۳۹ نکته برای امن کردن سرورهای لینوکسی

اگر به دنبال محافظت از داده های خود هستید، امن کردن سرورهای لینوکسی از اهمیت بسیار زیادی برخوردار خواهد بود.  ادمین سیستم ها معمولا مسئول امنیت سرورهای لینوکسی هستند. در این مقاله قصد داریم ۳۹ نکته مهم برای امن کردن سرورهای لینوکسی را با هم مرور کنیم. پس همراه وب ایده باشید.

 چک لیست و نکات امن کردن سرورهای لینوکسی:

دستورالعمل های زیر را با این فرض بیان می کنیم که شما از توزیع لینوکس سنت او اس/RHEL یا اوبونتو/دبیان استفاده می کنید.

1. ارتباط داده های خود را رمزنگاری کنید:

هر داده ای که در طول شبکه منتقل می شود را می توان به راحتی مورد بررسی و نظارت قرار داد. برای جلوگیری از مشکلات احتمالی باید هر جایی که برایتان ممکن بود داده های خود را به کمک پسورد یا استفاده از Key رمزگذاری کنید.

• برای انتقال فایل های خود از Scp، SSH، SFTP استفاده کنید. شما همچنین می توانید server file system ریموت راه اندازی کنید.
• GnuPG به شما اجازه می دهد  داده ها و ارتباطات خود را رمزگذاری کرده و امضا نمایید.
• به خاطر داشته باشید که OpenVPn یک VPN مقرون به صرفه و سبک است.

2. از به کار بردن سرویس های ftp، تلنت و Rlogin / Rshخودداری کنید:

در بیشتر پیکربندی های شبکه، نام کاربری، پسوردها، دستورات FTP و تلنت و فایل های منتقل شده را می توان به کمک packet sniffer به دست آورد. راه حل رایجی که برای این مشکل وجود دارد استفاده از گزینه های جایگزین همچون OpenSSH،SFTP، FTPS است که رمزگذاری  SSL یا TLS را به FTP اضافه می کند. برای پاک کردن NIS، RSH و سایر سرویس های قدیمی می توانید از دستور زیر استفاده کنید:

# yum erase xinetd ypserv tftp-server telnet-server rsh-server

اگر از سرورهای مبتنی بر دبیان یا اوبونتو استفاده می کنید برای حذف سرویس های نا امن از دستور زیر استفاده کنید:

$ sudo apt-get –purge remove xinetd nis yp-tools tftpd atftpd tftpd-hpa telnetd rsh-server rsh-redone-server

3. برای کاهش آسیب پذیری بهتر است نرم افزارهای موجود را به حداقل برسانید:

به این فکر کنید که ایا واقعا به تمامی سرویس هایی که بر روی سرور خود نصب کرده اید نیاز دارید؟ از نصب نرم افزارهای غیر ضروری بر روی سرور اجتناب کنید تا اسیب پذیری آن را کمتر نمایید. از مواردی همچون Yum یا apt-get استفاده کنید تا بتوانید تمامی بسته های نرم افزاری نصب شده بر روی سرور را مرور کنید. تمامی بسته های اضافی را حذف کنید:

# yum list installed
# yum list packageName
# yum remove packageName

یا استفاده از دستور زیر:

# dpkg –list
# dpkg –info packageName
# apt-get remove packageName

4. یک سرویس شبکه به ازای هر سیستم یا Instance ماشین مجازی:

سرویس های مختلف شبکه را بر روی سرورهای جداگانه اجرا کنید. اینکار باعث می شود سوء استفاده از سایر سرویس ها به حداقل برسد. به عنوان مثال اگر هکری بتواند از نرم افزاری سوء استفاده کند، قادر خواهد بود به سایر قسمت های سرور نیز دسترسی داشته باشد.

5. کرنل لینوکس و نرم افزارها را به روز نگه دارید:

اعمال patch های امنیتی یکی از بخش های مهم حفظ و نگهداری امنیت سرورهای لینوکسی است.  لینوکس تمامی ابزارهای موردنیاز برای به روزرسانی سیستم را فراهم می کند و بین هر نسخه نیز Upgrade هایی را ارائه می نماید. تمامی به روزرسانی های امنیتی باید مرور شوند و هر چه سریع تر اعمال گردند. می توانید از دستور زیر برای اعمال تمامی به روزرسانی های امنیتی استفاده کنید:

# yum update

یا:

# apt-get update && apt-get upgrade

شما می توانید توزیع های فدورا، سنت او اس و ردهت را به گونه ای پیکربندی کنید تا نوتیفیکیشن های به روزرسانی بسته ها را از طریق ایمیل ارسال نماید. گزینه دیگری که پیش روی خود دارید  اعمال تمامی به روزرسانی های امنیتی از طریق Cron job است.  در توزیع های اوبونتو و دبیان می توانید برای ارسال نوتیفیکیشن های امنیتی از apticron استفاده کنید.

6. از اکستنشن های امنیتی لینوکس استفاده کنید:

همانطور که می دانید لینوکس بسته های امنیتی متعددی را ارائه می کند و می توان از این بسته ها  برای محافظت از سیستم در برابر برنامه هایی که دچار مشکل شده اند یا به درستی پیکربندی نشده اند استفاده کرد. اگر برایتان ممکن بود از SELinux و سایر اکستنشن های امنیتی لینوکس برای اعمال  محدودیت بر روی شبکه خود استفاده کنید. به عنوان مثال SELinux طیف وسیعی از سیاست های امنیتی را برای کرنل لینوکس فراهم می کند.

7. SELinux:

متخصصان توصیه می کنند از SELinux برای بهبود امنیت سرور لینوکسی استفاده شود. این گزینه MAC انعطاف پذیری را فراهم می کند. اجرای MAC سیستم را در برابر اپلیکیشن های بدخواه محافظت می کند.

8. سعی کنید از Policy های قدرتمند برای پسورد و نام کاربری استفاده نمایید:

می توانید برای ایجاد و حفظ اکانت کاربران از دستورات useradd / usermod استفاده کنید. اطمینان حاصل نمایید که از policy قدرتمندی برای پسوردها استفاده می کنید. به عنوان مثال، یک پسورد خوب و قدرتمند حداقل ۸ کاراکتر طول دارد و ترکیبی از الفبا، اعداد، کاراکترهای خاص و حروف بزرگ و کوچک است.  مهم تر از همه این است که پسوردی را انتخاب کنید که به یاد سپاری آن برای خودتان راحت و ساده باشد. از ابزارهایی همچون John the ripper برای یافتن پسوردهای ضعیف در سرور خود استفاده کنید.  برای اعمال policy پسوردها می توانید pam_cracklib.so را پیکربندی کنید.

9. عمر پسورد:

دستور chage، می تواند تعداد روزهایی که بین تغییر پسورد وجود دارد را تعیین کند. این اطلاعات توسط سیستم مورد استفاده قرار می گیرد و مشخص می کند کاربر چه زمانی ملزم به تغییر پسورد خود است.برای غیر فعالسازی این گزینه می توانید از دستور زیر استفاده کنید:

# chage -M 99999 userName

برای کسب اطلاعات در مورد تاریخ انقضای پسورد می توانید عبارت زیر را وارد کنید:

# chage -l userName

شما می توانید فایل /etc/shadow را در فیلدهای زیر ویرایش کنید:

{userName}:{password}:{lastpasswdchanged}:{Minimum_days}:{Maximum_days}:{Warn}:{Inactive}:{Expire}:

که در آن:

• Minimum_days نشان دهنده تعداد روزهای حداقلی است که بین تغییر پسورد وجود دارد. به عنوان مثال تعداد روزهای باقی مانده تا زمانی که کاربر می تواند پسورد خود را دوباره تغییر دهد.
• Maximum_days تعداد روزهای حداکثری است که پسورد می تواند معتبر باشد. بعد از گذشت این مدت زمان، کاربر مجبور به تغییر پسورد خواهد بود.
• Warn تعداد روزهای قبل از منقضی شدن پسورد است. در این حالت به کاربر اخطار داده می شود که بعد از گذشت این مدت زمان باید پسورد خود را تغییر دهد

توصیه می شود به جای ویرایش فایل /etc/shadow، از دستور chage استفاده کنید:

# chage -M 60 -m 7 -W 7 userName

10. برای استفاده از پسوردهای قبلی، محدودیت قائل شوید:

شما می توانید کاربران را از کاربرد پسوردهای قبلی منع کنید. استفاده از ماژول pam_unix به شما کمک می کند تعداد پسوردهای قبلی که دیگر نمی توان آن ها را مورد استفاده قرار داد تعیین کنید.

11. بعد از شکست در لاگین، اکانت کاربر را مسدود کنید:

تحت سرورهای لینوکسی، می توانید از دستور faillog برای نمایش رکوردهای لاگین ناموفق استفاده کنید یا  محدودیتی را برای اینکار تعیین نمایید. برای مشاهده لاگین هایی که با شکست مواجه شده است می توانید دستور faillog را وارد کنید. برای Unlock کردن اکانت پس از شکست در لاگین دستور زیر را مورد استفاده قرار دهید:

faillog -r -u userName

توجه داشته باشید که می توانید از دستور passwd برای قفل کردن و باز کردن اکانت کاربران استفاده کنید:

# lock account
passwd -l userName
# unlocak account
passwd -u userName

۱۲. تعداد اکانت هایی که پسورد خالی دارند را به دست آورید:

برای اینکار می توانید دستور زیر را تایپ کنید:

# awk -F: ‘($2 == “”) {print}' /etc/shadow

حالا تمامی اکانت هایی که پسورد خالی دارند را به کمک دستور زیر ببندید:

# passwd -l accountName

13. اطمینان حاصل نمایید هیج اکانت غیر روتی ، UID خود را بر روی عدد ۰ تنظیم نکرده است:

تنها کاربر روت می تواند UID صفر داشته باشد و به کل سیستم دسترسی یابد. برای نمایش تمامی اکانت هایی که UID صفر دارند دستور زیر را تایپ کنید:

# awk -F: ‘($3 == “0”) {print}' /etc/passwd

باید تنها یک خط را مشاهده کنید:

root:x:0:0:root:/root:/bin/bash

اگر خطوط دیگری را در این دستور مشاهده کردید، آن ها را پاک کنید یا مطمئن شوید که  اکانت هایی با UID صفر، معتبر و تایید شده هستند.

14. لاگین روت را غیر فعال کنید:

هرگز به عنوان کاربر روت وارد سیستم نشوید مگر اینکه به آن نیاز داشته باشید. برای اجرای دستورات سطح روت می توانید از sudo استفاده کنید. این دستور امنیت سیستم را بدون اشتراک گذاری پسورد روت با سایر کاربران و ادمین ها، بهبود می بخشد. این گزینه قابلیت های نظارت و پیگیری را نیز فراهم می کند.

15. امنیت سرور را به صورت فیزیکی تامین کنید:

شما باید دسترسی فیزیکی به سرور را نیز محدود کنید. بایوس را پیکربندی کنید و بوت شدن از دستگاه های خارجی مثل سی دی، دی وی دی و فلش مموری را غیر فعال سازید.  از پسورد بوت لودر و بایوس برای محافظت از این تنظیمات استفاده کنید.

16. سرویس هایی که نیاز ندارید را غیر فعال سازید:

تمامی سرویس ها و سرویس هایی که در بک گراند اجرا می شوند و به آن ها نیازی ندارید را غیر فعال کنید.  باید تمامی سرویس های غیر ضروری را از استارت آپ سیستم پاک کنید. دستور زیر را تایپ کنید تا بتوانید تمامی سرویس هایی که با بوت سیستم اجرا می شوند را مشاهده کنید:

# chkconfig –list | grep ‘3:on'

برای غیر فعال کردن سرویس ها می توانید از دستور زیر استفاده کنید:

# service serviceName stop
# chkconfig serviceName off

17. پورت های Listening شبکه را پیدا کنید:

از دستور زیر برای یافتن تمامی پورت های باز و برنامه های مرتبط با آن استفاده کنید:

netstat -tulpn

شما می توانید از دستور ss نیز به شیوه زیر استفاده کنید:

$ ss -tulpn

18. X Windows را پاک کنید:

بر روی سرور  خود نیازی به X Windows نخواهید داشت. دلیلی برای اجرای آن بر روی ایمیل های اختصاصی و وب سرور آپاچی وجود ندارد. برای بهبود امنیت و عملکرد سرور لینوکسی خود می توانید X Windows را پاک کنید. برای اینکار کافیست /etc/inittab را ویرایش کنید و سطح اجرا(run level) را بر روی ۳ تنظیم نمایید. در نهایت با وارد کردن دستور زیر، X Windows را پاک کنید:

# yum groupremove “X Window System”

بر روی سرورهای سنت او اس ۷ و RHEL 7 از دستورات زیر استفاده کنید:

# yum group remove “GNOME Desktop”
# yum group remove “KDE Plasma Workspaces”
# yum group remove “Server with GUI”
# yum group remove “MATE Desktop”

19. Iptables و TCPWrappers را پیکربندی کنید:

Iptables برنامه ای است که به شما اجازه می دهد فایروال فراهم شده توسط کرنل لینوکس را پیکربندی کنید.  برای فیلتر کردن ترافیک و مسدود کردن ترافیک های ناخواسته می توانید از فایروال استفاده کنید. از  TCPWrappers نیز برای فیلتر کردن دسترسی شبکه به اینترنت استفاده نمایید.به کمک Iptables می توانید جلوی بسیاری از denial of service attacks را بگیرید.

20. فایل /etc/sysctl.conf را امن کنید:

این فایل برای پیکربندی پارامترهای کرنل مورد استفاده قرار می گیرد. لینئکس تنظیمات موجود در این فایل را در زمان بوت می خواند و اعمال می کند. نمونه ای از فایل /etc/sysctl.conf را در ادامه مشاهده می کنید:

# Turn on execshield

kernel.exec-shield=1

kernel.randomize_va_space=1

# Enable IP spoofing protection

net.ipv4.conf.all.rp_filter=1

# Disable IP source routing

net.ipv4.conf.all.accept_source_route=0

# Ignoring broadcasts request

net.ipv4.icmp_echo_ignore_broadcasts=1

net.ipv4.icmp_ignore_bogus_error_messages=1

# Make sure spoofed packets get logged

net.ipv4.conf.all.log_martians = 1

21. پارتیشن های مختلف دیسک را جدا کنید:

جدا کردن فایل های سیستم عامل از فایل های کاربر می تواند سیستم شما را امن تر سازد و عملکرد آن را بهبود ببخشد. مطمئن شوید که filesystem های زیر در پارتیشن های جداگانه ای قرار دارند:

• /usr
• /home
• /var and /var/tmp
• /tmp

برای آپاچی و سرور FTP نیز پارتیشن های جداگانه ای ایجاد کنید.  فایل /etc/fstab را ویرایش نمایید و سپس مطمئن شوید که گزینه های پیکربندی زیر را بدان اضافه می کنید:

• noexec: اجازه اجرای باینری ها را در این پارتیشن نمی دهد
• nodev: اجازه استفاده از دستگاه ها یا کاراکترهای خاص را نمی دهد
• nosuid: دسترسی به SUID/SGID را مجاز نمی داند.

به نمونه کد زیر توجه کنید. در این نمونه،  دسترسی کاربر به دایرکتوری روت FTP Server محدود شده است:

/dev/sda5  /ftpdata          ext3    defaults,nosuid,nodev,noexec 1 2

22. دیسک های خود را سهمیه بندی کنید:

اطمینان حاصل نمایید که سهمیه بندی دیسک برای تمامی کاربران فعال شده است. برای سهمیه بندی دیسک مراحل زیر را طی کنید:

• با اصلاح فایل /etc/fstab سهمیه را به ازای هر file system فعال کنید
• فایل سیستم را دوباره نصب کنید
• فایل پایگاه داده سهمیه را ایجاد کنید و جدول مصرف دیسک را تولید نمایید
• سیاست های سهمیه بندی را اختصاص دهید

23. IPV6 را غیر فعال کنید:

اگر از IPV6 استفاده نمی کنید حتما آن را غیر فعال نمایید.

24. باینری های SUID و SGID که لازم ندارید را غیر فعال کنید:

زمانی که SUID/SGID دچار مشکلات امنیتی یا باگ باشند، تمامی فایل هایی که در آن SUID/SGID bit فعال شده است ممکن است دچار سوء استفاده گردند. هر کاربر ریموت یا لوکالی می تواند از چنین فایل هایی استفاده کند. بهتر است این فایل ها را پیدا کنید. از دستور زیر برای اینکار استفاده نمایید:

تمامی ID های کاربر را مشاهده کنید:

find / -perm +4000

تمامی گروه های فایل ID را مشاهده نمایید:

find / -perm +2000

۲۵٫  فایل های World-Writable:

همانطور که می دانید هر فردی می تواند فایل های World-Writable را اصلاح نماید و همین امر موجب بروز مشکلات امنیتی می شود. از دستور زیر برای یافتن تمامی فایل های World-Writable استفاده کنید:

find /dir -xdev -type

d \( -perm -0002 -a ! -perm -1000 \) -print

باید هر کدام از فایل های گزارش شده را بررسی کنید، کاربر را اصلاح کنید و group permission مناسبی به آن ها اختصاص دهید. اگر دوست داشتید می توانید آن ها را پاک کنید.

26. فایل هایی که صاحب و مالکی ندارند:

فایل هایی که مالکی ندارند یا به گروه خاصی اختصاص ندارند می توانند مشکلات امنیتی زیادی در سرورهای لینوکسی ایجاد کنند. کافیست آن ها را به کمک دستور زیر بیابید:

find /dir -xdev \( -nouser -o -nogroup \) -print

حالا هر کدام از این موارد را بررسی کنید ، گروه یا کاربر خاصی را به آن ها اختصاص دهید یا کلا حذف نمایید.

27. از سرویس تایید هویت مرکزی استفاده کنید:

بدون سیستم تایید هویت مرکزی، داده های تایید هویت کاربر ناپایدار خواهد بود و همین امر می تواند به اکانت های فراموش شده یا قدیمی منجر شود.سرویس تایید هویت مرکزی به شما اجازه می دهد بر روی اکانت ها و داده های مرتبط با تایید هویت، کنترل خوبی داشته باشید.

28. Kerberos:

Kerberos تایید هویت را به عنوان یک سرویس تایید هویت third party معتبر انجام می دهد. شما می توانید لاگین ریموت داشته باشید، به صورت ریموت کپی کنید،  فایل های داخل سیستم را امن تر سازید.

29. لاگین و نظارت را پیکربندی کنید:

برای جمع آوری تمامی اطلاعات مرتبط با هک کردن و کرک کردن، باید سیستم لاگین و نظارت را پیکربندی کنید. به طور پیش فرض، syslog داده ها را در دایرکتوری /var/log/ذخیره می کند.

30. به کمک Logwatch / Logcheck پیام های مشکوک را بررسی کنید:

به کمک دستور logwatch می توانید فایل لاگ خود را بخوانید. این ابزار خواندن فایل لاگ را راحت تر می کند. گزارش نمونه ای از syslog را در ادامه مشاهده می کنید:

################### Logwatch 7.3 (03/24/06) ####################

        Processing Initiated: Fri Oct 30 04:02:03 2009

        Date Range Processed: yesterday

                              ( ۲۰۰۹-Oct-29 )

                              Period is day.

      Detail Level of Output: 0

              Type of Output: unformatted

           Logfiles for Host: www-52.nixcraft.net.in

  ##################################################################

 ——————— Named Begin ————————

 **Unmatched Entries**

    general: info: zone XXXXXX.com/IN: Transfer started.: 3 Time(s)

    general: info: zone XXXXXX.com/IN: refresh: retry limit for master ttttttttttttttttttt#53 exceeded (source ::#0): 3 Time(s)

    general: info: zone XXXXXX.com/IN: Transfer started.: 4 Time(s)

    general: info: zone XXXXXX.com/IN: refresh: retry limit for master ttttttttttttttttttt#53 exceeded (source ::#0): 4 Time(s)

 ———————- Named End ————————-

  ——————— iptables firewall Begin ————————

 Logged 87 packets on interface eth0

   From 58.y.xxx.ww – 1 packet to tcp(8080)

   From 59.www.zzz.yyy – 1 packet to tcp(22)

   From 60.32.nnn.yyy – 2 packets to tcp(45633)

   From 222.xxx.ttt.zz – 5 packets to tcp(8000,8080,8800)

 ———————- iptables firewall End ————————-

 ——————— SSHD Begin ————————

 Users logging in through sshd:

    root:

       ۱۲۳٫xxx.ttt.zzz: 6 times

 ———————- SSHD End ————————-

 ——————— Disk Space Begin ————————

 Filesystem            Size  Used Avail Use% Mounted on

 /dev/sda3             ۴۵۰G  ۱۸۵G  ۲۴۱G  ۴۴% /

 /dev/sda1              ۹۹M   ۳۵M   ۶۰M  ۳۷% /boot

 ———————- Disk Space End ————————-

 ###################### Logwatch End #########################

31. از auditd استفاده کنید:

auditd  برای بررسی و نظارت بر سیستم فراهم شده است. این گزینه مسئول نوشتن رکوردهای بررسی و نظارت در دیسک است.  در طول استارت آپ، قوانینی که در /etc/audit.rules وجود دارد توسط  این daemon خوانده می شود. شما می توانید فایل /etc/audit.rules را باز کنید و  تغییراتی همچون موقعیت فایل لاگ و سایر موارد را بر روی آن اعمال نمایید. به کمک auditd می توانید به سوالات زیر نیز پاسخ دهید:

• رویدادهای شات داون و استارت سیستم
• تاریخ و زمان رویداد
• کاربری که مسئول رویداد بوده است
• نوع رویداد
• موفقیت یا شکست رویداد
• تاریخ و زمان رویدادهایی که اصلاح شده است
• یافتن افرادی که در تنظیمات شبکه تغییراتی ایجاد کرده اند.

32. سرور OpenSSH را امن تر سازید:

پروتکل SSH برای لاگین ریموت و انتقال فایل های ریموت توصیه می شود. با اینحال این گزینه نیز راه را برای حملات بسیاری باز می کند. سعی کنید سرور OpenSSH را امن تر سازید.

33. Intrusion Detection System را نصب کرده و مورد استفاده قرار دهید:

اینکار می تواند شما را در برابر حملات مختلف مصون نگه دارد.

34. دستگاه های USB/firewire/thunderbolt را غیر فعال سازید:

دستور زیر را برای غیر فعال کردن دستگاه های USB بر روی سیستم لینوکس تایپ نمایید:

# echo ‘install usb-storage /bin/true' >> /etc/modprobe.d/disable-usb-storage.conf

برای غیر فعال کردن ماژول های firewire و thunderbolt از دستورات زیر استفاده کنید:

# echo “blacklist firewire-core” >> /etc/modprobe.d/firewire.conf
# echo “blacklist thunderbolt” >> /etc/modprobe.d/thunderbolt.conf

35. سرویس هایی که مورد استفاده قرار نمی گیرد را غیر فعال کنید:

شما می توانید به کمک دستور زیر اینکار را انجام دهید:

$ sudo systemctl stop service
$ sudo systemctl disable service

36. از fail2ban/denyhost به عنوان سیستم تشخیص نفوذ استفاده کنید:

این گزینه ها می توانند فایل لاگ را اسکن کنند و تلاش های لاگینی که با شکست مواجه شده اند را نشان دهند. می توان fail2ban را به راحتی نصب کرد:

$ sudo apt-get install fail2ban

یا:

$ sudo yum install fail2ban

37. سرور آپاچی/php/Nginx را امن سازید:

فایل httpd.conf را  ویرایش کنید و موارد زیر را بدان بیفزایید:

ServerTokens Prod

ServerSignature Off

TraceEnable Off

Options all -Indexes

Header always unset X-Powered-By

38. فایل ها، دایرکتوری ها و ایمیل ها را محافظت نمایید:

لینوکس محافظت های خوبی در برابر داده ها و دسترسی های تایید نشده ارائه می کند. Permission ها و MAC  مانع از دسترسی تایید نشده به داده ها می شود. با اینحال اگر هکری دسترسی فیزیکی به رایانه و سرور داشته باشد استفاده از این گزینه ها نامرتبط خواهد بود. در این شرایط فرد می تواند به راحتی هارد دیسک رایانه را به سیستم دیگری انتقال دهد و داده های حساس را آنالیز و کپی نماید.برای محافظت از فایل ها و پارتیشن های خود از ابزارهای زیر استفاده کنید:

• برای رمزگذاری و آشکارسازی رمز، از دستور gpg استفاده کنید
• رمزگذاری کامل دیسک برای محافظت از داده ها ضروری است.
• اطمینان حاصل نمایید که ایمیل روت به اکانتی که همیشه بررسی می کنید فوروارد می شود.

39. بک آپ گیری را فراموش نکنید:

مطمئنا از اهمیت بک آپ گیری در سیستم های لینوکسی آگاه هستید. یک بک آپ خوب می تواند در موارد ناخواسته کمک فراوانی به شما بکند.