جلسه هفت و نیم
دورد بر همه دوستان
اصلا تعداد تشکر اتون جالب نیست یعنی من این مقاله رو دارم واسه 10 نفر مینویسم؟؟
بگذریم ... ولی اینو بگم که این تعداد تشکر اصلا قابل قبول نیست ....
این جلسه کارای امنیتی و اپتیمایز کردن رو ادامه میدیم
از منوی بقل WHM گزینه PHP Configuration Editor رو بزنید و تیک رو در advance mode بزارید
disable_functions رو پیدا کنید و مقدار زیر رو توش بزارید
کد:
symlink,shell_exec,exec,proc_close,proc_open,popen,pclose,system,dl,passthru,escapeshellarg,escapeshellcmd,readfile
حالا سه تا مقدار زیر رو حتما و حتما برابر off قرار بدید (ممکنه بعضی ها در حالت پیشفرض خاموش باشه
کد:
allow_url_fopen = Off
register_globals = Off
enable_dl=Off
موارد زیر رو هم قویا پیشنهاد میشه به صورتی که جلوشون نوشتم تغییر بدید
کد:
display_errors = Off
display_startup_errors = Off
safe_mode = On
log_errors = On
expose_php = Off
magic_quotes_gpc = On
magic_quotes_sybase = Off
در پایان save رو بزنید
اگه در جلسه قبل همونطور که گفته بودم در Easy apache تیک Mod Security رو زده باشید در قمت آخر منوی WHM یه گزینه به همین اسم Mod Security اضافه میشه
اونو باز کنید
edit config رو بزنید و Default Configuration رو انتخاب کنید و بعد Save Configuration رو بزنید
در منوی بقل WHM گزینه Compiler Access رو باز کنید و Disable compilers رو بزنید
از منوی بقل WHM گزینه Exim Configuration Editor رو پیدا کنید و از پایین ترین قسمتش Advanced editor رو بزنید
در صفحه ای که باز میشه در هون قسمت های بالایی یه کادر بره وارد کردن تکست هست متن زیر رو در اون بزنید
کد:
log_selector = +arguments +subject +received_recipients
در اخر هم Save رو بزنید
از منوی بقل WHM گزینه Tweak Settings رو بزنید
مقدار BoxTrapper Spam Trap رو به OFF تغییر بدید
مقدار Max hourly emails رو به 100 تغییر بدید
Email password reset رو OFF کنید
Block common domain usage رو ON کنید
Allow domain parking across accounts رو OFF کنید
Cookie IP validation رو روی strict بزارید
Use MD5 passwords with Apache رو ON کنید
Blank referrer safety check و Referrer safety check رو ON کنید (اختیاری چون فعال شدنش خوبه ولی یه کم ممکنه تو لوگین ها اذیت کنه و همش پسورد بخواد)
Security Tokens رو هم on کنید
Require SSL رو off کنید درسته که فعال بودنش خیلی خوبه ولی تو ایران ISP ها سر SSL ادا در میارن
آخر سر Save کنید
حالا اس اس اچ رو باز کنید و دستور زیر رو بزنید
کد:
nano /etc/ssh/sshd_config
با زدم دکمه CTRL + W از کیبرد عبارت UseDNS رو پیدا کنید اگر کنار # بود بردارید و مقدارشو به no تغییر بدید (اگه جلوش نوشته بود no به هیچی دست نزنید و اگه نوتشه yes فقط اون yes رو به no تبدیل کنید و فایل رو سیو کنید و بیاید بیرون
دستور
رو بزنید
اگه عبارت local-infile وجود داشت مقدارشو به 0 و اگه نبود در خط اخر اینو اضافه کنید
فایل رو سیو کنید و بیاید بیرون
حالا در منوی بقل WHM به ConfigServer Security&Firewall برید و CHECK SERVER SECURITY رو بزنید
اولا یاد آوری کنم قرار نیست همه گزینه ها سبز بشه (شاید در آخر یه 10-15 تایی بمونه که هیچ مشکلی نداره)
برید به آخرین قسمتش که نوشته Server Services Check و پایینش حدود 10-12 مورد رو چک کرده
اگه همش سبز باشه که خدا رو شکر اگه یکی یا چند تا یا همش قرمز باشه اگه دقت کنید کنار هر کدوم دو تا دستور نوشته اون دو تا دستور رو در اس اس اچ بزنید و اگر هم دستور ها اروری داد ارورش رو بیخیال شید :D
اگه سرور مجازی با OpenVZ یا Virtuzu دارید کار تمومه و یه reboot بزنید (و قسمت بعد که سکیو کردن /tmp هست رو بیخیال شید و فقط بیاید سراغ خطوط پایانی
اگه سرور اختصاصی دارید یا سرور مجازی با Vmware و Xen یه مرحله دیگه هم دارید ...
ولی خب با توجه به اینکه دیگه حوصله تایپ ندارم و در سایت Linuxtalk.ir آقای پیمان قربانی این مطلب رو به خوبی آموزش داده من مال ایشون رو براتون کپی پیست میکنم
امن کردن /tmp:ساخت 2000 مگابایت فضا ذخیره سازی:
کد:
dd if=/dev/zero of=tmpMnt bs=1024 count=2000000
ساخت فایل سیستم ext :
کد:
/sbin/mke2fs /dev/tmpMnt
ایجاد یک پشتیبان:
کد:
cp -R /tmp/ /tmp_backup
mount کردن فایل سیستم جدید با noexec:
کد:
mount -o loop,rw,nosuid,noexec /dev/tmpMnt /tmp
سطح مجوز را هم تغییر دهید:
پشتیبانی را که تهیه کرده بودیم، کپی میکنیم:
کد:
cp -R /tmp_backup/* /tmp/
پشتیبان را حذف میکنیم:
امن کردن /var/tmp :
تهیه یک پشتیبان:
کد:
mv /var/tmp /var/tmpbck
آدرس دهی میکنیم:فایل های داخل پشتیبان را کپی میگیریم:
کد:
cp /var/tmpbck/* /tmp/
امن کردن /dev/shm :
فایل زیر را با ویرایشگر باز میکنیم:
اگر ویرایشگر nano را نصب ندارید، با دستور زیر نصب کنید.
مقدار زیر را پیدا کنید :
کد:
none /dev/shm tmpfs defaults,rw 0 0
مقدار زیر را جایگزین مقدار فوق میکنیم:
کد:
none /dev/shm tmpfs defaults,nosuid,noexec,rw 0 0
مجددا” mount میکنیم:
کد:
mount -o remount /dev/shm
و حالا یه بار سرور رو با دستور reboot ریبوت کنید
قابل توجه همه (هم وی پی اس دارا هم سرور دارا)
من در نظر داشتم سی پنل رو تا همین حد اموزش بدم یادتون باشه هیچ وقت به اموزش های چرت و پرت من متکی نباشید و در گوگل سرچ کنید و از فروم هم بهره ببرید و سوال بپرسید ...
همونطور که به دایرکت ادمین دارا هم قول داده بودم از جلسه بعد آموزش این کنترل پنل رو ( که مورد علاقه خودمم هست) رو شروع میکنم و پس از تموم شدنش به امید خدا این اموزش رو که پرونده اش از عید 89 روی میزه رو میبندم
بازم حرف تکراری هر جلسه رو تکرار میکنم
هر طور سوال ممکن ، پیشنهاد و انتقاد رو در تاپیک بحث و برسی و بیان مشکلات در مورد آموزش مدیریت سرور مطرح کنید و تشکر هم فراموش نشه
با سپاس
کوچیک همه شما
آرش
پاسخ : آموزش قدم به قدم مدیریت سرور
پاسخ با نقل قول