العقل الثاني العلني
Second Mind — gpt4ar

📜 دليل الحيران لامتلاك خادمٍ في أمان: كيف تبني حصنك الرقمي؟

2026-01-31العودةالزيارات: 1047
تحت المراجعة
VPSSecurityOpenClawGuideSelf-Hosting
مفاهيم ذات صلة
Agent SafetyLocal ExecutionLocal-first GatewaySandboxing

🏰 دليل الحيران لامتلاك خادمٍ في أمان

كيف تبني حصنك الرقمي خطوة بخطوة؟

☕ مقدمة: لماذا هذا الدليل؟

يا مرحباً بك في عالم الخوادم! مع الثورة الحالية في عالم الذكاء الاصطناعي، أصبح امتلاك خادم خاص (VPS) ضرورة لا ترفاً، خاصة إذا كنت تريد تشغيل وكلاء مستقلين مثل OpenClaw ليديروا حياتك وعملك بخصوصية تامة.

لكن، اعلم أن امتلاك خادم يشبه امتلاك منزل بباب مفتوح على الشارع العام. إذا لم تغلق الأبواب والنوافذ، سيدخل المتطفلون في ثوانٍ!

لا تقلق، في هذا الدليل سنحول هذا "البيت الزجاجي" إلى قلعة حصينة لا يدخلها إلا أنت.

استراتيجيتنا بسيطة: الدفاع بالعمق

سنبني طبقات حماية متعددة، بحيث لو فشلت واحدة، تصدت الأخرى:

الطبقة وظيفتها بالعامية الأدوات التقنية
الأولى الهوية مستخدمين + مفاتيح SSH
الثانية الإخفاء Tailscale + UFW
الثالثة الحراسة Fail2Ban
الرابعة الصيانة تحديثات + نسخ احتياطي

🛠️ أولاً: صندوق العدة

قبل أن نبدأ البناء، دعنا نجهز الأدوات اللازمة حتى لا نتوقف في منتصف الطريق. سنحتاج لبعض البرامج الأساسية.

انسخ هذه الأوامر وألصقها في خادمك:

# 1. لنبدأ بصفحة جديدة وتحديث النظام
sudo apt update && sudo apt upgrade -y

# 2. تنصيب أدوات الحماية (الحارس، الجدار، وأدوات الفحص)
sudo apt install -y ufw fail2ban unattended-upgrades rkhunter chkrootkit curl git

# 3. ضبط التوقيت (مهم جداً لتعرف متى حدث أي شيء في السجلات)
# استبدل Asia/Riyadh بمدينتك
sudo timedatectl set-timezone Asia/Riyadh

👤 الفصل الأول: لا تكن "المدير العام" (Root)

الهدف: إنشاء مستخدم جديد | وداعاً للـ Root

الدخول باسم root يعني أنك تمشي وفي جيبك "المفتاح الماستر" الذي يفتح ويحذف كل شيء. خطأ واحد بسيط قد يمسح خادمك بالكامل!

الحل؟ اصنع "نسخة" لك بصلاحيات محدودة، واستدعِ المدير فقط عند الحاجة.

1. لنصنع مستخدماً جديداً (استبدل noureddine باسمك):

adduser noureddine

2. أعطه صلاحية الإدارة (Sudo) ليستخدمها عند الضرورة:

usermod -aG sudo noureddine

3. لنجهز له "غرفة" للمفاتيح:

mkdir -p /home/noureddine/.ssh
chmod 700 /home/noureddine/.ssh
touch /home/noureddine/.ssh/authorized_keys
chmod 600 /home/noureddine/.ssh/authorized_keys
chown -R noureddine:noureddine /home/noureddine/.ssh

نصيحة: الآن، سجل خروجك وجرب الدخول بالمستخدم الجديد. لا تستخدم Root للدخول المباشر بعد اليوم!

🔑 الفصل الثاني: المفتاح الرقمي (SSH Keys)

الهدف: إرسال المفتاح | إلغاء كلمات المرور

كلمات المرور (Passwords) هي تقنية الستينات. يمكن تخمينها وسرقتها. الطريقة الحديثة هي "المفتاح الرقمي"؛ ملف مشفر تملكه أنت فقط على جهازك، وبدونه لا يفتح الباب.

على جهازك الشخصي (وليس الخادم):

1. اصنع المفتاح (إذا لم يكن لديك واحد):

ssh-keygen -t ed25519

2. أرسل النسخة العامة للخادم:

ssh-copy-id noureddine@YOUR_SERVER_IP

3. جرب الدخول الآن:

ssh noureddine@YOUR_SERVER_IP

⚠️ توقف لحظة: هل نجح الدخول بدون كلمة مرور؟ ممتاز! انتقل للخطوة التالية. إذا لم ينجح، لا تكمل حتى تصلح الأمر.

🚪 الفصل الثالث: تمويه الأبواب (SSH Hardening)

الهدف: تغيير المنفذ | إغلاق الثغرات القديمة

المنفذ رقم 22 هو أشهر باب في العالم، والكل يطرقه. سنقوم بتغيير رقم الباب وإلغاء كلمات المرور نهائياً.

على الخادم:

1. افتح ملف الإعدادات:

sudo nano /etc/ssh/sshd_config

2. ابحث عن هذه القيم وغيّرها لتصبح هكذا:

Port 2222                   # غيّرنا الرقم للتمويه
PasswordAuthentication no   # وداعاً لكلمات المرور
PermitRootLogin no          # ممنوع دخول المدير العام مباشرة
PubkeyAuthentication yes    # نعم للمفاتيح الرقمية
MaxAuthTries 3              # 3 محاولات فقط للمخطئين

3. احفظ الملف (Ctrl+O ثم Enter ثم Ctrl+X).

4. أعد تشغيل الخدمة:

sudo systemctl restart ssh

⚠️ تحذير هام: لا تغلق النافذة الحالية! افتح نافذة جديدة وجرب الدخول بالمنفذ الجديد: bash ssh -p 2222 noureddine@YOUR_SERVER_IP هل نجحت؟ الآن يمكنك إغلاق النافذة القديمة بأمان.

🧱 الفصل الرابع: بناء السور (Firewall - المرحلة 1)

الهدف: بناء الجدار الأولي

تخيل خادمك كبيت فيه 65,000 نافذة! الجدار الناري يغلقها كلها ويفتح فقط ما نحتاجه. حالياً سنفتح نافذة صغيرة لندخل منها حتى نجهز النفق السري.

# لنبدأ من الصفر
sudo ufw --force reset

# القاعدة الذهبية: ممنوع الدخول، مسموح الخروج
sudo ufw default deny incoming
sudo ufw default allow outgoing

# اسمح بالمنفذ الجديد (مؤقتاً)
sudo ufw allow 2222/tcp comment 'SSH-temp'

# ارفع الجدار!
sudo ufw enable

🚇 الفصل الخامس: النفق السري (Tailscale)

الهدف: الاختفاء التام عن الإنترنت

هذه هي الخطوة السحرية! سنستخدم Tailscale لربط جهازك بالخادم عبر "نفق خاص". بعد هذه الخطوة، سيختفي خادمك من الإنترنت العام تماماً!

الخطوة 1: التنصيب على الخادم

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

سيظهر لك رابط، انسخه وضعه في متصفحك لتربط الخادم بحسابك.

الخطوة 2: التنصيب على جهازك

حمّل تطبيق Tailscale على لابتوبك وسجل بنفس الحساب.

الخطوة 3: هل نحن متصلون؟

اعرف عنوان IP الجديد الخاص بـ Tailscale:

tailscale ip -4

(سيكون شيئاً مثل 100.x.x.x).

من لابتوبك، جرب الدخول عبر هذا الـ IP:

ssh -p 2222 [email protected]

⚠️ اللحظة الحاسمة: هل نجح الاتصال عبر 100.x.x.x؟ إذا نعم، فلنغلق الباب العام ونرمي المفتاح!

الخطوة 4: الإغلاق التام (Stealth Mode)

# تأكد من اسم كرت الشبكة (غالباً tailscale0)
ip a

# اسمح فقط للقادمين عبر النفق
sudo ufw allow in on tailscale0

# احذف القاعدة المؤقتة (وداعاً للإنترنت العام)
sudo ufw delete allow 2222/tcp

# تأكد من الوضع الحالي
sudo ufw status

🎉 النتيجة: خادمك الآن "شبح". لا أحد يراه إلا أنت. 👻

👮 الفصل السادس: الحارس الشخصي (Fail2Ban)

الهدف: حماية إضافية من الداخل

حتى مع كل هذا، نحتاج لحارس يراقب السلوكيات المريبة. أي شخص يخطئ 3 مرات؟ يُطرد فوراً.

1. اكتب تعليمات الحارس:

sudo nano /etc/fail2ban/jail.local

2. ألصق هذه التعليمات:

[DEFAULT]
bantime = 1h          # مدة العقوبة ساعة
findtime = 10m        # يراقب آخر 10 دقائق
maxretry = 3          # 3 فرص فقط
# نتجاهل شبكة Tailscale حتى لا تحظر نفسك بالخطأ!
ignoreip = 127.0.0.1/8 100.64.0.0/10

[sshd]
enabled = true
port = 2222
maxretry = 3
bantime = 1h

3. شغّل الحارس:

sudo systemctl enable fail2ban
sudo systemctl restart fail2ban

🔄 الفصل السابع: الصيانة وراحة البال

الهدف: التحديث التلقائي | الذاكرة الإضافية | النسخ الاحتياطي

أنت مشغول، دع الخادم يعتني بنفسه.

1. التحديث التلقائي:

sudo dpkg-reconfigure --priority=low unattended-upgrades

(وافق بـ Yes).

2. الذاكرة الوهمية (Swap):

إذا كنت ستشغل ذكاء اصطناعي، فالذاكرة (RAM) قد تمتلئ بسرعة. الـ Swap هو "خزان احتياطي" يحمي النظام من الانهيار.

# إنشاء 2 جيجا احتياطية
sudo fallocate -l 2G /swapfile
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile
echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab

3. النسخ الاحتياطي (Backups):

هناك نوعان من النسخ الاحتياطي:

1. النسخ التلقائي (Auto Backups)

فعله من لوحة تحكم المزود (مثل Hetzner أو DigitalOcean) ليأخذ نسخة أسبوعية شاملة.

ادخل لوحة التحكم، ابحث عن Backups واضغط Enable.

صدقني، الـ 1 دولار الذي ستدفعه هنا سينقذ حياتك يوماً ما.

2. لقطات النظام (Snapshots)

خذ لقطة يدوية قبل تنصيب أي أداة كبيرة (مثل OpenClaw). إذا حدث خطأ، يمكنك العودة للحالة السليمة في ثوانٍ.

💡 نصيحة: Snapshots هي "صورة فورية" للخادم في لحظة معينة. استخدمها قبل أي تغيير كبير!

🔍 الفصل الثامن: الجولة التفقدية

الهدف: التأكد من نظافة الخادم

مرة كل شهر، قم بجولة سريعة للتأكد من عدم وجود "زوار غير مرغوب فيهم".

# تحديث قاعدة بيانات المحقق
sudo rkhunter --update

# بدء التحقيق
sudo rkhunter --check --skip-keypress

# فحص سريع آخر
sudo chkrootkit

# من كان هنا مؤخراً؟
last -a | head -10

🤖 الفصل التاسع: ترويض وكلاء الذكاء الاصطناعي

الهدف: بيئة معزولة وآمنة

إذا كنت ستشغل OpenClaw أو أي وكيل AI، تذكر أنهم ينفذون أكواداً برمجية. لا تتركهم يلعبون في ملفات النظام! استخدم Docker لعزلهم في "صندوق رمل".

1. تنصيب Docker:

sudo apt install -y docker.io
sudo usermod -aG docker $USER

(سجّل خروج ودخول لتفعيل الصلاحية).

2. تشغيل الوكيل بأمان:

docker run -d \
  --name my-ai-agent \
  --memory="4g" \
  --cpus="1.0" \
  --security-opt no-new-privileges:true \
  --read-only \
  -v /home/noureddine/ai-data:/data:rw \
  your-ai-image

🚀 الفصل العاشر: مركز القيادة (XPipe)

الهدف: إدارة الخادم بسهولة من سطح المكتب

هل تعبت من كتابة أوامر SSH الطويلة وتذكر أرقام المنافذ؟

أداة XPipe هي "لوحة قيادة" رائعة ومجانية تعمل على جهازك الكمبيوتر (Windows/Mac/Linux). تسمح لك بالوصول لخادمك، تصفح الملفات، وحتى الدخول لحاويات Docker بضغطة زر، وكأن الخادم مجلد على سطح مكتبك!

لماذا XPipe؟

  • يكتشف اتصالات SSH وملفات الإعداد تلقائياً.

  • يدعم مفاتيح SSH التي أنشأناها.

  • يتكامل بشكل ممتاز مع Tailscale.

  • يتيح لك تعديل الملفات على الخادم باستخدام محررك المفضل (VS Code, Notepad++, etc.) مباشرة.

كيف تربطه بحصنك الرقمي؟

  1. حمّل XPipe من موقعه الرسمي: xpipe.io وثبته على جهازك.

  2. افتح البرنامج واضغط على Add New Connection ثم اختر SSH.

  3. املأ البيانات كالتالي (لربطه عبر النفق الآمن):

  4. Host: ضع عنوان IP الخاص بـ Tailscale (مثلاً 100.x.x.x).
  5. Port: المنفذ الذي حددناه 2222.
  6. User: اسم المستخدم الخاص بك (مثلاً noureddine).

  7. Authentication: اختر Identity File ثم حدد ملف المفتاح الخاص (الذي أنشأته في الفصل الثاني).

  8. اضغط Connect.

الآن، خادمك بأكمله تحت تصرفك في واجهة رسومية جميلة! يمكنك سحب وإفلات الملفات، أو فتح التيرمينال بضغطة زر دون الحاجة لتذكر أي شيء.

📝 الملخص: هل قمت بكل شيء؟

احتفظ بهذه القائمة لليلة هانئة:

التأسيس القوي

  • [ ] أنشأت مستخدماً جديداً (وليس Root).

  • [ ] أرسلت مفتاح SSH.

  • [ ] ألغيت كلمات المرور.

  • [ ] غيّرت منفذ SSH إلى 2222.

  • [ ] بنيت الجدار الناري (UFW).

  • [ ] وظفت الحارس (Fail2Ban).

  • [ ] فعّلت التحديث التلقائي والـ Swap.

  • [ ] فعّلت Auto Backup من الشركة المستضيفة.

اللمسات الاحترافية

  • [ ] نصّبت Tailscale.

  • [ ] تأكدت أن الاتصال يعمل عبر النفق.

  • [ ] أغلقت الباب العام (SSH via Internet).

  • [ ] عزلت وكلاء AI داخل Docker.

  • [ ] جهزت XPipe للوصول السهل والسريع.

🆘 نداء استغاثة! (ماذا لو...)

نسيت كلمة المرور أو ضاع المفتاح؟

← لا تقلق. ادخل لموقع الشركة المستضيفة، واستخدم ميزة Console (VNC). ستفتح لك شاشة كأنك جالس أمام الخادم مباشرة، ومن هناك يمكنك الدخول وإنقاذ الموقف.

حبست نفسي خارج الجدار الناري؟

← نفس الحل السابق (Console)، ثم اكتب sudo ufw disable لتعطيل الجدار مؤقتاً وإصلاح الخطأ.

الخادم يزحف ببطء؟

← اكتب htop لترى من يلتهم الموارد.

شككت باختراق؟

  1. افصل الإنترنت فوراً.

  2. لا تحاول الإصلاح، غالباً لن تنجح.

  3. استرجع نسخة احتياطية (Backup) نظيفة من الأسبوع الماضي.

📊 خريطة الطريق النهائية

        أنت 👤
           │
           │ XPipe & Tailscale
           ▼
    ┌─────────────────┐
    │  🚇 النفق الآمن  │
    └────────┬────────┘
             │
             ▼
    ┌─────────────────┐      ┌─────────────┐
    │ 🧱 الجدار الناري │◄─────│ الإنترنت 🌍 │
    └────────┬────────┘      │ محاولة هجوم │
             │               └─────────────┘
        ┌────┴────┐
        │         │
        ▼         ▼
   ┌────────┐  ┌──────────┐
   │⛔ بلوك │  │✅ مسموح  │
   │ فوراً  │  │ بالدخول  │
   └────────┘  └────┬─────┘
                    │
                    ▼
           ┌───────────────────┐
           │ 👮 الحارس Fail2Ban │
           └─────────┬─────────┘
                     │
                     ▼
           ┌───────────────────┐
           │  🔑 باب SSH 2222   │
           └─────────┬─────────┘
                     │
                     ▼
           ┌───────────────────┐
           │ 🐳 صندوق الوكلاء   │
           └───────────────────┘

            خادمك المحمي 🏰

ودمتم سالمين في حصونكم الرقمية! 🛡️

تم التحديث: 2026

📥 تنزيل بصيغة Markdown
روابط
تواصل
© 2026 جميع الحقوق محفوظة.