2026-06-09 · 9 دقائق قراءة

أفضل ممارسات أمان Odoo: تقوية خادمك في 2026

أفضل ممارسات أمان Odoo 2026 — تكوين جدار الحماية، تقوية SSH، تشفير قاعدة البيانات، تحديد المعدل، ومنع ناقلات الهجوم الأكثر شيوعاً.

لماذا تُستهدف خوادم Odoo

تحتوي مثيلات Odoo على بيانات أعمال قيمة: معلومات العملاء والسجلات المالية واستراتيجيات التسعير وجهات الاتصال الموردة. يمكن أن يؤدي خادم Odoo المخترق إلى سرقة البيانات أو فدية أو تعطيل الأعمال.

تُعد عمليات نشر Odoo الصغيرة والمتوسطة أهدافاً متكررة لأنها غالباً ما تعمل بتكوينات افتراضية وكلمات مرور ضعيفة.

1. استخدم كلمات مرور قاعدة بيانات قوية وفريدة

كلمة مرور قاعدة بيانات PostgreSQL موجودة في /etc/odoo/odoo.conf كنص عادي.

أنشئ كلمة مرور عشوائية: openssl rand -base64 32

اضبط أذونات الملف:
sudo chmod 600 /etc/odoo/odoo.conf

2. قيّد وصول قاعدة البيانات إلى localhost

افتراضياً، يستمع PostgreSQL على جميع واجهات الشبكة.

حرّر /etc/postgresql/*/main/postgresql.conf:
listen_addresses = 'localhost'

أعد تشغيل PostgreSQL:
sudo systemctl restart postgresql

3. قم بتكوين جدار حماية واسمح فقط بالمنافذ الضرورية

أغلق جميع المنافذ باستثناء تلك التي تحتاج إليها صراحةً:

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable

4. عطّل مدير قاعدة بيانات Odoo

في odoo.conf:
list_db = False

هذا يعطل واجهة مدير قاعدة البيانات.

5. حافظ على تحديث Odoo والتبعيات

يتم اكتشاف ثغرات أمنية بانتظام في Odoo ومكتبات Python وحزم النظام. الخوادم غير المُصلَّحة أهداف سهلة.

قائمة الصيانة الشهرية:
1. تحقق من إصدارات GitHub لـ Odoo للحصول على تصحيحات أمنية
2. حدّث Odoo إلى أحدث إصدار فرعي
3. حدّث حزم النظام: sudo apt update && sudo apt upgrade
4. حدّث تبعيات Python: pip install --upgrade -r requirements.txt
5. أعد تشغيل Odoo بعد التحديثات: sudo systemctl restart odoo

إذا تم الإعلان عن CVE حرج، قم بالتصحيح فوراً.

6. مكّن HTTPS واستخدم شهادات SSL قوية

تشغيل Odoo عبر HTTP ينقل كلمات المرور ورموز الجلسة والبيانات كنص عادي.

استخدم Let's Encrypt (مجاني، تجديد تلقائي):
sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d odoo.yourcompany.com

يقوم Certbot تلقائياً بتكوين Nginx لـ:

  • إعادة توجيه HTTP → HTTPS
  • استخدام مجموعات تشفير قوية
  • تمكين HSTS

اختبر تكوين SSL الخاص بك:
https://www.ssllabs.com/ssltest/

استهدف تصنيف A+.

7. قم بتنفيذ تحديد المعدل لمحاولات تسجيل الدخول

هجمات القوة الغاشمة على /web/login شائعة.

تحديد معدل Nginx:
أضف إلى /etc/nginx/sites-available/odoo:

limit_req_zone $binary_remote_addr zone=login:10m rate=5r/m;

location /web/login {
limit_req zone=login burst=2;
proxy_pass http://127.0.0.1:8069;
}

هذا يسمح بـ 5 محاولات تسجيل دخول في الدقيقة لكل IP.

Fail2ban (حماية على مستوى النظام):
sudo apt install fail2ban

يحظر عناوين IP التي تُطلق 5 محاولات فاشلة خلال 10 دقائق.

8. دقق أذونات المستخدم بانتظام

الموظفون يغادرون، والأدوار تتغير، والمقاولون ينتهون من المشاريع — لكن حسابات Odoo الخاصة بهم غالباً ما تظل نشطة.

تدقيق المستخدم الفصلي:
1. راجع جميع المستخدمين النشطين في الإعدادات → المستخدمون والشركات
2. عطّل الحسابات للمستخدمين الذين لم يعودوا بحاجة إلى وصول
3. أزل حقوق "المسؤول" من المستخدمين الذين لا يحتاجون إلى وصول كامل للنظام
4. تحقق من قواعد الوصول متعددة الشركات
5. تحقق من مفاتيح API وعطّل غير المستخدمة

مبدأ الامتياز الأقل:
يجب أن يكون لكل مستخدم الحد الأدنى من الوصول المطلوب للقيام بعمله.

كيف يساعد ServerChest في الأمان

يتضمن ServerChest ميزات مركزة على الأمان في نظام المراقبة والتدقيق الخاص به:

تنبيهات في الوقت الفعلي:

  • محاولات تسجيل دخول SSH من عناوين IP غير معروفة
  • انفجارات تسجيل دخول Odoo الفاشلة (قوة غاشمة محتملة)
  • تغييرات قاعدة جدار الحماية
  • أوامر sudo غير المصرح بها

سجل التدقيق:
كل إجراء يتم اتخاذه عبر ServerChest يتم تسجيله.

التحديثات التلقائية:
يمكن لـ ServerChest إخطارك عندما يتم إصدار تصحيحات أمان Odoo.

تشفير النسخ الاحتياطي:
يمكن تشفير النسخ الاحتياطية بـ AES-256 قبل الرفع إلى التخزين السحابي.

أتمت إدارة خادم Odoo اليوم

اتصل بخادم Odoo الخاص بك في 5 دقائق. مجاني للبدء.

ابدأ مجانًا — بدون بطاقة