PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : آموزش افزایش امنیت سرور لینوکس


MelatHOST
May 13th, 2010, 23:24
با سلام و درود
بنده تصمیم دارم در این تاپیک هر از گاهی اطلاعات مفیدی درباره امنیت قرار بدم اگر شما هم اطلاعاتی در این باره داشتید با دوستان دیگر سهیم کنید

1- سکیور کردن ln

وارد ssh شوید و سپس تایپ کنید
cd /bin

chmod 000 ln

chown root:root ln

2- دسترسی پرل را ببنیدید (در سی پنل توصیه نمیشود و میبایست از یک منیجر بخواهید دسترسی را تنظیم کند)

cd /usr/bin

chmod 700 perl

chown root:root perl


3- دستورات زیر را در ssh وارد کنید تا سرویس های اضافی برای کاربران غیر فعال شوند
chmod 700 /usr/bin/gcc
chmod 700 /usr/bin/chattr
chmod 700 /usr/bin/w
chmod 700 /usr/bin/who
chmod 700 /usr/bin/last
chmod 700 /usr/bin/lastb
chmod 700 /usr/bin/lastlog
chmod 700 /bin/rpm
chmod 700 /bin/dmesg

chmod 700 /sbin/ipchains
chmod 700 /sbin/iptables
chmod 700 /sbin/sysctl
chmod 700 /sbin/shutdown
chmod 700 /sbin/reboot
chmod 700 /sbin/halt
chmod 700 /sbin/poweroff


4-
chattr +i /bin/login
chattr +i /bin/rpm
chattr +i /bin/ps
chattr +i /bin/ls


5- اکانتهایی که نیاز نیست را پاک کنید

userdel -r uucp
userdel -r operator
userdel -r gopher
userdel -r games
userdel -r news


6- لوگ ها را طوری تنظیم کنید که فقط روت به آن دسترسی داشته باشد
chmod 700 /var/log

chmod 600 /var/log/messages
chmod 600 /var/log/dmesg
chmod 600 /var/log/boot.log
chmod 600 /var/log/lastlog
chmod 600 /var/log/rpmpkgs
vPsPersia.COM
June 12th, 2010, 18:44
من این کارا رو کردم ، Cpanel بع **** رفت . نه میشه دیتابیس ساخت ، PERL دیگه کار نیمده ، cPAnel آپدیت نمیشه و ........
پیشنهاد می کنم کسی استفاده نکنه برای cPanel
NovinServer
June 12th, 2010, 23:26
من این کارا رو کردم ، Cpanel بع **** رفت . نه میشه دیتابیس ساخت ، PERL دیگه کار نیمده ، cPAnel آپدیت نمیشه و ........
پیشنهاد می کنم کسی استفاده نکنه برای cPanel

lol =))
Woshka
June 12th, 2010, 23:26
امنیت همینه
هرچی امن تر کار سخت تر
بی امنیتی = رضایت کامل
NovinServer
June 12th, 2010, 23:29
امنیت همینه
هرچی امن تر کار سخت تر
بی امنیتی = رضایت کامل

امنیت = پایه ( basic )
پشتیبانی = روزانه - هقتگی

حرف Woshka کاملا درسته ! بهتره یک امنیت پایه در نظر بگیریم و هر روز از اکانت ها پشتیبانی بگیرم بقیه را بسپارید دست خدا !
Doublex
June 12th, 2010, 23:35
حالا رندومش رو مشخص کنید همونو فقط بزنیم ...
NovinServer
June 12th, 2010, 23:41
راستی کسی از دوستان می دونه چطوری میشه PHP.ini را بست ؟
می خواهم هر کاربری که php.ini ساخت اثر نکنه !

کسی بلده ؟
Arashdn
June 13th, 2010, 07:26
امنیت در یه حد متعادل خوبه ..
زیاد هم بشه نتیجه اش میشه همین
Mostafa
June 13th, 2010, 12:44
راستی کسی از دوستان می دونه چطوری میشه PHP.ini را بست ؟
می خواهم هر کاربری که php.ini ساخت اثر نکنه !

کسی بلده ؟

مگه اهمین طوریش اثر می کنه ؟ توی سی پنل که اثر نمی کنه .
NovinServer
June 13th, 2010, 12:47
مگه اهمین طوریش اثر می کنه ؟ توی سی پنل که اثر نمی کنه .

چرا اثر می کنه ! هنوز هم راه بستنش را نفهمیدم !
من الا چند فاکشن را بستم به محض اینکه فایلی با نام php.ini ایجاد شود safe mode = off و همه فاکشن ها باز می شوند و همه اطلاعات نمایش می شه !
NovinServer
June 13th, 2010, 17:52
این مشکل برای suphp هست تغییر بده مشکلت حل میشه
یا fastcgi کن که نیاز به تنظیمات داره اگر انجام ندادی دردسره...
یا dso کن که نیاز به کار خاصی نباشه

امیر جان نظرت در مورد این چیه ؟
Check suPHP
WARNING
To reduce the risk of hackers accessing all sites on the server from a compromised PHP web script, you should enable suPHP when you build apache/php. Note that there are sideeffects when enabling suPHP on a server and you should be aware of these before enabling it.
Don't forget to enable it as the default PHP handler in WHM > PHP 5 Handler
IFACO.Net
June 14th, 2010, 00:33
اینم در نظر داشته باشید که اگر DSO باشه خیلی از اسکریپت ها برای نصب و کارکرد صحیح مجبورند، خیلی از فولدرها ها رو 777 و یا فایلها رو 666 کنند که از جهت امنیتی ، ریسک و حفره بزرگی محسوب میشند، ولی در suphp این مشکل برطرف شده ولی تنها مشکلی که داره اینه که php.ini در اختیار کاربر هست که اینهم باگ بزرگی محسوب میشه که برای جلوگیری از اینکار خطرناک هم راه حلی پیدا کردم که در حال تکمیل آموزشش هستم که بزودی در انجمن میذارم تا دوستان استفاده کنند (در این راه حل php.ini کلا از اختیار کاربران خارج میشه ! ولی خاصیت خوب suphp از بین نمیره ! ... )
mikili
July 25th, 2010, 02:30
این مشکل برای suphp هست تغییر بده مشکلت حل میشه
یا fastcgi کن که نیاز به تنظیمات داره اگر انجام ندادی دردسره...
یا dso کن که نیاز به کار خاصی نباشه

کجا این تنظیمات باید اعمال بشه ؟؟
کجا میشه این حالات رو عوش کرد ؟
ممنون و موفق باشید
nima4u
December 9th, 2012, 17:02
وقتی شما perl را محدود کنید . Cpanel و Directadmin و اکثر پلاگین های این کنترل پنلها از کار می افتد.
دسترسی لاگ ها هم اگر محدود بشه بیستر نرم افزارها دچار مشکل می شوند. مثل وب میل ها ....

و در کل این پارامتر ها امنیت آنچنانی برای سرور ایجاد نمی کنند جز از کار افتادن نرم افزارها و پلاگین ها
sajiran
December 9th, 2012, 17:18
وقتی شما perl را محدود کنید . Cpanel و directadmin و اکثر پلاگین های این کنترل پنلها از کار می افتد.
دسترسی لاگ ها هم اگر محدود بشه بیستر نرم افزارها دچار مشکل می شوند. مثل وب میل ها ....

و در کل این پارامتر ها امنیت آنچنانی برای سرور ایجاد نمی کنند جز از کار افتادن نرم افزارها و پلاگین ها

روی سیپنل مشکلی پیش نمیاد, نسخه های جدید سیپنل محدود کرد پرل روی روت پشتیبانی میکنه و csf هم بدون مشکل گار میکنه
nima4u
December 9th, 2012, 17:27
من قبلا روی cpanel و directadmin تست کرده بودم که باعث میشد csf منیجر از کار بیفته. و بستن دسترسی لاگ ها برای ارسال ایمیل ایجاد اشکال می کنه
secure_host
December 10th, 2012, 01:17
روی سیپنل مشکلی پیش نمیاد, نسخه های جدید سیپنل محدود کرد پرل روی روت پشتیبانی میکنه و csf هم بدون مشکل گار میکنه


چنین کاری حداقل در cpanel غیرقابل پیاده سازی می باشد. زیرا خود Cpanel براساس perl می باشد و مختص به یوزر و گروه خاصی نمی باشد که بتوان با اضافه کردن در یک گروه به cpanel اجازه استفاده از perl را داد.
زیرا وقتی شما در بروزر آدرس http://securehost.ir/cpanel را تایپ می کنید . cpanel تحت یوزر securehost اجرا میگردد و برای یوزر دیگر نیز همین طور . که این راه کار برای Cpanel جواب نمیده.
VpsParse
December 10th, 2012, 02:03
اوکی حل شد
Woshka
December 10th, 2012, 02:12
تحت هر یوزر دیگه میشه با
http://securehost.ir/cpanel
لاگین کرد
parsspace
December 10th, 2012, 03:19
پایه ای ترین کار کار اینه که جلوی ران کردن اسکریپت روی پارتیشن تمپ و هوم رو بگیرید
جلوی اجرای پرل رو هم بگیرید
جلوی سیم لینک رو هم ببندید
یک سری از توابع پی اچ پی رو هم ببندید
امنیت تا حد زیادی برقرار میشه
1406
December 10th, 2012, 07:44
پایه ای ترین کار کار اینه که جلوی ران کردن اسکریپت روی پارتیشن تمپ و هوم رو بگیرید
جلوی اجرای پرل رو هم بگیرید
جلوی سیم لینک رو هم ببندید
یک سری از توابع پی اچ پی رو هم ببندید
امنیت تا حد زیادی برقرار میشه

تمام این مواردی که شما گفتین با یه cBack بایپس میشه
secure_host
December 10th, 2012, 08:42
تحت هر یوزر دیگه میشه با
http://securehost.ir/cpanel
لاگین کرد


بله حرف شما زمانی درست است که یوزر مربوطه نیز به پرل دسترسی داشته باشد.ولی وقتی که قرار است دسترسی پرل برای تمام کاربران بسته شود . نمی توان cPanel را اجرا نمود.
sajiran
December 11th, 2012, 13:39
بله حرف شما زمانی درست است که یوزر مربوطه نیز به پرل دسترسی داشته باشد.ولی وقتی که قرار است دسترسی پرل برای تمام کاربران بسته شود . نمی توان cPanel را اجرا نمود.

وقتی پرل رو برای یوزر محدود کنید domain.com/cpanel به صورت domian.com:2082 تبدیل میشه و کاربر دسترسی لازم رو پیدا میکنه
عرض کردم در نسخه جدید سیپنل محدود کردن پرل جواب میده اما برای نسخه های قدیمی (2نسخه قبلی) لیمیت پرل برای روت ، برای کاربرا مشکل ساز میشد
secure_host
December 11th, 2012, 23:13
وقتی پرل رو برای یوزر محدود کنید domain.com/cpanel به صورت domian.com:2082 تبدیل میشه و کاربر دسترسی لازم رو پیدا میکنه
عرض کردم در نسخه جدید سیپنل محدود کردن پرل جواب میده اما برای نسخه های قدیمی (2نسخه قبلی) لیمیت پرل برای روت ، برای کاربرا مشکل ساز میشد

ممنون میشم لطفا با مطالعه وارد بحث ها شوید.
domain.com/cpanel با domain.com:2082 دقیقا چه فرقی می کنه >؟ وقتی domain.com/capanel و یا domain.com:2082 رو میزنید باز هم یوزر منتسب به دامنه domain.com حق دسترسی اش بررسی می شود.
ممنون میشم refrence از وب سایت cPanel برای این مطلبتون ارایه کنید.
با تشکر