تخطّ إلى المحتوى
AISI
𝕏
سير عمل / أتمتة

نظام مراقبة تلقائي لأمن الخادم وكشف محاولات الاختراق مع تنبيهات ذكية

مراقبة سجلات النظام (Syslog) وتحليل الأنشطة المشبوهة وتوليد ملخص أمني وإرساله عبر Telegram.

الهدف من مسار العمل

حماية البنية التحتية للخوادم محلياً من خلال تحليل سجلات الوصول آلياً وكشف الهجمات السيبرانية وإبلاغ مسؤولي النظام فوراً.

خطوات التشغيل التفصيلية

الخطوات

خطوة

مخطط سير العمل

رسم بياني مُولَّد تلقائيًا

flowchart RL S1["1. تشغيل فحص دوري عبر Cron"] S2["2. الاتصال بالخادم عبر SSH وقراءة..."] S3["3. إرسال السجلات المشبوهة لـ Ollama"] S4["4. تحديث جدار الحماية UFW تلقائياً"] S5["5. إرسال إشعار فوري عبر Telegram"] S1 --> S2 S2 --> S3 S3 --> S4 S4 --> S5 subgraph Tools["🔧 الأدوات المستخدمة"] T0(("n8n")) T1(("Ollama")) T2(("Docker")) T3(("Telegram")) end style Tools fill:#fffbeb,stroke:#f59e0b,stroke-width:1px

التفاصيل البرمجية والتهيئة

مقدمة حول سير العمل

مراقبة سجلات النظام (Syslog) وتحليل الأنشطة المشبوهة وتوليد ملخص أمني وإرساله عبر Telegram.

الهدف من سير العمل

حماية البنية التحتية للخوادم محلياً من خلال تحليل سجلات الوصول آلياً وكشف الهجمات السيبرانية وإبلاغ مسؤولي النظام فوراً.

الأدوات والتقنيات المستخدمة

تم استخدام الأدوات التالية: n8n و Ollama و Docker و Telegram

تفاصيل تنفيذ سير العمل

  • مستوى الصعوبة: advanced
  • الوقت المتوقع للإعداد: 3-4 ساعات
  • محفز التشغيل (Trigger): فحص دوري لسجلات auth.log كل 10 دقائق عبر Cron Job

خطوات العمل (الآلية)

  1. تشغيل فحص دوري عبر Cron
  2. الاتصال بالخادم عبر SSH وقراءة السجلات
  3. إرسال السجلات المشبوهة لـ Ollama
  4. تحديث جدار الحماية UFW تلقائياً
  5. إرسال إشعار فوري عبر Telegram

وصف مفصل

مقدمة حول الأمن السيبراني الذكي للخوادمأصبحت الخوادم المتصلة بالإنترنت عرضة لمحاولات اختراق وهجمات مستمرة من قبل برمجيات خبيثة تحاول كسر كلمات المرور عبر هجمات القوة الغاشمة (Brute Force) أو استغلال الثغرات البرمجية. تعتمد الأنظمة التقليدية على أدوات مثل Fail2ban وهي ممتازة لكنها تفتقر للذكاء السياقي الذي يمكّنها من كشف المحاولات المعقدة أو التنبؤ بنوع الهجوم وصياغة تقارير فنية عربية واضحة للمسؤولين. يستعرض هذا الدليل طريقة بناء نظام أمني هجين يدمج بين الأتمتة المفتوحة ونماذج الذكاء الاصطناعي المحلية لقراءة وتحليل سجلات النظام الأمنية وتنبيه المهندس المسؤول فوراً بتقرير مفصل بالإجراءات الواجب اتخاذها. المتطلبات التقنيةلبناء وتشغيل نظام كشف الاختراقات هذا، يجب توفير المكونات التالية: خادم Linux (Ubuntu/Debian): الخادم المستهدف للمراقبة والحماية. n8n: لتنسيق المهام الدورية وتنفيذ أوامر SSH وإرسال الرسائل. Ollama (مع نموذج Llama 3): لتحليل محتوى السجلات الأمنية وصياغة الملخص الفني بالعربية. Telegram Bot Token & Chat ID: لإعداد قناة الإشعارات الطارئة للمسؤولين. خطوات التثبيت والتكوين1. تهيئة صلاحيات الوصول الآمنننشئ مفتاح SSH خاص بـ n8n يتيح لها الاتصال بالخادم المستهدف وقراءة السجل المخصص للوصول /var/log/auth.log بصلاحيات قراءة فقط (Read-only) لحماية أمن النظام وتجنب منح صلاحيات Root غير الضرورية.2. تكوين الاتصال بوت Telegramننشئ بوت جديداً عبر BotFather على Telegram، ونحفظ التوكن الخاص به، ثم نحصل على معرف الدردشة الشخصي لإرسال الإشعارات المباشرة.3. إعداد مطالبة التحليل الأمني لـ Ollamaنصيغ مطالبة باللغة العربية تطلب من النموذج مراجعة أسطر سجلات الوصول المستخرجة، وتحديد ما إذا كانت تمثل نشاطاً طبيعياً أم هجوماً محتملاً، مع ذكر عنوان IP المهاجم وعدد المحاولات الفاشلة ونوع البروتوكول المستخدم. تفاصيل سير العمل في n8nيتم إعداد عقدة Schedule Trigger لتعمل بشكل دوري كل 10 دقائق. بعد ذلك، تستخدم n8n عقدة Execute Command أو SSH Node لتنفيذ أمر tail -n 100 /var/log/auth.log | grep -i ‘failed’ لجلب آخر 100 سطر فشل تسجيل دخول. يتم تمرير هذه السطور كمدخلات لعقدة Ollama Chat Node التي تقوم بتحليل السلوك الأمني. إذا رأى النموذج أن هذا السلوك يمثل خطراً حقيقياً، تقوم n8n بتشغيل أمر محلي لحظر عنوان IP المهاجم مؤقتاً عبر ufw deny from ، ثم ترسل رسالة منسقة عبر Telegram تحتوي على عنوان IP المحظور، بلد المصدر المتوقع، والتحليل الأمني المفصل للهجوم باللغة العربية الفصحى. أفضل ممارسات الحماية وتجنب الأخطاءلتجنب المشاكل الأمنية أثناء تشغيل هذا النظام: تجنب الحظر الخاطئ (False Positives): قد ينسى أحد موظفي الشركة كلمة مروره ويحاول الدخول عدة مرات فيتم حظره. يجب إعداد قائمة بيضاء (Whitelist) للعناوين الموثوقة والشبكة الداخلية للشركة وتخطي فحصها. أمن مفاتيح SSH: يجب تشفير مفاتيح الاتصال الخاصة بـ n8n وعدم تخزينها بصيغة نص عادي، وتقييد الصلاحيات البرمجية للمستخدم الخاص بـ n8n على الخادم. حجم السجلات المرسلة لـ Ollama: إرسال ملفات سجلات ضخمة جداً قد يؤدي لامتلاء ذاكرة النموذج وبطء الخادم. يجب تصفية الأسطر واختيار الكلمات المفتاحية المهمة فقط قبل إرسالها للتحليل.