آموزش افزایش امنیت سرور لینوکس

با سلام و درود
بنده تصمیم دارم در این تاپیک هر از گاهی اطلاعات مفیدی درباره امنیت قرار بدم اگر شما هم اطلاعاتی در این باره داشتید با دوستان دیگر سهیم کنید

1- سکیور کردن ln

وارد ssh شوید و سپس تایپ کنید
cd /bin

chmod 000 ln

chown root:root ln

2- دسترسی پرل را ببنیدید (در سی پنل توصیه نمیشود و میبایست از یک منیجر بخواهید دسترسی را تنظیم کند)

cd /usr/bin

chmod 700 perl

chown root:root perl


3- دستورات زیر را در ssh وارد کنید تا سرویس های اضافی برای کاربران غیر فعال شوند
chmod 700 /usr/bin/gcc
chmod 700 /usr/bin/chattr
chmod 700 /usr/bin/w
chmod 700 /usr/bin/who
chmod 700 /usr/bin/last
chmod 700 /usr/bin/lastb
chmod 700 /usr/bin/lastlog
chmod 700 /bin/rpm
chmod 700 /bin/dmesg

chmod 700 /sbin/ipchains
chmod 700 /sbin/iptables
chmod 700 /sbin/sysctl
chmod 700 /sbin/shutdown
chmod 700 /sbin/reboot
chmod 700 /sbin/halt
chmod 700 /sbin/poweroff


4-
chattr +i /bin/login
chattr +i /bin/rpm
chattr +i /bin/ps
chattr +i /bin/ls


5- اکانتهایی که نیاز نیست را پاک کنید

userdel -r uucp
userdel -r operator
userdel -r gopher
userdel -r games
userdel -r news


6- لوگ ها را طوری تنظیم کنید که فقط روت به آن دسترسی داشته باشد
chmod 700 /var/log

chmod 600 /var/log/messages
chmod 600 /var/log/dmesg
chmod 600 /var/log/boot.log
chmod 600 /var/log/lastlog
chmod 600 /var/log/rpmpkgs

من این کارا رو کردم ، Cpanel بع **** رفت . نه میشه دیتابیس ساخت ، PERL دیگه کار نیمده ، cPAnel آپدیت نمیشه و ........
پیشنهاد می کنم کسی استفاده نکنه برای cPanel

نقل قول:

---

نوشته اصلی توسط vPsPersia.COM

من این کارا رو کردم ، Cpanel بع **** رفت . نه میشه دیتابیس ساخت ، PERL دیگه کار نیمده ، cPAnel آپدیت نمیشه و ........
پیشنهاد می کنم کسی استفاده نکنه برای cPanel

---

lol =))

امنیت همینه
هرچی امن تر کار سخت تر
بی امنیتی = رضایت کامل

نقل قول:

---

نوشته اصلی توسط Woshka

امنیت همینه
هرچی امن تر کار سخت تر
بی امنیتی = رضایت کامل

---

امنیت = پایه ( basic )
پشتیبانی = روزانه - هقتگی

حرف Woshka کاملا درسته ! بهتره یک امنیت پایه در نظر بگیریم و هر روز از اکانت ها پشتیبانی بگیرم بقیه را بسپارید دست خدا !

حالا رندومش رو مشخص کنید همونو فقط بزنیم ...

راستی کسی از دوستان می دونه چطوری میشه PHP.ini را بست ؟
می خواهم هر کاربری که php.ini ساخت اثر نکنه !

کسی بلده ؟

امنیت در یه حد متعادل خوبه ..
زیاد هم بشه نتیجه اش میشه همین

نقل قول:

---

نوشته اصلی توسط NovinServer

راستی کسی از دوستان می دونه چطوری میشه PHP.ini را بست ؟
می خواهم هر کاربری که php.ini ساخت اثر نکنه !

کسی بلده ؟

---

مگه اهمین طوریش اثر می کنه ؟ توی سی پنل که اثر نمی کنه .

نقل قول:

---

نوشته اصلی توسط Mostafa

مگه اهمین طوریش اثر می کنه ؟ توی سی پنل که اثر نمی کنه .

---

چرا اثر می کنه ! هنوز هم راه بستنش را نفهمیدم !
من الا چند فاکشن را بستم به محض اینکه فایلی با نام php.ini ایجاد شود safe mode = off و همه فاکشن ها باز می شوند و همه اطلاعات نمایش می شه !

نقل قول:

---

نوشته اصلی توسط Amir

این مشکل برای suphp هست تغییر بده مشکلت حل میشه
یا fastcgi کن که نیاز به تنظیمات داره اگر انجام ندادی دردسره...
یا dso کن که نیاز به کار خاصی نباشه

---

امیر جان نظرت در مورد این چیه ؟
Check suPHP
WARNING
To reduce the risk of hackers accessing all sites on the server from a compromised PHP web script, you should enable suPHP when you build apache/php. Note that there are sideeffects when enabling suPHP on a server and you should be aware of these before enabling it.
Don't forget to enable it as the default PHP handler in WHM > PHP 5 Handler

اینم در نظر داشته باشید که اگر DSO باشه خیلی از اسکریپت ها برای نصب و کارکرد صحیح مجبورند، خیلی از فولدرها ها رو 777 و یا فایلها رو 666 کنند که از جهت امنیتی ، ریسک و حفره بزرگی محسوب میشند، ولی در suphp این مشکل برطرف شده ولی تنها مشکلی که داره اینه که php.ini در اختیار کاربر هست که اینهم باگ بزرگی محسوب میشه که برای جلوگیری از اینکار خطرناک هم راه حلی پیدا کردم که در حال تکمیل آموزشش هستم که بزودی در انجمن میذارم تا دوستان استفاده کنند (در این راه حل php.ini کلا از اختیار کاربران خارج میشه ! ولی خاصیت خوب suphp از بین نمیره ! ... )

نقل قول:

---

نوشته اصلی توسط Amir

این مشکل برای suphp هست تغییر بده مشکلت حل میشه
یا fastcgi کن که نیاز به تنظیمات داره اگر انجام ندادی دردسره...
یا dso کن که نیاز به کار خاصی نباشه

---

کجا این تنظیمات باید اعمال بشه ؟؟
کجا میشه این حالات رو عوش کرد ؟
ممنون و موفق باشید

وقتی شما perl را محدود کنید . Cpanel و Directadmin و اکثر پلاگین های این کنترل پنلها از کار می افتد.
دسترسی لاگ ها هم اگر محدود بشه بیستر نرم افزارها دچار مشکل می شوند. مثل وب میل ها ....

و در کل این پارامتر ها امنیت آنچنانی برای سرور ایجاد نمی کنند جز از کار افتادن نرم افزارها و پلاگین ها

نقل قول:

---

نوشته اصلی توسط nima4u

وقتی شما perl را محدود کنید . Cpanel و directadmin و اکثر پلاگین های این کنترل پنلها از کار می افتد.
دسترسی لاگ ها هم اگر محدود بشه بیستر نرم افزارها دچار مشکل می شوند. مثل وب میل ها ....

و در کل این پارامتر ها امنیت آنچنانی برای سرور ایجاد نمی کنند جز از کار افتادن نرم افزارها و پلاگین ها

---

روی سیپنل مشکلی پیش نمیاد, نسخه های جدید سیپنل محدود کرد پرل روی روت پشتیبانی میکنه و csf هم بدون مشکل گار میکنه

من قبلا روی cpanel و directadmin تست کرده بودم که باعث میشد csf منیجر از کار بیفته. و بستن دسترسی لاگ ها برای ارسال ایمیل ایجاد اشکال می کنه

نقل قول:

---

نوشته اصلی توسط sajiran

روی سیپنل مشکلی پیش نمیاد, نسخه های جدید سیپنل محدود کرد پرل روی روت پشتیبانی میکنه و csf هم بدون مشکل گار میکنه

---

چنین کاری حداقل در cpanel غیرقابل پیاده سازی می باشد. زیرا خود Cpanel براساس perl می باشد و مختص به یوزر و گروه خاصی نمی باشد که بتوان با اضافه کردن در یک گروه به cpanel اجازه استفاده از perl را داد.
زیرا وقتی شما در بروزر آدرس http://securehost.ir/cpanel را تایپ می کنید . cpanel تحت یوزر securehost اجرا میگردد و برای یوزر دیگر نیز همین طور . که این راه کار برای Cpanel جواب نمیده.

اوکی حل شد

تحت هر یوزر دیگه میشه با
http://securehost.ir/cpanel
لاگین کرد

پایه ای ترین کار کار اینه که جلوی ران کردن اسکریپت روی پارتیشن تمپ و هوم رو بگیرید
جلوی اجرای پرل رو هم بگیرید
جلوی سیم لینک رو هم ببندید
یک سری از توابع پی اچ پی رو هم ببندید
امنیت تا حد زیادی برقرار میشه

نقل قول:

---

نوشته اصلی توسط parsspace

پایه ای ترین کار کار اینه که جلوی ران کردن اسکریپت روی پارتیشن تمپ و هوم رو بگیرید
جلوی اجرای پرل رو هم بگیرید
جلوی سیم لینک رو هم ببندید
یک سری از توابع پی اچ پی رو هم ببندید
امنیت تا حد زیادی برقرار میشه

---

تمام این مواردی که شما گفتین با یه cBack بایپس میشه

نقل قول:

---

نوشته اصلی توسط Woshka

تحت هر یوزر دیگه میشه با
http://securehost.ir/cpanel
لاگین کرد

---

بله حرف شما زمانی درست است که یوزر مربوطه نیز به پرل دسترسی داشته باشد.ولی وقتی که قرار است دسترسی پرل برای تمام کاربران بسته شود . نمی توان cPanel را اجرا نمود.

نقل قول:

---

نوشته اصلی توسط secure_host

بله حرف شما زمانی درست است که یوزر مربوطه نیز به پرل دسترسی داشته باشد.ولی وقتی که قرار است دسترسی پرل برای تمام کاربران بسته شود . نمی توان cPanel را اجرا نمود.

---

وقتی پرل رو برای یوزر محدود کنید domain.com/cpanel به صورت domian.com:2082 تبدیل میشه و کاربر دسترسی لازم رو پیدا میکنه
عرض کردم در نسخه جدید سیپنل محدود کردن پرل جواب میده اما برای نسخه های قدیمی (2نسخه قبلی) لیمیت پرل برای روت ، برای کاربرا مشکل ساز میشد

نقل قول:

---

نوشته اصلی توسط sajiran

وقتی پرل رو برای یوزر محدود کنید domain.com/cpanel به صورت domian.com:2082 تبدیل میشه و کاربر دسترسی لازم رو پیدا میکنه
عرض کردم در نسخه جدید سیپنل محدود کردن پرل جواب میده اما برای نسخه های قدیمی (2نسخه قبلی) لیمیت پرل برای روت ، برای کاربرا مشکل ساز میشد

---

ممنون میشم لطفا با مطالعه وارد بحث ها شوید.
domain.com/cpanel با domain.com:2082 دقیقا چه فرقی می کنه >؟ وقتی domain.com/capanel و یا domain.com:2082 رو میزنید باز هم یوزر منتسب به دامنه domain.com حق دسترسی اش بررسی می شود.
ممنون میشم refrence از وب سایت cPanel برای این مطلبتون ارایه کنید.
با تشکر