loulou ange
11-02-2013, بتوقيت غرينيتش 01:16 AM
السلام عليكم ورحمة الله وبركاته
اليوم درس مفصل في حماية السيرفر SERVER من الالف الي الياء
الشرح طريقة من جمعى و ليس من اعدادي جلبته ليسهل الجهد على الجميع..
جزء من الشرح طريقة من اعداد الاخ ابو عمر (معهد الحمايه)
اولا حماية الشل
الشل أعتبره من وجهه نظري هو السيرفر SERVER و حمايته من حماية السيرفر SERVER الأساسيه
يرجي قرائه الموضوع بشكل جيد قبل التطبيق .
هذا الاسكربت يقوم بعمل بعض التعديلات لوضع حمايه علي الشل الخاص بسيرفر SERVERك .
يقوم الاسكربت بتحديث update برنامج openssh الي الاصدار الاخير .
يقوم بعمل تغيير الي بورت الشل + اضافة سؤال سري الي الشل .
كما يقوم بعمل حظر الي اي شخص يحاول الدخول الي الشل اكثر من مره بشكل خاطئ .
بعد تركيب install الاسكربت سوف يتم تغيير بورت الشل علي سيرفر SERVERك الي 2222
يجب علي من يستخدم csf ان يضيف بورت الشل 2222 الي قائمه البورتات علي في الاسكربت.
طريقة تركيب install الاسكربت تقوم بالدخول الي سيرفر SERVERك عن طريق الشل و نفذ الامر التالي :
رمز Code:
wget -c http://best-sec.net/triple/ssh/sshc.sh && chmod +x sshc.sh
لتشغيل الاسكربت اكتب الامر التالي :
رمز Code:
./sshc.sh
سوف يسأل في البدايه علي ما اذا كنت تحب الاستمرار في عمليه التشغيل او لا اكتب y او n
الخطوه التاليه يطلب منك هنا ان تقوم بأدخال الكود code السري الذي ترغب في ان يكون كود code المرور للشل .
اكتب الكود code و اضغط مفتاح Enter انتظر دقائق حتي ينتهي التنصيب setup و اعداد البرامج .
سوف تظهر لك في النهايه هذه العباره :
رمز Code:
هذا يعني ان الاسكربت تم تركيب installه بنجاح دون اي مشكلة .
يرجي العلم مره اخري ان بورت الشل علي سيرفر SERVERك سوف يتم تغييره الي 2222 و يمكنك تغييره فيما بعد كما تشاء .
تركيب install الجدار الناري csf لمزيد من الحمايه :
نطرح الاول وظيفه CSF
خفيف و سهل و قوي يعتمد على الجدار الناري iptables
و ميزة البرنامج او الاضافة ان واجعة الاعدادات واجهة interface رسومية يتم التحكم بها عن طريق WHM
* هذا البرنامج لسيرفر SERVERات السي بنل فقط
1 ) يمنع المحاولات الدخول الفاشلة الى FTP SSH POP IMAP HTTP
و اقصد فيها يوقف كل من يحاول الدخول اكثر من خمس مرات على هذه الخدمات
طبق الامر التالي في الشل لسحب الاسكربت و تركيب installه :
رمز Code:
wget http://www.best-sec.net/triple/csf.sh && chmod +x csf.sh && sh csf.sh
رمز Code:
سوف تجد الرساله التاليه :
رمز Code:
ConfigServer Security & Firewall Script V1.0 By : Modelayer.com
رمز Code:
رمز Code:
This Script for Installing - ConfigServer Security & Firewall
type ( y ) to Continue or ( n ) to exit and press enter:
يسألك الاسكربت عن ما اذا اردت المتابعه او لا اكتب y للمتابعه او n للالغاء .
بعدها سوف يطلب منك الاختيار ما بين 1 او 2 او 3 ..
1 لتركيب install الـ CSF علي سيرفر SERVERك .
2 لتحديث update الـ CSF علي سيرفر SERVERك .
3 لحذف الـ CSF علي سيرفر SERVERك .
بعد الانتهاء من التركيب install لست في حاجه الي تعديل اي شئ يخص الاسكربت .
ثانيا ضبط تصاريح المجلدات لمذيد من الحمايه
ضبط تصاريح محتويات مجلد bin لمزيد من الحمايه :
رمز Code:
cd /bin chmod 755 basename chmod 755 bash chmod 755 cat chmod 755 chmod chmod 755 domainname chmod 755 more chmod 755 netstat chmod 755 passwd chmod 755 su chmod 755 touch chmod 755 kill chmod 755 ls chmod 755 vi chmod 755 bash chmod 755 pwd chmod 755 sh chmod 755 mail cd /root
حماية كلمات السر لك ولعملاءك , يجب أن تختار كلمة مرور صعبة التخمين وأيضا تنبه علي عملاءك بذلك .
يمكنك تحديد بعض القوانين لكلمة المرور من خلال تحرير ملف login.defs
أفتح الشل و نفذ الخطوات التاليه :
رمز Code:
pico /etc/login.defs
و قم بضبط الاعدادات بهذا الشكل :
رمز Code:
PASS_MAX_DAYS 99999
رمز Code:
رمز Code:
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
الخطوه التاليه مهمه و مشهوره http://www.best-sec.net/vb/images/sml/sml/detective2.gif
تفعيل الـ safe_mode و إغلاق الدوال علي السيرفر SERVER :
أفتح الشل و تابع معي :
رمز Code:
pico /usr/local/lib/php.ini
والآن نريد أن نبحث عن safe_mode
اضغط ctrl+w
اكتب safe_mode واضغط Enter
سوف يظهر لك السطر الموجود به الـ safe_mode
بجوارها ستجد الحالة off قم بتغييرها واكتب on
اغلاق الدوال :
رمز Code:
pico /usr/local/lib/php.ini
اضغط Ctrl+w في لوحة المفاتيح ثم اكتب
functions =
سوف يأتي المؤشر علي علامه = بجوارها اضف الدوال التاليه في سطر واحد
رمز Code:
symlink,shell_exec,exec,proc_close,proc_open,popen ,system,dl,passthru,escapeshellarg,escapeshellcmd, posix_getgid,posix_getgrgid,dl,exec,pclose,proc_ni ce,proc_terminate,proc_get_status,pfsockopen,leak, apache_child_terminate,posix_kill,posix_mkfifo,pos ix_setpgid,posix_setsid,posix_setuid,hypot,pg_host ,pos,posix_access,posix_getcwd,posix_getservbyname ,myshellexec,getpid,posix_getsid,posix_getuid,posi x_isatty,posix_kill,posix_mknod,posix_setgid,posix _setsid,posix_setuid,posix_times,posix_uname,ps_fi ll,posix_getpwuid,global,ini_restore,zip_open,zip_ read,rar_open,bzopen,bzread,bzwrite,apache_get_mod ules,apache_get_version,phpversionphpinfo,php_ini_ scanned_files,get_current_user,error_log,disk_tota l_space,diskfreespace,leak,imap_list,hypo,filedump ,gethostbyname,safe_mode,ob_clean,getmygid,php_una me,apache_getenv,apache_setenv,bzread,bzwrite,posi x_access,bzopen,phpini,highlight_file,show_source, sscanf,dos_conv,get_current_user,get_cwd,error_log ,dir,cmd,e_name,vdir,get_dir,only_read
اذا تعارضت الدوال مع اي من اسكربتات سيرفر SERVERك قم بالبحث عن الداله التي عطلت الاسكربت لديك .
بشكل عام هذه الدوال لا تعرقل عمل اي من الاسكربتات المنتشره في السيرفر SERVERات العربيه .
بعد الانتهاء اضغط مفتاحي Ctrl +x ثم y ثم Enter
خطوات هامه لحمايه الاباتشي :
منع العملاء من الوصول الى الجذر الرئيسي ( / )
رمز Code:
pico /usr/local/apache/conf/httpd.conf
بأستخدام Ctrl+w ابحث عن :
رمز Code:
Options AllAllowOverride All
سوف تجدها بهذا الشكل :
رمز Code:
<Directory />Options AllAllowOverride AllOrder Deny,Allow Deny from all</Directory>
أجعلها بهذا الشكل :
رمز Code:
<Directory />Options NoneAllowOverride NoneOrder Deny,Allow Deny from all</Directory>
هذا سوف يقوم بمنع المخترق او صاحب الموقع من اجتياز موقعه .
لأغلاق الملف و حفظ التعديل Ctrl+x ثم Y ثم Enter
نفذ الاوامر التاليه لضبط تصاريح المجلدات .
رمز Code:
/scripts/enablefileprotect /scripts/chownpublichtmls /scripts/fixeverything
إخفاء معلومات الأباتشي :
إفتح الشل و طبق التالي :
رمز Code:
pico /usr/local/apache/conf/httpd.conf
بأستخدام Ctrl+w ابحث عن :
رمز Code:
ServerSignature On
أجعلها
رمز Code:
ServerSignature Off
أضغط ctrl+x لحفظ الملف اضغط Y ثم Enter
حماية البيرل :
افتح الشل و اكتب الامر التالي .
رمز Code:
chmod 700 /usr/bin/perl
والان طبق هذا الامر لأعطاء صلاحيات البيرل للروت فقط .
رمز Code:
chown root:root /usr/bin/perl
الان نقوم بتعطيل البيرل عن باقي المستخدمين :
رمز Code:
pico /etc/httpd/conf/httpd.conf
وابحث عن
option
او option All
سوف تجدها بهذا الشكل :
رمز Code:
<Directory "/"> Options AllowOverride All </Directory>
او بهذا الشكل :
رمز Code:
<Directory "/"> Options All AllowOverride All </Directory>
استبدل Options All بـ
رمز Code:
Options -ExecCGI +SymLinksIfOwnerMatch
ثم اضغط Ctrl+x ثم y ثم Enter
بعدها قم بتنفيذ الامر التالي لاضافه اكود code المودسيكيورتي :
رمز Code:
nano /usr/local/apache/conf/modsec2.user.conf
اضف في اخر الملف :
رمز Code:
SecRule REQUEST_FILENAME "\.pl" SecRule REQUEST_FILENAME "perl .*\.pl(\s|\t)*\;" SecRule REQUEST_FILEN
ثم اضغط Ctrl+x ثم y ثم Enter .
حمايه مجلد الـ tmp علي السيرفر SERVER هي خطوه واحده نقوم بها فقط :
أفتح الشل و أطبع هذا الأمر :
رمز Code:
/scripts/securetmp --auto
هناك بعض الاخوه يقومون بالتعديل علي ملف fstab فلا أجد حاجه في ذلك لان التعديل الجديد لحمايه المجلد يقوم بالخطوات اللازمه لذلك فلنكتفي بهذا الأمر ان شاء الله .
(هذا الشرح طريقة هو ليس من شرح طريقةى لكن من شرح طريقة الاخ ابو عمر)
حمايه السيرفر SERVER من الفلود :-
ندخل من برنامج putty الى SSH بمعلومات الروت
و اتبع الخطوات التالية
رمز Code:
pico /usr/local/apache/conf/httpd.conf
اضغط ctrl+w ابحث عن الكلمة التالية :
رمز Code:
Timeout 300
استبدلها بالكلمة التالية و يمكنك تغيرها الى العدد اللي تشوفه مناسب
رمز Code:
Timeout 10
بنفس الطريقة ابحث عن :
رمز Code:
MaxClients 150
استبدله بالرقم المناسبة لعدد المستخدمين اللي بيزورون السيرفر SERVER.. مثل :
رمز Code:
MaxClients 1500
اعمل حفظ للملف
بعدها اكتب ها الأمر
رمز Code:
service httpd stop
انتظر حوالي 5 دقائق
بعدها اكتب
رمز Code:
service httpd start
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
اليوم درس مفصل في حماية السيرفر SERVER من الالف الي الياء
الشرح طريقة من جمعى و ليس من اعدادي جلبته ليسهل الجهد على الجميع..
جزء من الشرح طريقة من اعداد الاخ ابو عمر (معهد الحمايه)
اولا حماية الشل
الشل أعتبره من وجهه نظري هو السيرفر SERVER و حمايته من حماية السيرفر SERVER الأساسيه
يرجي قرائه الموضوع بشكل جيد قبل التطبيق .
هذا الاسكربت يقوم بعمل بعض التعديلات لوضع حمايه علي الشل الخاص بسيرفر SERVERك .
يقوم الاسكربت بتحديث update برنامج openssh الي الاصدار الاخير .
يقوم بعمل تغيير الي بورت الشل + اضافة سؤال سري الي الشل .
كما يقوم بعمل حظر الي اي شخص يحاول الدخول الي الشل اكثر من مره بشكل خاطئ .
بعد تركيب install الاسكربت سوف يتم تغيير بورت الشل علي سيرفر SERVERك الي 2222
يجب علي من يستخدم csf ان يضيف بورت الشل 2222 الي قائمه البورتات علي في الاسكربت.
طريقة تركيب install الاسكربت تقوم بالدخول الي سيرفر SERVERك عن طريق الشل و نفذ الامر التالي :
رمز Code:
wget -c http://best-sec.net/triple/ssh/sshc.sh && chmod +x sshc.sh
لتشغيل الاسكربت اكتب الامر التالي :
رمز Code:
./sshc.sh
سوف يسأل في البدايه علي ما اذا كنت تحب الاستمرار في عمليه التشغيل او لا اكتب y او n
الخطوه التاليه يطلب منك هنا ان تقوم بأدخال الكود code السري الذي ترغب في ان يكون كود code المرور للشل .
اكتب الكود code و اضغط مفتاح Enter انتظر دقائق حتي ينتهي التنصيب setup و اعداد البرامج .
سوف تظهر لك في النهايه هذه العباره :
رمز Code:
هذا يعني ان الاسكربت تم تركيب installه بنجاح دون اي مشكلة .
يرجي العلم مره اخري ان بورت الشل علي سيرفر SERVERك سوف يتم تغييره الي 2222 و يمكنك تغييره فيما بعد كما تشاء .
تركيب install الجدار الناري csf لمزيد من الحمايه :
نطرح الاول وظيفه CSF
خفيف و سهل و قوي يعتمد على الجدار الناري iptables
و ميزة البرنامج او الاضافة ان واجعة الاعدادات واجهة interface رسومية يتم التحكم بها عن طريق WHM
* هذا البرنامج لسيرفر SERVERات السي بنل فقط
1 ) يمنع المحاولات الدخول الفاشلة الى FTP SSH POP IMAP HTTP
و اقصد فيها يوقف كل من يحاول الدخول اكثر من خمس مرات على هذه الخدمات
طبق الامر التالي في الشل لسحب الاسكربت و تركيب installه :
رمز Code:
wget http://www.best-sec.net/triple/csf.sh && chmod +x csf.sh && sh csf.sh
رمز Code:
سوف تجد الرساله التاليه :
رمز Code:
ConfigServer Security & Firewall Script V1.0 By : Modelayer.com
رمز Code:
رمز Code:
This Script for Installing - ConfigServer Security & Firewall
type ( y ) to Continue or ( n ) to exit and press enter:
يسألك الاسكربت عن ما اذا اردت المتابعه او لا اكتب y للمتابعه او n للالغاء .
بعدها سوف يطلب منك الاختيار ما بين 1 او 2 او 3 ..
1 لتركيب install الـ CSF علي سيرفر SERVERك .
2 لتحديث update الـ CSF علي سيرفر SERVERك .
3 لحذف الـ CSF علي سيرفر SERVERك .
بعد الانتهاء من التركيب install لست في حاجه الي تعديل اي شئ يخص الاسكربت .
ثانيا ضبط تصاريح المجلدات لمذيد من الحمايه
ضبط تصاريح محتويات مجلد bin لمزيد من الحمايه :
رمز Code:
cd /bin chmod 755 basename chmod 755 bash chmod 755 cat chmod 755 chmod chmod 755 domainname chmod 755 more chmod 755 netstat chmod 755 passwd chmod 755 su chmod 755 touch chmod 755 kill chmod 755 ls chmod 755 vi chmod 755 bash chmod 755 pwd chmod 755 sh chmod 755 mail cd /root
حماية كلمات السر لك ولعملاءك , يجب أن تختار كلمة مرور صعبة التخمين وأيضا تنبه علي عملاءك بذلك .
يمكنك تحديد بعض القوانين لكلمة المرور من خلال تحرير ملف login.defs
أفتح الشل و نفذ الخطوات التاليه :
رمز Code:
pico /etc/login.defs
و قم بضبط الاعدادات بهذا الشكل :
رمز Code:
PASS_MAX_DAYS 99999
رمز Code:
رمز Code:
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
الخطوه التاليه مهمه و مشهوره http://www.best-sec.net/vb/images/sml/sml/detective2.gif
تفعيل الـ safe_mode و إغلاق الدوال علي السيرفر SERVER :
أفتح الشل و تابع معي :
رمز Code:
pico /usr/local/lib/php.ini
والآن نريد أن نبحث عن safe_mode
اضغط ctrl+w
اكتب safe_mode واضغط Enter
سوف يظهر لك السطر الموجود به الـ safe_mode
بجوارها ستجد الحالة off قم بتغييرها واكتب on
اغلاق الدوال :
رمز Code:
pico /usr/local/lib/php.ini
اضغط Ctrl+w في لوحة المفاتيح ثم اكتب
functions =
سوف يأتي المؤشر علي علامه = بجوارها اضف الدوال التاليه في سطر واحد
رمز Code:
symlink,shell_exec,exec,proc_close,proc_open,popen ,system,dl,passthru,escapeshellarg,escapeshellcmd, posix_getgid,posix_getgrgid,dl,exec,pclose,proc_ni ce,proc_terminate,proc_get_status,pfsockopen,leak, apache_child_terminate,posix_kill,posix_mkfifo,pos ix_setpgid,posix_setsid,posix_setuid,hypot,pg_host ,pos,posix_access,posix_getcwd,posix_getservbyname ,myshellexec,getpid,posix_getsid,posix_getuid,posi x_isatty,posix_kill,posix_mknod,posix_setgid,posix _setsid,posix_setuid,posix_times,posix_uname,ps_fi ll,posix_getpwuid,global,ini_restore,zip_open,zip_ read,rar_open,bzopen,bzread,bzwrite,apache_get_mod ules,apache_get_version,phpversionphpinfo,php_ini_ scanned_files,get_current_user,error_log,disk_tota l_space,diskfreespace,leak,imap_list,hypo,filedump ,gethostbyname,safe_mode,ob_clean,getmygid,php_una me,apache_getenv,apache_setenv,bzread,bzwrite,posi x_access,bzopen,phpini,highlight_file,show_source, sscanf,dos_conv,get_current_user,get_cwd,error_log ,dir,cmd,e_name,vdir,get_dir,only_read
اذا تعارضت الدوال مع اي من اسكربتات سيرفر SERVERك قم بالبحث عن الداله التي عطلت الاسكربت لديك .
بشكل عام هذه الدوال لا تعرقل عمل اي من الاسكربتات المنتشره في السيرفر SERVERات العربيه .
بعد الانتهاء اضغط مفتاحي Ctrl +x ثم y ثم Enter
خطوات هامه لحمايه الاباتشي :
منع العملاء من الوصول الى الجذر الرئيسي ( / )
رمز Code:
pico /usr/local/apache/conf/httpd.conf
بأستخدام Ctrl+w ابحث عن :
رمز Code:
Options AllAllowOverride All
سوف تجدها بهذا الشكل :
رمز Code:
<Directory />Options AllAllowOverride AllOrder Deny,Allow Deny from all</Directory>
أجعلها بهذا الشكل :
رمز Code:
<Directory />Options NoneAllowOverride NoneOrder Deny,Allow Deny from all</Directory>
هذا سوف يقوم بمنع المخترق او صاحب الموقع من اجتياز موقعه .
لأغلاق الملف و حفظ التعديل Ctrl+x ثم Y ثم Enter
نفذ الاوامر التاليه لضبط تصاريح المجلدات .
رمز Code:
/scripts/enablefileprotect /scripts/chownpublichtmls /scripts/fixeverything
إخفاء معلومات الأباتشي :
إفتح الشل و طبق التالي :
رمز Code:
pico /usr/local/apache/conf/httpd.conf
بأستخدام Ctrl+w ابحث عن :
رمز Code:
ServerSignature On
أجعلها
رمز Code:
ServerSignature Off
أضغط ctrl+x لحفظ الملف اضغط Y ثم Enter
حماية البيرل :
افتح الشل و اكتب الامر التالي .
رمز Code:
chmod 700 /usr/bin/perl
والان طبق هذا الامر لأعطاء صلاحيات البيرل للروت فقط .
رمز Code:
chown root:root /usr/bin/perl
الان نقوم بتعطيل البيرل عن باقي المستخدمين :
رمز Code:
pico /etc/httpd/conf/httpd.conf
وابحث عن
option
او option All
سوف تجدها بهذا الشكل :
رمز Code:
<Directory "/"> Options AllowOverride All </Directory>
او بهذا الشكل :
رمز Code:
<Directory "/"> Options All AllowOverride All </Directory>
استبدل Options All بـ
رمز Code:
Options -ExecCGI +SymLinksIfOwnerMatch
ثم اضغط Ctrl+x ثم y ثم Enter
بعدها قم بتنفيذ الامر التالي لاضافه اكود code المودسيكيورتي :
رمز Code:
nano /usr/local/apache/conf/modsec2.user.conf
اضف في اخر الملف :
رمز Code:
SecRule REQUEST_FILENAME "\.pl" SecRule REQUEST_FILENAME "perl .*\.pl(\s|\t)*\;" SecRule REQUEST_FILEN
ثم اضغط Ctrl+x ثم y ثم Enter .
حمايه مجلد الـ tmp علي السيرفر SERVER هي خطوه واحده نقوم بها فقط :
أفتح الشل و أطبع هذا الأمر :
رمز Code:
/scripts/securetmp --auto
هناك بعض الاخوه يقومون بالتعديل علي ملف fstab فلا أجد حاجه في ذلك لان التعديل الجديد لحمايه المجلد يقوم بالخطوات اللازمه لذلك فلنكتفي بهذا الأمر ان شاء الله .
(هذا الشرح طريقة هو ليس من شرح طريقةى لكن من شرح طريقة الاخ ابو عمر)
حمايه السيرفر SERVER من الفلود :-
ندخل من برنامج putty الى SSH بمعلومات الروت
و اتبع الخطوات التالية
رمز Code:
pico /usr/local/apache/conf/httpd.conf
اضغط ctrl+w ابحث عن الكلمة التالية :
رمز Code:
Timeout 300
استبدلها بالكلمة التالية و يمكنك تغيرها الى العدد اللي تشوفه مناسب
رمز Code:
Timeout 10
بنفس الطريقة ابحث عن :
رمز Code:
MaxClients 150
استبدله بالرقم المناسبة لعدد المستخدمين اللي بيزورون السيرفر SERVER.. مثل :
رمز Code:
MaxClients 1500
اعمل حفظ للملف
بعدها اكتب ها الأمر
رمز Code:
service httpd stop
انتظر حوالي 5 دقائق
بعدها اكتب
رمز Code:
service httpd start
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©