با اینکه زیاد تشکر نشد ولی باز ادامه میدم.
در این جلسه یه روش ساده و بی نهایت موثر بره افزایش امنیت و کارایی سرور میگم
اگه دقت کرده باشید در قسمت ConfigServer Security&Firewall اولین گزینه Check server security هست که میزان امنیت سرور را نشون میده و گزینه هایی که سبز هست یعنی اون قسمت امنیتش اوکی هست ولی اگر قرمز بود یعنی خیر ، جلوی هر کدام از این گزینه های قرمز راه حلی نوشته.
من اینجا در مورد موارد مهمش که باید تغییر بدید بحث میکنم
اول از همه باید یک راه ارتباطی با csf ایجاد کنید تا بوسیله ی اون باهاتون در ارتباط باشه.
برای این کار
بزنید
و آدرس ایمیلتون رو داخلش بنویسید و سیوش کنید
خب حالا از اول شروع کنیم مواردی که معمولا قرض میشه رو بررسی کنیم
Check csf LF_SCRIPT_ALERT option
قرمز بودن این مورد یعنی وقتی یه حجم انبوه ایمیل ارسال میشه سی اس اف براتن یه اخطار بفرسته (بره جلوگیری از اسپم)
Check csf PT_ALL_USERS option
این گزینه میگه که بررسی یوزر ها فقط محدود به یوزر های هاست نباشه و کل یوزر های سرور بررسی شه
همونطور که میبینید تمام گزینه ها در کنارش یه توضیح خیلی عالی داره و ممکنه من خیلی موارد رو توضیح ندم و راه حل بگم
برای فعال کردن این دو مورد (که مورد اول رو بنا به خواسته خودتون و مورد دوم رو حتما) فعال کنید
در قسمت ConfigServer Security&Firewall اضافه شده .
برید توش
از سومین قسمت (csf - ConfigServer Firewall) دومین دکمه یعنی firewall configuration رو بزنید بعد
مقدار عبارت LF_SCRIPT_ALERT رو به 1 تغییر بدید (برای گزینه اول)
مقدار PT_ALL_USERS رو هم به 1 تغییر بدید (برای گزینه دوم)
و سیو کنید
حالا قبل اینکه بقیه گزینه ها رو توضیح بدم یه سری کار امنیتی توضیح میدم که انجام بدید که باعث میشه خود به خود خیلی از گزینه ها سبز شه
یکی از مهمترین کار هایی که باید انجام بدید اینه که پورت ssh رو عوض کنید
دستور زیر را بزنید
کد:
nano /etc/ssh/sshd_config
بعد مقدار Port رو پیدا کنید و # کنارشو بردارید و به جای 22 هر عددی که میخواهید رو بزنید و سیو کنید
حالا دستور زیر را بزنید
البته یکی دیگه از چراغ های قرمز csf مربوط به غیر فعال بودن ssh میشه. برای غیر فعال کردن ssh اینگونه عمل می کنیم در سی پنل
Home » Security Center » SSH Password Authorization Tweak
و هر وقت کاری با ssh داشتید دوباره از اینجا فعالش کنید.
2- حالا کارای زیر:
در قسمت Service Configuration از منوی بقلی WHM برید به قسمت Apache Configuration و بعد Global Configuration حالا موارد زیر رو به گزینه ای که میگم تغییر بدید
Trace Enable----> OFF
Server Signature --->off
Server Tokens ---->product only
File ETag --->none
مقادیر پایین اصولا باید با توجه به مشخصات سرور تنظیم شه ولی خب من یه سری اعداد میدم که رو همه سرور ها اوکی باشه
(موارد رو به ترتیب ننوشتم پس موقع وارد کردن دقت کنید)
کد:
ServerLimit 2000
KeepAlive On
KeepAliveTimeout 60
MaxClients 1200
MaxSpareServers 200
MinSpareServers 50
حالا که همه رو تغییر دادید Save رو بزنید و تو صفحه جدید حتما گزینه Rebuild Configuration and Restart Apache رو بزنید
تموم که شد برگردید به همون قسمت Apache Configuration و اینبار گزینه Configure PHP and SuExec رو بزنید
مقادیر رو به شکل فوق تغییر بدید
کد:
Default PHP Version (.php files) ---> 5
PHP 5 Handler --->suphp
PHP 4 Handler --->none
Apache suEXEC --->on
و بعد گزینه Save new configuration رو بزنید
حالا از منوی بقل WHM برید به FTP Server Configuration
حالا سه تا گزینه ای که در پایین میگم رو به No تغییر بدید (هر سه تا رو به no تغییر بدید)
Allow Anonymous Logins
Allow Anonymous Uploads
Allow Logins with Root Password
و بعد هم Save کنید
از منوی بقل WHM قسمت Security Center و از زیرمجموعه هاش PHP open_basedir Tweak رو پیدا کنید
و تیک قسمت Enable php open_basedir Protection. رو بزنید و Save کنید
از منوی WHM گزینه System Health و در زیزمجموعه هاش وارد Background Process Killer بشید و همه گزینه ها رو تیک بزنید و Save کنید
---------------------------------------------------------------------------------------
خب حالا چند تا تنظیم دیگه هم مونده
مختصر توضیح میدم :
متن زیر را خط دوم اضافه کنید :
کد:
service mysql restart
بعد
کد:
nano /etc/ssh/sshd_config
بعد :
کد:
#!/bin/bash
service cups stop
chkconfig cups off
service xfs stop
chkconfig xfs off
service atd stop
chkconfig atd off
service nfslock stop
chkconfig nfslock off
service rpcidmapd stop
chkconfig rpcidmapd off
service bluetooth stop
chkconfig bluetooth off
service anacron stop
chkconfig anacron off
service gpm stop
chkconfig gpm off
service avahi-daemon stop
chkconfig avahi-daemon off
service hidd stop
chkconfig hidd off
service pcscd stop
chkconfig pcscd off
خوب تا اینجا یک سری تنظیمات کلی گفته شد
حالا میبینیم که 100 تا اخطار دیگه داده که یکی یکی باید ترجمه بشه و رفع کنیم
چون واقعاً توضیح همه اونها وقت گیر هست به صورت کلی میگم
یکسری در مورد تنظیمات PHP , آپاچی هست
یکسری مربوط به تنظیمات ایمیل و تماس ها و ... هست
... تنظیمات مربوط به سطح دسترسی FTP و ... هست
تغییر پورت SSH
و ...
هر کدام را که نیاز داشته باشید برطرف کنید خود فایروال راهنمایی کرده تنها کافی هست که یه کم با دقت بیشتری اخطار را بخوانید و اون مورد را انجام بدید
این هم یادم رفت بگم که :
کد:
nano /usr/local/lib/php.ini
به دنبال این گزینه بگردید :
و به این صورت تغییر بدید :
کد:
disable_functions = show_source, system, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen
البته فاکشن زیاد هست که اگر بخوام مقداری کلی تر بگم شاید اینطوری باشه :
کد:
symlink,ini_restore,imap_body,imap_list,imap_open,mysql_list_dbs,popen,stream_select,socket_select,socket_create,socket_create_listen,socket_create_pa ir,socket_listen,socket_accept,socket_bind,socket_strerror,readlink,link,pfsockopen,ini_alter,dl,openlog,syslog,pcntl_exec,pcntl_fork,p cntl_signal,pcntl_waitpid,pcntl_wexitstatus,pcntl_wifexited,pcntl_wifsignaled,pcntl_wifstopped,pcntl_wstopsig,pcntl_wtermsig,fpassthru,detcwd,system,p assthru,exec,proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,shell_exec,system,escapeshellarg,escapeshellcmd,putenv,
ولی ما تنها یک سری فاکشن عمومی را می بنیدم که بقیه به خودتون و سیستم های مدیریت محتوایی که استفاده میکنید مربوط میشه
خب حالا می بینیم که چند تا دیگه هم خطا داده اول توصیه می کنم یه آنتی شلر نصب کنید. اینجا آنتی شلر رایگان معرفی می کنم تا همه بتونن نصب کنن.
دستورات زیر رو به ترتیب اجرا کنید
کد:
cd /usr/local/src/
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar zxvf maldetect-current.tar.gz
cd maldetect-1.4.1/
./install.sh
تا اینجا این اسکنر نصب شد
حالا برای اسکن سرور از دستور زیر استفاده کنید
و برای حذف شل ها بعد از اسکن اینا میزنیم
بد نیست دستور زیر رو هم بز نید
کد:
maldet --monitor /home
خب تا اینجا سرور تقریبا کمی امن شده. ولی کلی کار دیگه مونده
خب الان برید توی Server Configuration »Tweak Settings و بعد جستجو کنید
Accounts that can access a cPanel user account
این رو به cPanel User Only تغییر بدید.
ببخشید خیلی دارم خلاصه توضیح میدم.
برای امروز کافیه بقیه ی آموزش ها در جلسه ی بعد.
موفق و سربلند باشید
پاسخ : آموزش پیکربندی csf - قدم به قدم
پاسخ با نقل قول