🛡️ چک‌لیست جامع امنیتی سیستم‌عامل‌های Red Hat / SUSE و سامانه CRM/CBS

🧱 ۱. اطلاعات کلی سیستم‌عامل

بررسی نسخه سیستم‌عامل
دستور: cat /etc/os-release
بررسی نسخه کرنل
دستور: uname -r
بررسی وضعیت آپدیت‌ها
- RedHat:
  yum check-update
  yum updateinfo list security all
- SUSE:
  zypper lu
  zypper list-patches --category security
سامانه CRM فاقد هرگونه به‌روزرسانی است → نیازمند اجرای Audit طبق صلاحدید اداره ایمنی همراه

🔐 ۲. کاربران، رمزها و دسترسی‌ها

🛠 ۳. ابزارها و مدیریت سیستم‌ها

بررسی ابزار BOMT:
- نصب پچ‌ها و ورژن‌ها از مخزن ADM و بارگذاری در BOMT
- لیست کاربران دارای دسترسی:
  - سعید یوسفی
  - رضا ملک‌زاده
  - محمد حسنی
  - میلاد ساقی
بررسی ابزارهای ریموت:
- SecureCRT و MobaXterm (نسخه‌های کرک شده)
- اطلاع‌رسانی به تیم سرویس درباره وضعیت کرک بودن ابزارها
بررسی استفاده از Workbench در DV8 (بدون دسترسی root)

🧪 ۴. آسیب‌پذیری‌ها و بررسی امنیتی

اجرای ابزارهای اسکن امنیتی مانند:
- lynis، chkrootkit، rkhunter
بررسی فایل‌های SUID:
دستور: find / -type f -perm /4000 2>/dev/null
بررسی فایل‌های قابل نوشتن توسط همه (world-writable):
دستور: find / -xdev -type f -perm -0002 2>/dev/null
بررسی فایل‌های cron و تسک‌های زمان‌بندی شده

📦 ۵. بسته‌ها و سرویس‌ها

لیست سرویس‌های فعال
دستور: systemctl list-units --type=service
غیرفعال‌سازی سرویس‌های غیرضروری و ناشناس
لیست پکیج‌های نصب شده
دستور: rpm -qa
بررسی زمان نصب پکیج‌های اخیر
بررسی سرویس‌های فعال در هنگام بوت
دستور: systemctl list-unit-files | grep enabled

🌐 ۶. شبکه، فایروال و امنیت

بررسی پورت‌های باز
دستور: ss -tulnp یا nmap
بررسی NAT / فورواردینگ
دستور: cat /proc/sys/net/ipv4/ip_forward
بررسی وضعیت SELinux یا AppArmor:
- Red Hat → sestatus
- SUSE → aa-status
بررسی تنظیمات SSH:
فایل: /etc/ssh/sshd_config
- اطمینان از غیر فعال بودن PasswordAuthentication (باید no باشد)
- اطمینان از غیر فعال بودن PermitRootLogin (باید no باشد)
بررسی فایروال:
- RHEL: firewalld
- SUSE: firewalld یا SuSEfirewall2
- دستور: iptables -L -n -v
بررسی تنظیمات DNS:
- فایل /etc/hosts
- فایل /etc/resolv.conf
اطمینان از ارسال اطلاعات سیستم‌ها فقط به صورت رمزنگاری‌شده و در فایل رمزدار از طریق ایمیل رسمی

🧾 ۷. لاگ‌ها و مانیتورینگ

بررسی و فعال‌سازی سرویس auditd
بررسی فایل‌های لاگ مهم:
- /var/log/secure
- /var/log/messages
- /var/log/audit/audit.log
بررسی ابزار DV8 برای مانیتورینگ اپلیکیشن‌ها و دیتابیس‌ها
بررسی سیستم لاگ مرکزی یا فورواردینگ به SIEM

📊 جدول ارزیابی ریسک‌ها

دسته‌بندی	مشکل / ریسک	سطح ریسک	توضیحات
مدیریت هویت و دسترسی	حساب‌های مشترک (مثل 'common'، 'sshuser')	بالا	عدم وجود مسئولیت فردی؛ ردگیری فعالیت‌ها غیرممکن یا دشوار
مدیریت هویت و دسترسی	استفاده از ترمینال سرور توسط همه کاربران	بالا	یک نفوذ می‌تواند همه کاربران را تحت تاثیر قرار دهد
مدیریت هویت و دسترسی	استفاده از Password Manager Pro	متوسط	نیاز به مدیریت دقیق دسترسی کاربران، بررسی لاگ‌ها و الزام MFA برای دسترسی به مخزن
مدیریت هویت و دسترسی	دسترسی jump server بدون MFA	بالا	امکان نفوذ مهاجم برای دسترسی به کل زیرساخت
مدیریت پچ و تنظیمات	استفاده از SUSE 12 SP5	بالا	پشتیبانی طولانی مدت (LTSS) تا 31 اکتبر 2027؛ از پشتیبانی اصلی خارج شده است
مدیریت پچ و تنظیمات	نبود فرآیند به‌روزرسانی دوره‌ای	بالا	افزایش احتمال آسیب‌پذیری در برابر حملات شناخته‌شده
امنیت برنامه‌ها و API	وب‌اپلیکیشن RESTful با دسترسی به همه سرورها	بحرانی	نقطه واحد نفوذ؛ نیاز به احراز هویت و اعتبارسنجی قوی
امنیت برنامه‌ها و API	وب‌اپلیکیشن DMS آسیب‌پذیر به حملات ورودی و دسترسی ضعیف	بالا	خطر دسترسی غیرمجاز، نشت اطلاعات و تغییر در لاگ‌ها
امنیت برنامه‌ها و API	ابزار اعتبارسنجی با استفاده از SSH	متوسط	ذخیره‌سازی امن اعتبارنامه‌ها و نیاز به ممیزی
شبکه و تقسیم‌بندی	شبکه تخت با دسترسی آزاد بین سرورها	بالا	پیشنهاد می‌شود میکروسگمنتیشن انجام شود
شبکه و تقسیم‌بندی	دسترسی jump host به همه سرورها	بالا	نیاز به کنترل دسترسی و لاگ‌برداری دقیق
لاگینگ و مانیتورینگ	وجود مدیریت لاگ مرکزی ولی نیازمند پایش مستمر	بالا	خطر اجرای کوئری‌های مخرب، دسترسی غیرمجاز به لاگ‌ها و تغییر داده‌های مانیتورینگ
بدافزار و ریسک زنجیره تامین	استفاده از نرم‌افزارهای کرک شده	بحرانی	تنها نصب نرم‌افزارهای امضا شده و معتبر توصیه می‌شود
پشتیبان‌گیری و بازیابی	عدم ذکر فرایندهای پشتیبان‌گیری یا تست نشده بودن	بالا	پشتیبان‌ها باید رمزنگاری شده، خارج از محل نگهداری شده و به صورت دوره‌ای تست شوند

⚠️ نگرانی‌ها

به دلیل به‌روزرسانی نشدن بسته‌های CBS، آسیب‌پذیری‌هایی وجود دارد که ممکن است مورد سوءاستفاده قرار گیرد. لیست کامل آسیب‌پذیری‌ها در در پایین آمده
ابزار DF قابلیت حذف منابع و تغییر پیکربندی را دارد و به تمامی منابع دسترسی کامل دارد، پس دسترسی به آن باید به شدت کنترل شود.
برخی بسته‌های نصب شده روی Terminal Server، مانند Mobaxterm و SecureCRT که نسخه کرک شده دارند، ریسک امنیتی بالایی دارند.

📦 لیست بسته‌های دارای آسیب‌پذیری مهم

بسته نرم‌افزاری	نسخه	آسیب‌پذیری‌ها و ریسک‌های مهم	نمونه CVEها
sudo	1.8.27-4.48.2	ارتقای دسترسی (Privilege Escalation)، سرریز بافر heap	CVE-2021-3156 (Baron Samedit)
polkit	polkit-default-privs-13.2-22.9.1	نفوذ به ریشه (Local root exploit)	CVE-2021-4034 (PwnKit)
kernel-default	4.12.14-122.228.1	ارتقای دسترسی، Dirty COW / Dirty Pipe	CVE-2016-5195، CVE-2022-0847
openssl	1.1.1d-2.110.2, 1.0.2p-1.13	افشای اطلاعات، اجرای کد از راه دور (RCE)	CVE-2022-0778، CVE-2021-3711
python-2.7.18	33.35.1	RCE، غیرایمن بودن در دسیریالیزاسیون، سرریز بافر	CVE-2021-3177، CVE-2019-9948
libtiff5	4.0.9-44.86.1	سرریز حافظه/DoS در پردازش تصویر	CVE-2019-6128، CVE-2017-9935
pam	1.1.8-24.59.1	ضعف در احراز هویت	CVE-2019-6206
systemd	228-157.63.1.x86_64	ارتقای دسترسی، RCE	CVE-2018-15686، CVE-2019-3842
samba-libs	4.15.13+git…	RCE، DoS، نشت اعتبارنامه	CVE-2021-44142، CVE-2020-1472
dbus-1	1.8.22-44.1	ارتقای دسترسی محلی	CVE-2019-12749، CVE-2018-20544
libcurl4/openssl/wget	curl-8.0.1-11.92.1.x86_64	ضعف در TLS/SSL، تزریق کد، نشت اطلاعات	CVE-2021-22946، CVE-2021-3449
shadow/passwd-utils	-	ارتقای دسترسی، تصاحب حساب	CVE-2017-2616، CVE-2018-7169
cups	-	RCE، ارتقای دسترسی	CVE-2020-3898، CVE-2017-18248
perl/python2/ruby	چند ماژول	RCE در ماژول‌ها، غیرایمن بودن در دسیریالیزاسیون	CVE-2016-1238، CVE-2019-8325
sssd	1.16.1-7.65.1	دور زدن احراز هویت، DoS	CVE-2018-16838، CVE-2019-3811
firewalld/iptables	-	دور زدن سیاست‌ها، DoS	CVE-2019-10155