صفحه 2 از 2 نخستنخست 12
نمایش نتایج: از شماره 11 تا 14 , از مجموع 14

موضوع: آموزش قدم به قدم مدیریت سرور

  1. #11
    موسس و مدیر
    نمی‌دانم در کدامین کوچه جستجویت کنم ؟ آسوده بخواب مادر بیمارم
    تاریخ عضویت
    Feb 2010
    محل سکونت
    13 78 57
    نوشته ها
    13,577
    تشکر تشکر کرده 
    15,753
    تشکر تشکر شده 
    17,227
    تشکر شده در
    4,905 پست
    حالت من : Khoonsard
    قدرت امتیاز دهی
    24982
    Array
    در این جلسه شروع میکنیم به توضیحات و کانفیگ سی پنل ( هر چند من خودم با دایرکت ادمین حال میکنم ولی اکثر کاربرا درخواست سی پنل رو دادن انشالله بعد سی پنل میرسیم دایرکت ادمین)
    خب حتما طبق جلسه پنجم سی اس اف رو نصب کردید ..
    حالا وارد WHM بشید .....
    اگه دقت کنید در منوی سمت چپ دابیلو اچ ام در پایینترین قسمت یه گزینه ConfigServer Security&Firewall اضافه شده .
    برید توش
    از سومین قسمت (csf - ConfigServer Firewall) دومین دکمه یعنی firewall configuration رو بزنید
    هول نکنید چیزی نیست کلا دو تا عدد رو میخوایم تغییر بدیم
    در همون اولش یه جا داره که مقدار TESTING = رو تغییر میده
    این مقدار رو به 0 تغییر بدید و بعد یه کم بیاید پایینتر تا مورد Allow incoming TCP ports رو ببنید در اینجا میتونید پورت های مورد نظرتون رو باز یا بسته کنید ....
    اگه یادتون باشه تو جلسه 5.5 تاکید کردم که پورت اس اس اچ رو عوض نکنید چون حتما باید پورت در فایروال باز بشه
    برای بستن یه پورت که کافیه اونو از قسمت های TCP_IN = و TCP_OUT = حذف کنید (دقت کنید که کاما (,) مربوط به اون پورت هم بردارید در کل باید بین هر پورت یه کاما باشه) که اگر اطلاعات کامل ندارید قویا پیشنهاد میکنم پورتی از این لیست حذف نکنید
    برای اینکه یه پورت رو باز کنید (مثلا پورتی که در نظر دارید به اس اس اچ بدید باید مراحل زیر رو طی کنید)
    مثلا من میخوام پورت 1234 رو به اس اس اچ اختصاص بدم برای اینکار باید در همین قسمت های TCP_IN = و TCP_OUT = بعد آخرین عدد یه علامت کاما بزنیم (,) و عدد مورد نظر رو اضافه کنیم
    حالا عبارت CT_LIMIT = رو در صفحه پیدا کنید با تغییر این مقدار میشه جلوی بعضی از حملات دی داس رو گرفت
    مقدارش رو به 250 تغییر بدید (این یعنی تعداد کانکشن های همزمانی که یه ایپی میتونه به سرور داشته باشه)
    حالا صفحه رو تا آخر بیارید پایین و change رو بزنید بعد هم restart csf+lfd رو بزنید
    حالا هم return رو بزنید
    بر میگردید به همون صفحه اصلی فایروال
    حالا بزارید یه کم گزینه های این صفحه رو توضیح بدم و ببینیم چی به چیه
    اولین گزینه که نوشته Check server security یه گزینه بسیار مهم وپر کاربرده این گزینه امنیت و کارایی سرور شما رو از جهت های مختلف چک میکنه و همه رو بره شما لیست میکنه و مواردی که اوکی نباشه راه حل هم میگه در مورد این قسمت دو جلسه مفصلا بحث میکنیم
    دیگه تو قسمت اول چیز پر کاربردی نیست
    در قسمت آپگرید هم اگه ورژن جدیدی از فایروال موجود باشه یه دکمه ظاهر میشه و با زدن اون فایروال آپدیت میشه
    در سومین قسمت (csf - ConfigServer Firewall) سه تا گزینه پشت سر هم داریم Quick allow و Quick deny و Quick Ignore که کنار همه شون هم یه کادر هست
    اگه در کادر سبز رنگ Quick allow یه آیپی رو بزنید و بعد دکمه Quick allow رو بزنید این آیپی برای همیشه در لیست سبز میمونه و هیچ وقت بلاک نمیشه و اگه بلاک شده باشه هم آزاد میشه
    اگه در کادر قرمز رنگ Quick deny یه آیپی رو بزنید و دکمه Quick deny رو بزنید دسترسی اون آیپی برای همیشه رو سرور بسته میشه
    Quick Ignore هم بره عدم برسی یه آیپیه
    قسمت Firewall allow IPs دقیقا معادل همون Quick allow هست با این تفاوت که یه لیست باز میکنه و لیست تمام آیپی هایی که رو سرور در لیست سبز هستن رو میاره و میتونید هر چند تا آیپی رو که خواستید از لیست بردارید یا به لیست اضافه کنید
    قسمت Firewall Deny IPs دقیقا معادل همون Quick Deny هست با این تفاوت که یه لیست باز میکنه و لیست تمام آیپی هایی که رو سرور واسه همیشه بلاک هستن رو میاره و میتونید هر چند تا آیپی رو که خواستید از لیست بردارید یا به لیست اضافه کنید
    گزینه های Enable و Disable هم که مشخصه : برای فعال و غیر فعل کردن فایروال
    گزینه Remove Deny هم بره اینه که آیپی بلاک شده رو از لیست حذف کنید
    Temporarily allow/deny هم بره بلاک یا allow کردن یه آیپی برای یه زمان مشخصه
    زندگی در بردگی شرمندگی است * معنی آزاد بودن زندگی است
    سر که خم گردد به پای دیگران * بر تن مردان بود بار گران




  2. #12
    موسس و مدیر
    نمی‌دانم در کدامین کوچه جستجویت کنم ؟ آسوده بخواب مادر بیمارم
    تاریخ عضویت
    Feb 2010
    محل سکونت
    13 78 57
    نوشته ها
    13,577
    تشکر تشکر کرده 
    15,753
    تشکر تشکر شده 
    17,227
    تشکر شده در
    4,905 پست
    حالت من : Khoonsard
    قدرت امتیاز دهی
    24982
    Array

    پیش فرض


    در این جلسه یه روش ساده و بی نهایت موثر بره افزایش امنیت و کارایی سرور میگم

    اگه دقت کرده باشید در قسمت ConfigServer Security&Firewall اولین گزینه Check server security هست که جلسه پیش وعده بحث در موردشو داده بودم
    همونطور که گفتم : این گزینه امنیت و کارایی سرور شما رو از جهت های مختلف چک میکنه و همه رو بره شما لیست میکنه و مواردی که اوکی نباشه راه حل هم میگه
    وقتی سی پنل رو با کانفیگ پیشفرض و در یه سرور خام نصب میکنید یه سری گزینه به طور پیشفرض سبز و اوکی هست (حدودا نصفشون) و با نصب ELS یه تعداد دیگه هم سبز میشه
    من اینجا در مورد موارد مهمش که باید تغییر بدید بحث میکنم
    این گزینه که وسط هاست ولی بهتره از اول انجام بشه بره اینه که یه ایمیل ست کنید تا سی اس اف از طریق اون با شما در ارتباط باشه
    برای این کار
    بزنید
    کد:
    nano /root/.forward
    و آدرس ایمیلتون رو داخلش بنویسید و سیوش کنید

    خب حالا از اول شروع کنیم مواردی که معمولا قرض میشه رو بررسی کنیم
    قرمز بودن این مورد یعنی وقتی یه حجم انبوه ایمیل ارسال میشه سی اس اف براتن یه اخطار بفرسته (بره جلوگیری از اسپم)
    این گزینه میگه که بررسی یوزر ها فقط محدود به یوزر های هاست نباشه و کل یوزر های سرور بررسی شه
    همونطور که میبینید تمام گزینه ها در کنارش یه توضیح خیلی عالی داره و ممکنهمن خیلی موارد رو توضیح ندم و راه حل بگم
    برای فعال کردن این دو مورد (که مورد اول رو بنا به خواسته خودتون و مورد دوم رو حتما) فعال کنید
    در قسمت ConfigServer Security&Firewall اضافه شده .
    برید توش
    از سومین قسمت (csf - ConfigServer Firewall) دومین دکمه یعنی firewall configuration رو بزنید بعد
    مقدار عبارت LF_SCRIPT_ALERT رو به 1 تغییر بدید (برای گزینه اول)
    مقدار PT_ALL_USERS رو هم به 1 تغییر بدید (برای گزینه دوم)
    و سیو کنید

    حالا قبل اینکه بقیه گزینه ها رو توضیح بدم یه سری کار امنیتی توضیح میدم که انجام بدید که باعث میشه خود به خود خیلی از گزینه ها سبز شه

    1- حتما طبق آموزش جلسات قبل ELS نصب و مراحلشو انجام بدبد
    2- پورت اس اس اچ رو عوض کنید ( طبق آموزش جلسه 6 حتما و حتما اول پورت مورد نظر رو در فایل وال باز کنید بعد: )
    وارد اس اس اچ بشید حالا یه راه خیلی ساده داریم ویه راه طولانی
    اگه ELS نصب کرده باشید کافیه دستور زیر رو بزنید و پورت مورد نظر بدید و اینتر کنید
    کد:
    els --sshport

    ولی اگه نصب نکرده باشید باید اول دستور زیر رو بزنید
    کد:
    nano /etc/ssh/sshd_config

    بعد مقدار Port رو پیدا کنید و # کنارشو بردارید و به جای 22 هر عددی که میخواهید رو بزنید و سیو کنید

    حالا چه از روش ای ال اس و چه از روش دوم رفته باشید یه بار دستور زیر رو بزنید
    کد:
    service sshd restart


    3- حالا کارای زیر:

    (ممکنه خیلی از این کارا تو سرور شما به صوتی باشه که من میگم بهش تبدیل کنید در انجور مواقع که اکثرا به خاطر نصب ELS هست نیاز نیست اون مورد رو تغییر بدید)

    در قسمت Service Configuration از منوی بقلی WHM برید به قسمت Apache Configuration و بعد Global Configuration حالا موارد زیر رو به گزینه ای که میگم تغییر بدید
    Trace Enable----> OFF
    Server Signature --->off
    Server Tokens ---->product only
    File ETag --->none
    مقادیر پایین اصولا باید با توجه به مشخصات سرور تنظیم شه ولی خب من یه سری اعداد میدم که رو همه سرور ها اوکی باشه
    (موارد رو به ترتیب ننوشتم پس موقع وارد کردن دقت کنید)
    کد:
    ServerLimit 1800
    کد:
    KeepAlive On
    KeepAliveTimeout 60
    MaxClients 1200
    MaxSpareServers 200
    MinSpareServers 50
    حالا که همه رو تغییر دادید Save رو بزنید و تو صفحه جدید حتما گزینه Rebuild Configuration and Restart Apache رو بزنید
    تموم که شد برگردید به همون قسمت Apache Configuration و اینبار گزینه Configure PHP and SuExec رو بزنید
    مقادیر رو به شکل فوق تغییر بدید
    کد:
    Default PHP Version (.php files) ---> 5
    کد:
    PHP 5 Handler --->suphp
    PHP 4 Handler --->none     
    Apache suEXEC --->on
    و بعد گزینه Save new configuration رو بزنید

    حالا از منوی بقل WHM برید به FTP Server Configuration (فک کنم اینا رو در جلسات قدیم هم ی سری گفتم ولی اینجا میگم و از جلسات قدیم حذف میکنم)
    حالا سه تا گزینه ای که در پایین میگم رو به No تغییر بدید (هر سه تا رو به no تغییر بدید)
    Allow Anonymous Logins
    Allow Anonymous Uploads
    Allow Logins with Root Password
    و بعد هم Save کنید

    از منوی بقل WHM قسمت Security Center و از زیرمجموعه هاش PHP open_basedir Tweak رو پیدا کنید
    و تیک قسمت Enable php open_basedir Protection. رو بزنید و Save کنید

    از منوی WHM گزینه System Health و در زیزمجموعه هاش وارد Background Process Killer بشید و همه گزینه ها رو تیک بزنید و Save کنید
    ---------------------------------------------------------------------------------------
    و اما میرسیم به یکی از بهترین قسمت های سی پنل
    EasyApache
    در این قسمت شما میتونید خیلی از فانکشن های و ماژول های آپاچی رو براحتی نصب یا حذف کنید
    مثلا GD که برای تصاویر امنیتی و فوق العاده پر کاربرده
    خب از منوی بقلی EasyApache (Apache Update) رو بزنید
    در صفحه که میاد دکمه start customizing on based profile رو بزنید
    در اولین قسمت وؤزن اپاچی تون رو انتخاب کنید در زمان نگارش این مقاله بهترین ورژن 2.2 هست
    ورژن پی اچ پی تون هم انتخاب کنید
    پیشنهاد میکنم گزینه 4 رو تیک نزنید مگر اینکه بهش نیاز داشته باشید
    برید مرحله بعد
    ورژن پی اچ پی در زمان نگارش این مقاله 5.2.17 پیشنهاد میشه
    درسته که 5.3 هم خیلی وقته اومده ولی هنوز تعداد زیادی از اسکرپیت ها باهاش مشکل دارن
    برید مرحله بعد
    در این اینجا یه نعدادی از فانکشن ها و برنامه ها هست
    برای اینکه لیست کل رو ببنید در پایین دکمه
    Exhaustive Option List
    رو بزنید
    تیک گزینه Frontpage رو بردارید چون دیگه پشتیبانی نمیشه و نصبش ممکنه خطر امنیتی ایجاد کنه
    نصب موارد زیر پیشنهاد میشه(اگه موقع تیک زدنشون چیزی پرسید OK کنید)
    IonCube Loader for PHP
    GD
    Gettext
    SOAP
    TTF
    Mod Security
    MPM Prefork
    Zend Optimizer/Guard Loader for PHP
    و هر موردی که احساس کردید لازمه ولی حتما قبلش در مورد مسائل امنیتی اون فانکشن تحقیق کنید
    حالا گزینه Save and Build رو بزنید و هر چی پرسید OK کنید یا I Understand رو بزنید
    حالا صبر کنید تا کار تموم بشه ( یه مقدار زمان میبره) و در این مدت نباید اینترنت شما قطع بشه
    اگه قطع شد دوباره از اول کار با Easy apache رو انجام بدید
    در پایان تنظیمات رو به صورت زیر انجام بدید

    کد:
    Default PHP Version (.php files) ---> 5
    کد:
    PHP 5 Handler --->suphp
    PHP 4 Handler --->none     
    Apache suEXEC --->on
    و سیو کنید

    هنوز کارمون ادامه داره و خیلی کارا بره تامین امنیت سرور در حد متوسط ( سطح مورد نظر این آموزش) مونده

    زندگی در بردگی شرمندگی است * معنی آزاد بودن زندگی است
    سر که خم گردد به پای دیگران * بر تن مردان بود بار گران




  3. #13
    موسس و مدیر
    نمی‌دانم در کدامین کوچه جستجویت کنم ؟ آسوده بخواب مادر بیمارم
    تاریخ عضویت
    Feb 2010
    محل سکونت
    13 78 57
    نوشته ها
    13,577
    تشکر تشکر کرده 
    15,753
    تشکر تشکر شده 
    17,227
    تشکر شده در
    4,905 پست
    حالت من : Khoonsard
    قدرت امتیاز دهی
    24982
    Array
    این جلسه کارای امنیتی و اپتیمایز کردن رو ادامه میدیم
    از منوی بقل WHM گزینه PHP Configuration Editor رو بزنید و تیک رو در advance mode بزارید
    disable_functions رو پیدا کنید و مقدار زیر رو توش بزارید

    کد:
    symlink,shell_exec,exec,proc_close,proc_open,popen,pclose,system,dl,passthru,escapeshellarg,escapeshellcmd,readfile
    حالا سه تا مقدار زیر رو حتما و حتما برابر off قرار بدید (ممکنه بعضی ها در حالت پیشفرض خاموش باشه

    کد:
    allow_url_fopen = Off
    register_globals = Off 
    enable_dl=Off
    موارد زیر رو هم قویا پیشنهاد میشه به صورتی که جلوشون نوشتم تغییر بدید
    کد:
    display_errors = Off
    display_startup_errors = Off
    safe_mode = On 
    log_errors = On
    expose_php = Off
    magic_quotes_gpc = On
    magic_quotes_sybase = Off
    در پایان save رو بزنید

    اگه در جلسه قبل همونطور که گفته بودم در Easy apache تیک Mod Security رو زده باشید در قمت آخر منوی WHM یه گزینه به همین اسم Mod Security اضافه میشه

    اونو باز کنید
    edit config رو بزنید و Default Configuration رو انتخاب کنید و بعد Save Configuration رو بزنید
    در منوی بقل WHM گزینه Compiler Access رو باز کنید و Disable compilers رو بزنید
    از منوی بقل WHM گزینه Exim Configuration Editor رو پیدا کنید و از پایین ترین قسمتش Advanced editor رو بزنید
    در صفحه ای که باز میشه در هون قسمت های بالایی یه کادر بره وارد کردن تکست هست متن زیر رو در اون بزنید
    کد:
    log_selector = +arguments +subject +received_recipients
    در اخر هم Save رو بزنید
    از منوی بقل WHM گزینه Tweak Settings رو بزنید
    مقدار BoxTrapper Spam Trap رو به OFF تغییر بدید
    مقدار Max hourly emails رو به 100 تغییر بدید
    Email password reset رو OFF کنید
    Block common domain usage رو ON کنید
    Allow domain parking across accounts رو OFF کنید
    Cookie IP validation رو روی strict بزارید
    Use MD5 passwords with Apache رو ON کنید
    Blank referrer safety check و Referrer safety check رو ON کنید (اختیاری چون فعال شدنش خوبه ولی یه کم ممکنه تو لوگین ها اذیت کنه و همش پسورد بخواد)
    Security Tokens رو هم on کنید
    Require SSL رو off کنید درسته که فعال بودنش خیلی خوبه ولی تو ایران ISP ها سر SSL ادا در میارن
    آخر سر Save کنید
    حالا اس اس اچ رو باز کنید و دستور زیر رو بزنید
    کد:
    nano /etc/ssh/sshd_config
    با زدم دکمه CTRL + W از کیبرد عبارت UseDNS رو پیدا کنید اگر کنار # بود بردارید و مقدارشو به no تغییر بدید (اگه جلوش نوشته بود no به هیچی دست نزنید و اگه نوتشه yes فقط اون yes رو به no تبدیل کنید و فایل رو سیو کنید و بیاید بیرون
    دستور
    کد:
    nano /etc/my.cnf
    رو بزنید
    اگه عبارت local-infile وجود داشت مقدارشو به 0 و اگه نبود در خط اخر اینو اضافه کنید
    کد:
    local-infile=0
    فایل رو سیو کنید و بیاید بیرون
    حالا در منوی بقل WHM به ConfigServer Security&Firewall برید و CHECK SERVER SECURITY رو بزنید
    اولا یاد آوری کنم قرار نیست همه گزینه ها سبز بشه (شاید در آخر یه 10-15 تایی بمونه که هیچ مشکلی نداره)
    برید به آخرین قسمتش که نوشته Server Services Check و پایینش حدود 10-12 مورد رو چک کرده
    اگه همش سبز باشه که خدا رو شکر اگه یکی یا چند تا یا همش قرمز باشه اگه دقت کنید کنار هر کدوم دو تا دستور نوشته اون دو تا دستور رو در اس اس اچ بزنید و اگر هم دستور ها اروری داد ارورش رو بیخیال شید :D
    اگه سرور مجازی با OpenVZ یا Virtuzu دارید کار تمومه و یه reboot بزنید (و قسمت بعد که سکیو کردن /tmp هست رو بیخیال شید و فقط بیاید سراغ خطوط پایانی
    اگه سرور اختصاصی دارید یا سرور مجازی با Vmware و Xen یه مرحله دیگه هم دارید ...
    ولی خب با توجه به اینکه دیگه حوصله تایپ ندارم و در سایت Linuxtalk.ir آقای پیمان قربانی این مطلب رو به خوبی آموزش داده من مال ایشون رو براتون کپی پیست میکنم
    امن کردن /tmp:
    کد:
    cd /dev
    ساخت 2000 مگابایت فضا ذخیره سازی:
    کد:
    dd if=/dev/zero of=tmpMnt bs=1024 count=2000000
    ساخت فایل سیستم ext :
    کد:
    /sbin/mke2fs /dev/tmpMnt
    ایجاد یک پشتیبان:
    کد:
    cp -R /tmp/ /tmp_backup
    mount کردن فایل سیستم جدید با noexec:
    کد:
    mount -o loop,rw,nosuid,noexec /dev/tmpMnt /tmp
    سطح مجوز را هم تغییر دهید:
    کد:
    chmod 0777 /tmp
    پشتیبانی را که تهیه کرده بودیم، کپی میکنیم:
    کد:
    cp -R /tmp_backup/* /tmp/
    پشتیبان را حذف میکنیم:
    کد:
    rm -rf /tmp_backup
    امن کردن /var/tmp :
    تهیه یک پشتیبان:
    کد:
    mv /var/tmp /var/tmpbck
    آدرس دهی میکنیم:
    کد:
    ln -s /tmp /var/tmp
    فایل های داخل پشتیبان را کپی میگیریم:
    کد:
    cp /var/tmpbck/* /tmp/
    امن کردن /dev/shm :
    فایل زیر را با ویرایشگر باز میکنیم:
    اگر ویرایشگر nano را نصب ندارید، با دستور زیر نصب کنید.
    کد:
    nano /etc/fstab
    مقدار زیر را پیدا کنید :
    کد:
    none /dev/shm tmpfs defaults,rw 0 0
    مقدار زیر را جایگزین مقدار فوق میکنیم:
    کد:
    none /dev/shm tmpfs defaults,nosuid,noexec,rw 0 0
    مجددا” mount میکنیم:
    کد:
    mount -o remount /dev/shm
    و حالا یه بار سرور رو با دستور reboot ریبوت کنید
    زندگی در بردگی شرمندگی است * معنی آزاد بودن زندگی است
    سر که خم گردد به پای دیگران * بر تن مردان بود بار گران




  4. #14
    موسس و مدیر
    نمی‌دانم در کدامین کوچه جستجویت کنم ؟ آسوده بخواب مادر بیمارم
    تاریخ عضویت
    Feb 2010
    محل سکونت
    13 78 57
    نوشته ها
    13,577
    تشکر تشکر کرده 
    15,753
    تشکر تشکر شده 
    17,227
    تشکر شده در
    4,905 پست
    حالت من : Khoonsard
    قدرت امتیاز دهی
    24982
    Array
    این جلسه میرسیم به کنتل پنل محبوب خودم : دایرکت ادمین
    این کنترل پنل که طریقه نصبش رو در جلسات اول گفتم و آموزش نصب فایروال و ELS هم براش گفته شد .
    دایرکت ادمین در موقع نصب با تنظیمات پیشفرض خودش امنیت و کارایی خیلی قوی تری نسبت به سی پنل داره و کارایی که باید انجام بشه خیلی کمتره
    برای بهینه سازی و ایمن سازی دایرکت ادمین مراحل زیر رو طی میکینم
    1- نصب فایروال CSF
    2- نصب ELS که هر دوش در جلسات قبل گفته شده
    و بعد بریم تو دایرکت ادمین
    اگه دقت کنید در قسمت admin level (جایی که به طور پیشفرض هم توش هستید) در پاییناش یه گزینه ConfigServer Security&Firewall اضافه شده .
    برید توش
    از سومین قسمت (csf - ConfigServer Firewall) دومین دکمه یعنی firewall configuration رو بزنید
    هول نکنید چیزی نیست کلا دو تا عدد رو میخوایم تغییر بدیم
    در همون اولش یه جا داره که مقدار TESTING = رو تغییر میده
    این مقدار رو به 0 تغییر بدید و بعد یه کم بیاید پایینتر تا مورد Allow incoming TCP ports رو ببنید در اینجا میتونید پورت های مورد نظرتون رو باز یا بسته کنید ....
    اگه یادتون باشه تو جلسه 5.5 تاکید کردم که پورت اس اس اچ رو عوض نکنید چون حتما باید پورت در فایروال باز بشه
    برای بستن یه پورت که کافیه اونو از قسمت های TCP_IN = و TCP_OUT = حذف کنید (دقت کنید که کاما (,) مربوط به اون پورت هم بردارید در کل باید بین هر پورت یه کاما باشه) که اگر اطلاعات کامل ندارید قویا پیشنهاد میکنم پورتی از این لیست حذف نکنید
    برای اینکه یه پورت رو باز کنید (مثلا پورتی که در نظر دارید به اس اس اچ بدید باید مراحل زیر رو طی کنید)
    مثلا من میخوام پورت 1234 رو به اس اس اچ اختصاص بدم برای اینکار باید در همین قسمت های TCP_IN = و TCP_OUT = بعد آخرین عدد یه علامت کاما بزنیم (,) و عدد مورد نظر رو اضافه کنیم
    حالا عبارت CT_LIMIT = رو در صفحه پیدا کنید با تغییر این مقدار میشه جلوی بعضی از حملات دی داس رو گرفت
    مقدارش رو به 250 تغییر بدید (این یعنی تعداد کانکشن های همزمانی که یه ایپی میتونه به سرور داشته باشه)
    حالا عبارت AUTO_UPDATES رو پیدا کنید و مقدارش رو 1 بزارید
    عبارت SAFECHAINUPDATE رو هم پیدا کنید و مقدارشو 1 بزارید
    حالا صفحه رو تا آخر بیارید پایین و change رو بزنید بعد هم restart csf+lfd رو بزنید
    حالا هم return رو بزنید
    بر میگردید به همون صفحه اصلی فایروال
    حالا بزارید یه کم گزینه های این صفحه رو توضیح بدم و ببینیم چی به چیه
    اولین گزینه که نوشته Check server security یه گزینه بسیار مهم وپر کاربرده این گزینه امنیت و کارایی سرور شما رو از جهت های مختلف چک میکنه و همه رو بره شما لیست میکنه و مواردی که اوکی نباشه راه حل هم میگه بعدا از این قسمت استفاده خواهیم کرد
    دیگه تو قسمت اول چیز پر کاربردی نیست
    در قسمت آپگرید هم اگه ورژن جدیدی از فایروال موجود باشه یه دکمه ظاهر میشه و با زدن اون فایروال آپدیت میشه
    در سومین قسمت (csf - ConfigServer Firewall) سه تا گزینه پشت سر هم داریم Quick allow و Quick deny و Quick Ignore که کنار همه شون هم یه کادر هست
    اگه در کادر سبز رنگ Quick allow یه آیپی رو بزنید و بعد دکمه Quick allow رو بزنید این آیپی برای همیشه در لیست سبز میمونه و هیچ وقت بلاک نمیشه و اگه بلاک شده باشه هم آزاد میشه
    اگه در کادر قرمز رنگ Quick deny یه آیپی رو بزنید و دکمه Quick deny رو بزنید دسترسی اون آیپی برای همیشه رو سرور بسته میشه
    Quick Ignore هم بره عدم برسی یه آیپیه
    قسمت Firewall allow IPs دقیقا معادل همون Quick allow هست با این تفاوت که یه لیست باز میکنه و لیست تمام آیپی هایی که رو سرور در لیست سبز هستن رو میاره و میتونید هر چند تا آیپی رو که خواستید از لیست بردارید یا به لیست اضافه کنید
    قسمت Firewall Deny IPs دقیقا معادل همون Quick Deny هست با این تفاوت که یه لیست باز میکنه و لیست تمام آیپی هایی که رو سرور واسه همیشه بلاک هستن رو میاره و میتونید هر چند تا آیپی رو که خواستید از لیست بردارید یا به لیست اضافه کنید
    گزینه های Enable و Disable هم که مشخصه : برای فعال و غیر فعل کردن فایروال
    گزینه Remove Deny هم بره اینه که آیپی بلاک شده رو از لیست حذف کنید
    Temporarily allow/deny هم بره بلاک یا allow کردن یه آیپی برای یه زمان مشخصه
    بقیه گزینه ها زیاد کاربرد ندارن یا حرفه ای هستن یا شاید من حال ندارم توضیح بدم ...
    حالا که یاد گرفتید پورتی رو در فایروال باز کنید وقتشه پورت اس اس اچ رو تغییر بدیم

    وارد اس اس اچ بشید حالا یه راه خیلی ساده داریم ویه راه طولانی

    اگه ELS نصب کرده باشید کافیه دستور زیر رو بزنید و پورت مورد نظر بدید و اینتر کنید
    کد:
    els --sshport
    ولی اگه نصب نکرده باشید باید اول دستور زیر رو بزنید
    کد:
    nano /etc/ssh/sshd_config
    بعد مقدار Port رو پیدا کنید و # کنارشو بردارید و به جای 22 هر عددی که میخواهید رو بزنید و سیو کنید

    حالا چه از روش ای ال اس و چه از روش دوم رفته باشید یه بار دستور زیر رو بزنید

    کد:
    service sshd restart
    حالا باید یه ایمیل به سرور بدید تا سی اس اف از طریق اون با شما در ارتباط باشه
    برای این کار در اس اس اچ بزنید
    کد:
    nano /root/.forward
    و آدرس ایمیلتون رو داخلش بنویسید و سیوش کنید


    دستور زیر رو بزنید

    کد:
    cd /usr/local/directadmin/custombuild
    بزنید
    کد:
    nano options.conf
    حالا مقادیر رو به شکل زی تغییر بدید
    default_php=5
    php5_ver=5.2
    php4_cli=no
    php4_cgi=no
    php5_cli=yes
    php5_cgi=no
    zend=yes


    mysql=5.1

    mysql_inst=no
    mysql_backup=yes


    apache_ver=2.2


    phpmyadmin=yes

    atmail=no
    squirrelmail=yes
    roundcube=yes
    uebimiau=no


    exim=no

    spamassassin=no
    mail-header-patch=yes
    dovecot=yes


    awstats=no

    webalizer=no


    proftpd=no

    pureftpd=yes

    و به بقیه موارد دست نزنید

    سیو کنید و بیاید بیرون
    حالا دستور زیر رو بزنید و صبر کنید تا کارش انجام بشه
    کد:
    ./build all
    حالا برید تو دایرکت ادمین برید به قسمت File Editor و از منوی کشویی که میاد /usr/local/lib/php.ini رو انتخاب کنید و show file رو بزنید حالا disable_functions رو پیدا کنید و بکنیدش مثل شکل زیر
    کد:
    disable_functions = symlink,shell_exec,exec,proc_close,proc_open,popen,pclose,system,dl,passthru,escapeshellarg,escapeshellcmd,readfile
    حالا سه تا مقدار زیر رو حتما و حتما برابر off قرار بدید (ممکنه بعضی ها در حالت پیشفرض خاموش باشه)
    کد:
    allow_url_fopen = Off
    register_globals = Off 
    enable_dl=Off
    موارد زیر رو هم قویا پیشنهاد میشه به صورتی که جلوشون نوشتم تغییر بدید
    کد:
    display_errors = Off
    display_startup_errors = Off
    safe_mode = On 
    log_errors = On
    expose_php = Off
    magic_quotes_gpc = On
    magic_quotes_sybase = Off
    در پایان save رو بزنید
    برگردید به صفحه اصلی دایرکت ادمین
    برید به Administrator Settings و تیک گزینه های زیر رو بردارید
    Enable User Demo. Login: demo_user Password : demo
    Enable Reseller Demo. Login: demo_reseller Password : demo
    Enable Admin Demo. Login: demo_admin Password : demo
    حالا گزینه ها رو به صورتی که میدم تغییر بدید
    Max Request/Upload Size (bytes) ---->1048576000
    Warn Admin's at 95 % partition usage ---> 95 , Day
    Enable Automatic Lost Password Recovery --->NO
    Blacklist IPs for excessive login attempts ---> عدد رو بزارید 30 و تیک رو هم بزنید
    Prevent 127.0.0.1 from being Blacklisted --- > تیک بزنید
    Time before failed login count resets --->10
    Check domain owner for Subdomain creation ---->yes
    Daily Email Limit per DirectAdmin User ---->100
    و بعد سیو کنید
    برگردید صفحه اصلی دایرکت ادمین و Php Safe Mode Settings رو بزنید
    Default Safe Mode for new domains: رو ON کنید و Default Open BaseDir for new domains رو OFF و سیو کنید

    حالا اس اس اچ رو باز کنید و دستور زیر رو بزنید

    کد:
    nano /etc/ssh/sshd_config
    با زدم دکمه CTRL + W از کیبرد عبارت UseDNS رو پیدا کنید اگر کنار # بود بردارید و مقدارشو به no تغییر بدید (اگه جلوش نوشته بود no به هیچی دست نزنید و اگه نوتشه yes فقط اون yes رو به no تبدیل کنید و فایل رو سیو کنید و بیاید بیرون
    دستور
    کد:
    nano /etc/my.cnf
    رو بزنید
    اگه عبارت local-infile وجود داشت مقدارشو به 0 و اگه نبود در خط اخر که خالیه اینو اضافه کنید
    کد:
    local-infile=0
    فایل رو سیو کنید و بیاید بیرون

    حالا در صفحه اصلی دایرکت ادمین به ConfigServer Security&Firewall برید و CHECK SERVER SECURITY رو بزنید

    اولا یاد آوری کنم قرار نیست همه گزینه ها سبز بشه (شاید در آخر یه تعداد قرمز بمونه که هیچ مشکلی نداره)
    برید به آخرین قسمتش که نوشته Server Services Check و پایینش حدود 10-12 مورد رو چک کرده
    اگه همش سبز باشه که خدا رو شکر اگه یکی یا چند تا یا همش قرمز باشه اگه دقت کنید کنار هر کدوم دو تا دستور نوشته اون دو تا دستور رو در اس اس اچ بزنید و اگر هم دستور ها اروری داد ارورش رو بیخیال شید :D
    اگه سرور مجازی با OpenVZ یا Virtuzu دارید کار تمومه و یه reboot بزنید (و قسمت بعد که سکیو کردن /tmp هست رو بیخیال شید و فقط بیاید سراغ خطوط پایانی
    اگه سرور اختصاصی دارید یا سرور مجازی با Vmware و Xen یه مرحله دیگه هم دارید ...
    ولی خب با توجه به اینکه دیگه حوصله تایپ ندارم و در سایت Linuxtalk.ir آقای پیمان قربانی این مطلب رو به خوبی آموزش داده من مال ایشون رو براتون کپی پیست میکنم
    امن کردن /tmp:
    کد:
    cd /dev
    ساخت 2000 مگابایت فضا ذخیره سازی:
    کد:
    dd if=/dev/zero of=tmpMnt bs=1024 count=2000000
    ساخت فایل سیستم ext :
    کد:
    /sbin/mke2fs /dev/tmpMnt
    ایجاد یک پشتیبان:
    کد:
    cp -R /tmp/ /tmp_backup
    mount کردن فایل سیستم جدید با noexec:
    کد:
    mount -o loop,rw,nosuid,noexec /dev/tmpMnt /tmp
    سطح مجوز را هم تغییر دهید:
    کد:
    chmod 0777 /tmp
    پشتیبانی را که تهیه کرده بودیم، کپی میکنیم:
    کد:
    cp -R /tmp_backup/* /tmp/
    پشتیبان را حذف میکنیم:
    کد:
    rm -rf /tmp_backup
    امن کردن /var/tmp :
    تهیه یک پشتیبان:
    کد:
    mv /var/tmp /var/tmpbck
    آدرس دهی میکنیم:
    کد:
    ln -s /tmp /var/tmp
    فایل های داخل پشتیبان را کپی میگیریم:
    کد:
    cp /var/tmpbck/* /tmp/
    امن کردن /dev/shm :
    فایل زیر را با ویرایشگر باز میکنیم:
    اگر ویرایشگر nano را نصب ندارید، با دستور زیر نصب کنید.
    کد:
    nano /etc/fstab
    مقدار زیر را پیدا کنید :
    کد:
    none /dev/shm tmpfs defaults,rw 0 0
    مقدار زیر را جایگزین مقدار فوق میکنیم:
    کد:
    none /dev/shm tmpfs defaults,nosuid,noexec,rw 0 0
    مجددا” mount میکنیم:
    کد:
    mount -o remount /dev/shm
    و حالا یه بار سرور رو با دستور reboot ریبوت کنید
    زندگی در بردگی شرمندگی است * معنی آزاد بودن زندگی است
    سر که خم گردد به پای دیگران * بر تن مردان بود بار گران




صفحه 2 از 2 نخستنخست 12

برچسب ها برای این تاپیک

علاقه مندی ها (بوک مارک ها)

علاقه مندی ها (بوک مارک ها)

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست در پست خود ضمیمه کنید
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  

http://www.worldup.ir/