100%
GRIMOIRE
الكتابمدونة البيبيمجلدات التوليفالأساس الحديدي
FRENAR
← السابقالتالي →
RATIO
الأساس الحديدي · دعامة الدرس · الأسبوع 15
◆◆◆
تأمين
الأنظمة
الأسبوع 15 من 26 · الوحدة 5 — أنظمة التشغيل على Bare Metal
10 ساعات نظرية · 25 ساعة تطبيقية
◆ الأهداف التعليمية للأسبوع

1. تطبيق مبادئ تصليب أنظمة التشغيل على Linux وWindows Server
2. إعداد وإدارة SSH بأمان
3. إعداد جدار حماية محلي على النظامين
4. إدارة تحديثات الأمان
5. تدقيق إعداد نظام أساسي

◆◆◆
⚠ تنبيه — ديمومة الإصدارات المذكورة

تتطور توصيات التصليب وأدوات جدار الحماية مع إصدارات أنظمة التشغيل. تبقى مبادئ هذه الدعامة صالحة؛ يكيّف المكوِّن الأوامر الخاصة بالتوزيعة وإصدار Windows المستخدمين فعليًا.

Amine RAITI · مهندس بنية تحتية وSRE
وثيقة عمومية · CC BY-NC-SA 4.0 · AI Powered by Amine
عملية ديندون
RATIO
خطة الدرس · 10 ساعات
الخيط النظري الناظم
15.1 · مبادئ تصليب أنظمة التشغيل3 ساعات
— مبدأ الامتياز الأدنى: لا يجب أن يمتلك مستخدم أو خدمة أو عملية إلا الصلاحيات الضرورية بدقة
— تقليص سطح الهجوم: تعطيل الخدمات غير الضرورية، إغلاق المنافذ غير المستخدمة
— فصل الأدوار: لا ينبغي أن يجمع خادم بين أدوار حرجة غير متوافقة
15.2 · تأمين SSH (Linux)ساعتان
— تعطيل المصادقة بكلمة المرور، استخدام مفاتيح SSH فقط
— تغيير المنفذ الافتراضي، تحديد المستخدمين المسموح لهم بالاتصال عبر SSH
— إعداد مهلة الجلسة والعدد الأقصى للمحاولات
15.3 · جدار الحماية المحلي في Linux وWindows3 ساعات
— Linux: مبدأ التصفية حسب الطبقة (تذكير بنموذج OSI، استباق للأسبوع 17)، إعداد القواعد الأساسية
— Windows: جدار حماية Windows Defender، ملفات تعريف الشبكة (نطاق، خاص، عام)، إنشاء قواعد واردة وصادرة
— منطق مشترك: تحديد المسموح به، رفض كل الباقي (قائمة بيضاء مقابل قائمة سوداء)
15.4 · التحديثات والتدقيق الأساسيساعتان
— استراتيجية التحديث: تلقائي مقابل يدوي، أهمية تحديثات الأمان
— تدقيق الإعداد الأساسي: التحقق من الخدمات النشطة، المنافذ المفتوحة، الحسابات غير المستخدمة
RATIO
التمرين التطبيقي 1 · تصليب SSH وجدار حماية Linux · 12 ساعة

المعدات: خادم Linux المُثبَّت في الأسبوع 8، جهاز عميل لاختبار الاتصالات.

(3 ساعات) توليد زوج مفاتيح SSH على الجهاز العميل، نشر المفتاح العام على الخادم، اختبار الاتصال بالمفتاح، تعطيل المصادقة بكلمة المرور.
(ساعتان) تصليب إعداد SSH: تغيير المنفذ، تحديد المستخدمين المسموح لهم، إعداد مهلة الجلسة، التحقق من التغييرات.
(4 ساعات) إعداد جدار الحماية المحلي: تحديد سياسة رفض افتراضية، السماح فقط بالمنافذ الضرورية (SSH على المنفذ الجديد، منافذ التطبيقات المستخدمة)، اختبار الرفض والسماح.
(3 ساعات) تدقيق الإعداد: قائمة الخدمات النشطة، قائمة المنافذ المستمعة، قائمة الحسابات النشطة، تحديد العناصر الواجب تعطيلها وفق مبدأ تقليص سطح الهجوم.
تصحيح التمرين التطبيقي 1

نقطة يقظة حرجة: قبل تعطيل المصادقة بكلمة المرور، يجب دائمًا التحقق من أن الاتصال بالمفتاح يعمل من جلسة مفتوحة منفصلة — إذا كان المفتاح سيئ الإعداد وأُغلقت الجلسة النشطة، يُحجب المرء خارج الخادم. هذا هو الخطأ الأكثر شيوعًا وتكلفة في هذه المرحلة.

نتيجة التدقيق المتوقَّعة: قائمة واضحة تميّز الخدمات الضرورية (يجب الاحتفاظ بها)، الخدمات المفيدة لكن غير الحرجة (تُقيَّم)، والخدمات غير الضرورية (تُعطَّل) حسب الدور المتوقَّع للخادم.

RATIO
التمرين التطبيقي 2 · تصليب Windows Server وإدارة التحديثات · 13 ساعة

المعدات: Windows Server المُثبَّت في الأسبوع 11.

(3 ساعات) تدقيق أولي: سرد جميع الأدوار والوظائف المُثبَّتة، تحديد غير الضروري منها لدور خادم الاختبار، إزالتها بشكل نظيف.
(3 ساعات) إعداد جدار حماية Windows: التحقق من الملف الشخصي النشط، إنشاء قاعدة تسمح بمنفذ محدد واردًا، إنشاء قاعدة تحجب منفذًا غير مستخدَم، اختبار القاعدتين.
(3 ساعات) إدارة التحديثات: التحقق من التحديثات المتوفرة، تطبيق تحديثات الأمان الحرجة، التحقق من النتيجة وإعادة التشغيل إن لزم.
(ساعتان) تدقيق بعد التصليب: مقارنة الحالة الأولية والنهائية (الخدمات، المنافذ، التحديثات)، توثيق التغييرات المُنجَزة وتبريرها.
(ساعتان) مقارنة Linux/Windows: جدول تلخيصي يقاطع إجراءات التصليب المُنجَزة على النظامين — لترسيخ اتساق المفاهيم بين البيئتين.
تصحيح التمرين التطبيقي 2

جدول المقارنة المتوقَّع: SSH في Linux ↔ RDP/WinRM في Windows (وصول عن بعد آمن)، iptables/nftables في Linux ↔ جدار حماية Windows Defender (تصفية الشبكة)، apt/dnf في Linux ↔ Windows Update (التحديثات)، journalctl في Linux ↔ مراقب الأحداث في Windows (السجلات) — المنطق متطابق في الحالتين.

◆ بطاقة تجميع — التقييم الذاتي للأسبوع 15
1. أستطيع شرح مبدأ الامتياز الأدنى.
2. أستطيع إعداد SSH بمصادقة عبر مفتاح وتعطيل كلمات المرور.
3. أستطيع إعداد جدار حماية محلي في Linux بسياسة رفض افتراضية.
4. أستطيع إنشاء قواعد جدار حماية Windows واردة وصادرة.
5. أستطيع تدقيق الخدمات والمنافذ النشطة على خادم.
6. أستطيع تطبيق تحديثات الأمان على Linux وWindows.
7. أستطيع توثيق التغييرات المُنجَزة أثناء تصليب.
8. أستطيع إيجاد التوازي بين إجراءات تصليب Linux وWindows.
← السابقالتالي →