جلسه هفتم
سلام
بعد یه هفته دوباره یه آموزش جدید و خیلی مهم اومدم
در این جلسه یه روش ساده و بی نهایت موثر بره افزایش امنیت و کارایی سرور میگم
اگه دقت کرده باشید در قسمت ConfigServer Security&Firewall اولین گزینه Check server security هست که جلسه پیش وعده بحث در موردشو داده بودم
همونطور که گفتم : این گزینه امنیت و کارایی سرور شما رو از جهت های مختلف چک میکنه و همه رو بره شما لیست میکنه و مواردی که اوکی نباشه راه حل هم میگه
وقتی سی پنل رو با کانفیگ پیشفرض و در یه سرور خام نصب میکنید یه سری گزینه به طور پیشفرض سبز و اوکی هست (حدودا نصفشون) و با نصب ELS یه تعداد دیگه هم سبز میشه
من اینجا در مورد موارد مهمش که باید تغییر بدید بحث میکنم
این گزینه که وسط هاست ولی بهتره از اول انجام بشه بره اینه که یه ایمیل ست کنید تا سی اس اف از طریق اون با شما در ارتباط باشه
برای این کار
بزنید
و آدرس ایمیلتون رو داخلش بنویسید و سیوش کنید
خب حالا از اول شروع کنیم مواردی که معمولا قرض میشه رو بررسی کنیم
Check csf LF_SCRIPT_ALERT option
قرمز بودن این مورد یعنی وقتی یه حجم انبوه ایمیل ارسال میشه سی اس اف براتن یه اخطار بفرسته (بره جلوگیری از اسپم)
Check csf PT_ALL_USERS option
این گزینه میگه که بررسی یوزر ها فقط محدود به یوزر های هاست نباشه و کل یوزر های سرور بررسی شه
همونطور که میبینید تمام گزینه ها در کنارش یه توضیح خیلی عالی داره و ممکنهمن خیلی موارد رو توضیح ندم و راه حل بگم
برای فعال کردن این دو مورد (که مورد اول رو بنا به خواسته خودتون و مورد دوم رو حتما) فعال کنید
در قسمت ConfigServer Security&Firewall اضافه شده .
برید توش
از سومین قسمت (csf - ConfigServer Firewall) دومین دکمه یعنی firewall configuration رو بزنید بعد
مقدار عبارت LF_SCRIPT_ALERT رو به 1 تغییر بدید (برای گزینه اول)
مقدار PT_ALL_USERS رو هم به 1 تغییر بدید (برای گزینه دوم)
و سیو کنید
حالا قبل اینکه بقیه گزینه ها رو توضیح بدم یه سری کار امنیتی توضیح میدم که انجام بدید که باعث میشه خود به خود خیلی از گزینه ها سبز شه
1- حتما طبق آموزش جلسات قبل ELS نصب و مراحلشو انجام بدبد
2- پورت اس اس اچ رو عوض کنید ( طبق آموزش جلسه 6 حتما و حتما اول پورت مورد نظر رو در فایل وال باز کنید بعد: )
وارد اس اس اچ بشید حالا یه راه خیلی ساده داریم ویه راه طولانی
اگه ELS نصب کرده باشید کافیه دستور زیر رو بزنید و پورت مورد نظر بدید و اینتر کنید
ولی اگه نصب نکرده باشید باید اول دستور زیر رو بزنید
کد:
nano /etc/ssh/sshd_config
بعد مقدار Port رو پیدا کنید و # کنارشو بردارید و به جای 22 هر عددی که میخواهید رو بزنید و سیو کنید
حالا چه از روش ای ال اس و چه از روش دوم رفته باشید یه بار دستور زیر رو بزنید
3- حالا کارای زیر:
(ممکنه خیلی از این کارا تو سرور شما به صوتی باشه که من میگم بهش تبدیل کنید در انجور مواقع که اکثرا به خاطر نصب ELS هست نیاز نیست اون مورد رو تغییر بدید)
در قسمت Service Configuration از منوی بقلی WHM برید به قسمت Apache Configuration و بعد Global Configuration حالا موارد زیر رو به گزینه ای که میگم تغییر بدید
Trace Enable----> OFF
Server Signature --->off
Server Tokens ---->product only
File ETag --->none
مقادیر پایین اصولا باید با توجه به مشخصات سرور تنظیم شه ولی خب من یه سری اعداد میدم که رو همه سرور ها اوکی باشه
(موارد رو به ترتیب ننوشتم پس موقع وارد کردن دقت کنید)
کد:
ServerLimit 1800
KeepAlive On
KeepAliveTimeout 60
MaxClients 1200
MaxSpareServers 200
MinSpareServers 50
حالا که همه رو تغییر دادید Save رو بزنید و تو صفحه جدید حتما گزینه Rebuild Configuration and Restart Apache رو بزنید
تموم که شد برگردید به همون قسمت Apache Configuration و اینبار گزینه Configure PHP and SuExec رو بزنید
مقادیر رو به شکل فوق تغییر بدید
کد:
Default PHP Version (.php files) ---> 5
PHP 5 Handler --->suphp
PHP 4 Handler --->none
Apache suEXEC --->on
و بعد گزینه Save new configuration رو بزنید
حالا از منوی بقل WHM برید به FTP Server Configuration (فک کنم اینا رو در جلسات قدیم هم ی سری گفتم ولی اینجا میگم و از جلسات قدیم حذف میکنم)
حالا سه تا گزینه ای که در پایین میگم رو به No تغییر بدید (هر سه تا رو به no تغییر بدید)
Allow Anonymous Logins
Allow Anonymous Uploads
Allow Logins with Root Password
و بعد هم Save کنید
از منوی بقل WHM قسمت Security Center و از زیرمجموعه هاش PHP open_basedir Tweak رو پیدا کنید
و تیک قسمت Enable php open_basedir Protection. رو بزنید و Save کنید
از منوی WHM گزینه System Health و در زیزمجموعه هاش وارد Background Process Killer بشید و همه گزینه ها رو تیک بزنید و Save کنید
---------------------------------------------------------------------------------------
و اما میرسیم به یکی از بهترین قسمت های سی پنل
EasyApache
در این قسمت شما میتونید خیلی از فانکشن های و ماژول های آپاچی رو براحتی نصب یا حذف کنید
مثلا GD که برای تصاویر امنیتی و فوق العاده پر کاربرده
خب از منوی بقلی EasyApache (Apache Update) رو بزنید
در صفحه که میاد دکمه start customizing on based profile رو بزنید
در اولین قسمت وؤزن اپاچی تون رو انتخاب کنید در زمان نگارش این مقاله بهترین ورژن 2.2 هست
ورژن پی اچ پی تون هم انتخاب کنید
پیشنهاد میکنم گزینه 4 رو تیک نزنید مگر اینکه بهش نیاز داشته باشید
برید مرحله بعد
ورژن پی اچ پی در زمان نگارش این مقاله 5.2.17 پیشنهاد میشه
درسته که 5.3 هم خیلی وقته اومده ولی هنوز تعداد زیادی از اسکرپیت ها باهاش مشکل دارن
برید مرحله بعد
در این اینجا یه نعدادی از فانکشن ها و برنامه ها هست
برای اینکه لیست کل رو ببنید در پایین دکمه
Exhaustive Option List
رو بزنید
تیک گزینه Frontpage رو بردارید چون دیگه پشتیبانی نمیشه و نصبش ممکنه خطر امنیتی ایجاد کنه
نصب موارد زیر پیشنهاد میشه(اگه موقع تیک زدنشون چیزی پرسید OK کنید)
IonCube Loader for PHP
GD
Gettext
SOAP
TTF
Mod Security
MPM Prefork
Zend Optimizer/Guard Loader for PHP
و هر موردی که احساس کردید لازمه ولی حتما قبلش در مورد مسائل امنیتی اون فانکشن تحقیق کنید
حالا گزینه Save and Build رو بزنید و هر چی پرسید OK کنید یا I Understand رو بزنید
حالا صبر کنید تا کار تموم بشه ( یه مقدار زمان میبره) و در این مدت نباید اینترنت شما قطع بشه
اگه قطع شد دوباره از اول کار با Easy apache رو انجام بدید
در پایان تنظیمات رو به صورت زیر انجام بدید
کد:
Default PHP Version (.php files) ---> 5
PHP 5 Handler --->suphp
PHP 4 Handler --->none
Apache suEXEC --->on
و سیو کنید
هنوز کارمون ادامه داره و خیلی کارا بره تامین امنیت سرور در حد متوسط ( سطح مورد نظر این آموزش) مونده
ولی خب بره این جلسه کافیه ...
بازم تاکید میکنم زدن دکمه تشکر فراموش نشه و همچنین هر طور سوال ممکن ، پیشنهاد و انتقاد رو در تاپیک بحث و برسی و بیان مشکلات در مورد آموزش مدیریت سرور مطرح کنید.
با سپاس