کاملترین اموزش کانفیگ امنیتی

[Ashkankamangar.ir]

با سلام امیدوارم تکراری نباشه گرچه اینا حاصل تجربه ی خودم هست ولی به هر حال ..... ( البته در مورد امن کردن پوشه ی Tmp و ... چیزی نمیگیم چون اموزش براش زیاده
موارد زیر را به صورتی که اعلام میشه تغییر بدید
برید به

nano /etc/ssh/sshd_config

و Protocol 2 را فعال کنید و UseDNS no به این صورت تغییر بدید
Change #Port 22 to some other port and uncomment it
برداشتن # و همچنین باز کردن پورت دلخواه در فایروال سرور

موارد زیر را دقیقا مانند دستور تغییر بدید تمامی این موارد از منوی سمت چپ سیپنل یافت میشند
Enable open_basedir protection
Disable Compilers for all accounts(except root)
Enable Shell Bomb/memory Protection
Enable cPHulk Brute Force Protection
در قسمت

کد:

 Main >> Service Configuration >> Apache Configuration >> Global Configuration

TraceEnable Off
ServerSignature Off
ServerTokens ProductOnly
FileETag None

در

Main >> Security Center >> Apache mod_userdir Tweak

Enable mod_userdir Protection را تیک بزنید

در قسمت

کد:

 Main >> Service Configuration >> Configure PHP and SuExec

Default PHP Version (.php files) 5
PHP 5 Handler suphp
PHP 4 Handler none
Apache suEXEC on
Apache Ruid2 off
به این صورت باشه

در

کد:

nano /usr/local/lib/php.ini

enable_dl = Off
disable_functions
symlink, show_source, passthru, exec, fpassthru, popen, crack_check, crack_closedict, proc_open, crack_getlastmessage, crack_opendict, psockopen, php_ini_scanned_files, shell-exec, system, dl, tmp, safe_mode, systemroot, server_software, get_current_user, ini_restore, popen, pclose, exec, shell_exec, suExec, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_setegid, posix_seteuid, posix_setgid, posix_times, posix_ttyname, posix_uname, posix_access, posix_get_last_error, posix_mknod, posix_strerror, posix_initgroups, posix_setsid, posix_setuid, perl, rsync, wget, ./, python, whoami, cat, perm, find, phpinfo, php_uname, c99_buff_prepare, c99_sess_put, c99getsource, c99sh_getupdate, c99fsearch, c99shexit, c99ftpbrutecheck, fpassthru

register_globals = Off
safe_mode = On
expose_php = Off
magic_quotes = On
display errors = off

در

کد:

 Main >> Security Center >> PHP open_basedir Tweak

Enable php open_basedir Protection تیک بزنید

حتما Suhosin را نصب کنید اگر آموزش نصب این مورد هم نیاز بود بفرمایید تا آموزششو بدم ولی از طریق easy apache قابل نصبه با یه تیک و یه تغییر کوچیک در فایل

کد:

nano /usr/local/lib/php.ini

مواردی مثل suhosin و zend رو هم اگه حوصله باشه حتما مینویسم

در

کد:

 Main >> Server Configuration >> Tweak Settings

این تغییرات رو بدید
Enable BoxTrapper spam trap off
Email password reset off
SSL Support for cPanel daemons (no stunnel) on
Allow Remote Domains off
***** subdomains off
***** subdomain override off


در

کد:

Main >> Security Center >> Compiler Access

Compiler Access رو disable کنید

در

کد:

Main >> Service Configuration >> FTP Server Configuration

Allow Anonymous Logins no

Allow Anonymous Uploads no

Allow Logins with Root Password no
Broken Clients Compatibility no

و همچنین
Set some MySQL password
از قسمت

کد:

Main >> SQL Services >> MySQL Root Password

همچنین نصب و کانفیگ cxs
http://www.webhostingtalk.ir/f10/53185/#post488673


خیلی موارد دیگه هست ولی چون یهویی میاد تو ذهنم خیلی قاطی پاتی شده
بذارید تا چند روز آینده قشنگ دسته بندی میکنم و مینویسم
تغریبا 10 پست دیگه شاید مطلب باشه و اینا فقط موارد اولیه هست

[Ashkankamangar.ir]

ClamAV

yum install clamav

برای آپدیت

freshclam

اجرای اسکن

کد:

clamscan -r /home

[secure_host]

بهتره تو disable_function ها توابع posix رو برداری . چون برخی از posix ها برای جوملا مورد نیاز می باشد.

[Ashkankamangar.ir]

بهتره تو disable_function ها توابع posix رو برداری . چون برخی از posix ها برای جوملا مورد نیاز می باشد.

ممنونم اما تو این چند سالی که کار میکنم همین فانگشن هارو بستم و هیچ مشتری جوملایی مشکلی نداشته

[Ashkankamangar.ir]

http://www.webhostingtalk.ir/f10/62084/
این رو هم بخونید

[MOHAMMAD MOHSEN]

ClamAV


برای آپدیت

freshclam

اجرای اسکن

کد:

clamscan -r /home

نصب clamav از خود WHM به نظر بهتره
Home » cPanel » Manage Plugins
در ضمن بعد از نصب در قسمت Plugins هم میشه تنظیمش کرد که کجاها رو چک کنه

[Talahost.Com]

disable_functions
symlink, show_source, passthru, exec, fpassthru, popen, crack_check, crack_closedict, proc_open, crack_getlastmessage, crack_opendict, psockopen, php_ini_scanned_files, shell-exec, system, dl, tmp, safe_mode, systemroot, server_software, get_current_user, ini_restore, popen, pclose, exec, shell_exec, suExec, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_setegid, posix_seteuid, posix_setgid, posix_times, posix_ttyname, posix_uname, posix_access, posix_get_last_error, posix_mknod, posix_strerror, posix_initgroups, posix_setsid, posix_setuid, perl, rsync, wget, ./, python, whoami, cat, perm, find, phpinfo, php_uname, c99_buff_prepare, c99_sess_put, c99getsource, c99sh_getupdate, c99fsearch, c99shexit, c99ftpbrutecheck, fpassthru

register_globals = Off
safe_mode = On
expose_php = Off
magic_quotes = On
display errors = off

با سلام و تشکر از اطلاعاتی که قرار دادید.
disable_functions بدون کانفیگ suphp فایده ای نخواهد داشت
magic_quotes را on نکنید بهتره (نسبت سودش به ضرر 1 به 100 است) (Deprecated)
safe_mode هم همین طور باید خاموش باشه مشکل ساز می شه، با روش های دیگری باید جای safe mode رو پر کرد

[ivpu]

ممنون
ایا راهی هست که دیتابیسه ClamAV را دستی اپدیت کرد؟ مقاوم تر بشه

[MOHAMMAD MOHSEN]

ممنون
ایا راهی هست که دیتابیسه ClamAV را دستی اپدیت کرد؟ مقاوم تر بشه

در ssh دستور freshclam رو بزنید

[dude]

دو نکته ساده ولی موثر امنیتی دیگر برای جلوگیری از نفوظ به سرور:

به فرض اینکه شما یک یوزر غیرروت دارید که می تواند به سرور ssh کند معقول است که لاگین root به اس اس اچ رو غیر فعال کنید


nano /etc/ssh/sshd_config

و پارامتر PermitRootLogin بگذارید no

PermitRootLogin no

سپس سرور ssh را ریستارت کنید
/etc/init.d/sshd restart

حالا بعد از لاگین با یوزر غیر روت به سرور می توانید su را بزنید و پسورد روت را وراد کنید و کارهای روت را انجام بدهید
----------------

بعد نرم افزار fail2ban رو نصب کنید.
apt-get install fail2ban
یا
yum install fail2ban

این برنامه سرورهای ssh و ftp را مونیتور می کند و بعد از ۵ بار لاگین اشتباه ۱۰ دقیقه کاربر را بلوکه می کند و به این ترتیب عملا امکان نفوذ از طریق bruteforce حدس زدن پسورد را می گیرد