کاملترین اموزش کانفیگ امنیتی

با سلام امیدوارم تکراری نباشه گرچه اینا حاصل تجربه ی خودم هست ولی به هر حال ..... ( البته در مورد امن کردن پوشه ی Tmp و ... چیزی نمیگیم چون اموزش براش زیاده
موارد زیر را به صورتی که اعلام میشه تغییر بدید
برید به

نقل قول:

---

nano /etc/ssh/sshd_config

---

و Protocol 2 را فعال کنید و UseDNS no به این صورت تغییر بدید
Change #Port 22 to some other port and uncomment it
برداشتن # و همچنین باز کردن پورت دلخواه در فایروال سرور

موارد زیر را دقیقا مانند دستور تغییر بدید تمامی این موارد از منوی سمت چپ سیپنل یافت میشند
Enable open_basedir protection
Disable Compilers for all accounts(except root)
Enable Shell Bomb/memory Protection
Enable cPHulk Brute Force Protection
در قسمت

کد:

---

Main >> Service Configuration >> Apache Configuration >> Global Configuration

---

TraceEnable Off
ServerSignature Off
ServerTokens ProductOnly
FileETag None

در

نقل قول:

---

Main >> Security Center >> Apache mod_userdir Tweak

---

Enable mod_userdir Protection را تیک بزنید

در قسمت

کد:

---

Main >> Service Configuration >> Configure PHP and SuExec

---

Default PHP Version (.php files) 5
PHP 5 Handler suphp
PHP 4 Handler none
Apache suEXEC on
Apache Ruid2 off
به این صورت باشه

در

کد:

---

nano /usr/local/lib/php.ini

---

enable_dl = Off
disable_functions
symlink, show_source, passthru, exec, fpassthru, popen, crack_check, crack_closedict, proc_open, crack_getlastmessage, crack_opendict, psockopen, php_ini_scanned_files, shell-exec, system, dl, tmp, safe_mode, systemroot, server_software, get_current_user, ini_restore, popen, pclose, exec, shell_exec, suExec, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_setegid, posix_seteuid, posix_setgid, posix_times, posix_ttyname, posix_uname, posix_access, posix_get_last_error, posix_mknod, posix_strerror, posix_initgroups, posix_setsid, posix_setuid, perl, rsync, wget, ./, python, whoami, cat, perm, find, phpinfo, php_uname, c99_buff_prepare, c99_sess_put, c99getsource, c99sh_getupdate, c99fsearch, c99shexit, c99ftpbrutecheck, fpassthru

register_globals = Off
safe_mode = On
expose_php = Off
magic_quotes = On
display errors = off

در

کد:

---

Main >> Security Center >> PHP open_basedir Tweak

---

Enable php open_basedir Protection تیک بزنید

حتما Suhosin را نصب کنید اگر آموزش نصب این مورد هم نیاز بود بفرمایید تا آموزششو بدم ولی از طریق easy apache قابل نصبه با یه تیک و یه تغییر کوچیک در فایل

کد:

---

nano /usr/local/lib/php.ini

---

مواردی مثل suhosin و zend رو هم اگه حوصله باشه حتما مینویسم

در

کد:

---

Main >> Server Configuration >> Tweak Settings

---

این تغییرات رو بدید
Enable BoxTrapper spam trap off
Email password reset off
SSL Support for cPanel daemons (no stunnel) on
Allow Remote Domains off
***** subdomains off
***** subdomain override off


در

کد:

---

Main >> Security Center >> Compiler Access

---

Compiler Access رو disable کنید

در

کد:

---

Main >> Service Configuration >> FTP Server Configuration

---

Allow Anonymous Logins no

Allow Anonymous Uploads no

Allow Logins with Root Password no
Broken Clients Compatibility no

و همچنین
Set some MySQL password
از قسمت

کد:

---

Main >> SQL Services >> MySQL Root Password

---

همچنین نصب و کانفیگ cxs
http://www.webhostingtalk.ir/f10/53185/#post488673


خیلی موارد دیگه هست ولی چون یهویی میاد تو ذهنم خیلی قاطی پاتی شده
بذارید تا چند روز آینده قشنگ دسته بندی میکنم و مینویسم
تغریبا 10 پست دیگه شاید مطلب باشه و اینا فقط موارد اولیه هست

ClamAV

نقل قول:

---

yum install clamav

---

برای آپدیت

freshclam

اجرای اسکن

کد:

---

clamscan -r /home

---

بهتره تو disable_function ها توابع posix رو برداری . چون برخی از posix ها برای جوملا مورد نیاز می باشد.

نقل قول:

---

بهتره تو disable_function ها توابع posix رو برداری . چون برخی از posix ها برای جوملا مورد نیاز می باشد.

---

ممنونم اما تو این چند سالی که کار میکنم همین فانگشن هارو بستم و هیچ مشتری جوملایی مشکلی نداشته

http://www.webhostingtalk.ir/f10/62084/
این رو هم بخونید

نقل قول:

---

نوشته اصلی توسط Ashkankamangar.ir

ClamAV


برای آپدیت

freshclam

اجرای اسکن

کد:

---

clamscan -r /home

---

---

نصب clamav از خود WHM به نظر بهتره
Home » cPanel » Manage Plugins
در ضمن بعد از نصب در قسمت Plugins هم میشه تنظیمش کرد که کجاها رو چک کنه

نقل قول:

---

disable_functions
symlink, show_source, passthru, exec, fpassthru, popen, crack_check, crack_closedict, proc_open, crack_getlastmessage, crack_opendict, psockopen, php_ini_scanned_files, shell-exec, system, dl, tmp, safe_mode, systemroot, server_software, get_current_user, ini_restore, popen, pclose, exec, shell_exec, suExec, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_setegid, posix_seteuid, posix_setgid, posix_times, posix_ttyname, posix_uname, posix_access, posix_get_last_error, posix_mknod, posix_strerror, posix_initgroups, posix_setsid, posix_setuid, perl, rsync, wget, ./, python, whoami, cat, perm, find, phpinfo, php_uname, c99_buff_prepare, c99_sess_put, c99getsource, c99sh_getupdate, c99fsearch, c99shexit, c99ftpbrutecheck, fpassthru

register_globals = Off
safe_mode = On
expose_php = Off
magic_quotes = On
display errors = off

---

با سلام و تشکر از اطلاعاتی که قرار دادید.
disable_functions بدون کانفیگ suphp فایده ای نخواهد داشت
magic_quotes را on نکنید بهتره (نسبت سودش به ضرر 1 به 100 است) (Deprecated)
safe_mode هم همین طور باید خاموش باشه مشکل ساز می شه، با روش های دیگری باید جای safe mode رو پر کرد

ممنون
ایا راهی هست که دیتابیسه ClamAV را دستی اپدیت کرد؟ مقاوم تر بشه

نقل قول:

---

نوشته اصلی توسط ivpu

ممنون
ایا راهی هست که دیتابیسه ClamAV را دستی اپدیت کرد؟ مقاوم تر بشه

---

در ssh دستور freshclam رو بزنید

دو نکته ساده ولی موثر امنیتی دیگر برای جلوگیری از نفوظ به سرور:

به فرض اینکه شما یک یوزر غیرروت دارید که می تواند به سرور ssh کند معقول است که لاگین root به اس اس اچ رو غیر فعال کنید


nano /etc/ssh/sshd_config

و پارامتر PermitRootLogin بگذارید no

PermitRootLogin no

سپس سرور ssh را ریستارت کنید
/etc/init.d/sshd restart

حالا بعد از لاگین با یوزر غیر روت به سرور می توانید su را بزنید و پسورد روت را وراد کنید و کارهای روت را انجام بدهید
----------------

بعد نرم افزار fail2ban رو نصب کنید.
apt-get install fail2ban
یا
yum install fail2ban

این برنامه سرورهای ssh و ftp را مونیتور می کند و بعد از ۵ بار لاگین اشتباه ۱۰ دقیقه کاربر را بلوکه می کند و به این ترتیب عملا امکان نفوذ از طریق bruteforce حدس زدن پسورد را می گیرد