>>>>شرح طريقة حمايه سيرفر SERVER شركتك من الالف الى الياء<<<<<.... فقط هنا

[loulou ange]

السلام عليكم ورحمة الله وبركاته

اليوم درس مفصل في حماية السيرفر SERVER من الالف الي الياء

الشرح طريقة من جمعى و ليس من اعدادي جلبته ليسهل الجهد على الجميع..

جزء من الشرح طريقة من اعداد الاخ ابو عمر (معهد الحمايه)

اولا حماية الشل

الشل أعتبره من وجهه نظري هو السيرفر SERVER و حمايته من حماية السيرفر SERVER الأساسيه

يرجي قرائه الموضوع بشكل جيد قبل التطبيق .
هذا الاسكربت يقوم بعمل بعض التعديلات لوضع حمايه علي الشل الخاص بسيرفر SERVERك .
يقوم الاسكربت بتحديث update برنامج openssh الي الاصدار الاخير .
يقوم بعمل تغيير الي بورت الشل + اضافة سؤال سري الي الشل .
كما يقوم بعمل حظر الي اي شخص يحاول الدخول الي الشل اكثر من مره بشكل خاطئ .

بعد تركيب install الاسكربت سوف يتم تغيير بورت الشل علي سيرفر SERVERك الي 2222

يجب علي من يستخدم csf ان يضيف بورت الشل 2222 الي قائمه البورتات علي في الاسكربت.

طريقة تركيب install الاسكربت تقوم بالدخول الي سيرفر SERVERك عن طريق الشل و نفذ الامر التالي :

رمز Code:
wget -c http://best-sec.net/triple/ssh/sshc.sh && chmod +x sshc.sh

لتشغيل الاسكربت اكتب الامر التالي :

رمز Code:
./sshc.sh

سوف يسأل في البدايه علي ما اذا كنت تحب الاستمرار في عمليه التشغيل او لا اكتب y او n

الخطوه التاليه يطلب منك هنا ان تقوم بأدخال الكود code السري الذي ترغب في ان يكون كود code المرور للشل .

اكتب الكود code و اضغط مفتاح Enter انتظر دقائق حتي ينتهي التنصيب setup و اعداد البرامج .

سوف تظهر لك في النهايه هذه العباره :

رمز Code:

هذا يعني ان الاسكربت تم تركيب installه بنجاح دون اي مشكلة .

يرجي العلم مره اخري ان بورت الشل علي سيرفر SERVERك سوف يتم تغييره الي 2222 و يمكنك تغييره فيما بعد كما تشاء .

تركيب install الجدار الناري csf لمزيد من الحمايه :

نطرح الاول وظيفه CSF

خفيف و سهل و قوي يعتمد على الجدار الناري iptables

و ميزة البرنامج او الاضافة ان واجعة الاعدادات واجهة interface رسومية يتم التحكم بها عن طريق WHM

* هذا البرنامج لسيرفر SERVERات السي بنل فقط

1 ) يمنع المحاولات الدخول الفاشلة الى FTP SSH POP IMAP HTTP

و اقصد فيها يوقف كل من يحاول الدخول اكثر من خمس مرات على هذه الخدمات

طبق الامر التالي في الشل لسحب الاسكربت و تركيب installه :

رمز Code:

wget http://www.best-sec.net/triple/csf.sh && chmod +x csf.sh && sh csf.sh

رمز Code:

سوف تجد الرساله التاليه :

رمز Code:

ConfigServer Security & Firewall Script V1.0 By : Modelayer.com

رمز Code:

رمز Code:
This Script for Installing - ConfigServer Security & Firewall

type ( y ) to Continue or ( n ) to exit and press enter:

يسألك الاسكربت عن ما اذا اردت المتابعه او لا اكتب y للمتابعه او n للالغاء .

بعدها سوف يطلب منك الاختيار ما بين 1 او 2 او 3 ..

1 لتركيب install الـ CSF علي سيرفر SERVERك .

2 لتحديث update الـ CSF علي سيرفر SERVERك .

3 لحذف الـ CSF علي سيرفر SERVERك .

بعد الانتهاء من التركيب install لست في حاجه الي تعديل اي شئ يخص الاسكربت .

ثانيا ضبط تصاريح المجلدات لمذيد من الحمايه

ضبط تصاريح محتويات مجلد bin لمزيد من الحمايه :

رمز Code:

cd /bin chmod 755 basename chmod 755 bash chmod 755 cat chmod 755 chmod chmod 755 domainname chmod 755 more chmod 755 netstat chmod 755 passwd chmod 755 su chmod 755 touch chmod 755 kill chmod 755 ls chmod 755 vi chmod 755 bash chmod 755 pwd chmod 755 sh chmod 755 mail cd /root

حماية كلمات السر لك ولعملاءك , يجب أن تختار كلمة مرور صعبة التخمين وأيضا تنبه علي عملاءك بذلك .

يمكنك تحديد بعض القوانين لكلمة المرور من خلال تحرير ملف login.defs

أفتح الشل و نفذ الخطوات التاليه :

رمز Code:
pico /etc/login.defs

و قم بضبط الاعدادات بهذا الشكل :

رمز Code:

PASS_MAX_DAYS 99999

رمز Code:

رمز Code:

PASS_MIN_DAYS 0

PASS_MIN_LEN 5

PASS_WARN_AGE 7

الخطوه التاليه مهمه و مشهوره

تفعيل الـ safe_mode و إغلاق الدوال علي السيرفر SERVER :

أفتح الشل و تابع معي :

رمز Code:
pico /usr/local/lib/php.ini

والآن نريد أن نبحث عن safe_mode

اضغط ctrl+w

اكتب safe_mode واضغط Enter

سوف يظهر لك السطر الموجود به الـ safe_mode

بجوارها ستجد الحالة off قم بتغييرها واكتب on

اغلاق الدوال :

رمز Code:
pico /usr/local/lib/php.ini

اضغط Ctrl+w في لوحة المفاتيح ثم اكتب

functions =

سوف يأتي المؤشر علي علامه = بجوارها اضف الدوال التاليه في سطر واحد

رمز Code:
symlink,shell_exec,exec,proc_close,proc_open,popen ,system,dl,passthru,escapeshellarg,escapeshellcmd, posix_getgid,posix_getgrgid,dl,exec,pclose,proc_ni ce,proc_terminate,proc_get_status,pfsockopen,leak, apache_child_terminate,posix_kill,posix_mkfifo,pos ix_setpgid,posix_setsid,posix_setuid,hypot,pg_host ,pos,posix_access,posix_getcwd,posix_getservbyname ,myshellexec,getpid,posix_getsid,posix_getuid,posi x_isatty,posix_kill,posix_mknod,posix_setgid,posix _setsid,posix_setuid,posix_times,posix_uname,ps_fi ll,posix_getpwuid,global,ini_restore,zip_open,zip_ read,rar_open,bzopen,bzread,bzwrite,apache_get_mod ules,apache_get_version,phpversionphpinfo,php_ini_ scanned_files,get_current_user,error_log,disk_tota l_space,diskfreespace,leak,imap_list,hypo,filedump ,gethostbyname,safe_mode,ob_clean,getmygid,php_una me,apache_getenv,apache_setenv,bzread,bzwrite,posi x_access,bzopen,phpini,highlight_file,show_source, sscanf,dos_conv,get_current_user,get_cwd,error_log ,dir,cmd,e_name,vdir,get_dir,only_read

اذا تعارضت الدوال مع اي من اسكربتات سيرفر SERVERك قم بالبحث عن الداله التي عطلت الاسكربت لديك .

بشكل عام هذه الدوال لا تعرقل عمل اي من الاسكربتات المنتشره في السيرفر SERVERات العربيه .

بعد الانتهاء اضغط مفتاحي Ctrl +x ثم y ثم Enter

خطوات هامه لحمايه الاباتشي :

منع العملاء من الوصول الى الجذر الرئيسي ( / )

رمز Code:
pico /usr/local/apache/conf/httpd.conf
بأستخدام Ctrl+w ابحث عن :

رمز Code:

Options AllAllowOverride All

سوف تجدها بهذا الشكل :

رمز Code:
<Directory />Options AllAllowOverride AllOrder Deny,Allow Deny from all</Directory>

أجعلها بهذا الشكل :

رمز Code:
<Directory />Options NoneAllowOverride NoneOrder Deny,Allow Deny from all</Directory>

هذا سوف يقوم بمنع المخترق او صاحب الموقع من اجتياز موقعه .

لأغلاق الملف و حفظ التعديل Ctrl+x ثم Y ثم Enter

نفذ الاوامر التاليه لضبط تصاريح المجلدات .

رمز Code:

/scripts/enablefileprotect /scripts/chownpublichtmls /scripts/fixeverything

إخفاء معلومات الأباتشي :

إفتح الشل و طبق التالي :

رمز Code:
pico /usr/local/apache/conf/httpd.conf
بأستخدام Ctrl+w ابحث عن :

رمز Code:

ServerSignature On

أجعلها

رمز Code:

ServerSignature Off

أضغط ctrl+x لحفظ الملف اضغط Y ثم Enter

حماية البيرل :

افتح الشل و اكتب الامر التالي .

رمز Code:
chmod 700 /usr/bin/perl

والان طبق هذا الامر لأعطاء صلاحيات البيرل للروت فقط .

رمز Code:
chown root:root /usr/bin/perl

الان نقوم بتعطيل البيرل عن باقي المستخدمين :

رمز Code:
pico /etc/httpd/conf/httpd.conf

وابحث عن

option


او option All

سوف تجدها بهذا الشكل :

رمز Code:

<Directory &quot;/&quot;> Options AllowOverride All </Directory>

او بهذا الشكل :

رمز Code:

<Directory &quot;/&quot;> Options All AllowOverride All </Directory>

استبدل Options All بـ

رمز Code:
Options -ExecCGI +SymLinksIfOwnerMatch

ثم اضغط Ctrl+x ثم y ثم Enter

بعدها قم بتنفيذ الامر التالي لاضافه اكود code المودسيكيورتي :

رمز Code:

nano /usr/local/apache/conf/modsec2.user.conf

اضف في اخر الملف :

رمز Code:

SecRule REQUEST_FILENAME &quot;\.pl&quot; SecRule REQUEST_FILENAME &quot;perl .*\.pl(\s|\t)*\;&quot; SecRule REQUEST_FILEN

ثم اضغط Ctrl+x ثم y ثم Enter .

حمايه مجلد الـ tmp علي السيرفر SERVER هي خطوه واحده نقوم بها فقط :

أفتح الشل و أطبع هذا الأمر :

رمز Code:
/scripts/securetmp --auto

هناك بعض الاخوه يقومون بالتعديل علي ملف fstab فلا أجد حاجه في ذلك لان التعديل الجديد لحمايه المجلد يقوم بالخطوات اللازمه لذلك فلنكتفي بهذا الأمر ان شاء الله .

(هذا الشرح طريقة هو ليس من شرح طريقةى لكن من شرح طريقة الاخ ابو عمر)

حمايه السيرفر SERVER من الفلود :-

ندخل من برنامج putty الى SSH بمعلومات الروت

و اتبع الخطوات التالية

رمز Code:
pico /usr/local/apache/conf/httpd.conf

اضغط ctrl+w ابحث عن الكلمة التالية :

رمز Code:
Timeout 300

استبدلها بالكلمة التالية و يمكنك تغيرها الى العدد اللي تشوفه مناسب

رمز Code:
Timeout 10

بنفس الطريقة ابحث عن :

رمز Code:
MaxClients 150

استبدله بالرقم المناسبة لعدد المستخدمين اللي بيزورون السيرفر SERVER.. مثل :

رمز Code:
MaxClients 1500

اعمل حفظ للملف

بعدها اكتب ها الأمر

رمز Code:
service httpd stop

انتظر حوالي 5 دقائق

بعدها اكتب

رمز Code:

service httpd start

©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى©