sgighost
February 26th, 2013, 01:46
بسمه تعالی
با سلام دیدم تازه وارد ها به سرور مجازی نصب و کانفیگ فایروال براشون سخته این آموزش رو گذاشتم. کم و کاستی هاشو ببخشید این آموزش ها رو از جاهی مختلف به علاوه تجربیات خودم گذاشتم امیدوارم مفید باشه.فقط تشکر یادتون نره و اگه دیدین چیزی جا افتاده بگید تا درست کنم.
ممنون
برای نصب فایروال ابتدا ، به ترتیب دستور های زیر را وارد نمایید:
rm -fv csf.tgz
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
برای غیر فعال کردن APF+BFD از دستور زیر استفاده نمایید:
sh disable_apf_bfd.sh
آدرس پیکربندی فایروال:
/etc/csf/
نصب فایروال به اتمام رسید ، حال باید تنظیمات فایروال رو اعمال کنیم! به این منظور به بخش
plugins - config server security & firewal
رفته و وارد بخش check server security میشویم. حال مقادیری رو که خود سیستم برای رفع ارور اون ها کمک کرده رو کنار میگزاریم و به قسمت های مشکل میپردازیم.
Check /dev/shm is mounted noexec,nosuid
برای این مشکل :
فایل
/etc/fstab
را ویرایش کرده ( بوسیله ویرایشگرهایی مثل nano , VI , ... )
و عبارت
tmpfs /dev/shm tmpfs defaults
را به
tmpfs /dev/shm tmpfs noexec,nosuid
تغییر دهید و save کنید ، سپس دستور :
mount -o remount /dev/shm
را به منظور اعمال تغییرات ( remount کردن پارتیشن ) وارد نمایید .
-----------------------------------
Check SSH on non-standard port
فایل :
/etc/ssh/sshd_config
را ویراش کرده ، به دنبال سطر :
#Port 22
بگردید و به
Port 5656
تغییر دهید .
* علامت # را در ویراش جدید خودحذف کنید تا از حالات Comment خارج شود .
توجه کنید شماره پورت 5656 در این مثال جایگزین پورت پیش فرض SSH (22 خواهد شد . شماره پورت دلخواه را جایگزین این عدد (5656) کنید .
* برای انتخاب این عدد ، از اعداد بیشتر از 1024 استفاده نمایید .
-----------------------------------
Check SSH PasswordAuthentication
چنانچه از قابلیت PubkeyAuthentication استفاده نکرده یا نمیکنید ، این مورد امنیتی رو نادیده بگیرید و عمل Authentication سرویس SSH را با همان حالت پیش فرض Username - password (login انجام دهید.
به هر حال ، این موضوع با تغییر دادن عبارت :
#PasswordAuthentication yes
به
PasswordAuthentication no
حل خواهد شد .
* مجددا یادآوری میکنم چنانچه با قابلیت keyAuthentication آشنا هستید ، این عمل را انجام دهید .
-----------------------------------
Check root forwarder
فایلی به نام :
/root/.forward
و در مسیر ذکر شده بسازید / (در صورت وجود) ویرایش کنید و یک آدرس e-mail در آن بنویسید . تا ایمیل های صادره برای Root به آن Forward شود . (توجه کنید این مورد امنیتی ، به ضد امنیت تبدیل نشود )
-----------------------------------
Check apache for FrontPage
بوسیله EasyApache در WHM وب سرور apache خود را rebuild نمایید و این بار با انتخاب نکردن گزینه Front page این امکان را از وب سرورخود حذف نمایید .
-----------------------------------
Check cPanel php.ini file for register_globals
در فایل php.ini جاری سرور خود ، به دنبال عبارت :
register_globals =
و به
register_globals = Off
تغییر دهید .
خوب یک سری از مراتب رو هم اینجا میگم تا به مشکلی بر نخورید
nano /etc/my.cnf
متن زیر را خط دوم اضافه کنید :
local-infile=0
service mysql restart
بعد
nano /etc/ssh/sshd_config
UseDNS no
service sshd restart
پروت SSH را هم میشه از همینجا تغییر داد و باید در فایروال هم تغییر بدید
بعد :
nano warezhost.sh
#!/bin/bash
service cups stop
chkconfig cups off
service xfs stop
chkconfig xfs off
service atd stop
chkconfig atd off
service nfslock stop
chkconfig nfslock off
service rpcidmapd stop
chkconfig rpcidmapd off
service bluetooth stop
chkconfig bluetooth off
service anacron stop
chkconfig anacron off
service gpm stop
chkconfig gpm off
service avahi-daemon stop
chkconfig avahi-daemon off
service hidd stop
chkconfig hidd off
service pcscd stop
chkconfig pcscd off
sh warezhost.sh
/scripts/securetmp
nano /usr/local/lib/php.ini
به دنبال این گزینه بگردید :
کد:
disable_functions
و به این صورت تغییر بدید :
disable_functions = show_source, system, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen
البته فاکشن زیاد هست که اگر بخوام مقداری کلی تر بگم شاید اینطوری باشه :
symlink,ini_restore,imap_body,imap_list,imap_open, mysql_list_dbs,popen,stream_select,socket_select,s ocket_create,socket_create_listen,socket_create_pa ir,socket_listen,socket_accept,socket_bind,socket_ strerror,readlink,link,pfsockopen,ini_alter,dl,ope nlog,syslog,pcntl_exec,pcntl_fork,p cntl_signal,pcntl_waitpid,pcntl_wexitstatus,pcntl_ wifexited,pcntl_wifsignaled,pcntl_wifstopped,pcntl _wstopsig,pcntl_wtermsig,fpassthru,detcwd,system,p assthru,exec,proc_close,proc_get_status,proc_nice, proc_open,proc_terminate,shell_exec,system,escapes hellarg,escapeshellcmd,putenv,
ولی ما تنها یک سری فاکشن عمومی را می بنیدم که بقیه به خودتون و سیستم های مدیریت محتوایی که استفاده میکنید مربوط میشه
خوب تا اینجا بیشتر بخش ها درست میشن و یک سری مثل cxs و frontpage و suhosin و نیم سرور میمونه که هر کدوم رو جدا بحث میکنم.
cxs: هزینه داره که میتونید از داخل اقدام کنید ( روی لینک کلیک کنید)
frontpage & suhosin : این دو گزینه از بخش easy apache قابل تنظیم هستند و قتی انتخاب کردید حتما یادتون باشه rebuild کنید
نیم سرور ها: راستش فکر خاصی براشون ندارم :دی
بعد از انجام این کار ها
بهWHM لاگین کنید و از منوی Plugin و کلیک کنید روی ConfigServer Security&Firewall
روی دکمه Firewall Configuration کلیک نمایید
سپس تغییرات زیر را اعمال نمایید:
ETH_DEVICE =eth+
که اگر سرور مجازی هستید بجای مقدار بالا venet0 رو قرار دهید
TCP_IN/TCP_OUT/UDP_IN/UDP_OUT= این مربوط به پورت هاتون میشه
MONOLITHIC_KERNEL= 1
LF_DSHIELD= 86400
LF_SCRIPT_ALERT= 1
LF_SCRIPT_LIMIT= 250
TESTING = 0
سپس رو دکمه Changes کلیک نمایید و سپس برای ریستارت کردن فایروال روی دکمه Restarting csf+lfd کلیک نمایید
.................................................. ....-------------------------------------------------------................................................------------------------------------------------------
اطلاعات تکمیلی:
حذف کامل فایروال
cd /etc/csf/
./uninstall.sh
service iptables restart
خاموش کردن فایروال
service iptables stop
پاک کردن رول ها
iptables -F
امیدوارم به دردتون خورده باشه اگه مفید بود دکمه تشکر رو بزنید ممنون
با سلام دیدم تازه وارد ها به سرور مجازی نصب و کانفیگ فایروال براشون سخته این آموزش رو گذاشتم. کم و کاستی هاشو ببخشید این آموزش ها رو از جاهی مختلف به علاوه تجربیات خودم گذاشتم امیدوارم مفید باشه.فقط تشکر یادتون نره و اگه دیدین چیزی جا افتاده بگید تا درست کنم.
ممنون
برای نصب فایروال ابتدا ، به ترتیب دستور های زیر را وارد نمایید:
rm -fv csf.tgz
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
برای غیر فعال کردن APF+BFD از دستور زیر استفاده نمایید:
sh disable_apf_bfd.sh
آدرس پیکربندی فایروال:
/etc/csf/
نصب فایروال به اتمام رسید ، حال باید تنظیمات فایروال رو اعمال کنیم! به این منظور به بخش
plugins - config server security & firewal
رفته و وارد بخش check server security میشویم. حال مقادیری رو که خود سیستم برای رفع ارور اون ها کمک کرده رو کنار میگزاریم و به قسمت های مشکل میپردازیم.
Check /dev/shm is mounted noexec,nosuid
برای این مشکل :
فایل
/etc/fstab
را ویرایش کرده ( بوسیله ویرایشگرهایی مثل nano , VI , ... )
و عبارت
tmpfs /dev/shm tmpfs defaults
را به
tmpfs /dev/shm tmpfs noexec,nosuid
تغییر دهید و save کنید ، سپس دستور :
mount -o remount /dev/shm
را به منظور اعمال تغییرات ( remount کردن پارتیشن ) وارد نمایید .
-----------------------------------
Check SSH on non-standard port
فایل :
/etc/ssh/sshd_config
را ویراش کرده ، به دنبال سطر :
#Port 22
بگردید و به
Port 5656
تغییر دهید .
* علامت # را در ویراش جدید خودحذف کنید تا از حالات Comment خارج شود .
توجه کنید شماره پورت 5656 در این مثال جایگزین پورت پیش فرض SSH (22 خواهد شد . شماره پورت دلخواه را جایگزین این عدد (5656) کنید .
* برای انتخاب این عدد ، از اعداد بیشتر از 1024 استفاده نمایید .
-----------------------------------
Check SSH PasswordAuthentication
چنانچه از قابلیت PubkeyAuthentication استفاده نکرده یا نمیکنید ، این مورد امنیتی رو نادیده بگیرید و عمل Authentication سرویس SSH را با همان حالت پیش فرض Username - password (login انجام دهید.
به هر حال ، این موضوع با تغییر دادن عبارت :
#PasswordAuthentication yes
به
PasswordAuthentication no
حل خواهد شد .
* مجددا یادآوری میکنم چنانچه با قابلیت keyAuthentication آشنا هستید ، این عمل را انجام دهید .
-----------------------------------
Check root forwarder
فایلی به نام :
/root/.forward
و در مسیر ذکر شده بسازید / (در صورت وجود) ویرایش کنید و یک آدرس e-mail در آن بنویسید . تا ایمیل های صادره برای Root به آن Forward شود . (توجه کنید این مورد امنیتی ، به ضد امنیت تبدیل نشود )
-----------------------------------
Check apache for FrontPage
بوسیله EasyApache در WHM وب سرور apache خود را rebuild نمایید و این بار با انتخاب نکردن گزینه Front page این امکان را از وب سرورخود حذف نمایید .
-----------------------------------
Check cPanel php.ini file for register_globals
در فایل php.ini جاری سرور خود ، به دنبال عبارت :
register_globals =
و به
register_globals = Off
تغییر دهید .
خوب یک سری از مراتب رو هم اینجا میگم تا به مشکلی بر نخورید
nano /etc/my.cnf
متن زیر را خط دوم اضافه کنید :
local-infile=0
service mysql restart
بعد
nano /etc/ssh/sshd_config
UseDNS no
service sshd restart
پروت SSH را هم میشه از همینجا تغییر داد و باید در فایروال هم تغییر بدید
بعد :
nano warezhost.sh
#!/bin/bash
service cups stop
chkconfig cups off
service xfs stop
chkconfig xfs off
service atd stop
chkconfig atd off
service nfslock stop
chkconfig nfslock off
service rpcidmapd stop
chkconfig rpcidmapd off
service bluetooth stop
chkconfig bluetooth off
service anacron stop
chkconfig anacron off
service gpm stop
chkconfig gpm off
service avahi-daemon stop
chkconfig avahi-daemon off
service hidd stop
chkconfig hidd off
service pcscd stop
chkconfig pcscd off
sh warezhost.sh
/scripts/securetmp
nano /usr/local/lib/php.ini
به دنبال این گزینه بگردید :
کد:
disable_functions
و به این صورت تغییر بدید :
disable_functions = show_source, system, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen
البته فاکشن زیاد هست که اگر بخوام مقداری کلی تر بگم شاید اینطوری باشه :
symlink,ini_restore,imap_body,imap_list,imap_open, mysql_list_dbs,popen,stream_select,socket_select,s ocket_create,socket_create_listen,socket_create_pa ir,socket_listen,socket_accept,socket_bind,socket_ strerror,readlink,link,pfsockopen,ini_alter,dl,ope nlog,syslog,pcntl_exec,pcntl_fork,p cntl_signal,pcntl_waitpid,pcntl_wexitstatus,pcntl_ wifexited,pcntl_wifsignaled,pcntl_wifstopped,pcntl _wstopsig,pcntl_wtermsig,fpassthru,detcwd,system,p assthru,exec,proc_close,proc_get_status,proc_nice, proc_open,proc_terminate,shell_exec,system,escapes hellarg,escapeshellcmd,putenv,
ولی ما تنها یک سری فاکشن عمومی را می بنیدم که بقیه به خودتون و سیستم های مدیریت محتوایی که استفاده میکنید مربوط میشه
خوب تا اینجا بیشتر بخش ها درست میشن و یک سری مثل cxs و frontpage و suhosin و نیم سرور میمونه که هر کدوم رو جدا بحث میکنم.
cxs: هزینه داره که میتونید از داخل اقدام کنید ( روی لینک کلیک کنید)
frontpage & suhosin : این دو گزینه از بخش easy apache قابل تنظیم هستند و قتی انتخاب کردید حتما یادتون باشه rebuild کنید
نیم سرور ها: راستش فکر خاصی براشون ندارم :دی
بعد از انجام این کار ها
بهWHM لاگین کنید و از منوی Plugin و کلیک کنید روی ConfigServer Security&Firewall
روی دکمه Firewall Configuration کلیک نمایید
سپس تغییرات زیر را اعمال نمایید:
ETH_DEVICE =eth+
که اگر سرور مجازی هستید بجای مقدار بالا venet0 رو قرار دهید
TCP_IN/TCP_OUT/UDP_IN/UDP_OUT= این مربوط به پورت هاتون میشه
MONOLITHIC_KERNEL= 1
LF_DSHIELD= 86400
LF_SCRIPT_ALERT= 1
LF_SCRIPT_LIMIT= 250
TESTING = 0
سپس رو دکمه Changes کلیک نمایید و سپس برای ریستارت کردن فایروال روی دکمه Restarting csf+lfd کلیک نمایید
.................................................. ....-------------------------------------------------------................................................------------------------------------------------------
اطلاعات تکمیلی:
حذف کامل فایروال
cd /etc/csf/
./uninstall.sh
service iptables restart
خاموش کردن فایروال
service iptables stop
پاک کردن رول ها
iptables -F
امیدوارم به دردتون خورده باشه اگه مفید بود دکمه تشکر رو بزنید ممنون