کاملترین اموزش کانفیگ امنیتی

[Ashkankamangar.ir]

دو نکته ساده ولی موثر امنیتی دیگر برای جلوگیری از نفوظ به سرور:

به فرض اینکه شما یک یوزر غیرروت دارید که می تواند به سرور ssh کند معقول است که لاگین root به اس اس اچ رو غیر فعال کنید


nano /etc/ssh/sshd_config

و پارامتر PermitRootLogin بگذارید no

PermitRootLogin no

سپس سرور ssh را ریستارت کنید
/etc/init.d/sshd restart

حالا بعد از لاگین با یوزر غیر روت به سرور می توانید su را بزنید و پسورد روت را وراد کنید و کارهای روت را انجام بدهید
----------------

بعد نرم افزار fail2ban رو نصب کنید.
apt-get install fail2ban
یا
yum install fail2ban

این برنامه سرورهای ssh و ftp را مونیتور می کند و بعد از ۵ بار لاگین اشتباه ۱۰ دقیقه کاربر را بلوکه می کند و به این ترتیب عملا امکان نفوذ از طریق bruteforce حدس زدن پسورد را می گیرد

دوست عزیز بدون اینکه یوزر جدید بسازید این کار رو کنید که دیگه باید فاتحه ssh رو بخونید
آموزش کامل لاگین با یوزر غیر روت در لینک زیر
http://www.webhostingtalk.ir/f10/62084/

[Ashkankamangar.ir]

با سلام و تشکر از اطلاعاتی که قرار دادید.
disable_functions بدون کانفیگ suphp فایده ای نخواهد داشت
magic_quotes را on نکنید بهتره (نسبت سودش به ضرر 1 به 100 است) (Deprecated)
safe_mode هم همین طور باید خاموش باشه مشکل ساز می شه، با روش های دیگری باید جای safe mode رو پر کرد

برای هر مورد لطفا بیشتر توضیح بدید تا هم تاپیک جامع بشه
هم دوستان استفاده کنند

[ivpu]

با سلام و تشکر از اطلاعاتی که قرار دادید.
disable_functions بدون کانفیگ suphp فایده ای نخواهد داشت
magic_quotes را on نکنید بهتره (نسبت سودش به ضرر 1 به 100 است) (Deprecated)
safe_mode هم همین طور باید خاموش باشه مشکل ساز می شه، با روش های دیگری باید جای safe mode رو پر کرد

فکر نمیکنم disable_functions و safe_mode با suphp هم خیلی بداد سرور برسه. الان شلرها براحتی این ها رو رد می کنند و در php.ini ایناه رو اصلاح می کنند و روت میشن باید علاوه بر اینها جلوی دستکاری php.ini رو هم گرفت که روی سرور اشتراکی هم قاعده و قانونی داره که اگر اینها رو تضیح بدید خیلی خوبه

[Ashkankamangar.ir]

فکر نمیکنم disable_functions و safe_mode با suphp هم خیلی بداد سرور برسه. الان شلرها براحتی این ها رو رد می کنند و در php.ini ایناه رو اصلاح می کنند و روت میشن باید علاوه بر اینها جلوی دستکاری php.ini رو هم گرفت که روی سرور اشتراکی هم قاعده و قانونی داره که اگر اینها رو تضیح بدید خیلی خوبه

نحوه غیر فعال کردن php.ini سفارشی در suphp

کد:

/nano /usr/local/apache/conf/includes/pre_main_global.conf

کدهای زیر را داخلش قرار بدید

کد:

<IfModule mod_suphp.c> 
<Location />
 suPHP_ConfigPath /usr/local/lib/ 
</Location>
 </IfModule>

کد:

/nano /opt/suphp/etc/suphp.conf

را ویرایش و " ; " اول خط های زیر را حذف کنید :

کد:

application/x-httpd-php=/usr/local/lib/ 
application/x-httpd-php4=/usr/local/php4/lib/ 
application/x-httpd-php5=/usr/local/lib/

ذخیره کنید
service httpd restart

حتی با استفاده از لایت اسپید میتونید
htaccess رو هم از حالت سفارشی در بیارید

[ivpu]

خوب این روی سرور اشتراکی ایجاد مشکل نمیکنه؟ مثلا یگ کاربر بخواد سف مود یا رجیستر گلوبال رو تغییر وضعیت بده. روی سرور اشتراکی(هاستینگ) این راه حل درستی نیست و کاربرا رو فلج می کنه.
مثلا روی سرور های ایران هاست یکی از دوستانم چک کرده بود سیف مود روشن بود! فانکشنی هم بشته نشده بود اما شل ران نمیشد! حالا اینها مثلا چیکار کردن و چه تکنیکی!؟ خدا میدونه

[Ashkankamangar.ir]

خوب این روی سرور اشتراکی ایجاد مشکل نمیکنه؟ مثلا یگ کاربر بخواد سف مود یا رجیستر گلوبال رو تغییر وضعیت بده. روی سرور اشتراکی(هاستینگ) این راه حل درستی نیست و کاربرا رو فلج می کنه.
مثلا روی سرور های ایران هاست یکی از دوستانم چک کرده بود سیف مود روشن بود! فانکشنی هم بشته نشده بود اما شل ران نمیشد! حالا اینها مثلا چیکار کردن و چه تکنیکی!؟ خدا میدونه

من توصیه نکردم این برای این مورد خوبه که شما سایت اصلی شرکت رو رو یه سرور جدا میاری بالا و میخوای همه جوره امن بشه
در مورد باقی موارد مود سکوآریتی و استفاده از رولهای اون خیلی کمک میکنه
و خیلی کارهای دیگه
حتی کانفیگ درست لایت اسپید میتونه تا حدی جلوی سیم لینک و خیلی چیزارو بگیره
نصب آنتی شلر هم توصیه میشه cxs

[ivpu]

من توصیه نکردم این برای این مورد خوبه که شما سایت اصلی شرکت رو رو یه سرور جدا میاری بالا و میخوای همه جوره امن بشه
در مورد باقی موارد مود سکوآریتی و استفاده از رولهای اون خیلی کمک میکنه
و خیلی کارهای دیگه
حتی کانفیگ درست لایت اسپید میتونه تا حدی جلوی سیم لینک و خیلی چیزارو بگیره
نصب آنتی شلر هم توصیه میشه cxs

میشه در مورد مود سکیورتی و رولهاش توضیح بدید البته منظور نصب و اینها نیست منظورم کانفیگش هست
مثلا چندتا رول مثال بزنید یا اینکه چطور میشه این رولها رو ایجاد کرد.
سپاس

[secure_host]

میشه در مورد مود سکیورتی و رولهاش توضیح بدید البته منظور نصب و اینها نیست منظورم کانفیگش هست
مثلا چندتا رول مثال بزنید یا اینکه چطور میشه این رولها رو ایجاد کرد.
سپاس

در مدسکیوریتی مبحث rule ها مبحث گسترده ای می باشدکه در صورت عدم تجربه دستکاری rule ها پیشنهاد نمی شود.
من یک مثال ساده می زنم. به عنوان مثال شما اگه می خوایی در مد سکیوریتی تعریف کنی که اگر کاربر در Request کاراکترهایی مثل union select زد بلاک بشه بسته به نوع variable مشخص شده درمدسکیوریتی rule رو به صورت زیر می نویسی :
SecRule ARGS:catid "(?i:UNION\s+SELECT)" "ctl:auditLogParts=+E,deny,setvar:'tx.msg=ET WEB_SPECIFIC_APPS

در دستور بالا اول نوع argument که از کاربر میگره رو مشخص می کنی در مرحله بعد operator را تعریف می کنی و سپس keyword که میخواهید بررسی شودرا معین می کنید . و سپس transactionمربوطه مشخص می گردد و در فاز بعد نیز نحوه لاگ کردن درخواست براساس اولویت 1 تا 5 خود mosecurity تنظیم می کنید که اولویت بهتر اولویت3 می باشد که در اینجا اولویت 3 مشخص می کند که به چه صورت لاگ ها ذخیره شود و در مرحله آخر که از همه مهتر است بخش Action می باشد که شما مشخص می کنی modsecurity در مقابل این درخواست چه عکس العملی داشته باشدکه اینجا deny مشخص شده است که دسترسی از درخواست کنند ه سلب می شود و در آخر نیز می گی درخواست را هم capture کند و message نیز به شما نمایش دهد.

سوال دیگری بود هستم در خذمتتان.
امیدوارم مفید باشد.

[sajjad13and11]

علاوه بر این فانکشن های زیر رو هم بهش اضافه کنید یکم کامل تر میشه :
open_basedir,ini_get,include,ini_set,geoip_open,
و همینطور
base64_encode,base64_decode
اما فانکشن هر چقدرم باشه با اپلود یه فایل پرل مثل cgi.pl خیلی راحت میشه به هر کاری پرداخت بهتره cgi رو استفاده اش رو در هاست ببندید نه در کل سرور چون برای بعضی ماژول های دایرکت ادمین و... به پرل نیاز هست

[Ashkankamangar.ir]

علاوه بر این فانکشن های زیر رو هم بهش اضافه کنید یکم کامل تر میشه :
open_basedir,ini_get,include,ini_set,geoip_open,
و همینطور
base64_encode,base64_decode
اما فانکشن هر چقدرم باشه با اپلود یه فایل پرل مثل cgi.pl خیلی راحت میشه به هر کاری پرداخت بهتره cgi رو استفاده اش رو در هاست ببندید نه در کل سرور چون برای بعضی ماژول های دایرکت ادمین و... به پرل نیاز هست

base64_encode,base64_decode اینارو ببنده نیوک بالا نمیاد


اینا هم خوبن بسته بشه و دسترسی پرل هم به صورت پیش فرض بسته باشه
symlink, show_source, passthru, exec, fpassthru, popen, crack_check, crack_closedict, proc_open, crack_getlastmessage, crack_opendict, psockopen, php_ini_scanned_files, shell-exec, system, dl, tmp, safe_mode, systemroot, server_software, get_current_user, ini_restore, popen, pclose, exec, shell_exec, suExec, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_setegid, posix_seteuid, posix_setgid, posix_times, posix_ttyname, posix_uname, posix_access, posix_get_last_error, posix_mknod, posix_strerror, posix_initgroups, posix_setsid, posix_setuid, perl, rsync, wget, ./, python, whoami, cat, perm, find, phpinfo, php_uname, c99_buff_prepare, c99_sess_put, c99getsource, c99sh_getupdate, c99fsearch, c99shexit, c99ftpbrutecheck, fpassthru,ln,passthru,dl,system,exec,popen,shell_e xec,proc_close,proc_open,proc_nice,proc_terminate, proc_get_status,posix_getpwuid,posix_uname,ftp_exe c,posix_uname,posix_getpwuid,posix_kill,posix_mkfi fo,posix_setpgid,posix_setsid,posix_setuid,get_cur rent_user,getmyuid,getmygid,listen,chgrp,apache_no te,apache_setenv,apache_child_terminate,closelog,d ebugger_off,debugge_on,ini_restore,netscript,escap eshellarg,cmd,backtick,virtual,show_sourc,show_sou rce,pclose,pcntl_exec,datasec,old_offset,ctrl_dir, ini_alter,leak,listen,chgrp,apache_setenv,define_s yslog_variables,root,diskfreespace,disk_free_space ,disk_total_space,posix_kill,getmyuid,getmygid,apa che_child_terminate,php_ini_scanned_files,ls,ps_au x,chown,getrusage,posixc,posame,chgrp,posix_setuid ,posix_setsid,posix_setgid,apache_note,apache_sete nv,x_getuid,e_ini_file,nfo,SQL,mysql_li,t_dbs,ini_ get_all,fileowner,fileperms,filegroup,highlight_fi le,ilegetcontents,get_dir,popen,popens,pfsockopen, dos_conv,apache_get_modules,crack_check,crack_clos edict,zip_read,rar_open,bzopen,bzread,bzwrite,shel lcode,posix_isatty,posix_getservbyname,escapeshell arg,hypot,pg_host,pos,posix_access,inurl,posix_mkn od,pclose,ps_fill,symlink,id,escapeshellcmd