آموزش قدم به قدم مدیریت سرور

[Arashdn]

سلام به همه
من اموزش رو دوباره شروع کردم ، مقدمه چینی نمیکنم و مستقیم میرم سراغ آموزش
تشکر از پست ها تنها انگیزه من برای ادامه کاره پس تشکر فراموش نشه .....
گفقط لطفا مدیران این تاپیک رو تصفیه کنن و تمام پست هایی که آموزش نیست و بحث و گفتگو هست رو به تاپیک زیر منتقل کنن
بحث و برسی و بیان مشکلات در مورد آموزش مدیریت سرور
جلسه پنجم
در این جلسه میرسیم به نصب فایروال
نصب فایروال رو سرور مزایای زیادی داره و جلوی بسیاری از جملات رو میگیره ...
فایروال های زیادی داریم من از بین شون با CSF کار کردم و ازش راضیم همین رو هم آموزش میدم
برای نصب اول درستور های زیر رو به ترتیب بزنید

کد:

rm -fv csf.tgz
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

اگر احیانا بعد از زدن دستور اخر با ارور

You need to install the LWP perl module (libwww-perl) and then install csf

یا هر ارور دیگه ای مبنی بر نصب نبودن libwww-perl برخوردید دستور زیر رو بزنید

کد:

yum -y install perl-libwww-perl

و بعد دستور زیر رو بزنید تا فایروال نصب شه

کد:

sh install.sh

اگه سرور اختصاصی یا سرور مجازی با کرنل اختصاصی (وی ام ور و زن) دارید کار تمومه
اگه وی پی اس تون با OpenVZ یا virtuzzu باشه باید مراحل زیر رو هم برید (در این مورد که مجازی ساز چیه از کسی که وی پی اس خریدید سوال کنید)
پس تاکید میکنم دارندگان سرور اختصاصی و سرور های مجازی با کرنل اختصاصی نیازی به مراحل زیر ندارن
وِیژه وی پی اس های اوپن وی زد و ویروتوزو
اول دستور زیر رو بزنید (یادتون باشه نانو رو نصب کرده باشید)

کد:

nano /etc/sysconfig/iptables

بعد تمام 4 خط زیر رو توش کپی پیست کنید

کد:

-A FORWARD -j ACCEPT -p all -s 0/0 -i venet0
-A FORWARD -j ACCEPT -p all -s 0/0 -o venet0
-A INPUT -i venet0 -j ACCEPT
-A OUTPUT -o venet0 -j ACCEPT

و بعد سیو کنید و بیاد بیرون (اول Ctrl + X بعد Y و بعد دو بار اینتر)
حالا دستور

کد:

nano /etc/csf/csfpre.sh

و بازم خطوط زیر رو توش کپی پیست کنید

کد:

iptables -A INPUT -i venet0 -j ACCEPT
iptables -A OUTPUT -o venet0 -j ACCEPT
iptables -A FORWARD -j ACCEPT -p all -s 0/0 -i venet0
iptables -A FORWARD -j ACCEPT -p all -s 0/0 -o venet0

بعد دستور

کد:

nano /etc/csf/csf.conf

خط زیر رو پیدا کنید
ETH_DEVICE = “”
و به صورت زیر تغییرش بدید

کد:

ETH_DEVICE = “venet+”

حالا دستور

nano /etc/pure-ftp.conf

خط زیر رو پیدا کنید
PassivePortRange
و مثل زیر تغییرش بدید

کد:

PassivePortRange          30000 35000

و یه بار کل سرور رو با دستور

reboot

ری استارت کنید
الان فایروال نصبه ولی فعلا بصورت تست هست و عملا کار نمیکنه در جلسه 5.5 توضیح میدم که چطور کانفیگ بشه و چه تعییراتی توش بدید .....
با سپاس

[Online24]

ارسال های اضافه و غیر مرتبط با این تاپیک حذف و یا منتقل شد . لطفا با توجه به این تذکر صاحب تاپیک ادامه دهید .

فقط تو رو خدا تو این تاپیک هیچ پستی و به هیچ عنوان ارسال نکنید

هر گونه سوال و بحث هم در تاپیک بحث و برسی و بیان مشکلات در مورد آموزش مدیریت سرور مطرح کنید و در این تاپیک هیچ چیزی ارسال نکنید

[Arashdn]

جلسه پنج و نیم
سلام به همه دوستان
این جلسه میخوام یه مورد خیلی ساده و خیلی کارا در امنیت سرور رو توضیح بدم
اصولا باید من در مورد فعال کردن فایروال و کانفیگش بگم ولی فعلا از اون صرف نظر میکنیم و همونطور اجازه بدید فایروال بصورت تست نصب بشه
امروز میخوام در مورد یه اسکریپت ساده و مفید و کم حجم صحبت کنم
ELS
Easy Linux Security
این برنامه همونطور که از اسمش پیداست برای تامین بسیاری از موارد امنیتی لینوکس بصورت خیلی ساده است ...
برای نصبش دستور زیر رو تو اس اس اچ بزنید

کد:

wget --output-document=installer.sh http://servermonkeys.com/projects/els/installer.sh; chmod +x installer.sh; sh installer.sh

و حالا دستور

کد:

els --all

رو بزنید
حالا مراحل رو توضیح میدم
ممکنه در سرور شما برخی از موارد پرسیده نشه زیاد بهش اهمیت ندید

Admin (your) E-Mail Address (this should NOT be on this server):

ایمیل خودتون رو وارد کنید و اینتر رو بزنید
و وقتی در مورد درست بودنش سوال کردن y بزنید و اینتر کنید

Several packages installed by yum may not be compatable or may cause
problems with DirectAdmin or cPanel. To help prevent complications, ELS can add special
packages to be skipped when running yum.
These packages can still be updated manually with yum.

y رو بزنید و اینتر کنید

sysctl is used to harden the kernel. If you have not hardened your
kernel with sysctl or do not know how to, it is recommended to have
ELS do it for you. Your current /etc/sysctl.conf will be backed up to
/usr/local/els/bakfiles/sysctl.conf.

n رو بزنیدو اینتر

This will only run cPanel's pre-installed scripts to update itself.
updatenow, upcp, sysup, and serveral other software updaters will be executed.

این سوال که فقط در سرور های سی پنل میاد جوابش y هست

ELS can tweak several cPanel/WHM settings for you to further
optimize and secure your server

این سوال که فقط در سرور های سی پنل میاد جوابش y هست

ELS can have an alert email sent to you each time someone logs in as root.

اینم میگه وقتی کسی به عنوان روت وارد شد براتون میل ارسال بشه ، انتخاب با خودتونه

ELS can now install RKHunter.

y بزنید و اینتر
نصب این برنامه و اینکه تنظیمش کنید هر روز اسکن کنه به امنیت سرور کمک زیادی میکنه

Would you like for RKHunter to run and send you scan details
to your admin email address nightly? (y/n):

y

ELS can now install CHKROOTKIT.

y
نصب این برنامه و اینکه تنظیمش کنید هر روز اسکن کنه به امنیت سرور کمک زیادی میکنه

Would you like for CHKROOTKIT to run and send you scan details
to your admin email address nightly? (y/n):

y

ELS can now install APF.

n
این یه فایروال هست با توجه به اینکه این آموزش بر مبنای فایروال CSF هست به هیچ عنوان این فایروال رو نصب نکنید
نصب همزمان دو تا فایروال مشکلات جدی رو به دنبال داره

ELS can now install BFD.

اینم یه پلاگین بره فایروال بالاست که به هیچ عنوان نباید نصب شه
پس n بزنید

ELS can now install Libsafe.

y

ELS can now install MyTOP.

y

This feature can make the SSH deamon force SSH Protocl 2

n
فعال کردنش به امنیت یه کمک جزیی میکنه ولی ممکنه با بعضی از کلاینت ها اس اس اچ قابل دسترسی نباشه

This feature can chmod dangerous files only to root

y

This feature can disable PHP register_globals.

y

This feature can disable dangerous PHP functions.

y

This feature can secure and optimize your MySQL configuration.

y

You can now renice MySQL to -10 (higher CPU priority).
In MySQL intensive environments, overall performance can
increase dramatically by using highest CPU priority,
however in a few cases, this may offer no performance
gain or even decrease performance slightly.
If you wish to undo this, use the following command:
els --undomysqlrenice

n
انجامش در برخی سرور ها ایجاد مشکل میکنه

This feature can optimize and repair all the MySQL database tables.

y

ImageMagick is not installed.
ELS can now install ImageMagick.

y

ELS can install the Exim Dictionary Attack ACL
Created by Chirpy from ConfigServer Services

n
این قابلیت به طور پیشفرض در سی پنل 11 وجود داره و این برنامه هم باگ داره و سازنده دیگه پیشتیبانیش نمیکنه پس جواب n هست

Changing SSH to use a non-default port helps prevent
against Brute Force attacks and potential hackers.
If you choose to change the SSH port, ensure the port is
not already in use by another program. There is a chance
of locking yourself out of SSH, so it is recommended to
add your Desktop's IP address to /etc/apf/allow_hosts.rules.
ELS can now change your SSH port for you.

با این کار پورت اس اس اچ رو میتونید تغییر بدید که کمک زیادی به امنیت میکنه ولی دو تا مورد مهم
1- باید قبل این کار حتما و حتما پورت مورد نظر رو در فایروال باز کنید (آموزش در جلسات بعد)
2- حواستون باشه که از دفعه بعد با پورت جدید به سرور کانکت شید
فعلا n بزنید تا هر موقع که آموزش باز و بسته کردن پورت در فایروال رو گفتم این رو تغییر بدید

Disabling root login to SSH adds an extra layer of security
to prevent hackers from gaining root access. It requires
you to login as a special user and then use the command
'su -' to get prompted for root password and become root.
You should be careful and write the information necessary
down incase you need it.

این کار هم لوگین روت رو غیر فعال میکنه که دردسرش بیشتر از امنیتیه که ایجاد میکنه
پس پیشنهاد من n هست ( اگر y بزنید حتما و حتما و حتما باید یه یوزر داشته باشید که بتونه به اس اس اچ لوگین کنه)
تموم

خب تا اینجا آموزش ها بره سی پنل و دایرکت ادمین مشترک بود
از این به بعد اموزش ها متفاوت خواهد بود
با توجه به درخواست کاربرا که اکثرا طرف سی پنلن اول سی پنل رو توضیح میدم بعد میرم سراغ دایرکت ادمین
تشکر فراموش نشه
با سپاس

[Arashdn]

جلسه ششم
سلام
اینکه از جلسه قبل بعد 24 ساعت فقط 3 نفر تشکر کردن جدا جای تقدیر داره ...
در این جلسه شروع میکنیم به توضیحات و کانفیگ سی پنل ( هر چند من خودم با دایرکت ادمین حال میکنم ولی اکثر کاربرا درخواست سی پنل رو دادن انشالله بعد سی پنل میرسیم دایرکت ادمین)
خب حتما طبق جلسه پنجم سی اس اف رو نصب کردید ..
حالا وارد WHM بشید .....
اگه دقت کنید در منوی سمت چپ دابیلو اچ ام در پایینترین قسمت یه گزینه ConfigServer Security&Firewall اضافه شده .
برید توش
از سومین قسمت (csf - ConfigServer Firewall) دومین دکمه یعنی firewall configuration رو بزنید
هول نکنید چیزی نیست کلا دو تا عدد رو میخوایم تغییر بدیم
در همون اولش یه جا داره که مقدار TESTING = رو تغییر میده
این مقدار رو به 0 تغییر بدید و بعد یه کم بیاید پایینتر تا مورد Allow incoming TCP ports رو ببنید در اینجا میتونید پورت های مورد نظرتون رو باز یا بسته کنید ....
اگه یادتون باشه تو جلسه 5.5 تاکید کردم که پورت اس اس اچ رو عوض نکنید چون حتما باید پورت در فایروال باز بشه
برای بستن یه پورت که کافیه اونو از قسمت های TCP_IN = و TCP_OUT = حذف کنید (دقت کنید که کاما (,) مربوط به اون پورت هم بردارید در کل باید بین هر پورت یه کاما باشه) که اگر اطلاعات کامل ندارید قویا پیشنهاد میکنم پورتی از این لیست حذف نکنید
برای اینکه یه پورت رو باز کنید (مثلا پورتی که در نظر دارید به اس اس اچ بدید باید مراحل زیر رو طی کنید)
مثلا من میخوام پورت 1234 رو به اس اس اچ اختصاص بدم برای اینکار باید در همین قسمت های TCP_IN = و TCP_OUT = بعد آخرین عدد یه علامت کاما بزنیم (,) و عدد مورد نظر رو اضافه کنیم
حالا عبارت CT_LIMIT = رو در صفحه پیدا کنید با تغییر این مقدار میشه جلوی بعضی از حملات دی داس رو گرفت
مقدارش رو به 250 تغییر بدید (این یعنی تعداد کانکشن های همزمانی که یه ایپی میتونه به سرور داشته باشه)
حالا صفحه رو تا آخر بیارید پایین و change رو بزنید بعد هم restart csf+lfd رو بزنید
حالا هم return رو بزنید
بر میگردید به همون صفحه اصلی فایروال
حالا بزارید یه کم گزینه های این صفحه رو توضیح بدم و ببینیم چی به چیه
اولین گزینه که نوشته Check server security یه گزینه بسیار مهم وپر کاربرده این گزینه امنیت و کارایی سرور شما رو از جهت های مختلف چک میکنه و همه رو بره شما لیست میکنه و مواردی که اوکی نباشه راه حل هم میگه در مورد این قسمت دو جلسه مفصلا بحث میکنیم
دیگه تو قسمت اول چیز پر کاربردی نیست
در قسمت آپگرید هم اگه ورژن جدیدی از فایروال موجود باشه یه دکمه ظاهر میشه و با زدن اون فایروال آپدیت میشه
در سومین قسمت (csf - ConfigServer Firewall) سه تا گزینه پشت سر هم داریم Quick allow و Quick deny و Quick Ignore که کنار همه شون هم یه کادر هست
اگه در کادر سبز رنگ Quick allow یه آیپی رو بزنید و بعد دکمه Quick allow رو بزنید این آیپی برای همیشه در لیست سبز میمونه و هیچ وقت بلاک نمیشه و اگه بلاک شده باشه هم آزاد میشه
اگه در کادر قرمز رنگ Quick deny یه آیپی رو بزنید و دکمه Quick deny رو بزنید دسترسی اون آیپی برای همیشه رو سرور بسته میشه
Quick Ignore هم بره عدم برسی یه آیپیه
قسمت Firewall allow IPs دقیقا معادل همون Quick allow هست با این تفاوت که یه لیست باز میکنه و لیست تمام آیپی هایی که رو سرور در لیست سبز هستن رو میاره و میتونید هر چند تا آیپی رو که خواستید از لیست بردارید یا به لیست اضافه کنید
قسمت Firewall Deny IPs دقیقا معادل همون Quick Deny هست با این تفاوت که یه لیست باز میکنه و لیست تمام آیپی هایی که رو سرور واسه همیشه بلاک هستن رو میاره و میتونید هر چند تا آیپی رو که خواستید از لیست بردارید یا به لیست اضافه کنید
گزینه های Enable و Disable هم که مشخصه : برای فعال و غیر فعل کردن فایروال
گزینه Remove Deny هم بره اینه که آیپی بلاک شده رو از لیست حذف کنید
Temporarily allow/deny هم بره بلاک یا allow کردن یه آیپی برای یه زمان مشخصه
بقیه گزینه ها زیاد کاربرد ندارن یا حرفه ای هستن یا شاید من حال ندارم توضیح بدم ...
بره این جلسه کافیه ، بازم تاکید میکنم هر طور سوال ممکن ، پیشنهاد و انتقاد رو در تاپیک بحث و برسی و بیان مشکلات در مورد آموزش مدیریت سرور مطرح کنید و تشکر هم فراموش نشه
با سپاس

[Arashdn]

جلسه هفتم

سلام
بعد یه هفته دوباره یه آموزش جدید و خیلی مهم اومدم
در این جلسه یه روش ساده و بی نهایت موثر بره افزایش امنیت و کارایی سرور میگم

اگه دقت کرده باشید در قسمت ConfigServer Security&Firewall اولین گزینه Check server security هست که جلسه پیش وعده بحث در موردشو داده بودم
همونطور که گفتم : این گزینه امنیت و کارایی سرور شما رو از جهت های مختلف چک میکنه و همه رو بره شما لیست میکنه و مواردی که اوکی نباشه راه حل هم میگه
وقتی سی پنل رو با کانفیگ پیشفرض و در یه سرور خام نصب میکنید یه سری گزینه به طور پیشفرض سبز و اوکی هست (حدودا نصفشون) و با نصب ELS یه تعداد دیگه هم سبز میشه
من اینجا در مورد موارد مهمش که باید تغییر بدید بحث میکنم

Check root forwarder

این گزینه که وسط هاست ولی بهتره از اول انجام بشه بره اینه که یه ایمیل ست کنید تا سی اس اف از طریق اون با شما در ارتباط باشه
برای این کار
بزنید

کد:

nano /root/.forward

و آدرس ایمیلتون رو داخلش بنویسید و سیوش کنید
خب حالا از اول شروع کنیم مواردی که معمولا قرض میشه رو بررسی کنیم

Check csf LF_SCRIPT_ALERT option

قرمز بودن این مورد یعنی وقتی یه حجم انبوه ایمیل ارسال میشه سی اس اف براتن یه اخطار بفرسته (بره جلوگیری از اسپم)

Check csf PT_ALL_USERS option

این گزینه میگه که بررسی یوزر ها فقط محدود به یوزر های هاست نباشه و کل یوزر های سرور بررسی شه
همونطور که میبینید تمام گزینه ها در کنارش یه توضیح خیلی عالی داره و ممکنهمن خیلی موارد رو توضیح ندم و راه حل بگم
برای فعال کردن این دو مورد (که مورد اول رو بنا به خواسته خودتون و مورد دوم رو حتما) فعال کنید
در قسمت ConfigServer Security&Firewall اضافه شده .
برید توش
از سومین قسمت (csf - ConfigServer Firewall) دومین دکمه یعنی firewall configuration رو بزنید بعد
مقدار عبارت LF_SCRIPT_ALERT رو به 1 تغییر بدید (برای گزینه اول)
مقدار PT_ALL_USERS رو هم به 1 تغییر بدید (برای گزینه دوم)
و سیو کنید

حالا قبل اینکه بقیه گزینه ها رو توضیح بدم یه سری کار امنیتی توضیح میدم که انجام بدید که باعث میشه خود به خود خیلی از گزینه ها سبز شه

1- حتما طبق آموزش جلسات قبل ELS نصب و مراحلشو انجام بدبد
2- پورت اس اس اچ رو عوض کنید ( طبق آموزش جلسه 6 حتما و حتما اول پورت مورد نظر رو در فایل وال باز کنید بعد: )
وارد اس اس اچ بشید حالا یه راه خیلی ساده داریم ویه راه طولانی
اگه ELS نصب کرده باشید کافیه دستور زیر رو بزنید و پورت مورد نظر بدید و اینتر کنید

کد:

els --sshport

ولی اگه نصب نکرده باشید باید اول دستور زیر رو بزنید

کد:

nano /etc/ssh/sshd_config

بعد مقدار Port رو پیدا کنید و # کنارشو بردارید و به جای 22 هر عددی که میخواهید رو بزنید و سیو کنید

حالا چه از روش ای ال اس و چه از روش دوم رفته باشید یه بار دستور زیر رو بزنید

کد:

service sshd restart

3- حالا کارای زیر:

(ممکنه خیلی از این کارا تو سرور شما به صوتی باشه که من میگم بهش تبدیل کنید در انجور مواقع که اکثرا به خاطر نصب ELS هست نیاز نیست اون مورد رو تغییر بدید)

در قسمت Service Configuration از منوی بقلی WHM برید به قسمت Apache Configuration و بعد Global Configuration حالا موارد زیر رو به گزینه ای که میگم تغییر بدید
Trace Enable----> OFF
Server Signature --->off
Server Tokens ---->product only
File ETag --->none
مقادیر پایین اصولا باید با توجه به مشخصات سرور تنظیم شه ولی خب من یه سری اعداد میدم که رو همه سرور ها اوکی باشه
(موارد رو به ترتیب ننوشتم پس موقع وارد کردن دقت کنید)

کد:

ServerLimit 1800
KeepAlive On
KeepAliveTimeout 60
MaxClients 1200
MaxSpareServers 200
MinSpareServers 50

حالا که همه رو تغییر دادید Save رو بزنید و تو صفحه جدید حتما گزینه Rebuild Configuration and Restart Apache رو بزنید
تموم که شد برگردید به همون قسمت Apache Configuration و اینبار گزینه Configure PHP and SuExec رو بزنید
مقادیر رو به شکل فوق تغییر بدید

کد:

Default PHP Version (.php files) ---> 5
PHP 5 Handler --->suphp
PHP 4 Handler --->none     
Apache suEXEC --->on

و بعد گزینه Save new configuration رو بزنید

حالا از منوی بقل WHM برید به FTP Server Configuration (فک کنم اینا رو در جلسات قدیم هم ی سری گفتم ولی اینجا میگم و از جلسات قدیم حذف میکنم)
حالا سه تا گزینه ای که در پایین میگم رو به No تغییر بدید (هر سه تا رو به no تغییر بدید)
Allow Anonymous Logins
Allow Anonymous Uploads
Allow Logins with Root Password
و بعد هم Save کنید

از منوی بقل WHM قسمت Security Center و از زیرمجموعه هاش PHP open_basedir Tweak رو پیدا کنید
و تیک قسمت Enable php open_basedir Protection. رو بزنید و Save کنید

از منوی WHM گزینه System Health و در زیزمجموعه هاش وارد Background Process Killer بشید و همه گزینه ها رو تیک بزنید و Save کنید
---------------------------------------------------------------------------------------
و اما میرسیم به یکی از بهترین قسمت های سی پنل
EasyApache
در این قسمت شما میتونید خیلی از فانکشن های و ماژول های آپاچی رو براحتی نصب یا حذف کنید
مثلا GD که برای تصاویر امنیتی و فوق العاده پر کاربرده
خب از منوی بقلی EasyApache (Apache Update) رو بزنید
در صفحه که میاد دکمه start customizing on based profile رو بزنید
در اولین قسمت وؤزن اپاچی تون رو انتخاب کنید در زمان نگارش این مقاله بهترین ورژن 2.2 هست
ورژن پی اچ پی تون هم انتخاب کنید
پیشنهاد میکنم گزینه 4 رو تیک نزنید مگر اینکه بهش نیاز داشته باشید
برید مرحله بعد
ورژن پی اچ پی در زمان نگارش این مقاله 5.2.17 پیشنهاد میشه
درسته که 5.3 هم خیلی وقته اومده ولی هنوز تعداد زیادی از اسکرپیت ها باهاش مشکل دارن
برید مرحله بعد
در این اینجا یه نعدادی از فانکشن ها و برنامه ها هست
برای اینکه لیست کل رو ببنید در پایین دکمه
Exhaustive Option List
رو بزنید
تیک گزینه Frontpage رو بردارید چون دیگه پشتیبانی نمیشه و نصبش ممکنه خطر امنیتی ایجاد کنه
نصب موارد زیر پیشنهاد میشه(اگه موقع تیک زدنشون چیزی پرسید OK کنید)
IonCube Loader for PHP
GD
Gettext
SOAP
TTF
Mod Security
MPM Prefork
Zend Optimizer/Guard Loader for PHP
و هر موردی که احساس کردید لازمه ولی حتما قبلش در مورد مسائل امنیتی اون فانکشن تحقیق کنید
حالا گزینه Save and Build رو بزنید و هر چی پرسید OK کنید یا I Understand رو بزنید
حالا صبر کنید تا کار تموم بشه ( یه مقدار زمان میبره) و در این مدت نباید اینترنت شما قطع بشه
اگه قطع شد دوباره از اول کار با Easy apache رو انجام بدید
در پایان تنظیمات رو به صورت زیر انجام بدید

کد:

Default PHP Version (.php files) ---> 5
PHP 5 Handler --->suphp
PHP 4 Handler --->none     
Apache suEXEC --->on

و سیو کنید

هنوز کارمون ادامه داره و خیلی کارا بره تامین امنیت سرور در حد متوسط ( سطح مورد نظر این آموزش) مونده
ولی خب بره این جلسه کافیه ...
بازم تاکید میکنم زدن دکمه تشکر فراموش نشه و همچنین هر طور سوال ممکن ، پیشنهاد و انتقاد رو در تاپیک بحث و برسی و بیان مشکلات در مورد آموزش مدیریت سرور مطرح کنید.
با سپاس

[Arashdn]

جلسه هفت و نیم

دورد بر همه دوستان
اصلا تعداد تشکر اتون جالب نیست یعنی من این مقاله رو دارم واسه 10 نفر مینویسم؟؟
بگذریم ... ولی اینو بگم که این تعداد تشکر اصلا قابل قبول نیست ....

این جلسه کارای امنیتی و اپتیمایز کردن رو ادامه میدیم
از منوی بقل WHM گزینه PHP Configuration Editor رو بزنید و تیک رو در advance mode بزارید
disable_functions رو پیدا کنید و مقدار زیر رو توش بزارید

کد:

symlink,shell_exec,exec,proc_close,proc_open,popen,pclose,system,dl,passthru,escapeshellarg,escapeshellcmd,readfile

حالا سه تا مقدار زیر رو حتما و حتما برابر off قرار بدید (ممکنه بعضی ها در حالت پیشفرض خاموش باشه

کد:

allow_url_fopen = Off
register_globals = Off 
enable_dl=Off

موارد زیر رو هم قویا پیشنهاد میشه به صورتی که جلوشون نوشتم تغییر بدید

کد:

display_errors = Off
display_startup_errors = Off
safe_mode = On 
log_errors = On
expose_php = Off
magic_quotes_gpc = On
magic_quotes_sybase = Off

در پایان save رو بزنید

اگه در جلسه قبل همونطور که گفته بودم در Easy apache تیک Mod Security رو زده باشید در قمت آخر منوی WHM یه گزینه به همین اسم Mod Security اضافه میشه
اونو باز کنید
edit config رو بزنید و Default Configuration رو انتخاب کنید و بعد Save Configuration رو بزنید
در منوی بقل WHM گزینه Compiler Access رو باز کنید و Disable compilers رو بزنید
از منوی بقل WHM گزینه Exim Configuration Editor رو پیدا کنید و از پایین ترین قسمتش Advanced editor رو بزنید
در صفحه ای که باز میشه در هون قسمت های بالایی یه کادر بره وارد کردن تکست هست متن زیر رو در اون بزنید

کد:

log_selector = +arguments +subject +received_recipients

در اخر هم Save رو بزنید
از منوی بقل WHM گزینه Tweak Settings رو بزنید
مقدار BoxTrapper Spam Trap رو به OFF تغییر بدید
مقدار Max hourly emails رو به 100 تغییر بدید
Email password reset رو OFF کنید
Block common domain usage رو ON کنید
Allow domain parking across accounts رو OFF کنید
Cookie IP validation رو روی strict بزارید
Use MD5 passwords with Apache رو ON کنید
Blank referrer safety check و Referrer safety check رو ON کنید (اختیاری چون فعال شدنش خوبه ولی یه کم ممکنه تو لوگین ها اذیت کنه و همش پسورد بخواد)
Security Tokens رو هم on کنید
Require SSL رو off کنید درسته که فعال بودنش خیلی خوبه ولی تو ایران ISP ها سر SSL ادا در میارن
آخر سر Save کنید
حالا اس اس اچ رو باز کنید و دستور زیر رو بزنید

کد:

nano /etc/ssh/sshd_config

با زدم دکمه CTRL + W از کیبرد عبارت UseDNS رو پیدا کنید اگر کنار # بود بردارید و مقدارشو به no تغییر بدید (اگه جلوش نوشته بود no به هیچی دست نزنید و اگه نوتشه yes فقط اون yes رو به no تبدیل کنید و فایل رو سیو کنید و بیاید بیرون
دستور

کد:

nano /etc/my.cnf

رو بزنید
اگه عبارت local-infile وجود داشت مقدارشو به 0 و اگه نبود در خط اخر اینو اضافه کنید

کد:

local-infile=0

فایل رو سیو کنید و بیاید بیرون
حالا در منوی بقل WHM به ConfigServer Security&Firewall برید و CHECK SERVER SECURITY رو بزنید
اولا یاد آوری کنم قرار نیست همه گزینه ها سبز بشه (شاید در آخر یه 10-15 تایی بمونه که هیچ مشکلی نداره)
برید به آخرین قسمتش که نوشته Server Services Check و پایینش حدود 10-12 مورد رو چک کرده
اگه همش سبز باشه که خدا رو شکر اگه یکی یا چند تا یا همش قرمز باشه اگه دقت کنید کنار هر کدوم دو تا دستور نوشته اون دو تا دستور رو در اس اس اچ بزنید و اگر هم دستور ها اروری داد ارورش رو بیخیال شید :D
اگه سرور مجازی با OpenVZ یا Virtuzu دارید کار تمومه و یه reboot بزنید (و قسمت بعد که سکیو کردن /tmp هست رو بیخیال شید و فقط بیاید سراغ خطوط پایانی
اگه سرور اختصاصی دارید یا سرور مجازی با Vmware و Xen یه مرحله دیگه هم دارید ...
ولی خب با توجه به اینکه دیگه حوصله تایپ ندارم و در سایت Linuxtalk.ir آقای پیمان قربانی این مطلب رو به خوبی آموزش داده من مال ایشون رو براتون کپی پیست میکنم
امن کردن /tmp:

کد:

cd /dev

ساخت 2000 مگابایت فضا ذخیره سازی:

کد:

dd if=/dev/zero of=tmpMnt bs=1024 count=2000000

ساخت فایل سیستم ext :

کد:

/sbin/mke2fs /dev/tmpMnt

ایجاد یک پشتیبان:

کد:

cp -R /tmp/ /tmp_backup

mount کردن فایل سیستم جدید با noexec:

کد:

mount -o loop,rw,nosuid,noexec /dev/tmpMnt /tmp

سطح مجوز را هم تغییر دهید:

کد:

chmod 0777 /tmp

پشتیبانی را که تهیه کرده بودیم، کپی میکنیم:

کد:

cp -R /tmp_backup/* /tmp/

پشتیبان را حذف میکنیم:

کد:

rm -rf /tmp_backup

امن کردن /var/tmp :

تهیه یک پشتیبان:

کد:

mv /var/tmp /var/tmpbck

آدرس دهی میکنیم:

کد:

ln -s /tmp /var/tmp

فایل های داخل پشتیبان را کپی میگیریم:

کد:

cp /var/tmpbck/* /tmp/

امن کردن /dev/shm :

فایل زیر را با ویرایشگر باز میکنیم:

اگر ویرایشگر nano را نصب ندارید، با دستور زیر نصب کنید.

کد:

nano /etc/fstab

مقدار زیر را پیدا کنید :

کد:

none /dev/shm tmpfs defaults,rw 0 0

مقدار زیر را جایگزین مقدار فوق میکنیم:

کد:

none /dev/shm tmpfs defaults,nosuid,noexec,rw 0 0

مجددا” mount میکنیم:

کد:

mount -o remount /dev/shm

و حالا یه بار سرور رو با دستور reboot ریبوت کنید

قابل توجه همه (هم وی پی اس دارا هم سرور دارا)

من در نظر داشتم سی پنل رو تا همین حد اموزش بدم یادتون باشه هیچ وقت به اموزش های چرت و پرت من متکی نباشید و در گوگل سرچ کنید و از فروم هم بهره ببرید و سوال بپرسید ...
همونطور که به دایرکت ادمین دارا هم قول داده بودم از جلسه بعد آموزش این کنترل پنل رو ( که مورد علاقه خودمم هست) رو شروع میکنم و پس از تموم شدنش به امید خدا این اموزش رو که پرونده اش از عید 89 روی میزه رو میبندم
بازم حرف تکراری هر جلسه رو تکرار میکنم

هر طور سوال ممکن ، پیشنهاد و انتقاد رو در تاپیک بحث و برسی و بیان مشکلات در مورد آموزش مدیریت سرور مطرح کنید و تشکر هم فراموش نشه

با سپاس
کوچیک همه شما
آرش

[Arashdn]

جلسه هشتم
سلام
این جلسه میرسیم به کنتل پنل محبوب خودم : دایرکت ادمین
این کنترل پنل که طریقه نصبش رو در جلسات اول گفتم و آموزش نصب فایروال و ELS هم براش گفته شد .
دایرکت ادمین در موقع نصب با تنظیمات پیشفرض خودش امنیت و کارایی خیلی قوی تری نسبت به سی پنل داره و کارایی که باید انجام بشه خیلی کمتره
برای بهینه سازی و ایمن سازی دایرکت ادمین مراحل زیر رو طی میکینم
1- نصب فایروال CSF
2- نصب ELS که هر دوش در جلسات قبل گفته شده
و بعد بریم تو دایرکت ادمین
اگه دقت کنید در قسمت admin level (جایی که به طور پیشفرض هم توش هستید) در پاییناش یه گزینه ConfigServer Security&Firewall اضافه شده .
برید توش
از سومین قسمت (csf - ConfigServer Firewall) دومین دکمه یعنی firewall configuration رو بزنید
هول نکنید چیزی نیست کلا دو تا عدد رو میخوایم تغییر بدیم
در همون اولش یه جا داره که مقدار TESTING = رو تغییر میده
این مقدار رو به 0 تغییر بدید و بعد یه کم بیاید پایینتر تا مورد Allow incoming TCP ports رو ببنید در اینجا میتونید پورت های مورد نظرتون رو باز یا بسته کنید ....
اگه یادتون باشه تو جلسه 5.5 تاکید کردم که پورت اس اس اچ رو عوض نکنید چون حتما باید پورت در فایروال باز بشه
برای بستن یه پورت که کافیه اونو از قسمت های TCP_IN = و TCP_OUT = حذف کنید (دقت کنید که کاما (,) مربوط به اون پورت هم بردارید در کل باید بین هر پورت یه کاما باشه) که اگر اطلاعات کامل ندارید قویا پیشنهاد میکنم پورتی از این لیست حذف نکنید
برای اینکه یه پورت رو باز کنید (مثلا پورتی که در نظر دارید به اس اس اچ بدید باید مراحل زیر رو طی کنید)
مثلا من میخوام پورت 1234 رو به اس اس اچ اختصاص بدم برای اینکار باید در همین قسمت های TCP_IN = و TCP_OUT = بعد آخرین عدد یه علامت کاما بزنیم (,) و عدد مورد نظر رو اضافه کنیم
حالا عبارت CT_LIMIT = رو در صفحه پیدا کنید با تغییر این مقدار میشه جلوی بعضی از حملات دی داس رو گرفت
مقدارش رو به 250 تغییر بدید (این یعنی تعداد کانکشن های همزمانی که یه ایپی میتونه به سرور داشته باشه)
حالا عبارت AUTO_UPDATES رو پیدا کنید و مقدارش رو 1 بزارید
عبارت SAFECHAINUPDATE رو هم پیدا کنید و مقدارشو 1 بزارید
حالا صفحه رو تا آخر بیارید پایین و change رو بزنید بعد هم restart csf+lfd رو بزنید
حالا هم return رو بزنید
بر میگردید به همون صفحه اصلی فایروال
حالا بزارید یه کم گزینه های این صفحه رو توضیح بدم و ببینیم چی به چیه
اولین گزینه که نوشته Check server security یه گزینه بسیار مهم وپر کاربرده این گزینه امنیت و کارایی سرور شما رو از جهت های مختلف چک میکنه و همه رو بره شما لیست میکنه و مواردی که اوکی نباشه راه حل هم میگه بعدا از این قسمت استفاده خواهیم کرد
دیگه تو قسمت اول چیز پر کاربردی نیست
در قسمت آپگرید هم اگه ورژن جدیدی از فایروال موجود باشه یه دکمه ظاهر میشه و با زدن اون فایروال آپدیت میشه
در سومین قسمت (csf - ConfigServer Firewall) سه تا گزینه پشت سر هم داریم Quick allow و Quick deny و Quick Ignore که کنار همه شون هم یه کادر هست
اگه در کادر سبز رنگ Quick allow یه آیپی رو بزنید و بعد دکمه Quick allow رو بزنید این آیپی برای همیشه در لیست سبز میمونه و هیچ وقت بلاک نمیشه و اگه بلاک شده باشه هم آزاد میشه
اگه در کادر قرمز رنگ Quick deny یه آیپی رو بزنید و دکمه Quick deny رو بزنید دسترسی اون آیپی برای همیشه رو سرور بسته میشه
Quick Ignore هم بره عدم برسی یه آیپیه
قسمت Firewall allow IPs دقیقا معادل همون Quick allow هست با این تفاوت که یه لیست باز میکنه و لیست تمام آیپی هایی که رو سرور در لیست سبز هستن رو میاره و میتونید هر چند تا آیپی رو که خواستید از لیست بردارید یا به لیست اضافه کنید
قسمت Firewall Deny IPs دقیقا معادل همون Quick Deny هست با این تفاوت که یه لیست باز میکنه و لیست تمام آیپی هایی که رو سرور واسه همیشه بلاک هستن رو میاره و میتونید هر چند تا آیپی رو که خواستید از لیست بردارید یا به لیست اضافه کنید
گزینه های Enable و Disable هم که مشخصه : برای فعال و غیر فعل کردن فایروال
گزینه Remove Deny هم بره اینه که آیپی بلاک شده رو از لیست حذف کنید
Temporarily allow/deny هم بره بلاک یا allow کردن یه آیپی برای یه زمان مشخصه
بقیه گزینه ها زیاد کاربرد ندارن یا حرفه ای هستن یا شاید من حال ندارم توضیح بدم ...
حالا که یاد گرفتید پورتی رو در فایروال باز کنید وقتشه پورت اس اس اچ رو تغییر بدیم

وارد اس اس اچ بشید حالا یه راه خیلی ساده داریم ویه راه طولانی
اگه ELS نصب کرده باشید کافیه دستور زیر رو بزنید و پورت مورد نظر بدید و اینتر کنید

کد:

els --sshport

ولی اگه نصب نکرده باشید باید اول دستور زیر رو بزنید

کد:

nano /etc/ssh/sshd_config

بعد مقدار Port رو پیدا کنید و # کنارشو بردارید و به جای 22 هر عددی که میخواهید رو بزنید و سیو کنید

حالا چه از روش ای ال اس و چه از روش دوم رفته باشید یه بار دستور زیر رو بزنید

کد:

service sshd restart

حالا باید یه ایمیل به سرور بدید تا سی اس اف از طریق اون با شما در ارتباط باشه
برای این کار در اس اس اچ بزنید

کد:

nano /root/.forward

و آدرس ایمیلتون رو داخلش بنویسید و سیوش کنید

هنوز خیلی کار داریم ولی بره این جلسه کافیه
بازم تاکید میکنم زدن دکمه تشکر فراموش نشه و همچنین هر طور سوال ممکن ، پیشنهاد و انتقاد رو در تاپیک بحث و برسی و بیان مشکلات در مورد آموزش مدیریت سرور مطرح کنید.
با سپاس

---------- Post added at 03:15 PM ---------- Previous post was at 02:33 PM ----------

جلسه هشت و نیم

سلام
این جلسه هم به ادامه امنیت دایرکت ادمین میرسیم
دستور زیر رو بزنید

کد:

cd /usr/local/directadmin/custombuild

بزنید

کد:

nano options.conf

حالا مقادیر رو به شکل زی تغییر بدید
default_php=5
php5_ver=5.2
php4_cli=no
php4_cgi=no
php5_cli=yes
php5_cgi=no
zend=yes


mysql=5.1
mysql_inst=no
mysql_backup=yes


apache_ver=2.2

phpmyadmin=yes
atmail=no
squirrelmail=yes
roundcube=yes
uebimiau=no


exim=no
spamassassin=no
mail-header-patch=yes
dovecot=yes


awstats=no
webalizer=no


proftpd=no
pureftpd=yes

و به بقیه موارد دست نزنید
سیو کنید و بیاید بیرون
حالا دستور زیر رو بزنید و صبر کنید تا کارش انجام بشه

کد:

./build all

حالا برید تو دایرکت ادمین برید به قسمت File Editor و از منوی کشویی که میاد /usr/local/lib/php.ini رو انتخاب کنید و show file رو بزنید حالا disable_functions رو پیدا کنید و بکنیدش مثل شکل زیر

کد:

disable_functions = symlink,shell_exec,exec,proc_close,proc_open,popen,pclose,system,dl,passthru,escapeshellarg,escapeshellcmd,readfile

حالا سه تا مقدار زیر رو حتما و حتما برابر off قرار بدید (ممکنه بعضی ها در حالت پیشفرض خاموش باشه)

کد:

allow_url_fopen = Off
register_globals = Off 
enable_dl=Off

موارد زیر رو هم قویا پیشنهاد میشه به صورتی که جلوشون نوشتم تغییر بدید

کد:

display_errors = Off
display_startup_errors = Off
safe_mode = On 
log_errors = On
expose_php = Off
magic_quotes_gpc = On
magic_quotes_sybase = Off

در پایان save رو بزنید
برگردید به صفحه اصلی دایرکت ادمین
برید به Administrator Settings و تیک گزینه های زیر رو بردارید
Enable User Demo. Login: demo_user Password : demo
Enable Reseller Demo. Login: demo_reseller Password : demo
Enable Admin Demo. Login: demo_admin Password : demo
حالا گزینه ها رو به صورتی که میدم تغییر بدید
Max Request/Upload Size (bytes) ---->1048576000
Warn Admin's at 95 % partition usage ---> 95 , Day
Enable Automatic Lost Password Recovery --->NO
Blacklist IPs for excessive login attempts ---> عدد رو بزارید 30 و تیک رو هم بزنید
Prevent 127.0.0.1 from being Blacklisted --- > تیک بزنید
Time before failed login count resets --->10
Check domain owner for Subdomain creation ---->yes
Daily Email Limit per DirectAdmin User ---->100
و بعد سیو کنید
برگردید صفحه اصلی دایرکت ادمین و Php Safe Mode Settings رو بزنید
Default Safe Mode for new domains: رو ON کنید و Default Open BaseDir for new domains رو OFF و سیو کنید

حالا اس اس اچ رو باز کنید و دستور زیر رو بزنید

کد:

nano /etc/ssh/sshd_config

با زدم دکمه CTRL + W از کیبرد عبارت UseDNS رو پیدا کنید اگر کنار # بود بردارید و مقدارشو به no تغییر بدید (اگه جلوش نوشته بود no به هیچی دست نزنید و اگه نوتشه yes فقط اون yes رو به no تبدیل کنید و فایل رو سیو کنید و بیاید بیرون
دستور

کد:

nano /etc/my.cnf

رو بزنید
اگه عبارت local-infile وجود داشت مقدارشو به 0 و اگه نبود در خط اخر که خالیه اینو اضافه کنید

کد:

local-infile=0

فایل رو سیو کنید و بیاید بیرون

حالا در صفحه اصلی دایرکت ادمین به ConfigServer Security&Firewall برید و CHECK SERVER SECURITY رو بزنید
اولا یاد آوری کنم قرار نیست همه گزینه ها سبز بشه (شاید در آخر یه تعداد قرمز بمونه که هیچ مشکلی نداره)
برید به آخرین قسمتش که نوشته Server Services Check و پایینش حدود 10-12 مورد رو چک کرده
اگه همش سبز باشه که خدا رو شکر اگه یکی یا چند تا یا همش قرمز باشه اگه دقت کنید کنار هر کدوم دو تا دستور نوشته اون دو تا دستور رو در اس اس اچ بزنید و اگر هم دستور ها اروری داد ارورش رو بیخیال شید :D
اگه سرور مجازی با OpenVZ یا Virtuzu دارید کار تمومه و یه reboot بزنید (و قسمت بعد که سکیو کردن /tmp هست رو بیخیال شید و فقط بیاید سراغ خطوط پایانی
اگه سرور اختصاصی دارید یا سرور مجازی با Vmware و Xen یه مرحله دیگه هم دارید ...
ولی خب با توجه به اینکه دیگه حوصله تایپ ندارم و در سایت Linuxtalk.ir آقای پیمان قربانی این مطلب رو به خوبی آموزش داده من مال ایشون رو براتون کپی پیست میکنم
امن کردن /tmp:

کد:

cd /dev

ساخت 2000 مگابایت فضا ذخیره سازی:

کد:

dd if=/dev/zero of=tmpMnt bs=1024 count=2000000

ساخت فایل سیستم ext :

کد:

/sbin/mke2fs /dev/tmpMnt

ایجاد یک پشتیبان:

کد:

cp -R /tmp/ /tmp_backup

mount کردن فایل سیستم جدید با noexec:

کد:

mount -o loop,rw,nosuid,noexec /dev/tmpMnt /tmp

سطح مجوز را هم تغییر دهید:

کد:

chmod 0777 /tmp

پشتیبانی را که تهیه کرده بودیم، کپی میکنیم:

کد:

cp -R /tmp_backup/* /tmp/

پشتیبان را حذف میکنیم:

کد:

rm -rf /tmp_backup

امن کردن /var/tmp :

تهیه یک پشتیبان:

کد:

mv /var/tmp /var/tmpbck

آدرس دهی میکنیم:

کد:

ln -s /tmp /var/tmp

فایل های داخل پشتیبان را کپی میگیریم:

کد:

cp /var/tmpbck/* /tmp/

امن کردن /dev/shm :

فایل زیر را با ویرایشگر باز میکنیم:

اگر ویرایشگر nano را نصب ندارید، با دستور زیر نصب کنید.

کد:

nano /etc/fstab

مقدار زیر را پیدا کنید :

کد:

none /dev/shm tmpfs defaults,rw 0 0

مقدار زیر را جایگزین مقدار فوق میکنیم:

کد:

none /dev/shm tmpfs defaults,nosuid,noexec,rw 0 0

مجددا” mount میکنیم:

کد:

mount -o remount /dev/shm

و حالا یه بار سرور رو با دستور reboot ریبوت کنید

قابل توجه همه (هم وی پی اس دارا هم سرور دارا)

من در نظر داشتم دایرکت ادمین رو تا همین حد اموزش بدم ، یادتون باشه هیچ وقت به اموزش های چرت و پرت من متکی نباشید و در گوگل سرچ کنید و از فروم هم بهره ببرید و سوال بپرسید ...
بازم حرف تکراری هر جلسه رو تکرار میکنم
از کل آموزش ها و حرف هام یه جلسه بیشتر نمونده و بعد اون این آموزش بالاخره تموم میشه ....

هر طور سوال ممکن ، پیشنهاد و انتقاد رو در تاپیک بحث و برسی و بیان مشکلات در مورد آموزش مدیریت سرور مطرح کنید و تشکر هم فراموش نشه

با سپاس
آرش

[Arashdn]

رزرو شد --1 ---

[Arashdn]

رزرو شد --2---

[Arashdn]

جلسه پایانی

خدایا چنان کن سرانجام کار ....................................... تو خشنود باشی و ما رستگار

سلامی دوباره به تمام دوستان
بالاخره این 15 جلسه رو تموم کردم و آموزش های مدیریت سرور رو تا اون حدی که در نظرم بود اینجا نوشتم
خوشحالم که تونستم این مقاله رو تا اینجا بنویسم و برای یه تعداد مفید باشم
ولی یه درددل کوچیک با کاربران عزیز
من یه سال دیگه همین موقع ها باید کنکور بدم ولی با این حال این اموزش های رو تکمیل کردم و اینجا گذاشتم ...
از تمام کاربران این انجمن میخوام که برای موفقیتم تو کنکور دعا کنن
و اما یه بحث دیگه من این آموزش رو رایگان منتشر کردم ، از ابتدا هدف این آموزش این بود که رایگان در دست تمام کاربرا باشه

لطفا با خرید کارت شارژ هاتون از سایت زیر از من حمایت کنید
www.nicecharge.com

برای همه دوستان آرزوی موفقیت دارم
امیداوارم این اموزش براتون مفید باشه
کوچیک همه شما
آرش درگاهی