اصطلاحات و آموزشهای اولیه
1- با یه ریسلر کار کردن
2- نصب سی ام اس های معمولی رو بلدن
3- و کارای در همین حد دیگه
حالا میخواهید سرور بگیرید و وضعیتی مثل شکل زیر دارید

نگران نباشید نمی خواهید اپلولو هوا کنید که
برای شروع کار یه سرور مجازی با رم 256 تا 512 و هارد 10 -15 گیگ کافیه


حالا همش تو سایت های مختلف میرید میبنید نوشته سرور ویندوز ، سرور لینوکس
خب اجازه بدید ببینیم فرقشون چیه
نکته : اموزش ما برای هاستینگ لینوکس هست
ولی خب من فرقشون رو میگم تا بدونید
1- لینوکس سیستم عاملی اوپن سورس و رایگان بوده ولی ویندوز سیستم عاملی غیر رایگان است
2- هزینه سرور های مجازی لینوکس از ویندوز پایین تر است .
3- چنانچه وی پی اس را برای هاستینگ و یا یک سایت نیاز دارید اگر سایت شما به زبان asp نیست بدون شک لینوکس مناسب تر می باشد
4- چنانچه از سرور خود برای v p * N استفاده میکنید و یا برای دانلود / اپلود از وی پی اس استفاده میکنید سرور های ویندوز برای شما مناسبتر است
5- کار با سرور ویندوز دقیقا مانند کار کردن با یک کامپیوتر ویندوزیست و کاربر بوسیه remote desktop صفحه سرور را در کامپیوتر خود اجرا کرده و به راحتی و دقیقا مانند کامیپوتر خود با سرور کار می کند
6- لینوکس در زمینه امنیت و هاستینگ پیشرفت فوق العاده ای نسبت به ویندوز داشته و کنترل پنل های بسیار حرفه ای تر و کاربرپسند تری برای ان طراحی شده
7- کار با لینوکس بصورت تایپ دستور است (البته امکان نصب محیط گرافیکی نیر می باشد)
8- سرور های لینوکسی ویروس نمیگیرند ولی ویندوز براحتی ویروس می گیرد
9- لینوکس مصرف رم کمتری داشته و پایدار تر است
10 - (http://forum.p30ask.com/) در سرور های اختصاصی ویندوز هزینه ای در بین 15 الی 50 دلار دارد. ولی لینوکس رایگان می باشد

من برای تفهیم بهتر یه عکس از سرور ویندوز و یه عکس هم از سرور لینوکس میزارم

(http://www.pic.p30ask.com/images/24548448566231335502.jpg)تصویر از محیط ویندوز (http://www.pic.p30ask.com/images/24548448566231335502.jpg)

تصویر از محیط لینوکس (http://www.pic.p30ask.com/images/54521955545330067209.gif)


خب فعلا ویندوز رو فراموش کنید
بریم سراغ لینوکس
قبل هر کار وی پی اس تون رو بگیرید
خب
وی پی اس رو گرفتید؟؟
مبارکه
لابد به شما چیزی دادن به نام SSH
که یه آیپی دادن و یه دونه پسورد و شاید یوزر نیمی به نام root
( (http://forum.p30ask.com/)با چیزایی مثل hypervm و هر کنترپنلی که برای ریبوت و اینجور کارها بدن فعلا کاری نداریم)


خب اول بزارید یه کم در مورد سرور بحث کنیم
سرور چیه؟
سرور نه خوردنیه و نه پوشیدنی
بلکه یه کامیپوتره (البته با بهترن سیستم های تهویه و موارد مشابه که کاری نداریم) و این سرور همیشه خدا روشنه و با اینترنت با سرعت خیلی بالا وصله

دیتاسنتر چیه؟
یه ساختمان هست (معمولا در کشور های پیشرفته) که سرور ها رو تو اون نگه داری میکنن و افرادی اونجا هستن که هوای این سرور ها رو دارن
دیتاسنتر های خوب همیشه برق اضطراری و سیستم های تهویه دارن و همچنین افرادی بطور 24 ساعته اونجا هستن

سرور مجازی (VPS) چیه؟
VPS مخفف Virtual Private Server هست یعنی یه بنده خدایی (مثلا خودم) میریم از به دیتاسنتر یه سروری میگیریم بعد میایم با نصب یه سری برنامه ها Ram - Hard - Cpu سرورمون رو بین یه عده تقسیم میکنیم
کارکردن با سرور مجازی و سرور اختصاصی 99% عین هم دیگه است

SSH چیه ؟
SSH که فقط در سرور های لینوکس اسمشو میشنویم
در واقع یه راه ارتباطی (غیر گرافیکی و فقط با تایپ دستور) بین سرور سرور و کامپیوتر شماست
دقت کنید که لینوکس هم محیط گرافیکی داره خیلی قشنگتر از ویندوز ولی خب برای اینکه رم مصرفش کمتر شه و همه آموزش های موجود در نت هم بر اساس تایپ دستوره پس سعی کنید با دستور ها بسازید ...

خب یه سری موارد که موقع خرید وی پی اس باهاش درگیر میشید هست که لازم دیدم توضیح بدم
Host name چیه؟
این واژه که موقع خرید وی پی اس و سرور لینوکس باهاش سر و کار دارید در واقع اسم سرور شماست (چطور که مثلا ما اسم داریم : آرش - تقی - علی - قلی و ...) سرور هامون هم اسم دارن به این اسم میگن host name
هاست نیم بصورت xxxxx.domain.com میشه که میتونید به جای xxxx هر چی بزارید که معمولا مینویسن server.domain.com این دومین لزومی نداره رو سرورتون باشه و صرفا کار یه اسم برای وی پی اس شما رو میکنه

کرنل چیه؟
کرنل در واقع هسته سیستم عامل شماست (توضیح بهتر نمی تونم بدم )

مجازی ساز چیه؟
یادتونه پست بالا گفتم برای سرور مجازی یه کارایی رو سرو اختصاصی میکنیم
این کار ها اینه که یه سیستم مجازی سازی رو سرور نصب میکنیم
این مجازی ساز میاد سرور هایی مجازی از رو سرور من درست میکنه
اینا رو ول کنید بریم سر معرفی سیستم های مجازی ساز اینکه کدوم بره شما بهتره

1- VmWare


ای



این برنامه نسخه سرورش رایگانه و هم بر روی لینوکس نصب میشه هم ویندوز ما در مورد نسخه لینوکسش بحث میکنیم


نسخه های لینوکس دو دسته اند :
- نسخه کنسول دار
- نسخه تحت وب


در هر دو نسخه کرنل کاملا اختصاصی به کاربر داده میشه و وی پی اس های ساخته شده هیچ فرقی با سرور اختصاصی ندارند همچنین نمیشه پهنای باند رو محدود کرد.همچنین تعداد هسته های سی پی یو وی پی اس نمیتونه بالای 2 باشه.
هر وقت یه وی پی اس رو روشن کنید کل رمش مصرف میشه .


در نسخه کنسول دار شما یه برنامه رو دانلود میکنید و اکثر کار ها با اون انجام میشه


در نسخه تحت وب شما از طریق مرورگرتون به وی ام ور دسترسی دارید در این نسخه شما میتونید کارت صوت بسازید و یا به کاربر پنل بدید . (http://forum.p30ask.com/)


در وی وی ام ور هیچ محدودیتی برای نصب سیستم عامل وجود نداره و برای نصب سیستم عامل باید فایل iso رو در سرور اصلی دانلود ودر وی پی اس نصب کنید(بعدا توضیح بیشتر داده میشه)
HyperVM



هایپر وی ام یه مجازی ساز نیست بلکه یه کنترل پنل رایگان برای مجازی ساز های Xen و OpenVZ هست



این پنل محصول شرکت LXLabs هست که امکانات خوبی داره و مجازی سازی رو واقعا راحت کرده




در ادامه به معرفی 2 مجازی سازی که با این پنل کار میکنن میپردازیم.



2- (http://forum.p30ask.com/) OpenVZ



این برنامه برای لینوکس و ارائه وی پی اس های لینوکسی نوشته شده و معمولا همراه با هایپر وی ام نصب میشه.



این برنامه کرنل اختصاصی به وی پی اس ها نمیده و شما موقع ساخت وی پی اس از یه منو انتخاب میکنید که کدوم ورژن لینوکس نصب بشه



در این برنامه هنگامی که یه وی پی اس رو استارت میکنید فقط رمی که وی پی اس استفاده میکنه از سرور اصلی کم میشه و بقیه رم آزاد میمونه.



وی پی اس های اوپن وی زد سی پی یو share دارن و حتی هنگام نصب فایر وال مشکلاتی وجود دارد

اوپن وی زد از منابع سرور اصلی زیاد استفاده نمی کنه و با توجه به راحتی کار و امکانات بالا طرفدارن زیادی داره


در کل اوپن وی زد برنامه مناسبی برای وی پی اس های لینوکس می باشد. (http://forum.p30ask.com/)


3- Xen

این برنامه برای لینوکس نوشته شده که همراه با پنل هایپر وی ام نصب میشه.



زن به سرور های مجازی کرنل اختصاصی میده و میتونید روش ویندوز یا لینوکس بزنید



یادم نره بگم که زن نمیتونه کارت صوت بده ولی کارت شبکه اش هم اختصاصی (eth) هست


در این برنامه هنگام ساخت وی پی اس های لینوکس از یه منو ورژن لینوکس رو انتخاب میکنید و برای وی پی اس های ویندوز باید فایل iso واردش کنید


4- (http://forum.p30ask.com/) مجازی ساز های دیگه ای مثل Virtuzu - HyperV و ... هست که من زیاد اطلاعاتی در موردشون ندارم اگر کسی از دوستان اطلاعاتی داره برای منپیام خصوصی کنه تا با اسم خودش در این قسمت قرار بدم

سلام
بالاخره وی پی اس تون رو گرفتید؟؟
بسیار عالی
فقط چیزی که جلسه قبل یادم رفت بگم حتما بگید لینوکس CenOS رو سرورتون نصب بشه
اولین قدم SSH هست که بهتون میدن
و معمولا شامل یه IP و یه پسورد هست و بعضا یه دونه یوزر نیم root هم بهتون میدن
ولی چطوری از اس اس اچ استفاده کنیم

برای کانکت شدن به اس اس اچ

اگر روی کامپیوتر خودتون ویندوز دارید باید برنامه پوتی رو دانلود کنید

لینک : http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe

بعد برنامه پوتی رو اجرا کنید و در صفحه ای که میاد در قسمت

Host name (or IP adress)

وارد کنید root@ip server

به جای ip server آیپی سرورتون رو وارد کنید و فعلا به قسمت های دیگه دست نزنید و اینتر بزنید



بعد یه صفحه سیاه میاد و ازتون پسورد میخواد ، دقت کنید موقع نوشتن پسورد چیزی نشون نمی ده ولی پسورد رو مینویسه بعد نوشتن پسورد اینتر کنید




اگر روی کامپیوترتون لینوکس دارید ترمینال رو باز کنید و بزنید
ssh ipserver

به جای ip server آیپی سرورتون رو وارد کنید و اینتر بزنید

بعد ازتون یوزر نیم و پسورد میخواد ، دقت کنید موقع نوشتن پسورد چیزی نشون نمی ده ولی پسورد رو مینویسه بعد نوشتن پسورد اینتر کنید


خب حالا در اس اس اچ هستید و میتونید هر دستوری که خواستید تایپ کنید دقت کنید خیلی از دستور ها دستور های سیستمیه و ممکنه باعث ایجاد اشکال و حتی حذف اطلاعات شما بشه
پس در کار با اس اس اچ دقت کنید

خب یکی از مواردی که شاید الان زیاد به دردتون نخوره ولی دونستنش خالی از لطف نیست
اونم پارتیشن بندی در لینوکسه

موقع ورود شما در دایرکتوری home هستید در لینوکس پارتیشن مثل ویندوز c,d,e نیست بلکه (اینی که میگم یه حالت پیشفرضه که دیتاسنتر یا مدیر سرور مجازی بهتون میده و گرنه میتونید برای هر پوینت یه پارتیشن جدا بسازید) در لینوکس ما یه پارتیشن داریم به نام روت که به صورت / هست بعد زیر مجموعه اون موارد زیر رو داریم

1- bin فرامین عمومی سیستم عامل لینوکس در این دایرکتوری قرار دارد مانند sort ls و

2- dev حاوی نقاط دسترسی به ابزار های سخت افزاری کامپیوتر است مانند ترمینال ها دیسک های فلاپی دیسک های سخت و کاربران به طور معمول برای دستیابی به این دستگاه ه ها از از نام های آنها استفاده می کنند. (این تو سرور زیاد کاربرد نداره) (http://forum.p30ask.com/)

3- etc حاوی برخی فایل های پیکر بندی سیستم است

4- home دایرکتوری کاربران یک سیستم لینوکسی می باشد و اطلاعات کاربران در این دایرکتوری قرار می گیرد. (فایل های هاست های کاربران هم در این قسمته)

5- mnt محلی برای متصل کردن ابزار ها دیسک های سخت دیسک های USB و داریو های شبکه می باشد . (http://forum.p30ask.com/) (اینم در مورد سرور زیاد مطرح نیست)

6- root دایرکتوری خانگی کاربر ریشه می باشد

7- sbin دستورات مدیریت سیستم در این دایرکتوری قرار می گیرد

8- tmp محل قرار گیری فایل های موقت می باشد

9- usr محل قرار گیری مستندات سیستم بازی ها فایل های گرافیکی کتابخانه ها و چیزهای دیگر است (زیاد تو سرور کاربرد نداره)

خب این بالایی بیشتر بره اطلاعاتتون و در در سطوح مبتدی اصلا مورد بحث نیست

حالا بریم سر اصل بحث -- دستورات اس اس اچ


دستورات اس اس اچ خیلی زیاده من فقط چند تا رو میگم (دقت کنید کجا ها بین بخش های مختلف دستور فاصله هست) و قرار نیست همه رو هم همین الان رو سرور بدبخت امتحان کنید فقط یاد بگیریدشون



cd .. این دستور شما رو به یه پوشه بالاتر می بره مثلا در هنگام ورود در home هستید اگر این دستور رو بزنید میرید به روت



cd folder name : برای وارد شدن به یک فولدر که به جای folder name اسم پوشه رو بزنید مثلا در روت بزنید cd home



ls لیست فایل ها و پوشه های موجود در دایرکتوری که توش هستید رو میده (معادل دستور dir در داس)



ls-a تمامی فایل ها (از جمله فایل های هیدن و سیستمی) و پوشه های دایرکتوری که توش هستید رو نشون میده



wget http://fileadress : این دستور واسه دانلود فایل روی سروره فایل رو در پوشه ای که توش هستید دانلود میکنه



yum install pack: برای نصب برنامه هاست به جای pack باید اسم برنامه رو بزنید مثلا:

yum install php – yum install apache – yum install perl


این دستور برای آپدیت و یا حذف برنامه ها هم هست مثلا:

yum update php – yum remove php


service name action : این دستور برای کار با سرویس ها (یه جورایی میشه گفت برنامه ها البته یه جورایی) که به جای name باید اسم سرویس و به جای action عملی رو می خواهید انجام بشه بزنید من چند تا از مهم ترین هاش رو میگم

stop : برای از کار انداختن سرویس (اگر سرویس اتو استارت باشه بعد یه بار که سرور رو ری استارت کنید دوباره میاد بالا )

start : برای شروع کار یک سرویس (اگر سرویس اتواستارت نباشه بعد هر ریبوت باید استارتش کنید)

restart : دو عمل stop و start رو با هم انجام میده

remove : برای حذف سرویس

حالا چند تا مثال :

service apache stop

service php start

servise mysql restart

top : این دستور برای دیدن لیستی از پروسس های در ال اجرا و همچنین مشخصات و مقدار رم و سی پی یو سیستم هست

در اینجا هر پروسس یه شماره بره خودش داره (pid)

با زدن Shift + m پروسس ها به ترتیب مصرف رم

و با زدن Shift + p به ترتیب مصرف سی پی یو

حالا اگر بخواهیم یه پروسس رو استاپ کنیم میزنیم

kill pid به جای pid باید pid پروسستون رو بزنید

اگر بخواهید یه پروسس با تمام زیر مجموعه هاش استاپ بشه بزنید

terminate pid : بازم به جای pid باید pid پروسستون رو بزنید

معمولا هر یوزر هاست یا هر سرور مجازی یه پروسس جدا واسه خودش داره

در پایان میتونید با زدن دکمه Q از این صفحه بیاید بیرون



یه دستورم خارج از بحث بگم که واسه عوض کردن پسورد اکانتی که باهاش وارد شدید (الان فکر کنم با روت لوگین کردید)کافیه دستور passwd رو بزنید و پسورد رو تایپ و اینتر بزنید یه بار دیگه هم باید تایپ کنید اگر با روت وارد شدید میتونید پسورد بقیه اکانت ها رو هم با دستور passwd username



تو این قسمت میخوام به دستوراتی که مربوط به کار با فایل ها مربوط میشه بپردازم

اولا بگم یه فایل مینجر نیمه گرافیکی عالی در لینوکس داریم به نام mc

برای نصبش کافیه بزنید yum install mc و اگر چیزی پرسید y بزنید بعد که تموم شد برای ورود به ام سی فقط کافیه تایپ کنید mc و بعد قشنگ با محیط گرافیکیش کار کنید



اما بعضی ها دوست دارن سخت کار کنن :D


که واسه اونا یه سری دستور واسه مدیریت فایل ها میگم



اولا دقت کنید هر جا گفته شده filename یا اسم فایل حتما باید پسوند فایل رو هم تایپ کنید



برای ساخت پوشه میریم جایی که میخواهیم پوشه توش ساخته بشه و میزنیم

mkdir folder name

برای حذف یه پوشه میریم به جایی که پوشه توشه مثلا اگه میخواهم فولدر با نام arash رو از home پاک کنیم میریم توی home و میزنیم



rm -rf foldername که به جای folder name باید اسم پوشه رو زد. (http://forum.p30ask.com/)

برای حذف فایل هم همینطور برید به جایی که فایل توشه و این دستور رو بزنید

rm -rf filename که به جای file name باید اسم فایل رو زد.


برای کپی کردن یک فایل اول میریم به جایی که فایل توشه بعد دستور زیر رو میزنیم
cp oldfilename /masir jadid
که oldfilename اسم فایلی هست که قراره کپی بشه و masirjadid هم جایی هست که قراره فایل بره اونجا

برای انتقال یک فایل به محل جدید و حذف فایل اولیه ( (http://forum.p30ask.com/)بعارتی cut کردن فایل)
اول میریم به جایی که فایل توشه بعد دستور زیر رو میزنیم
mv oldfilename /masir jadid
که oldfilename اسم فایلی هست که قراره کپی بشه و masirjadid هم جایی هست که قراره فایل بره اونجا


اینم آموزش سورس کپی که شاید خیلی ازش استاده نکنید



حالا فرضا من یه سرور دارم میخوام یه فایل رو از سرور خودم انتقال بدم به سرور دیگه (در صورتی که یوزر و پسورد سرور دیگه رو هم داشته باشم) اینکار با سورس کپی انجام میشه

برای اینکار برید جایی که فایل توشه و بزنید

scp filename root@ipserver dige:/masir file

حالا یه مثال : من میخوام فایل file.zip رو بفرستم رو سروری به آیپی 1.1.1.1 اول میرم جایی که فایل توشه بعد میزنم

scp file.zip root@1.1.1.1:/home

بعد یه سوال ازتون میپرسه که باید بنویسید yes و اینتر کنید بعد پسورد سرور مقصد رو باید بزنید

بعدش این file.zip میره تو home سرور مقصد

اگه به جای /home میزدم / فایل میرفت تو روت سرور مقصد
میشه مسیر طولانی تری هم داد مثلا : /home/arash/public_html


برای اجرا یک فایل با فورمت sh کافیه برید به جایی که فایل توشه و بزنید

sh ./filename.sh



برای اکسترکت کردن فایل من مال zip & tar رو اینجا میزارم

بازم باید برید به جایی که فایل توشه بعد دستورات زیر

unzip filename.zip

tar –xvf filename.tar

----------------------------- (http://forum.p30ask.com/)----------------------

برای ویرایش یک فایل متنی بزنیدnano /masirfile
اگه احیانا گفت دستور پیدا نشد و اینجور چیزا بزنید
yum -y install nano
---------------------------------------------------------

برای ریبوت سرور هم از دستور reboot استفاده کنید

Cpanel


محبوب ترین پنل همین سی پنل هست امنیتش در حالت ععادی خیلی جالب نیست ولی با اعمال یه سری تغییرات چیز جالبی میشه در حال حاضر اخرین نسخه این کنترل پنل 11.25 هست . سی پنل جدیدا کمتر رو تحریمات حساسیت نشون میده ولی خب هنوزم گیر میده از مزایای این پنل میشه به موارد زیر اشاره کرد



-محیط کاربری گرافیکی و دل نشین

-امکانات بالا

-طرفداران بسیار

-

و از معایبش میشه به موارد زیر اشاره کرد



-قیمت بالا (در حال حاضر نسخه وی پی اس بین 10 تا 16 دلار و نسخه سرور بین 20 تا 40 دلار قیمتشه)


-مصرف بالای رم
- (http://forum.p30ask.com/)مشکلات تحریم واسه ایرانی ها

در کا پنل خوبیه و نصبش توصیه میشه

DirectAdmin

این کنترل پنل کانادایی که مشکلی هم با کاربران ایرانی نداره و همین باعث شده طرفاداری زیاد در ایران داشته باشه قیمتش از سی پنل کمتر ولی خب امکانات و زیبایی محیط کارشم به سی پنل نمیرسه ، امنیتش درست بعد از نصب در مقایسه با سی پنب بهتره که خب با انجام تغییراتی بهترم میشه
من که خودم خیلی باهاش حال میکنم


از مزایای این پنل میشه به موارد زیر اشاره کرد:

-قیمت پایین (برای وی پی اس حدود 5 تا 7 دلار و برای سرور اختصاصی بین 10 تا 16 دلار)


-عدم مشکل تحریم

-مصرف رم کمتر



و از معایبش میشه به موارد زیر اشاره کرد

-امکانات متوسط

-کار کردن با این پنل برای یوزر ها مشکله (ولی کم کم عادت میکنن )
طرفدار کمتر در بین مشتری ها

در کل برای سرور های نه چندان بزرگ خیلی چیز عالی هست (در سرور های بزرگم خیلی خوب جواب مبده ها فقط کاربرا دیگه صداشون خیلی در میاد)

Kloxo (LXadmin)


این پنل که قدیم اسمش ال ایکس ادمین و در ورژن جدید اسمش رو کلوکسو گذاشتن .
در قدیم این پنل واسه 40 دومین رایگان بود و بعد اون برای ارتقا تعداد دامین ها باید مبلغی رو به شرکت lxlabs میداید ولی الان این کنترل رایگان و به صورت اوپن سورس روش کار میشه لازم به ذکره که شرکت lxlabs پنل هایپر وی ام رو هم طراحی کرده و تا اونجا که من میدونم برنامه نویس هاش هندی هستن.



از مزایای این پنل میشه به موارد زیر اشاره کرد:

- رایگان هست

-کار با این کنترل پنل بسیار ساده است و فقط با دو تا دستور نصب میشه
- براحتی و با چند کلیک میتونید وب سرور و میل سرور و ... رو عوض کنید و خیلی از فانکش های پی ا پی رو فعال کنید


-این پنل همه چیزی رو که سرور لازم داره نصب میکنه مثلا یه آنتی دی داس قوی نصب میکنه


-مصرف رم کم



و از معایبش میشه به موارد زیر اشاره کرد

- (http://forum.p30ask.com/) یه کم سنگینه (سرعت لودش )و امکاناتش متوسط به بالاست


- عیب اصلیش اینه که با خیلی از کنترل پنل های دیگه سازگاری نداره ، سیستم بکاپ و تراسنفرش داغونه - بعضا ناجور قاط میزنه

Plesk


این پنل محصول شرکت parallels هست که هم نسخه لینوکس و هم نسخه ویندوز داره که ما در اینجا در مورد لینوکسش بحث میکنم

از مزایای این پنل میشه به موارد زیر اشاره کرد:

-محیط نسبتا خوب

-ساپرت قوی

-امکانات متوسط به بالا

و از معایبش میشه به موارد زیر اشاره کرد

-قیمت بالا

-این پنل خیلی سنگینه و با سرعت اینترنت ایران زیاد جور نیست

-امکاناتشم به نظر من خیلی باحال نیست
- بعضی کار های صدا رو خیلی مشکل کرده


WebMin
یه کنترل پنل ساده و خیلی ابتدایی با امکانات پایین و البته مصرف رم و سی پی یو واقعا کم


دمو کنترل پنل ها :
Demo - cPanel Inc. سی پنل
DirectAdmin Web Control Panel Demo دایرکت ادمین
DirectAdmin Web Control Panel Demo کلوکسو
http://www.parallels.com/products/plesk/demo/ پلسک

[
خب اول بریم سر بحث لایسنس
لایسنس ها کلا دو دسته ان:
اینترنال : این لایسنس ها رو معمولا دیتاسنتر یا فروشنده وی پی اس ارائه میده و قیمت پایین تری دارن
اکسترنال : این لایسنس ها توسط مایرور های سی پنل عرضه میشه ولی برای همه هست و خی قیمتشم یه کم بیشتره
لایسنس اینترنال که دیگه معلومه از کجا باید بگیرید
برای خرید لایسنس اکسترنال هم جاهای زیادی هست که نمیتونم اینجا بگم (تبلیغ حساب میشه)

دقت کنید هاست نیم شما نباید مشخصات ایرانی داشته باشه (بره مشکل تحریم)

و اما طریقه نصب

سعی کنید به خاطر مشکلات تحریم با یه ایپی غیر ایران وارد اس اس اچ بشید (حتما توجه داشته باشید که سرور شما نباید هیچ برنامه خاصی نصب داشته باشه و به هیچ عنوان قبلا روش کنترل پنل خاصی نصب نشده باشه)(اگر قبلا روش چیزی نصب کردید با سیستم عامل سرور عوض بشه یا به اصطلاح os reload بشه که در وی پی اس ها بهش rebuild هم میگن (علی الخصوص در اوپن وی زد و زن))


اول باید selinux رو خاموش کنید (در وی پی اس های اوپن وی زد نیازی به انجام اینکار نیست) برای اینکار در اس اس اچ بزنید: setup

در صفحه ای که میاد برید به قسمت Firewall configuration و بعد یه دور کلید tab رو بزنید تا بیاید روی run tools و بعد اینتر بزنید بعد در صفحه ای که میاد برید رو Disabled (با زدن یه بار دکمه فلش راست کیبرد) و بعد کلید space رو بزنید بعد اگه یه بار دیگه کلید tab رو بزنید میاد تو قسمت SELinux بعد بیاید رو Disabled و دوباره کلید space رو بزنید بعد یه tab بزنید تا بیاید رو OK بعد اینتر بزنید و دوباره بر میگردید به صفحه اول این بار با زدن tab بیاد رو Quit و اینتر کنید حالا دوباره برمیگردید به صفحه اس اس اچ ، این دستور رو بزنید :
wget http://layer1.cpanel.net/latest
اینو بزنید : sh latest

بعد بین 15 تا 80 دقیقه کلی * و # میکشه و نصب میشه
/usr/local/cpanel/cpkeyclt حالا این دستور رو بزنید :
بعد با یه آیپی غیر ایران از لینک http://ip:2086 وارد بشید
حالا تنظیمات رو پیش برید تنظمیات سختی نیست فقط به موراد زیر دقت کنید
میل سرور رو بزارید exim
وب سرور apache
SMTP رو هم بزارید dovecot
یه جایی هم هست که ان اس های مد نظرتون رو ست کنید
اگر در این مورد سوالی داشتید بره من پیام خصوصی بزنید تا در همین تاپیک اضافه کنم

2- DirectAdmin

اول که بحث شیرین لایسنس

این لایسنس ها دو دسته هستن ولی خب برای شما فرقی نمیکنه کدومش باشه وقیمت ها هم مشابه پس از هر کی تونستید بگیرید اون شخص باید به شما کلاینت آیدی و لایسنس آیدی بده

خب برای نصب :

برای نصب دایرکت ادمین وارد اس اس اچ بشید (حتما توجه داشته باشید که سرور شما نباید هیچ برنامه خاصی نصب داشته باشه و به هیچ عنوان قبلا روش کنترل پنل خاصی نصب نشده باشه)(اگر قبلا روش چیزی نصب کردید با سیستم عامل سرور عوض بشه یا به اصطلاح os reload بشه که در وی پی اس ها بهش rebuild هم میگن (علی الخصوص در اوپن وی زد و زن))

اول باید selinux رو خاموش کنید (در وی پی اس های اوپن وی زد نیازی به انجام اینکار نیست) برای اینکار در اس اس اچ بزنید: setup

در صفحه ای که میاد برید به قسمت Firewall configuration و بعد یه دور کلید tab رو بزنید تا بیاید روی run tools و بعد اینتر بزنید بعد در صفحه ای که میاد برید رو Disabled (با زدن یه بار دکمه فلش راست کیبرد) و بعد کلید space رو بزنید بعد اگه یه بار دیگه کلید tab رو بزنید میاد تو قسمت SELinux بعد بیاید رو Disabled و دوباره کلید space رو بزنید بعد یه tab بزنید تا بیاید رو OK بعد اینتر بزنید و دوباره بر میگردید به صفحه اول این بار با زدن tab بیاد رو Quit و اینتر کنید حالا دوباره برمیگردید به صفحه اس اس اچ ، دستورات زیر رو به ترتیب بزنید :

yum -y install gcc



yum -y install flex

yum -y install gcc-c++

yum -y install make


حالا بزنید

wget http://www.directadmin.com/setup.sh

بعد بزنید : chmod 755 setup.sh

./setup.sh بعد اون هم بزنید


خب حالا اولین چیزی که ازتون میپرسه لایسنس آیدی و کلاینت آیدی و هاست نیمتون هست همه رو بزنید و بعدش هم یه بار دیگه بهتون نشون میده و میپرسه که درسته یا نه که اونم اگه درست زده بودید y بزنید و اگه اشتباه بود n بزنید تا دوباره ازتون بخواد این موارد رو
بعدش اگه درست یادم مونده باشه میپرسه که Is eth0 your ethernet device یا یه همچین چیزی که اگر سرور اختصاصی دارید و یا مجازی سازتون Vmware , Xen و... هست بزنید y ولی اگه سرور مجازی با OpenVZ و Virtuzu و... دارید بزنید n بعدش ازتون میپرسه اسم device ethernet رو وارد کنید شما بزنید venet0:0 و اینتر بزنید
بعدش میپرسه که آیا آیپیتون با آیپی لایسنس یکیه که اونم y بزنید بعد فک کنم میگه یه ورژن انتخاب کنید بین 1 و 2 که شما 2 رو بزنید و بعد هم y بزنید تا نصب شروع بشه
آخر سر هم روی صفحه پسوردتون رو مینویسه
اگر به هر دلیلی نتونستید پسورد رو بردارید میتونید با زدن دستور زیر اونو ببنید
cat /usr/local/directadmin/setup.txt


خب اینم از این


3- Kloxo


پنل با نصب بسیار ساده
بره اینکه تعداد دامین هاتون از 40 تا بیشتز بشه باید تو سایت lxlabs.com عض بشید و بعد در پنلتون آیپی سرورتون رو ادد کنید


برای نصب :
اگر وی پی اس با هایپر وی ام دارید : کافیه در هایپر وی ام install kloxo رو بزنید و کمی صبر کنید
اگر سرور اختصاصی یا وی پی اس بدون هایپر وی ام دارید : اول باید selinux رو خاموش کنید (در وی پی اس های اوپن وی زد نیازی به انجام اینکار نیست) برای اینکار در اس اس اچ بزنید: setup

در صفحه ای که میاد برید به قسمت Firewall configuration و بعد یه دور کلید tab رو بزنید تا بیاید روی run tools و بعد اینتر بزنید بعد در صفحه ای که میاد برید رو Disabled (با زدن یه بار دکمه فلش راست کیبرد) و بعد کلید space رو بزنید بعد اگه یه بار دیگه کلید tab رو بزنید میاد تو قسمت SELinux بعد بیاید رو Disabled و دوباره کلید space رو بزنید بعد یه tab بزنید تا بیاید رو OK بعد اینتر بزنید و دوباره بر میگردید به صفحه اول این بار با زدن tab بیاد رو Quit و اینتر کنید حالا دوباره برمیگردید به صفحه اس اس اچ ، دستورات زیر رو به ترتیب بزنید :




wget http://download.lxcenter.org/download/kloxo/production/kloxo-installer.sh

بعدش :

sh ./kloxo-installer.sh --type=master

بعد صبر کنید تا نصب تموم بشه هر وقت تموم شد از آدرس http://ip:7778 وارد بشید یوزر و پسورد اولیه هر دو admin
هست


خب بره این جلسه فک کنم همین ها کافیه
پیروز باشید

خب این جلسه در مورد اولین کارایی هست که بعد از نصب کنترل پنل باید بکنید که در این جلسه به تنظیمات کنترل پنل و در جلسه بعدی به نصب فایروال و ... میپردازیم
من اطلاعات خودم در مورد سیپنل و دایرکت ادمین تکمیله (البته یه نیم نگاهی هم به کلوکسو میندازیم)
اول بریم سراغ

Cpanel
خب برای اینکار اول با یوزر و پسورد روت برید به دابلیو اچ ام (2086)
خب اصلی ترین و کلی ترین تنظیمات سی پنل تو tweak setting هست
اولا بگم که قسمتBasic cPanel/WHM Setupکهدر بالاست همون تنظیماتیه که موقع نصب سی پنل انجام دادید
خب برید تو قسمتtweak setting
اولا این مورد رو بدونید که همه تنظیمات در کنارشون توضیح داره و خب خیلی هاشون سلیقه ایه
من اونایی رو که اهمیت بالایی داره برسی میکنم
مواردی رو که در پایین میزارم غیر فعال کنید
Allow users to Park/Addon Domains on top of domains owned by other users. (probably a bad idea)
Enable verbose dns zone syncing (for testing purposes only, not for production use)

موارد زیر رو بد نیست فعال کنید
Allow Creation of Parked/Addon Domains that are not registered
Prevent users from parking/adding on common internet domains. (i.e. hotmail.com, aol.com) (این مورد میگه که آیا اجازه بدم یوزر ها دامنه هایی مثل google و اینجور چیزا رو پاک کنن یا نه)


موارد زیر هم حتما فعال کنید
When adding a new domain, automatically create A entries for the registered nameservers if they would be contained in the zone.

مواردی که کاملا سلیقه ای ولی مهمه
Prevent the user "nobody" from sending out mail to remote addresses (PHP and CGI scripts generally run as nobody if you are not using PHPSuexec and Suexec respectively.)
این میگه که بزاریم nobody ایمیل بفرسه یا نه
بره پیش گیری از ارسال اسپم جدا خوبه
ولی بعضی از اسپریت هایی که بصورت ساده نوشته شدن نمیتونن ایمیل ارسال کنن
-----------------------------------------------------------------------------
قسمت Notifications کاملا سلیقه ایه مورد خاص و کلمه انگلیسی دشواری هم نداره

دیگه مورد خاصی که نیاز به تغییر داشته باشم رو یادم نیست
اگر موردی یادم رفته از دوستان خواهشمندم در پیام خصوصی مطرح کنن
-----------------------------------------------------------------------------------------------------------
خب حالا برید به قسمت
Configure PHP and SuExec

در ورژن جدید اگر نگاه کنید PHP 5 Handler هستش suphp که خوب از نظر امنیتی خیلی خوبه ولی خیلی از اسکریت ها از جمله نیوک و ... باهاش سازگار نیستن
اگر سرور بره سایت شخصیه که نیوک و ... نیست بزارید رو suphp
ولی در هاستینگ های عمومی dso توصیه میشه
آپدیت : جدیدا اکثر اسکرپیت ها از suphp ساپرت میکنن در نتیجه استفاده از suphp پیشنهاد میشه (در جلسه 7 به این موارد کامل اشاره شده)
---------------------------------------------------------------------------------------------------------------
بعد برید به قسمت FTP Server Configuration و این دو مورد زیر رو حتما و حتما انجام بدید که در امنیت خیلی تاثیر دارن
Allow Anonymous Logins ---> No
Allow Anonymous Uploads ---> No
---------------------------------------------------------------------------------------------------------------


DirectAdmin

تنظیمات پیش فرض دایرکت ادمین تا حد زیادی قابل قبوله و فقط چند تا مورد جزیی نیاز به توضیح داره

DirectAdmin
پنل کم دردسر با تنظیمات اولیه مناسب
خب اول هر کار برید به قسمت Message System ( در گوشه بالا سمت راست زیر لوگو دایرکت ادمین)
اونجایی که نوشته Email a copy of all messages to در اون کادر ایمیل خودتون رو وارد کنید
تیک زدن و نزدنش هم اختیاری و دست خودتونه (تیک بزنید بد نیست)
برگردید به همون صفحه اصلی
برید به قسمت List Administrators و روی admin کلیک کنید
admin's user data رو بزنید و در صفحه ای که میاد در قسمت ایمیل ، ایمیل خودتون رو وارد کنید و سیو کنید و برگردید به صفحه اصلی
برید به قسمت
Administrator Settings
در اینجا میتونید خیلی از تنظیمات رو تغییر بدید
خیلی از موارد واضحه و نیازی به توضیح نداره
فقط در قسمت Max Request/Upload Size (bytes) پیشنهاد من اینه که یه صفر هم بهش اضافه کنید تا بشه 100 مگ
تیک Prevent 127.0.0.1 from being Blacklisted رو بزنید
مورد Blacklist IPs for excessive login attempts اگه تیک بخوره بره وقتی خوبه که مثلا وقتی یکی اومد بیشتر از یه تعدادی پسورد اشتباه زد آیپیش بلاک میشه این کمک میکنه تا ربات ها نتونن پسورد کاربرا رو پیدا کنن
به نظر من Blacklist IPs for excessive login attempts رو تیک بزنید و مقدارش رو هم بزارید 80

تنظیم ان اس های اصلی سرور هم که دیگه توضیح نمیخواد
میمونه Enable Automatic Lost Password Recovery که اگه فعالش کنید یه دونه گزینه ورگت پسورد به صفحه لوگین تون اضافه میشه و اگه یوزر اونو بزنه ازش یوزر نیم یا ایمیل میپرسه و بعد پسورد رو میفرسته به میلش
فعال کردن یا نکردنش سلیقه ایه

در مورد دمو هم مال demo_adminرو به هیچ عنوان فعال نکنید اون دوتای دیگه سلیقه ایه

دیگه تنظیم خاصی بره خود دایرکت ادمین بفکرم نمیرسه


Kloxo
یوزر و پسورد پیشفرض کلوکسو هر دوتا admin هست موقعی که بره بار اول وارد سرور میشید ازتون میخواد که عوضش کنید
عوضش کنید و update رو بزنید

اگر با مورد زیر مواجه شدید
Lxguard for this server is not configured. Please Click here to configure Lxguard since it is very important that you understand what it does. Lxguard is critical for the security of your server, at the same time, it can block your own IPaddress from accessing the server, which can be frustrating if you don't know what's happening.
رو همون قسمتی که گفته Click here to configure Lxguard کلیک کنید
در صفحه که میاد مقدارش رو بزارید رو 40 و تیک I Have Read About Lxguard And Understands What It Does رو بزنید و update رو بزنید
از بالا زیر لوگو کلوکسو روی home(admin) کلیک کنید


بعد احتمالا با مورد زیر مواجه میشید
Alert: The identification name for your mail server is not set. This means that many public mail
servers like hotmail will reject mails from your server. Click here to set it

رو قسمت click here to set it کلیک کنید و مقدار زیر رو درست کنید
My Name : یه اسمی بدید مثلا من میدم webhostingtalk
Max Smtp Instances : اینو بزارید رو 85
Additional Smtp Port : بزارید 25
به بقیه موارد دست نزنید و update رو بزنید

اگر با این مورد مواجه نشدید باید دستی برید به این قسمت
در صفحه اصلی home در قسمت Web & Mail& DB برید به Server mail setting و مقادیر زیر رو درست کنید
My Name : یه اسمی بدید مثلا من میدم webhostingtalk
Max Smtp Instances : اینو بزارید رو 85
Additional Smtp Port : بزارید 25
به بقیه موارد دست نزنید و update رو بزنید

از بالا زیر لوگو کلوکسو روی home(admin) کلیک کنید
احتمالا پایین صفحه گزینه Information: Your Contact Information is not set properly. Click here to fix it. بیاد
روی Click here to fix it کلیک کنید و در قسمت Email Address آدرس ایمیلتون رو وارد کنید و آپدیت رو بزنید
دوباره برگردید به صفحه اصلی

در کلوکسو برای ساخت هر اکانت یا دومینی باید DNS Template بسازید
برای اینکار برید در بخش Resources برید به قسمت DNS Templates هر جا که من گیگ نیک زدم شما دومینی که میخواهید ان اس ها روی اون باشه رو بزنید
اول از بالا add DNS Template رو بزنید بعد موارد مربوطه رو تکمیل کنید مثال زیر هم میتونه بره تفهیم بهتر کمک کنه
DNS Template Name : مثلا ns1.gignic.com
آیپی وب و آیپی میل باید همون آیپی سرورتون باشه
Primary DNS : مثلا ns1.gignic.com
Secondary DNS : مثلا ns2.gignic.com
بعد هم add رو بزنید


خب برگردید به صحه اصلی
از قسمت Web & mail & DB برید به FTP Config و بعد تیک Enable Anonymous Ftp رو بردارید و آپدیت رو بزنید و برگردید به صفحه اصلی
از قسمت Web & mail & DB برید به PHP Config و دقیقا تنظمیات زیر رو انجام بدید
جز دو مورد Enable Zend و Enable Ioncube تیک بقیه رو بردارید و اپدیت رو بزنید بعد برید به
Advanced PHP Config
و تیک موارد زیر رو بردارید
Enable Dl و Output Buffering و Allow Url Fopen و Allow Url Include و اپدیت رو بزنید

در این جلسه میرسیم به نصب فایروال
نصب فایروال رو سرور مزایای زیادی داره و جلوی بسیاری از جملات رو میگیره ...
فایروال های زیادی داریم من از بین شون با CSF کار کردم و ازش راضیم همین رو هم آموزش میدم
برای نصب اول درستور های زیر رو به ترتیب بزنید

rm -fv csf.tgz
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.shاگر احیانا بعد از زدن دستور اخر با ارور

یا هر ارور دیگه ای مبنی بر نصب نبودن libwww-perl برخوردید دستور زیر رو بزنید

yum -y install perl-libwww-perlو بعد دستور زیر رو بزنید تا فایروال نصب شه

sh install.sh
اگه سرور اختصاصی یا سرور مجازی با کرنل اختصاصی (وی ام ور و زن) دارید کار تمومه
اگه وی پی اس تون با OpenVZ یا virtuzzu باشه باید مراحل زیر رو هم برید (در این مورد که مجازی ساز چیه از کسی که وی پی اس خریدید سوال کنید)
پس تاکید میکنم دارندگان سرور اختصاصی و سرور های مجازی با کرنل اختصاصی نیازی به مراحل زیر ندارن
وِیژه وی پی اس های اوپن وی زد و ویروتوزو
اول دستور زیر رو بزنید (یادتون باشه نانو رو نصب کرده باشید)

nano /etc/sysconfig/iptablesبعد تمام 4 خط زیر رو توش کپی پیست کنید


-A FORWARD -j ACCEPT -p all -s 0/0 -i venet0
-A FORWARD -j ACCEPT -p all -s 0/0 -o venet0
-A INPUT -i venet0 -j ACCEPT
-A OUTPUT -o venet0 -j ACCEPT
و بعد سیو کنید و بیاد بیرون (اول Ctrl + X بعد Y و بعد دو بار اینتر)
حالا دستور

nano /etc/csf/csfpre.shو بازم خطوط زیر رو توش کپی پیست کنید

iptables -A INPUT -i venet0 -j ACCEPT
iptables -A OUTPUT -o venet0 -j ACCEPT
iptables -A FORWARD -j ACCEPT -p all -s 0/0 -i venet0
iptables -A FORWARD -j ACCEPT -p all -s 0/0 -o venet0بعد دستور

nano /etc/csf/csf.conf خط زیر رو پیدا کنید
ETH_DEVICE = “”
و به صورت زیر تغییرش بدید

ETH_DEVICE = “venet+”حالا دستور
خط زیر رو پیدا کنید
PassivePortRange
و مثل زیر تغییرش بدید

PassivePortRange 30000 35000و یه بار کل سرور رو با دستور
ری استارت کنید
الان فایروال نصبه ولی فعلا بصورت تست هست و عملا کار نمیکنه

این جلسه میخوام یه مورد خیلی ساده و خیلی کارا در امنیت سرور رو توضیح بدم
اصولا باید من در مورد فعال کردن فایروال و کانفیگش بگم ولی فعلا از اون صرف نظر میکنیم و همونطور اجازه بدید فایروال بصورت تست نصب بشه
امروز میخوام در مورد یه اسکریپت ساده و مفید و کم حجم صحبت کنم
ELS
Easy Linux Security
این برنامه همونطور که از اسمش پیداست برای تامین بسیاری از موارد امنیتی لینوکس بصورت خیلی ساده است ...
برای نصبش دستور زیر رو تو اس اس اچ بزنید

wget --output-document=installer.sh http://servermonkeys.com/projects/els/installer.sh; chmod +x installer.sh; sh installer.shو حالا دستور

els --allرو بزنید
حالا مراحل رو توضیح میدم
ممکنه در سرور شما برخی از موارد پرسیده نشه زیاد بهش اهمیت ندید

ایمیل خودتون رو وارد کنید و اینتر رو بزنید
و وقتی در مورد درست بودنش سوال کردن y بزنید و اینتر کنید

y رو بزنید و اینتر کنید


n رو بزنیدو اینتر
این سوال که فقط در سرور های سی پنل میاد جوابش y هست

این سوال که فقط در سرور های سی پنل میاد جوابش y هست

اینم میگه وقتی کسی به عنوان روت وارد شد براتون میل ارسال بشه ، انتخاب با خودتونه

y بزنید و اینتر
نصب این برنامه و اینکه تنظیمش کنید هر روز اسکن کنه به امنیت سرور کمک زیادی میکنه

y

y
نصب این برنامه و اینکه تنظیمش کنید هر روز اسکن کنه به امنیت سرور کمک زیادی میکنه

y

n
این یه فایروال هست با توجه به اینکه این آموزش بر مبنای فایروال CSF هست به هیچ عنوان این فایروال رو نصب نکنید
نصب همزمان دو تا فایروال مشکلات جدی رو به دنبال داره

اینم یه پلاگین بره فایروال بالاست که به هیچ عنوان نباید نصب شه
پس n بزنید

y

y

n
فعال کردنش به امنیت یه کمک جزیی میکنه ولی ممکنه با بعضی از کلاینت ها اس اس اچ قابل دسترسی نباشه

y

y

y

y

n
انجامش در برخی سرور ها ایجاد مشکل میکنه

y


y

n
این قابلیت به طور پیشفرض در سی پنل 11 وجود داره و این برنامه هم باگ داره و سازنده دیگه پیشتیبانیش نمیکنه پس جواب n هست


با این کار پورت اس اس اچ رو میتونید تغییر بدید که کمک زیادی به امنیت میکنه ولی دو تا مورد مهم
1- باید قبل این کار حتما و حتما پورت مورد نظر رو در فایروال باز کنید (آموزش در جلسات بعد)
2- حواستون باشه که از دفعه بعد با پورت جدید به سرور کانکت شید
فعلا n بزنید تا هر موقع که آموزش باز و بسته کردن پورت در فایروال رو گفتم این رو تغییر بدید

این کار هم لوگین روت رو غیر فعال میکنه که دردسرش بیشتر از امنیتیه که ایجاد میکنه
پس پیشنهاد من n هست ( اگر y بزنید حتما و حتما و حتما باید یه یوزر داشته باشید که بتونه به اس اس اچ لوگین کنه)
تموم

خب تا اینجا آموزش ها بره سی پنل و دایرکت ادمین مشترک بود
از این به بعد اموزش ها متفاوت خواهد بود

در این جلسه شروع میکنیم به توضیحات و کانفیگ سی پنل ( هر چند من خودم با دایرکت ادمین حال میکنم ولی اکثر کاربرا درخواست سی پنل رو دادن انشالله بعد سی پنل میرسیم دایرکت ادمین)
خب حتما طبق جلسه پنجم سی اس اف رو نصب کردید ..
حالا وارد WHM بشید .....
اگه دقت کنید در منوی سمت چپ دابیلو اچ ام در پایینترین قسمت یه گزینه ConfigServer Security&Firewall اضافه شده .
برید توش
از سومین قسمت (csf - ConfigServer Firewall) دومین دکمه یعنی firewall configuration رو بزنید
هول نکنید چیزی نیست کلا دو تا عدد رو میخوایم تغییر بدیم
در همون اولش یه جا داره که مقدار TESTING = رو تغییر میده
این مقدار رو به 0 تغییر بدید و بعد یه کم بیاید پایینتر تا مورد Allow incoming TCP ports رو ببنید در اینجا میتونید پورت های مورد نظرتون رو باز یا بسته کنید ....
اگه یادتون باشه تو جلسه 5.5 تاکید کردم که پورت اس اس اچ رو عوض نکنید چون حتما باید پورت در فایروال باز بشه
برای بستن یه پورت که کافیه اونو از قسمت های TCP_IN = و TCP_OUT = حذف کنید (دقت کنید که کاما (,) مربوط به اون پورت هم بردارید در کل باید بین هر پورت یه کاما باشه) که اگر اطلاعات کامل ندارید قویا پیشنهاد میکنم پورتی از این لیست حذف نکنید
برای اینکه یه پورت رو باز کنید (مثلا پورتی که در نظر دارید به اس اس اچ بدید باید مراحل زیر رو طی کنید)
مثلا من میخوام پورت 1234 رو به اس اس اچ اختصاص بدم برای اینکار باید در همین قسمت های TCP_IN = و TCP_OUT = بعد آخرین عدد یه علامت کاما بزنیم (,) و عدد مورد نظر رو اضافه کنیم
حالا عبارت CT_LIMIT = رو در صفحه پیدا کنید با تغییر این مقدار میشه جلوی بعضی از حملات دی داس رو گرفت
مقدارش رو به 250 تغییر بدید (این یعنی تعداد کانکشن های همزمانی که یه ایپی میتونه به سرور داشته باشه)
حالا صفحه رو تا آخر بیارید پایین و change رو بزنید بعد هم restart csf+lfd رو بزنید
حالا هم return رو بزنید
بر میگردید به همون صفحه اصلی فایروال
حالا بزارید یه کم گزینه های این صفحه رو توضیح بدم و ببینیم چی به چیه
اولین گزینه که نوشته Check server security یه گزینه بسیار مهم وپر کاربرده این گزینه امنیت و کارایی سرور شما رو از جهت های مختلف چک میکنه و همه رو بره شما لیست میکنه و مواردی که اوکی نباشه راه حل هم میگه در مورد این قسمت دو جلسه مفصلا بحث میکنیم
دیگه تو قسمت اول چیز پر کاربردی نیست
در قسمت آپگرید هم اگه ورژن جدیدی از فایروال موجود باشه یه دکمه ظاهر میشه و با زدن اون فایروال آپدیت میشه
در سومین قسمت (csf - ConfigServer Firewall) سه تا گزینه پشت سر هم داریم Quick allow و Quick deny و Quick Ignore که کنار همه شون هم یه کادر هست
اگه در کادر سبز رنگ Quick allow یه آیپی رو بزنید و بعد دکمه Quick allow رو بزنید این آیپی برای همیشه در لیست سبز میمونه و هیچ وقت بلاک نمیشه و اگه بلاک شده باشه هم آزاد میشه
اگه در کادر قرمز رنگ Quick deny یه آیپی رو بزنید و دکمه Quick deny رو بزنید دسترسی اون آیپی برای همیشه رو سرور بسته میشه
Quick Ignore هم بره عدم برسی یه آیپیه
قسمت Firewall allow IPs دقیقا معادل همون Quick allow هست با این تفاوت که یه لیست باز میکنه و لیست تمام آیپی هایی که رو سرور در لیست سبز هستن رو میاره و میتونید هر چند تا آیپی رو که خواستید از لیست بردارید یا به لیست اضافه کنید
قسمت Firewall Deny IPs دقیقا معادل همون Quick Deny هست با این تفاوت که یه لیست باز میکنه و لیست تمام آیپی هایی که رو سرور واسه همیشه بلاک هستن رو میاره و میتونید هر چند تا آیپی رو که خواستید از لیست بردارید یا به لیست اضافه کنید
گزینه های Enable و Disable هم که مشخصه : برای فعال و غیر فعل کردن فایروال
گزینه Remove Deny هم بره اینه که آیپی بلاک شده رو از لیست حذف کنید
Temporarily allow/deny هم بره بلاک یا allow کردن یه آیپی برای یه زمان مشخصه

در این جلسه یه روش ساده و بی نهایت موثر بره افزایش امنیت و کارایی سرور میگم

اگه دقت کرده باشید در قسمت ConfigServer Security&Firewall اولین گزینه Check server security هست که جلسه پیش وعده بحث در موردشو داده بودم
همونطور که گفتم : این گزینه امنیت و کارایی سرور شما رو از جهت های مختلف چک میکنه و همه رو بره شما لیست میکنه و مواردی که اوکی نباشه راه حل هم میگه
وقتی سی پنل رو با کانفیگ پیشفرض و در یه سرور خام نصب میکنید یه سری گزینه به طور پیشفرض سبز و اوکی هست (حدودا نصفشون) و با نصب ELS یه تعداد دیگه هم سبز میشه
من اینجا در مورد موارد مهمش که باید تغییر بدید بحث میکنم
این گزینه که وسط هاست ولی بهتره از اول انجام بشه بره اینه که یه ایمیل ست کنید تا سی اس اف از طریق اون با شما در ارتباط باشه
برای این کار
بزنید

nano /root/.forwardو آدرس ایمیلتون رو داخلش بنویسید و سیوش کنید
خب حالا از اول شروع کنیم مواردی که معمولا قرض میشه رو بررسی کنیم
قرمز بودن این مورد یعنی وقتی یه حجم انبوه ایمیل ارسال میشه سی اس اف براتن یه اخطار بفرسته (بره جلوگیری از اسپم)
این گزینه میگه که بررسی یوزر ها فقط محدود به یوزر های هاست نباشه و کل یوزر های سرور بررسی شه
همونطور که میبینید تمام گزینه ها در کنارش یه توضیح خیلی عالی داره و ممکنهمن خیلی موارد رو توضیح ندم و راه حل بگم
برای فعال کردن این دو مورد (که مورد اول رو بنا به خواسته خودتون و مورد دوم رو حتما) فعال کنید
در قسمت ConfigServer Security&Firewall اضافه شده .
برید توش
از سومین قسمت (csf - ConfigServer Firewall) دومین دکمه یعنی firewall configuration رو بزنید بعد
مقدار عبارت LF_SCRIPT_ALERT رو به 1 تغییر بدید (برای گزینه اول)
مقدار PT_ALL_USERS رو هم به 1 تغییر بدید (برای گزینه دوم)
و سیو کنید

حالا قبل اینکه بقیه گزینه ها رو توضیح بدم یه سری کار امنیتی توضیح میدم که انجام بدید که باعث میشه خود به خود خیلی از گزینه ها سبز شه

1- حتما طبق آموزش جلسات قبل ELS نصب و مراحلشو انجام بدبد
2- پورت اس اس اچ رو عوض کنید ( طبق آموزش جلسه 6 حتما و حتما اول پورت مورد نظر رو در فایل وال باز کنید بعد: )
وارد اس اس اچ بشید حالا یه راه خیلی ساده داریم ویه راه طولانی
اگه ELS نصب کرده باشید کافیه دستور زیر رو بزنید و پورت مورد نظر بدید و اینتر کنید

els --sshport
ولی اگه نصب نکرده باشید باید اول دستور زیر رو بزنید

nano /etc/ssh/sshd_config
بعد مقدار Port رو پیدا کنید و # کنارشو بردارید و به جای 22 هر عددی که میخواهید رو بزنید و سیو کنید

حالا چه از روش ای ال اس و چه از روش دوم رفته باشید یه بار دستور زیر رو بزنید

service sshd restart

3- حالا کارای زیر:

(ممکنه خیلی از این کارا تو سرور شما به صوتی باشه که من میگم بهش تبدیل کنید در انجور مواقع که اکثرا به خاطر نصب ELS هست نیاز نیست اون مورد رو تغییر بدید)

در قسمت Service Configuration از منوی بقلی WHM برید به قسمت Apache Configuration و بعد Global Configuration حالا موارد زیر رو به گزینه ای که میگم تغییر بدید
Trace Enable----> OFF
Server Signature --->off
Server Tokens ---->product only
File ETag --->none
مقادیر پایین اصولا باید با توجه به مشخصات سرور تنظیم شه ولی خب من یه سری اعداد میدم که رو همه سرور ها اوکی باشه
(موارد رو به ترتیب ننوشتم پس موقع وارد کردن دقت کنید)

ServerLimit 1800
KeepAlive On
KeepAliveTimeout 60
MaxClients 1200
MaxSpareServers 200
MinSpareServers 50حالا که همه رو تغییر دادید Save رو بزنید و تو صفحه جدید حتما گزینه Rebuild Configuration and Restart Apache رو بزنید
تموم که شد برگردید به همون قسمت Apache Configuration و اینبار گزینه Configure PHP and SuExec رو بزنید
مقادیر رو به شکل فوق تغییر بدید

Default PHP Version (.php files) ---> 5
PHP 5 Handler --->suphp
PHP 4 Handler --->none
Apache suEXEC --->onو بعد گزینه Save new configuration رو بزنید

حالا از منوی بقل WHM برید به FTP Server Configuration (فک کنم اینا رو در جلسات قدیم هم ی سری گفتم ولی اینجا میگم و از جلسات قدیم حذف میکنم)
حالا سه تا گزینه ای که در پایین میگم رو به No تغییر بدید (هر سه تا رو به no تغییر بدید)
Allow Anonymous Logins
Allow Anonymous Uploads
Allow Logins with Root Password
و بعد هم Save کنید

از منوی بقل WHM قسمت Security Center و از زیرمجموعه هاش PHP open_basedir Tweak رو پیدا کنید
و تیک قسمت Enable php open_basedir Protection. رو بزنید و Save کنید

از منوی WHM گزینه System Health و در زیزمجموعه هاش وارد Background Process Killer بشید و همه گزینه ها رو تیک بزنید و Save کنید
---------------------------------------------------------------------------------------
و اما میرسیم به یکی از بهترین قسمت های سی پنل
EasyApache
در این قسمت شما میتونید خیلی از فانکشن های و ماژول های آپاچی رو براحتی نصب یا حذف کنید
مثلا GD که برای تصاویر امنیتی و فوق العاده پر کاربرده
خب از منوی بقلی EasyApache (Apache Update) رو بزنید
در صفحه که میاد دکمه start customizing on based profile رو بزنید
در اولین قسمت وؤزن اپاچی تون رو انتخاب کنید در زمان نگارش این مقاله بهترین ورژن 2.2 هست
ورژن پی اچ پی تون هم انتخاب کنید
پیشنهاد میکنم گزینه 4 رو تیک نزنید مگر اینکه بهش نیاز داشته باشید
برید مرحله بعد
ورژن پی اچ پی در زمان نگارش این مقاله 5.2.17 پیشنهاد میشه
درسته که 5.3 هم خیلی وقته اومده ولی هنوز تعداد زیادی از اسکرپیت ها باهاش مشکل دارن
برید مرحله بعد
در این اینجا یه نعدادی از فانکشن ها و برنامه ها هست
برای اینکه لیست کل رو ببنید در پایین دکمه
Exhaustive Option List
رو بزنید
تیک گزینه Frontpage رو بردارید چون دیگه پشتیبانی نمیشه و نصبش ممکنه خطر امنیتی ایجاد کنه
نصب موارد زیر پیشنهاد میشه(اگه موقع تیک زدنشون چیزی پرسید OK کنید)
IonCube Loader for PHP
GD
Gettext
SOAP
TTF
Mod Security
MPM Prefork
Zend Optimizer/Guard Loader for PHP
و هر موردی که احساس کردید لازمه ولی حتما قبلش در مورد مسائل امنیتی اون فانکشن تحقیق کنید
حالا گزینه Save and Build رو بزنید و هر چی پرسید OK کنید یا I Understand رو بزنید
حالا صبر کنید تا کار تموم بشه ( یه مقدار زمان میبره) و در این مدت نباید اینترنت شما قطع بشه
اگه قطع شد دوباره از اول کار با Easy apache رو انجام بدید
در پایان تنظیمات رو به صورت زیر انجام بدید


Default PHP Version (.php files) ---> 5
PHP 5 Handler --->suphp
PHP 4 Handler --->none
Apache suEXEC --->onو سیو کنید

هنوز کارمون ادامه داره و خیلی کارا بره تامین امنیت سرور در حد متوسط ( سطح مورد نظر این آموزش) مونده

این جلسه کارای امنیتی و اپتیمایز کردن رو ادامه میدیم
از منوی بقل WHM گزینه PHP Configuration Editor رو بزنید و تیک رو در advance mode بزارید
disable_functions رو پیدا کنید و مقدار زیر رو توش بزارید


symlink,shell_exec,exec,proc_close,proc_open,popen ,pclose,system,dl,passthru,escapeshellarg,escapesh ellcmd,readfileحالا سه تا مقدار زیر رو حتما و حتما برابر off قرار بدید (ممکنه بعضی ها در حالت پیشفرض خاموش باشه

allow_url_fopen = Off
register_globals = Off
enable_dl=Offموارد زیر رو هم قویا پیشنهاد میشه به صورتی که جلوشون نوشتم تغییر بدید

display_errors = Off
display_startup_errors = Off
safe_mode = On
log_errors = On
expose_php = Off
magic_quotes_gpc = On
magic_quotes_sybase = Offدر پایان save رو بزنید

اگه در جلسه قبل همونطور که گفته بودم در Easy apache تیک Mod Security رو زده باشید در قمت آخر منوی WHM یه گزینه به همین اسم Mod Security اضافه میشه
اونو باز کنید
edit config رو بزنید و Default Configuration رو انتخاب کنید و بعد Save Configuration رو بزنید
در منوی بقل WHM گزینه Compiler Access رو باز کنید و Disable compilers رو بزنید
از منوی بقل WHM گزینه Exim Configuration Editor رو پیدا کنید و از پایین ترین قسمتش Advanced editor رو بزنید
در صفحه ای که باز میشه در هون قسمت های بالایی یه کادر بره وارد کردن تکست هست متن زیر رو در اون بزنید

log_selector = +arguments +subject +received_recipientsدر اخر هم Save رو بزنید
از منوی بقل WHM گزینه Tweak Settings رو بزنید
مقدار BoxTrapper Spam Trap رو به OFF تغییر بدید
مقدار Max hourly emails رو به 100 تغییر بدید
Email password reset رو OFF کنید
Block common domain usage رو ON کنید
Allow domain parking across accounts رو OFF کنید
Cookie IP validation رو روی strict بزارید
Use MD5 passwords with Apache رو ON کنید
Blank referrer safety check و Referrer safety check رو ON کنید (اختیاری چون فعال شدنش خوبه ولی یه کم ممکنه تو لوگین ها اذیت کنه و همش پسورد بخواد)
Security Tokens رو هم on کنید
Require SSL رو off کنید درسته که فعال بودنش خیلی خوبه ولی تو ایران ISP ها سر SSL ادا در میارن
آخر سر Save کنید
حالا اس اس اچ رو باز کنید و دستور زیر رو بزنید

nano /etc/ssh/sshd_configبا زدم دکمه CTRL + W از کیبرد عبارت UseDNS رو پیدا کنید اگر کنار # بود بردارید و مقدارشو به no تغییر بدید (اگه جلوش نوشته بود no به هیچی دست نزنید و اگه نوتشه yes فقط اون yes رو به no تبدیل کنید و فایل رو سیو کنید و بیاید بیرون
دستور

nano /etc/my.cnf رو بزنید
اگه عبارت local-infile وجود داشت مقدارشو به 0 و اگه نبود در خط اخر اینو اضافه کنید

local-infile=0فایل رو سیو کنید و بیاید بیرون
حالا در منوی بقل WHM به ConfigServer Security&Firewall برید و CHECK SERVER SECURITY رو بزنید
اولا یاد آوری کنم قرار نیست همه گزینه ها سبز بشه (شاید در آخر یه 10-15 تایی بمونه که هیچ مشکلی نداره)
برید به آخرین قسمتش که نوشته Server Services Check و پایینش حدود 10-12 مورد رو چک کرده
اگه همش سبز باشه که خدا رو شکر اگه یکی یا چند تا یا همش قرمز باشه اگه دقت کنید کنار هر کدوم دو تا دستور نوشته اون دو تا دستور رو در اس اس اچ بزنید و اگر هم دستور ها اروری داد ارورش رو بیخیال شید :D
اگه سرور مجازی با OpenVZ یا Virtuzu دارید کار تمومه و یه reboot بزنید (و قسمت بعد که سکیو کردن /tmp هست رو بیخیال شید و فقط بیاید سراغ خطوط پایانی
اگه سرور اختصاصی دارید یا سرور مجازی با Vmware و Xen یه مرحله دیگه هم دارید ...
ولی خب با توجه به اینکه دیگه حوصله تایپ ندارم و در سایت Linuxtalk.ir آقای پیمان قربانی این مطلب رو به خوبی آموزش داده من مال ایشون رو براتون کپی پیست میکنم
امن کردن /tmp:


cd /dev

ساخت 2000 مگابایت فضا ذخیره سازی:



dd if=/dev/zero of=tmpMnt bs=1024 count=2000000

ساخت فایل سیستم ext :



/sbin/mke2fs /dev/tmpMnt

ایجاد یک پشتیبان:



cp -R /tmp/ /tmp_backup

mount کردن فایل سیستم جدید با noexec:



mount -o loop,rw,nosuid,noexec /dev/tmpMnt /tmp

سطح مجوز را هم تغییر دهید:



chmod 0777 /tmp

پشتیبانی را که تهیه کرده بودیم، کپی میکنیم:



cp -R /tmp_backup/* /tmp/

پشتیبان را حذف میکنیم:



rm -rf /tmp_backup

امن کردن /var/tmp :

تهیه یک پشتیبان:



mv /var/tmp /var/tmpbck
آدرس دهی میکنیم:


ln -s /tmp /var/tmp

فایل های داخل پشتیبان را کپی میگیریم:



cp /var/tmpbck/* /tmp/

امن کردن /dev/shm :

فایل زیر را با ویرایشگر باز میکنیم:

اگر ویرایشگر nano را نصب ندارید، با دستور زیر نصب کنید.



nano /etc/fstab

مقدار زیر را پیدا کنید :



none /dev/shm tmpfs defaults,rw 0 0

مقدار زیر را جایگزین مقدار فوق میکنیم:



none /dev/shm tmpfs defaults,nosuid,noexec,rw 0 0

مجددا” mount میکنیم:



mount -o remount /dev/shm
و حالا یه بار سرور رو با دستور reboot ریبوت کنید

این جلسه میرسیم به کنتل پنل محبوب خودم : دایرکت ادمین
این کنترل پنل که طریقه نصبش رو در جلسات اول گفتم و آموزش نصب فایروال و ELS هم براش گفته شد .
دایرکت ادمین در موقع نصب با تنظیمات پیشفرض خودش امنیت و کارایی خیلی قوی تری نسبت به سی پنل داره و کارایی که باید انجام بشه خیلی کمتره
برای بهینه سازی و ایمن سازی دایرکت ادمین مراحل زیر رو طی میکینم
1- نصب فایروال CSF
2- نصب ELS که هر دوش در جلسات قبل گفته شده
و بعد بریم تو دایرکت ادمین
اگه دقت کنید در قسمت admin level (جایی که به طور پیشفرض هم توش هستید) در پاییناش یه گزینه ConfigServer Security&Firewall اضافه شده .
برید توش
از سومین قسمت (csf - ConfigServer Firewall) دومین دکمه یعنی firewall configuration رو بزنید
هول نکنید چیزی نیست کلا دو تا عدد رو میخوایم تغییر بدیم
در همون اولش یه جا داره که مقدار TESTING = رو تغییر میده
این مقدار رو به 0 تغییر بدید و بعد یه کم بیاید پایینتر تا مورد Allow incoming TCP ports رو ببنید در اینجا میتونید پورت های مورد نظرتون رو باز یا بسته کنید ....
اگه یادتون باشه تو جلسه 5.5 تاکید کردم که پورت اس اس اچ رو عوض نکنید چون حتما باید پورت در فایروال باز بشه
برای بستن یه پورت که کافیه اونو از قسمت های TCP_IN = و TCP_OUT = حذف کنید (دقت کنید که کاما (,) مربوط به اون پورت هم بردارید در کل باید بین هر پورت یه کاما باشه) که اگر اطلاعات کامل ندارید قویا پیشنهاد میکنم پورتی از این لیست حذف نکنید
برای اینکه یه پورت رو باز کنید (مثلا پورتی که در نظر دارید به اس اس اچ بدید باید مراحل زیر رو طی کنید)
مثلا من میخوام پورت 1234 رو به اس اس اچ اختصاص بدم برای اینکار باید در همین قسمت های TCP_IN = و TCP_OUT = بعد آخرین عدد یه علامت کاما بزنیم (,) و عدد مورد نظر رو اضافه کنیم
حالا عبارت CT_LIMIT = رو در صفحه پیدا کنید با تغییر این مقدار میشه جلوی بعضی از حملات دی داس رو گرفت
مقدارش رو به 250 تغییر بدید (این یعنی تعداد کانکشن های همزمانی که یه ایپی میتونه به سرور داشته باشه)
حالا عبارت AUTO_UPDATES رو پیدا کنید و مقدارش رو 1 بزارید
عبارت SAFECHAINUPDATE رو هم پیدا کنید و مقدارشو 1 بزارید
حالا صفحه رو تا آخر بیارید پایین و change رو بزنید بعد هم restart csf+lfd رو بزنید
حالا هم return رو بزنید
بر میگردید به همون صفحه اصلی فایروال
حالا بزارید یه کم گزینه های این صفحه رو توضیح بدم و ببینیم چی به چیه
اولین گزینه که نوشته Check server security یه گزینه بسیار مهم وپر کاربرده این گزینه امنیت و کارایی سرور شما رو از جهت های مختلف چک میکنه و همه رو بره شما لیست میکنه و مواردی که اوکی نباشه راه حل هم میگه بعدا از این قسمت استفاده خواهیم کرد
دیگه تو قسمت اول چیز پر کاربردی نیست
در قسمت آپگرید هم اگه ورژن جدیدی از فایروال موجود باشه یه دکمه ظاهر میشه و با زدن اون فایروال آپدیت میشه
در سومین قسمت (csf - ConfigServer Firewall) سه تا گزینه پشت سر هم داریم Quick allow و Quick deny و Quick Ignore که کنار همه شون هم یه کادر هست
اگه در کادر سبز رنگ Quick allow یه آیپی رو بزنید و بعد دکمه Quick allow رو بزنید این آیپی برای همیشه در لیست سبز میمونه و هیچ وقت بلاک نمیشه و اگه بلاک شده باشه هم آزاد میشه
اگه در کادر قرمز رنگ Quick deny یه آیپی رو بزنید و دکمه Quick deny رو بزنید دسترسی اون آیپی برای همیشه رو سرور بسته میشه
Quick Ignore هم بره عدم برسی یه آیپیه
قسمت Firewall allow IPs دقیقا معادل همون Quick allow هست با این تفاوت که یه لیست باز میکنه و لیست تمام آیپی هایی که رو سرور در لیست سبز هستن رو میاره و میتونید هر چند تا آیپی رو که خواستید از لیست بردارید یا به لیست اضافه کنید
قسمت Firewall Deny IPs دقیقا معادل همون Quick Deny هست با این تفاوت که یه لیست باز میکنه و لیست تمام آیپی هایی که رو سرور واسه همیشه بلاک هستن رو میاره و میتونید هر چند تا آیپی رو که خواستید از لیست بردارید یا به لیست اضافه کنید
گزینه های Enable و Disable هم که مشخصه : برای فعال و غیر فعل کردن فایروال
گزینه Remove Deny هم بره اینه که آیپی بلاک شده رو از لیست حذف کنید
Temporarily allow/deny هم بره بلاک یا allow کردن یه آیپی برای یه زمان مشخصه
بقیه گزینه ها زیاد کاربرد ندارن یا حرفه ای هستن یا شاید من حال ندارم توضیح بدم ...
حالا که یاد گرفتید پورتی رو در فایروال باز کنید وقتشه پورت اس اس اچ رو تغییر بدیم

وارد اس اس اچ بشید حالا یه راه خیلی ساده داریم ویه راه طولانی
اگه ELS نصب کرده باشید کافیه دستور زیر رو بزنید و پورت مورد نظر بدید و اینتر کنید

els --sshportولی اگه نصب نکرده باشید باید اول دستور زیر رو بزنید

nano /etc/ssh/sshd_configبعد مقدار Port رو پیدا کنید و # کنارشو بردارید و به جای 22 هر عددی که میخواهید رو بزنید و سیو کنید

حالا چه از روش ای ال اس و چه از روش دوم رفته باشید یه بار دستور زیر رو بزنید

service sshd restartحالا باید یه ایمیل به سرور بدید تا سی اس اف از طریق اون با شما در ارتباط باشه
برای این کار در اس اس اچ بزنید

nano /root/.forward و آدرس ایمیلتون رو داخلش بنویسید و سیوش کنید


دستور زیر رو بزنید

cd /usr/local/directadmin/custombuildبزنید

nano options.confحالا مقادیر رو به شکل زی تغییر بدید
default_php=5
php5_ver=5.2
php4_cli=no
php4_cgi=no
php5_cli=yes
php5_cgi=no
zend=yes


mysql=5.1
mysql_inst=no
mysql_backup=yes


apache_ver=2.2

phpmyadmin=yes
atmail=no
squirrelmail=yes
roundcube=yes
uebimiau=no


exim=no
spamassassin=no
mail-header-patch=yes
dovecot=yes


awstats=no
webalizer=no


proftpd=no
pureftpd=yes

و به بقیه موارد دست نزنید
سیو کنید و بیاید بیرون
حالا دستور زیر رو بزنید و صبر کنید تا کارش انجام بشه

./build allحالا برید تو دایرکت ادمین برید به قسمت File Editor و از منوی کشویی که میاد /usr/local/lib/php.ini رو انتخاب کنید و show file رو بزنید حالا disable_functions رو پیدا کنید و بکنیدش مثل شکل زیر

disable_functions = symlink,shell_exec,exec,proc_close,proc_open,popen ,pclose,system,dl,passthru,escapeshellarg,escapesh ellcmd,readfile حالا سه تا مقدار زیر رو حتما و حتما برابر off قرار بدید (ممکنه بعضی ها در حالت پیشفرض خاموش باشه)

allow_url_fopen = Off
register_globals = Off
enable_dl=Off موارد زیر رو هم قویا پیشنهاد میشه به صورتی که جلوشون نوشتم تغییر بدید

display_errors = Off
display_startup_errors = Off
safe_mode = On
log_errors = On
expose_php = Off
magic_quotes_gpc = On
magic_quotes_sybase = Off در پایان save رو بزنید
برگردید به صفحه اصلی دایرکت ادمین
برید به Administrator Settings و تیک گزینه های زیر رو بردارید
Enable User Demo. Login: demo_user Password : demo
Enable Reseller Demo. Login: demo_reseller Password : demo
Enable Admin Demo. Login: demo_admin Password : demo
حالا گزینه ها رو به صورتی که میدم تغییر بدید
Max Request/Upload Size (bytes) ---->1048576000
Warn Admin's at 95 % partition usage ---> 95 , Day
Enable Automatic Lost Password Recovery --->NO
Blacklist IPs for excessive login attempts ---> عدد رو بزارید 30 و تیک رو هم بزنید
Prevent 127.0.0.1 from being Blacklisted --- > تیک بزنید
Time before failed login count resets --->10
Check domain owner for Subdomain creation ---->yes
Daily Email Limit per DirectAdmin User ---->100
و بعد سیو کنید
برگردید صفحه اصلی دایرکت ادمین و Php Safe Mode Settings رو بزنید
Default Safe Mode for new domains: رو ON کنید و Default Open BaseDir for new domains رو OFF و سیو کنید

حالا اس اس اچ رو باز کنید و دستور زیر رو بزنید

nano /etc/ssh/sshd_configبا زدم دکمه CTRL + W از کیبرد عبارت UseDNS رو پیدا کنید اگر کنار # بود بردارید و مقدارشو به no تغییر بدید (اگه جلوش نوشته بود no به هیچی دست نزنید و اگه نوتشه yes فقط اون yes رو به no تبدیل کنید و فایل رو سیو کنید و بیاید بیرون
دستور

nano /etc/my.cnf رو بزنید
اگه عبارت local-infile وجود داشت مقدارشو به 0 و اگه نبود در خط اخر که خالیه اینو اضافه کنید

local-infile=0فایل رو سیو کنید و بیاید بیرون

حالا در صفحه اصلی دایرکت ادمین به ConfigServer Security&Firewall برید و CHECK SERVER SECURITY رو بزنید
اولا یاد آوری کنم قرار نیست همه گزینه ها سبز بشه (شاید در آخر یه تعداد قرمز بمونه که هیچ مشکلی نداره)
برید به آخرین قسمتش که نوشته Server Services Check و پایینش حدود 10-12 مورد رو چک کرده
اگه همش سبز باشه که خدا رو شکر اگه یکی یا چند تا یا همش قرمز باشه اگه دقت کنید کنار هر کدوم دو تا دستور نوشته اون دو تا دستور رو در اس اس اچ بزنید و اگر هم دستور ها اروری داد ارورش رو بیخیال شید :D
اگه سرور مجازی با OpenVZ یا Virtuzu دارید کار تمومه و یه reboot بزنید (و قسمت بعد که سکیو کردن /tmp هست رو بیخیال شید و فقط بیاید سراغ خطوط پایانی
اگه سرور اختصاصی دارید یا سرور مجازی با Vmware و Xen یه مرحله دیگه هم دارید ...
ولی خب با توجه به اینکه دیگه حوصله تایپ ندارم و در سایت Linuxtalk.ir آقای پیمان قربانی این مطلب رو به خوبی آموزش داده من مال ایشون رو براتون کپی پیست میکنم
امن کردن /tmp:


cd /dev

ساخت 2000 مگابایت فضا ذخیره سازی:



dd if=/dev/zero of=tmpMnt bs=1024 count=2000000

ساخت فایل سیستم ext :



/sbin/mke2fs /dev/tmpMnt

ایجاد یک پشتیبان:



cp -R /tmp/ /tmp_backup

mount کردن فایل سیستم جدید با noexec:



mount -o loop,rw,nosuid,noexec /dev/tmpMnt /tmp

سطح مجوز را هم تغییر دهید:



chmod 0777 /tmp

پشتیبانی را که تهیه کرده بودیم، کپی میکنیم:



cp -R /tmp_backup/* /tmp/

پشتیبان را حذف میکنیم:



rm -rf /tmp_backup

امن کردن /var/tmp :

تهیه یک پشتیبان:



mv /var/tmp /var/tmpbck
آدرس دهی میکنیم:


ln -s /tmp /var/tmp

فایل های داخل پشتیبان را کپی میگیریم:



cp /var/tmpbck/* /tmp/

امن کردن /dev/shm :

فایل زیر را با ویرایشگر باز میکنیم:

اگر ویرایشگر nano را نصب ندارید، با دستور زیر نصب کنید.



nano /etc/fstab

مقدار زیر را پیدا کنید :



none /dev/shm tmpfs defaults,rw 0 0

مقدار زیر را جایگزین مقدار فوق میکنیم:



none /dev/shm tmpfs defaults,nosuid,noexec,rw 0 0

مجددا” mount میکنیم:



mount -o remount /dev/shm
و حالا یه بار سرور رو با دستور reboot ریبوت کنید