با سلام امیدوارم تکراری نباشه گرچه اینا حاصل تجربه ی خودم هست ولی به هر حال ..... ( البته در مورد امن کردن پوشه ی Tmp و ... چیزی نمیگیم چون اموزش براش زیاده
موارد زیر را به صورتی که اعلام میشه تغییر بدید
برید به

nano /etc/ssh/sshd_config
و Protocol 2 را فعال کنید و UseDNS no به این صورت تغییر بدید
Change #Port 22 to some other port and uncomment it
برداشتن # و همچنین باز کردن پورت دلخواه در فایروال سرور

موارد زیر را دقیقا مانند دستور تغییر بدید تمامی این موارد از منوی سمت چپ سیپنل یافت میشند
Enable open_basedir protection
Disable Compilers for all accounts(except root)
Enable Shell Bomb/memory Protection
Enable cPHulk Brute Force Protection
در قسمت

Main >> Service Configuration >> Apache Configuration >> Global Configuration
TraceEnable Off
ServerSignature Off
ServerTokens ProductOnly
FileETag None

در
Main >> Security Center >> Apache mod_userdir Tweak
Enable mod_userdir Protection را تیک بزنید

در قسمت
Main >> Service Configuration >> Configure PHP and SuExec
Default PHP Version (.php files) 5
PHP 5 Handler suphp
PHP 4 Handler none
Apache suEXEC on
Apache Ruid2 off
به این صورت باشه

در
nano /usr/local/lib/php.ini
enable_dl = Off
disable_functions
symlink, show_source, passthru, exec, fpassthru, popen, crack_check, crack_closedict, proc_open, crack_getlastmessage, crack_opendict, psockopen, php_ini_scanned_files, shell-exec, system, dl, tmp, safe_mode, systemroot, server_software, get_current_user, ini_restore, popen, pclose, exec, shell_exec, suExec, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_setegid, posix_seteuid, posix_setgid, posix_times, posix_ttyname, posix_uname, posix_access, posix_get_last_error, posix_mknod, posix_strerror, posix_initgroups, posix_setsid, posix_setuid, perl, rsync, wget, ./, python, whoami, cat, perm, find, phpinfo, php_uname, c99_buff_prepare, c99_sess_put, c99getsource, c99sh_getupdate, c99fsearch, c99shexit, c99ftpbrutecheck, fpassthru

register_globals = Off
safe_mode = On
expose_php = Off
magic_quotes = On
display errors = off

در
Main >> Security Center >> PHP open_basedir Tweak
Enable php open_basedir Protection تیک بزنید

حتما Suhosin را نصب کنید اگر آموزش نصب این مورد هم نیاز بود بفرمایید تا آموزششو بدم ولی از طریق easy apache قابل نصبه با یه تیک و یه تغییر کوچیک در فایل

nano /usr/local/lib/php.ini
مواردی مثل suhosin و zend رو هم اگه حوصله باشه حتما مینویسم

در
Main >> Server Configuration >> Tweak Settings
این تغییرات رو بدید
Enable BoxTrapper spam trap off
Email password reset off
SSL Support for cPanel daemons (no stunnel) on
Allow Remote Domains off
***** subdomains off
***** subdomain override off


در
Main >> Security Center >> Compiler Access
Compiler Access رو disable کنید

در
Main >> Service Configuration >> FTP Server Configuration

Allow Anonymous Logins no

Allow Anonymous Uploads no

Allow Logins with Root Password no
Broken Clients Compatibility no

و همچنین
Set some MySQL password
از قسمت

Main >> SQL Services >> MySQL Root Password


همچنین نصب و کانفیگ cxs
http://www.webhostingtalk.ir/f10/53185/#post488673


خیلی موارد دیگه هست ولی چون یهویی میاد تو ذهنم خیلی قاطی پاتی شده
بذارید تا چند روز آینده قشنگ دسته بندی میکنم و مینویسم
تغریبا 10 پست دیگه شاید مطلب باشه و اینا فقط موارد اولیه هست

ClamAV


yum install clamav

برای آپدیت

freshclam

اجرای اسکن

clamscan -r /home

بهتره تو disable_function ها توابع posix رو برداری . چون برخی از posix ها برای جوملا مورد نیاز می باشد.

بهتره تو disable_function ها توابع posix رو برداری . چون برخی از posix ها برای جوملا مورد نیاز می باشد.


ممنونم اما تو این چند سالی که کار میکنم همین فانگشن هارو بستم و هیچ مشتری جوملایی مشکلی نداشته

http://www.webhostingtalk.ir/f10/62084/
این رو هم بخونید

ClamAV


برای آپدیت

freshclam

اجرای اسکن

clamscan -r /home

نصب clamav از خود WHM به نظر بهتره
Home » cPanel » Manage Plugins
در ضمن بعد از نصب در قسمت Plugins هم میشه تنظیمش کرد که کجاها رو چک کنه

disable_functions
symlink, show_source, passthru, exec, fpassthru, popen, crack_check, crack_closedict, proc_open, crack_getlastmessage, crack_opendict, psockopen, php_ini_scanned_files, shell-exec, system, dl, tmp, safe_mode, systemroot, server_software, get_current_user, ini_restore, popen, pclose, exec, shell_exec, suExec, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_setegid, posix_seteuid, posix_setgid, posix_times, posix_ttyname, posix_uname, posix_access, posix_get_last_error, posix_mknod, posix_strerror, posix_initgroups, posix_setsid, posix_setuid, perl, rsync, wget, ./, python, whoami, cat, perm, find, phpinfo, php_uname, c99_buff_prepare, c99_sess_put, c99getsource, c99sh_getupdate, c99fsearch, c99shexit, c99ftpbrutecheck, fpassthru

register_globals = Off
safe_mode = On
expose_php = Off
magic_quotes = On
display errors = off


با سلام و تشکر از اطلاعاتی که قرار دادید.
disable_functions بدون کانفیگ suphp فایده ای نخواهد داشت
magic_quotes را on نکنید بهتره (نسبت سودش به ضرر 1 به 100 است) (Deprecated)
safe_mode هم همین طور باید خاموش باشه مشکل ساز می شه، با روش های دیگری باید جای safe mode رو پر کرد

ممنون
ایا راهی هست که دیتابیسه ClamAV را دستی اپدیت کرد؟ مقاوم تر بشه

ممنون
ایا راهی هست که دیتابیسه ClamAV را دستی اپدیت کرد؟ مقاوم تر بشه

در ssh دستور freshclam رو بزنید

دو نکته ساده ولی موثر امنیتی دیگر برای جلوگیری از نفوظ به سرور:

به فرض اینکه شما یک یوزر غیرروت دارید که می تواند به سرور ssh کند معقول است که لاگین root به اس اس اچ رو غیر فعال کنید


nano /etc/ssh/sshd_config

و پارامتر PermitRootLogin بگذارید no

PermitRootLogin no

سپس سرور ssh را ریستارت کنید
/etc/init.d/sshd restart

حالا بعد از لاگین با یوزر غیر روت به سرور می توانید su را بزنید و پسورد روت را وراد کنید و کارهای روت را انجام بدهید
----------------

بعد نرم افزار fail2ban رو نصب کنید.
apt-get install fail2ban
یا
yum install fail2ban

این برنامه سرورهای ssh و ftp را مونیتور می کند و بعد از ۵ بار لاگین اشتباه ۱۰ دقیقه کاربر را بلوکه می کند و به این ترتیب عملا امکان نفوذ از طریق bruteforce حدس زدن پسورد را می گیرد

دو نکته ساده ولی موثر امنیتی دیگر برای جلوگیری از نفوظ به سرور:

به فرض اینکه شما یک یوزر غیرروت دارید که می تواند به سرور ssh کند معقول است که لاگین root به اس اس اچ رو غیر فعال کنید


nano /etc/ssh/sshd_config

و پارامتر PermitRootLogin بگذارید no

PermitRootLogin no

سپس سرور ssh را ریستارت کنید
/etc/init.d/sshd restart

حالا بعد از لاگین با یوزر غیر روت به سرور می توانید su را بزنید و پسورد روت را وراد کنید و کارهای روت را انجام بدهید
----------------

بعد نرم افزار fail2ban رو نصب کنید.
apt-get install fail2ban
یا
yum install fail2ban

این برنامه سرورهای ssh و ftp را مونیتور می کند و بعد از ۵ بار لاگین اشتباه ۱۰ دقیقه کاربر را بلوکه می کند و به این ترتیب عملا امکان نفوذ از طریق bruteforce حدس زدن پسورد را می گیرد




دوست عزیز بدون اینکه یوزر جدید بسازید این کار رو کنید که دیگه باید فاتحه ssh رو بخونید
آموزش کامل لاگین با یوزر غیر روت در لینک زیر
http://www.webhostingtalk.ir/f10/62084/

با سلام و تشکر از اطلاعاتی که قرار دادید.
disable_functions بدون کانفیگ suphp فایده ای نخواهد داشت
magic_quotes را on نکنید بهتره (نسبت سودش به ضرر 1 به 100 است) (Deprecated)
safe_mode هم همین طور باید خاموش باشه مشکل ساز می شه، با روش های دیگری باید جای safe mode رو پر کرد

برای هر مورد لطفا بیشتر توضیح بدید تا هم تاپیک جامع بشه
هم دوستان استفاده کنند

با سلام و تشکر از اطلاعاتی که قرار دادید.
disable_functions بدون کانفیگ suphp فایده ای نخواهد داشت
magic_quotes را on نکنید بهتره (نسبت سودش به ضرر 1 به 100 است) (Deprecated)
safe_mode هم همین طور باید خاموش باشه مشکل ساز می شه، با روش های دیگری باید جای safe mode رو پر کرد

فکر نمیکنم disable_functions و safe_mode با suphp هم خیلی بداد سرور برسه. الان شلرها براحتی این ها رو رد می کنند و در php.ini ایناه رو اصلاح می کنند و روت میشن باید علاوه بر اینها جلوی دستکاری php.ini رو هم گرفت که روی سرور اشتراکی هم قاعده و قانونی داره که اگر اینها رو تضیح بدید خیلی خوبه

فکر نمیکنم disable_functions و safe_mode با suphp هم خیلی بداد سرور برسه. الان شلرها براحتی این ها رو رد می کنند و در php.ini ایناه رو اصلاح می کنند و روت میشن باید علاوه بر اینها جلوی دستکاری php.ini رو هم گرفت که روی سرور اشتراکی هم قاعده و قانونی داره که اگر اینها رو تضیح بدید خیلی خوبه

نحوه غیر فعال کردن php.ini سفارشی در suphp



/nano /usr/local/apache/conf/includes/pre_main_global.conf
کدهای زیر را داخلش قرار بدید

<IfModule mod_suphp.c>
<Location />
suPHP_ConfigPath /usr/local/lib/
</Location>
</IfModule>





/nano /opt/suphp/etc/suphp.conf

را ویرایش و " ; " اول خط های زیر را حذف کنید :


application/x-httpd-php=/usr/local/lib/
application/x-httpd-php4=/usr/local/php4/lib/
application/x-httpd-php5=/usr/local/lib/
ذخیره کنید
service httpd restart

حتی با استفاده از لایت اسپید میتونید
htaccess رو هم از حالت سفارشی در بیارید

خوب این روی سرور اشتراکی ایجاد مشکل نمیکنه؟ مثلا یگ کاربر بخواد سف مود یا رجیستر گلوبال رو تغییر وضعیت بده. روی سرور اشتراکی(هاستینگ) این راه حل درستی نیست و کاربرا رو فلج می کنه.
مثلا روی سرور های ایران هاست یکی از دوستانم چک کرده بود سیف مود روشن بود! فانکشنی هم بشته نشده بود اما شل ران نمیشد! حالا اینها مثلا چیکار کردن و چه تکنیکی!؟ خدا میدونه

خوب این روی سرور اشتراکی ایجاد مشکل نمیکنه؟ مثلا یگ کاربر بخواد سف مود یا رجیستر گلوبال رو تغییر وضعیت بده. روی سرور اشتراکی(هاستینگ) این راه حل درستی نیست و کاربرا رو فلج می کنه.
مثلا روی سرور های ایران هاست یکی از دوستانم چک کرده بود سیف مود روشن بود! فانکشنی هم بشته نشده بود اما شل ران نمیشد! حالا اینها مثلا چیکار کردن و چه تکنیکی!؟ خدا میدونه

من توصیه نکردم این برای این مورد خوبه که شما سایت اصلی شرکت رو رو یه سرور جدا میاری بالا و میخوای همه جوره امن بشه
در مورد باقی موارد مود سکوآریتی و استفاده از رولهای اون خیلی کمک میکنه
و خیلی کارهای دیگه
حتی کانفیگ درست لایت اسپید میتونه تا حدی جلوی سیم لینک و خیلی چیزارو بگیره
نصب آنتی شلر هم توصیه میشه cxs

من توصیه نکردم این برای این مورد خوبه که شما سایت اصلی شرکت رو رو یه سرور جدا میاری بالا و میخوای همه جوره امن بشه
در مورد باقی موارد مود سکوآریتی و استفاده از رولهای اون خیلی کمک میکنه
و خیلی کارهای دیگه
حتی کانفیگ درست لایت اسپید میتونه تا حدی جلوی سیم لینک و خیلی چیزارو بگیره
نصب آنتی شلر هم توصیه میشه cxs

میشه در مورد مود سکیورتی و رولهاش توضیح بدید البته منظور نصب و اینها نیست منظورم کانفیگش هست
مثلا چندتا رول مثال بزنید یا اینکه چطور میشه این رولها رو ایجاد کرد.
سپاس

میشه در مورد مود سکیورتی و رولهاش توضیح بدید البته منظور نصب و اینها نیست منظورم کانفیگش هست
مثلا چندتا رول مثال بزنید یا اینکه چطور میشه این رولها رو ایجاد کرد.
سپاس

در مدسکیوریتی مبحث rule ها مبحث گسترده ای می باشدکه در صورت عدم تجربه دستکاری rule ها پیشنهاد نمی شود.
من یک مثال ساده می زنم. به عنوان مثال شما اگه می خوایی در مد سکیوریتی تعریف کنی که اگر کاربر در Request کاراکترهایی مثل union select زد بلاک بشه بسته به نوع variable مشخص شده درمدسکیوریتی rule رو به صورت زیر می نویسی :
SecRule ARGS:catid "(?i:UNION\s+SELECT)" "ctl:auditLogParts=+E,deny,setvar:'tx.msg=ET WEB_SPECIFIC_APPS

در دستور بالا اول نوع argument که از کاربر میگره رو مشخص می کنی در مرحله بعد operator را تعریف می کنی و سپس keyword که میخواهید بررسی شودرا معین می کنید . و سپس transactionمربوطه مشخص می گردد و در فاز بعد نیز نحوه لاگ کردن درخواست براساس اولویت 1 تا 5 خود mosecurity تنظیم می کنید که اولویت بهتر اولویت3 می باشد که در اینجا اولویت 3 مشخص می کند که به چه صورت لاگ ها ذخیره شود و در مرحله آخر که از همه مهتر است بخش Action می باشد که شما مشخص می کنی modsecurity در مقابل این درخواست چه عکس العملی داشته باشدکه اینجا deny مشخص شده است که دسترسی از درخواست کنند ه سلب می شود و در آخر نیز می گی درخواست را هم capture کند و message نیز به شما نمایش دهد.

سوال دیگری بود هستم در خذمتتان.
امیدوارم مفید باشد.

علاوه بر این فانکشن های زیر رو هم بهش اضافه کنید یکم کامل تر میشه :
open_basedir,ini_get,include,ini_set,geoip_open,
و همینطور
base64_encode,base64_decode
اما فانکشن هر چقدرم باشه با اپلود یه فایل پرل مثل cgi.pl خیلی راحت میشه به هر کاری پرداخت بهتره cgi رو استفاده اش رو در هاست ببندید نه در کل سرور چون برای بعضی ماژول های دایرکت ادمین و... به پرل نیاز هست

علاوه بر این فانکشن های زیر رو هم بهش اضافه کنید یکم کامل تر میشه :
open_basedir,ini_get,include,ini_set,geoip_open,
و همینطور
base64_encode,base64_decode
اما فانکشن هر چقدرم باشه با اپلود یه فایل پرل مثل cgi.pl خیلی راحت میشه به هر کاری پرداخت بهتره cgi رو استفاده اش رو در هاست ببندید نه در کل سرور چون برای بعضی ماژول های دایرکت ادمین و... به پرل نیاز هست

base64_encode,base64_decode اینارو ببنده نیوک بالا نمیاد


اینا هم خوبن بسته بشه و دسترسی پرل هم به صورت پیش فرض بسته باشه
symlink, show_source, passthru, exec, fpassthru, popen, crack_check, crack_closedict, proc_open, crack_getlastmessage, crack_opendict, psockopen, php_ini_scanned_files, shell-exec, system, dl, tmp, safe_mode, systemroot, server_software, get_current_user, ini_restore, popen, pclose, exec, shell_exec, suExec, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_setegid, posix_seteuid, posix_setgid, posix_times, posix_ttyname, posix_uname, posix_access, posix_get_last_error, posix_mknod, posix_strerror, posix_initgroups, posix_setsid, posix_setuid, perl, rsync, wget, ./, python, whoami, cat, perm, find, phpinfo, php_uname, c99_buff_prepare, c99_sess_put, c99getsource, c99sh_getupdate, c99fsearch, c99shexit, c99ftpbrutecheck, fpassthru,ln,passthru,dl,system,exec,popen,shell_e xec,proc_close,proc_open,proc_nice,proc_terminate, proc_get_status,posix_getpwuid,posix_uname,ftp_exe c,posix_uname,posix_getpwuid,posix_kill,posix_mkfi fo,posix_setpgid,posix_setsid,posix_setuid,get_cur rent_user,getmyuid,getmygid,listen,chgrp,apache_no te,apache_setenv,apache_child_terminate,closelog,d ebugger_off,debugge_on,ini_restore,netscript,escap eshellarg,cmd,backtick,virtual,show_sourc,show_sou rce,pclose,pcntl_exec,datasec,old_offset,ctrl_dir, ini_alter,leak,listen,chgrp,apache_setenv,define_s yslog_variables,root,diskfreespace,disk_free_space ,disk_total_space,posix_kill,getmyuid,getmygid,apa che_child_terminate,php_ini_scanned_files,ls,ps_au x,chown,getrusage,posixc,posame,chgrp,posix_setuid ,posix_setsid,posix_setgid,apache_note,apache_sete nv,x_getuid,e_ini_file,nfo,SQL,mysql_li,t_dbs,ini_ get_all,fileowner,fileperms,filegroup,highlight_fi le,ilegetcontents,get_dir,popen,popens,pfsockopen, dos_conv,apache_get_modules,crack_check,crack_clos edict,zip_read,rar_open,bzopen,bzread,bzwrite,shel lcode,posix_isatty,posix_getservbyname,escapeshell arg,hypot,pg_host,pos,posix_access,inurl,posix_mkn od,pclose,ps_fill,symlink,id,escapeshellcmd

سلام و قت بخیر

جناب کمانگر گرامی لطفا آموزش فعال سازی و کانفیگ Suhosin به طوری که با اسکریپت ها به مشکل نخوره رو هم لطف بفرمایید

منون

در آدرس
Home »Software »MultiPHP INI Editor

ورژن پی اچ پی را انتخاب و این گزینه را اضافه نمایید

open_basedir =/home/:/usr/lib/php:/usr/local/lib/php:/tmp



بزنید

nano /usr/local/apache/conf/httpd.conf

و در محل مربوطه بزنید

<Directory "/">
Options IncludesNOEXEC Indexes SymLinksIfOwnerMatch
AllowOverride All
</Directory>

<Directory "/home">
Options IncludesNOEXEC SymLinksIfOwnerMatch
AllowOverride AuthConfig Indexes Limit FileInfo Options=IncludesNOEXEC,Indexes,Includes,MultiViews ,SymLinksIfOwnerMatch
</Directory>

<Directory "/usr/local/apache/htdocs">
Options IncludesNOEXEC SymLinksIfOwnerMatch
AllowOverride None
Order allow,deny
Allow from all
Order allow,deny
Allow from all

</Directory>

<Directory "/usr/local/apache/htdocs">
Options IncludesNOEXEC SymLinksIfOwnerMatch
AllowOverride None
Order allow,deny
Allow from all
Order allow,deny
Allow from all

</Directory>


اینو اضاف کنیم ب فایل کانفیگ اپاچی دقیقا چیکار می کنه ؟
خطرناک نیست ؟ یا مشکلی ایجاد نمی کنه تو اسکریپتا یا تو سیملینک تاثیر داره ؟ ممنون میشم تو ی خط و نیم توضیحش بدید
:x

<Directory "/usr/local/apache/htdocs">
Options IncludesNOEXEC SymLinksIfOwnerMatch
AllowOverride None
Order allow,deny
Allow from all
Order allow,deny
Allow from all

</Directory>


اینو اضاف کنیم ب فایل کانفیگ اپاچی دقیقا چیکار می کنه ؟
خطرناک نیست ؟ یا مشکلی ایجاد نمی کنه تو اسکریپتا یا تو سیملینک تاثیر داره ؟ ممنون میشم تو ی خط و نیم توضیحش بدید

:x

دستورات رو بخونید میبینین که نه تنها مشکلی ایجاد نمیکنه بلکه میتونه جلوی هکر های تازه کار رو بگیره البته هکر های حرفه ای میتونن بایپس کنن
این روش برای جلوگیری از سیم لینک هست
اصلش اینه

<Directory "/usr/local/apache/htdocs">
Options -ExecCGI Includes -Indexes -FollowSymLinks +IncludesNOEXEC -MultiViews +SymLinksIfOwnerMatch
AllowOverride AuthConfig Indexes Limit FileInfo Options=IncludesNOEXEC,-Indexes,Includes,-MultiViews,SymLinksIfOwnerMatch,-FollowSymLinks
Order allow,deny
Allow from all
</Directory>

<Directory "/home">
Options -ExecCGI Includes -Indexes -FollowSymLinks +IncludesNOEXEC -MultiViews +SymLinksIfOwnerMatch
AllowOverride AuthConfig Indexes Limit FileInfo Options=IncludesNOEXEC,-Indexes,Includes,-MultiViews,SymLinksIfOwnerMatch,-FollowSymLinks
Order allow,deny
Allow from all
</Directory>

ولی توی آپاچی ورژن جدید + و - بذارید سیو کنین ریستارت نمیشه آپاچی

اها خب برای حل مشکل ک ارور نده در ورزن جدید اپاچی چیکارکنیم

<Directory "/home">
Options IncludesNOEXEC SymLinksIfOwnerMatch
AllowOverride AuthConfig Indexes Limit FileInfo Options=IncludesNOEXEC,Indexes,Includes,MultiViews ,SymLinksIfOwnerMatch
</Directory>
این رو ک میزارم ارور میده