به عنوان اولین پست آموزشی من در انجمن نصب کامل دایرکت ادمین که شامل تمامی تجربه های من میشه و دوستانم میشه رو براتون گذاشتم و بعد هم کانفیگ فایروال CSF
از شما اساتید و دوستان خواهشمندم که هر جایی از این آموزش اشتباه کرده ام را پیام خصوصی بدن و اگر چیز بیشتر و راهکار های دیگری هم بلد هستن در این تاپیک مطرح کنن تا همه استفاده ببریم
================================================== =====
مرحله ی اول:
نصب کنترل پنل دایرکت ادمین روی Centos5 , 6 و Debian هست.
قبل از نصب توجه کنید که حداقل رم مورد نیاز 512 تنها برای دایرکت ادمین می باشد اما اگر میخواهید CSF و آنتی ویروس CleamAV هم نصب کنید حداقل باید رم 2 گیگ برای سرورتون نظر بگیرید.
قبل از نصب کنترل پنل دایرکت ادمین بر روی کلیه ورژن های CentOS 5 باید سرویس های زیر را نصب کنید :
قبل از نصب کنترل پنل دایرکت ادمین بر روی کلیه ورژن های CentOS 6 باید سرویس های زیر را نصب کنید :
کد:
yum install wget gcc gcc-c++ flex bison make bind bind-libs bind-utils openssl openssl-devel perl quota libaio libcom_err-devel libcurl-dev gd zlib-devel zip unzip libcap-devel cronie
قبل از نصب کنترل پنل دایرکت ادمین بر روی کلیه ورژن های CentOS 7 باید سرویس های زیر را نصب کنید :
کد:
yum install psmisc net-tools systemd-devel libdb-devel perl-DBI xfsprogs
قبل از نصب کنترل پنل دایرکت ادمین بر روی کلیه ورژن های Debian باید سرویس های زیر را نصب کنید :
کد:
pkg_add -r gmake perl
بعد از نصب برنامه های مورد نیاز کنترل پنل دایرکت ادمین ، با دستور wget اقدام به دریافت فایل اینستال دایرکت ادمین میکنیم :
کد:
wget http://www.directadmin.com/setup.sh
با دستور زیر مجوز های فایل ستاپ را به ۷۵۵ تغییر میدهیم :
سپس با دستور زیر وارد مرحله نصب کنترل پنل دایرکت ادمین میشویم :
سپس از شما اطلاعات زیر درخواست می شود :
client ID : شماره مشتری شما در دایرکت ادمین
license ID : شماره لایسنسی که برای سرور خود خریداری کرده اید.
Hostname : نام سرور شما که ساب دامنه شما می باشد مانند : server.hiradhost.com
اگر دایرکت ادمین را روی سرور مجازی نصب می کنید:
در صورتی که مجازی ساز سرور مجازی شما OPENVZ است venet0:0 وارد کنید.
برای سایر مجازی ساز ها eth0 وارد کنید.
سپس دایرکت ادمین از شما سوال می کند که آیا آی پی سرور شما با سرور یکی است که شما باید آن را تایید کنید
سپس باید انتخاب کنید که کدام ورژن از سرویس ها برای شما نصب شود که بین 1 و 2 و 3 و 4 یکی را انتخاب کنید که این قسمت بستگی دارد که دایرکت ادمین را برای چه کاری احتیاج دارید که من خودم برای سایت هاستینگ کاستم بیلد 3 را نصب میکنم که شامل Apache 2.2.26 و Php 5.3.28 و... می باشد و مناسب تر از بقیه گزینه ها می باشد.
توجه داشته باشید که مراحل نصب کامل دایرکت ادمین به طور میانگین ۳۰ دقیقه زمان میخواهد…
در انتهای نصب دایرکت ادمین ، یوزر و پسسورد یوزر ادمین به شما نمایش داده خواهد شد ، اگر یوزر و پسورد شما نمایش داده نشد دستور زیر را وارد نمایید
کد:
cat /usr/local/directadmin/setup.txt
بعد از اتمام نصب دایرکت ادمین در صورتی که از طریق پورت ۲۲۲۲ موفق به باز کردن کنترل پنل نشدید ، باید پورت ۲۲۲۲ را از طریق فایروال iptables باز کنید و یا با دستور زیر فایروال iptables را موقتا غیر فعال کنید :
کد:
service iptables stop
خوب تا اینجا دایرکت ادمین رو نصب کردیم.
دایرکت ادمین یک نقص دارد برای خواندن زبان فارسی نخواندن فایل های فارسی در ویرایشگر فایل منیجر دایرکت ادمین یعنی همان UTF-8 نبودن
برای رفع مشکل شماره ی 1 یعنی همان UTF-8 نبودن ادیتور فایل منیجر باید دستورات زیر را اجرا نمایید
ایتدا دستور زیر را وارد نمایید
کد:
nano -w /usr/local/directadmin/data/skins/enhanced/lang/en/lf_standard.html
با Ctrl+W کلمه زیر را جستجو کرده
کد:
LANG_ENCODING=iso-8859-1
و خط زیرا را جایگزین آن کنید.
در پایان Ctrl+X را زده و کلمه y و سپس دکمه ی Enter را بفشارید.
خوب مشکل ادیتور دایرکت ادمین حل شد و کاملا UTF-8 شد.
خوب قبل از این که بریم سراغ نصب پلاگین ها اول پورت ssh رو از 22 به عدد دیگری تغییر میدهیم تا به سرورمان حمله BF-Attack نکنن
روش تغییر دادن پورت ssh:
ایتدا فایل زیر را ویرایش میکنیم
کد:
nano /etc/ssh/sshd_config
بعد #port 22 را مشاهده میکنید به جای عدد 22 یک عدد دیگر وارد کنید مثلا 4444 و بعد مربع را پاک کنید ، سپس دستور زیر را وارد کنید تا سرویس ssh دوباره راه اندازی شود.
خوب الان پورت سرور تغییر کرده و زمانی که دوباره وارد ssh میشوید به جای مقدار 22 همان عددی را که وارد کرده اید بگذارید.
حالا میریم سراغ نصب پلاگین هایی که برای امنیت و کاربرد دایرکت ادمین مناسب می باشد.
1-نصب ioncube که برای نصب اسکریپت whmcs و... حتما باید روی سرور نصب باشد:
ابتدا دستور زیر را وارد نمایید
کد:
cd /usr/local/directadmin/custombuild/
سپس دستور زیر را وارد کنید
کد:
./build set ioncube yes
برای نصب دستورات زیر را وارد کنید
خوب تا اینجا ioncube هم نصب کردیم.
حالا میریم سراغ نصب Zend:
در صورتی که نسخه php سرور شما 5.2 باشد یعنی کاستم بیلد 2 را نصب کرده باشید این دستورات نرم افزار Zend optimizer را نصب می کند و در صورتی که نسخه پی اچ پی شما 5.3 باشد یعنی کاستم بیلد 3 را نصب کرده باشید نرم افزار Zend Guard را نصب می کند.
Zend Guard نام جدید نرم افزار Zendoptimizer می باشد که برای نسخه پی اچ پی 5.3 نوشته شده است.
ایتدا دستور زیر را وارد نمایید
کد:
cd /usr/local/directadmin/custombuild/
برای نصب دستورات زیر را وارد کنید
خوب Zend هم نصب کردیم.
حالا میریم سراغ نصب soap که برای استفاده از درگاه های پرداخت آنلاین لازم هست نصب باشد.
ابتدا دستور زیر را وارد میکنیم
cd /usr/local/directadmin/custombuild/configure/suphp
سپس فایل تنظیمات را با دستور زیر ویرایش کنید :
nano configure.php5
سپس “–enable-soap” \ را اضافه زیر کلمه های زیر اضافه نمایید.
#!/bin/sh
"./configure" \
“–enable-soap” \
دقیقا مثل بالا اگر حالا یکی دوتا خط هم پایین تر شد مشکلی ایجا نمیکند و فقط باید زیر کلمه های #!/bin/sh و "./configure" \ باشد.
هنمانند عکس زیر که یکی از کاربران انجمن به نام aftabit برای ما ارسال کرده اند.
فایل را با کلید ctrl + x و سپس با کلید y ذخیره کنید
دستورات زیر را وارد کنید
کد:
cd /usr/local/directadmin/custombuild
خوب soap هم نصب کردیم.
حالا میریم سراغ نصب suphp که برای کاستم بیلد 3 توصیه می شود.
ابتدا ستور زیر را وارد میکنیم
کد:
cd /usr/local/directadmin/custombuild/
سپس دستور های زیر را به ترتیب وارد نمایید
کد:
./build set php5_cgi yes
کد:
./build set php5_cli no
کد:
./build rewrite_confs
خوب حالا suphp نصب شد سپس دستورات زیر را به ترتیب وارد نمایید تا suphp هم روی قسمت های زیر اعمال شود.
خوب suphp هم کامل نصب کردیم و دیگه مشکل دایرکتوری هم نداریم که بخوایم فایل هامون رو 777 و 666 کنیم توجه کنید که اگر فایلی را به صورت دستی سطح دسترسی آن را به 777 یا 666 تغییر داده اید به 755 یا 644 برگردانید.
توجه کنید:هیچگاه سطح دسترسی فایل های خود را روی 777 یا 666 نگذارید و تمامی فایل های .httacess خود را روی 644 تنظیم نمایید.
خوب حالا یکی از مسائل که با آن هم خیلی ها مشکل دارند رفع شد.
حالا میریم سراغ نصب RootKit Hunter و آنتی ویروس CleamAV
توجه کنید که اگر سرور شما از منابع کمی بهره مند هست و رم آن 512 یا 1024 هست Rootkits Hunter یا همون Rk Hunter استفاده نمایید و اگر رم شما بالای 2048 می باشد توصیه ما به شما آنتی ویروس ClaemAV می باشد.
در ذمن میتوانید به صورت همزمان هم از RootKit Hunter استفاده کنید و هم آنتی ویروس CleamAV
ابتدا آموزش نصب Rootkits Hunter را میدهم.
Rkhunter یکی از ابزار مفید جهت شناسایی و از بین بردن انواع trojans, rootkits و ترمیم مشکلات امنیتی سرور می باشد. شما میتوانید پس از نصب این ابزار تنظیم کنید که روزانه سرور شما بوسیله این ابزار اسکن گردد.
wget Rootkit Hunter
tar -zxvf rkhunter-1.3.6.tar.gz
cd rkhunter-1.3.6
./installer.sh
جهت اسکن کردن سرور به صورت دستی از دستور
کد:
/usr/local/bin/rkhunter -c
می توانید استفاده کنید.
جهت تنظیم اسکن خودکار روزانه بوسیله Cron Job از دستور
کد:
pico /etc/cron.daily/rkhunter.sh
استفاده کنید و پس از باز شدن فایل دستورات زیر را در آن کپی و آدرس ایمیل خود را نیز جایگزین کنید.
کد:
#!/bin/bash
(/usr/local/bin/rkhunter -c --cronjob 2>&1 | mail -s "Daily Rkhunter Scan Report" email@domain.com)
و جهت بروزرسانی این ابزار از دستور استفاده کنید. بهتر از هر از مدتی یکبار این دستور را اجرا کنید.
خوب rootkit hunter هم نصب کردیم
حالا میریم سراغ ClaeamAV برای کسانی که سرور قدرتمند تری دارند.
ابتدا دستورات زیرا به ترتیب وارد نمایید.
کد:
cd /usr/local/directadmin/custombuild
کد:
./build set clamav yes
سپس صبر کنید تا نصب آن به پایان برسد
پس از اتمام نصب اگر میخواهید مثلا /home سرور خود را اسکن کنید ابتدا وارد این مسیر شوید و سپس با دستور زیر شروع به اسکن و حذف فایل های مخرب کنید
کد:
clamscan -i -r –remove
اگر فایل مخربی پیدا و حذف کند به شما در هنگام اسکن مسیر آن را نمایش میدهد و پس از اتمام اسکن یک Report کلی به شما میدهد
خوب حالا ClaemAV هم نصب کردیم.
تا اینجا یک سرور را تا 80 درصد کانفیگ کردیم فقط 20 درصد بقیه شامل CSF و کانفیگ آن می باشد
آموزش نصب و کانفیگ CSF را در یک تاپیک دیگه گذاشتم برای مشاهده میتونید روی لینک زیر کلیک نمایید.
http://www.webhostingtalk.ir/f91/109541/#post1043131
خوب اگر سرور شما یک سرور قدرتمند می باشد پیشنهاد میکنم پلاگین های زیر را نصب کنید که همه ی آن ها یک جا با چند دستور نصب خواهد شد.
OpenSSL (You need to build ssh, apache, php, etc after upgrade)
Exim
OpenSSH
ProFTP
ProFTP with mod_clamav
phpMyAdmin
AVG
ClamAV
MODclamAV
MRTG
SquirrelMail
SquirrelMail full language pack
SpamAssassin
IMAP (You need to build php after upgrade)
MODsecurity 2.5.x (Apache 2.x Only)
MODsecurity 2.5.x Rules
MODsecurity 1.x (Apache 1.x Only)
MODsecurity 1.x Rules
MODevasive
KISS My Firewall
eAccelerator
Freetype
ImageMagick
GraphicsMagick
FFMPEG-php
PHP Clamav
Webmin control panel (You need to open one port 10000 in your firewall)
MailScanner
Suhosin
NoBody Check
ابتدا دستورات زیر را به ترتیب وارد نمایید.
mkdir /usr/local/updatescript
cd /usr/local/updatescript
wget http://tools.web4host.net/update.script
chmod 755 update.script
خوب برای استفاده میتونید این رو وارد کنید ، یه متن کامل و قابل درک ظاهر میشه:
کد:
./update.script
برای بروز کردن اسکریپت هم از:
کد:
./update.script UPDATEME
و برای پاک کرد پوشه آپدیت : (حتما بعد از آپدیت خط زیر رو وارد کنید)
کد:
./update.script CLEAN
ورژن اسکریت هم با
کد:
./update.script DATE
یک سری کارها هم هست که بعد از نصب هر برنامه با این اسکریپت باید انجام بشه:
اگه ClamAV رو نصب کردید :
کد:
nano -w /etc/exim.conf
بعد از :
[QUOTE]
primary_hostname =
[/CODE]
خط زیر را اضافه کنید:
کد:
av_scanner = clamd:127.0.0.1 3310
بعد از :
کد:
check_message:
اضافه کنید:
کد:
deny message = This message contains malformed MIME ($demime_reason)
demime = *
condition = ${if >{$demime_errorlevel}{2}{1}{0}}
deny message = This message contains a virus or other harmful content ($malware_name)
demime = *
malware = *
deny message = This message contains an attachment of a type which we do not accept (.$found_extension)
demime = bat:com:pif:prf:scr:vbs
warn message = X-Antivirus-Scanner: Clean mail though you should still use an Antivirus
بعد save کنید و با دستور زیر exim را ری استارت کنید:
کد:
/sbin/service exim restart
ProFTP with mod_clamav
کد:
nano /etc/proftpd.conf
بعد خط زیر:
کد:
<IfModule mod_clamav.c>
ClamAV on
ClamServer 127.0.0.1
ClamPort 3310
</IfModule>
</Global> رو اضافه کنید و save و ری استارت:
کد:
/sbin/service proftpd restart
MODsecurity 2.x
کد:
nano -w /etc/httpd/conf/extra/httpd-includes.conf
اگه سیستم 32 بیتی هست ، کد زیر رو در قسمت آخر کپی کنید:
کد:
LoadFile /usr/lib/libxml2.so
LoadModule security2_module /usr/lib/apache/mod_security2.so
<IfModule mod_security2.c>
# ModSecurity2 ONLY
# Do not change anything in included files
#
Include /etc/modsecurity2/*.conf
</IfModule>
اگه سیستم 64 بیتی هست ، کد زیر رو در قسمت آخر کپی کنید:
کد:
# Use This
LoadFile /usr/lib64/libxml2.so
# If you dont have libxml2.so use
#LoadFile /usr/lib64/libxml2.so.2
LoadModule security2_module /usr/lib/apache/mod_security2.so
<IfModule mod_security2.c>
# ModSecurity2 ONLY
# Do not change anything in included files
#
Include /etc/modsecurity2/*.conf
</IfModule>
save and restart:
کد:
/sbin/service httpd restart
MODsecurity 1.x
کد:
nano -w /etc/httpd/conf/httpd.conf
کد زیر را اظافه کنید:
<IfModule mod_security.c>
# Only inspect dynamic requests
# (YOU MUST TEST TO MAKE SURE IT WORKS AS EXPECTED)
#SecFilterEngine DynamicOnly
پاسخ با نقل قول
علاقه مندی ها (بوک مارک ها)