ufw enable

پنهان‌سازی نسخه nginx از هدرها:

# در nginx.conf:
server_tokens off;

درخواست‌های DNS معمولی متن-باز هستند و محتوای سایت‌های بازدیدشده را فاش می‌کنند. DNSCrypt همه درخواست‌های DNS را رمزنگاری می‌کند:

apt install -y dnscrypt-proxy
nano /etc/dnscrypt-proxy/dnscrypt-proxy.toml

در فایل کانفیگ:

listen_addresses = ['127.0.0.1:53']
server_names = ['cloudflare', 'quad9-dnscrypt-ip4-nofilter-pri']
require_dnssec = true
require_nolog = true
require_nofilter = true

systemctl enable --now dnscrypt-proxy
# ست کردن DNS به localhost
echo "nameserver 127.0.0.1" > /etc/resolv.conf
chattr +i /etc/resolv.conf  # جلوگیری از تغییر خودکار

با «require_nolog = true» فقط از سرورهای DNS که سیاست no-log دارند استفاده می‌شود، که لایه اضافی حریم خصوصی اضافه می‌کند.

ناشناسی کامل نیازمند آگاهی از اینکه چه کسی سعی در دسترسی به سرور دارد است:

# نصب fail2ban برای جلوگیری از brute-force
apt install -y fail2ban
cat > /etc/fail2ban/jail.local << 'EOF'
[DEFAULT]
bantime = 86400
findtime = 600
maxretry = 3

[sshd]
enabled = true
port = 2222
EOF
systemctl enable --now fail2ban

ابزار rkhunter برای تشخیص rootkit:

apt install -y rkhunter
rkhunter --update
rkhunter --check --skip-keypress

اجرای خودکار بررسی هفتگی:

echo "0 3 * * 0 root rkhunter --check --skip-keypress --report-warnings-only | mail -s 'rkhunter report' your@email.com" >> /etc/crontab

این ترکیب از ابزارها یک سرور را به یک دژ دیجیتال تبدیل می‌کند که هم در برابر نفوذ خارجی محافظت می‌کند و هم کمترین ردپای اطلاعاتی را به جا می‌گذارد.