HTML CSS JAVASCRIPT PHP PYTHON SQL LINUX LARAVEL
DevArabi
دورة تعلم Linux

مراقبة الأمان في Linux: Logs، Alerts، ومؤشرات الخطر

السابق التالي

تأمين النظام لا ينتهي عند إعداد firewall وSSH. بدون مراقبة مستمرة، قد لا تلاحظ الهجوم إلا بعد الضرر.

في هذا الدرس ستتعلم أساسيات Monitoring Security بطريقة عملية ومناسبة للمبتدئين.

ما الفرق بين Monitoring وSecurity Monitoring؟

  • Monitoring عام: صحة النظام والأداء
  • Security Monitoring: اكتشاف سلوك مشبوه ومحاولات اختراق

الهدف هو الدمج بين الاثنين لرؤية تقنية وأمنية متكاملة.

المؤشرات الأمنية الأساسية التي يجب مراقبتها

  • محاولات login الفاشلة المتكررة
  • تغيرات غير متوقعة في المستخدمين أو الصلاحيات
  • منافذ جديدة مفتوحة فجأة
  • استهلاك CPU/RAM غير طبيعي
  • تغيرات حساسة في ملفات النظام

مراقبة المصادقة والدخول

sudo tail -f /var/log/auth.log
sudo grep -i "Failed password" /var/log/auth.log | tail
sudo journalctl -u ssh -n 100

ارتفاع محاولات الدخول الفاشلة قد يعني brute-force جارٍ.

مراقبة الخدمات والمنافذ

systemctl --failed
ss -tulpn
sudo lsof -i -P -n | head
المؤشر متى يقلقك؟
خدمة فاشلة تعطل متكرر أو غير مبرر
منفذ جديد يفتح بدون تغيير مخطط له
عملية غير معروفة تستهلك موارد أو تستمع على الشبكة

مراقبة الموارد لاكتشاف سلوك غير طبيعي

top
free -h
df -h
uptime

spike مفاجئ في الموارد قد يكون بسبب خلل تطبيقي أو نشاط ضار.

مراقبة التغييرات الحساسة في النظام

sudo ls -l /etc/passwd /etc/shadow /etc/sudoers
sudo getent group sudo
sudo crontab -l

راقب أي تغييرات غير متوقعة في الحسابات، الصلاحيات، أو المهام المجدولة.

إعداد تنبيه بسيط عبر سكربت

#!/bin/bash
FAILED=$(grep -c "Failed password" /var/log/auth.log)
if [ "$FAILED" -gt 20 ]; then
  logger -t sec-monitor "High failed SSH logins: $FAILED"
fi

يمكن جدولة هذا السكربت عبر cron كل 5 أو 10 دقائق.

استخدام أدوات مساعدة للمراقبة الأمنية

  • fail2ban: حظر تلقائي لمحاولات brute-force
  • auditd: تتبع أحداث حساسة
  • Wazuh/SIEM: تجميع وتحليل logs على نطاق أكبر

Checklist Monitoring Security يومي

  1. راجع auth logs وfailed logins
  2. تحقق من الخدمات الفاشلة
  3. راجع المنافذ المستمعة
  4. تحقق من الموارد الأساسية
  5. راجع أي تغييرات في المستخدمين والصلاحيات
نصيحة عملية: الثبات أهم من التعقيد. ابدأ بمراقبة بسيطة يومية ثم وسّع الأدوات تدريجيًا.

تمرين عملي: Security Monitoring مصغّر

sudo grep -i "Failed password" /var/log/auth.log | tail -n 20
systemctl --failed
ss -tulpn | head
free -h
df -h
sudo journalctl -p err -n 30

إذا استطعت استخراج المؤشرات الأساسية يوميًا، فأنت تطبق أساس المراقبة الأمنية بشكل صحيح.

FAQ: أسئلة شائعة حول Monitoring Security في Linux

لماذا المراقبة الأمنية مهمة في Linux؟

لأنها تكشف مبكرا محاولات الاختراق أو الأعطال قبل تحولها إلى حادثة أمنية كبيرة.

ما أهم logs يجب مراقبتها في Linux؟

أهمها سجلات المصادقة مثل /var/log/auth.log وسجلات الخدمات الحرجة عبر journalctl.

كيف أبدأ monitoring بسيط بدون أدوات معقدة؟

ابدأ بأوامر top وss وjournalctl مع سكربت بسيط يسجل المؤشرات ويرسل تنبيه عند القيم غير الطبيعية.

الخطوة التالية

في القسم القادم سنبدأ Docker في Linux خطوة بخطوة.

التالي: Docker Intro
السابق التالي
المحرر الذكي

اكتب الكود وشاهد النتيجة فوراً

جرب الآن مجاناً
قناة ديف عربي

تابع أحدث الدروس والتحديثات مباشرة على واتساب

انضم الآن