موضوعنا اليوم يحتوي على
إلغاء تركيب install أي جدار ناري أو برنامج حماية على السيرفر SERVER
تركيب install الجدار الناري
CSF
إعداده إعداداً جيداً ومناسباً
عمل حماية لصد هجمات الإغراق الفلود بواسطة الجدار الناري
فحص الموديلات المفعله والمطلوبة لعمل الجدار الناري
تفعيل الموديلات المهمه التي يتطلبها الجدار الناري من داخل السيرفر SERVER الرئيسي
فحص حماية السيرفر SERVER بواسطة الجدار الناري
فلنبدأ على بركة الله تعالى
حماية السيرفر SERVER من هجمات الفلوود باستخدام الخاصيّة
Port Flood Protection
الموجودة في الجدار الناري CSF.
بعد القيام بالاعدادات اللازم سنتمكّن من تحديد عدد الاتصالات المسموح بها بنفس الوقت لكل
IP
يحاول الاتصال بالسيرفر SERVER
طريقة عمل هجمات الـ
Flood
منطقياً هجمات الفلود تتم بطريقتين, الأولى من خلال اتصال معين والثانية من خلال عدة اتصالات
وكل اتصال من هذه الاتصالات يتصل بالمزود بكل مالدية من طاقة وبالعادة يتم توحيد مكان الضرب مثلاً يكون الضرب
على
HTTPd
بروتوكول
TCP
منفذ
80
.
المتطلّبات
من وضائف الجدار الناري
CSF
خفيف و سهل و قوي يعتمد على الجدار الناري
iptables
و ميزة البرنامج او الاضافة ان واجهة interface الاعدادات واجهة interface رسومية يتم التحكم بها عن طريق
WHM
* هذا البرنامج لسيرفر SERVERات السي بنل فقط
يمنع المحاولات الدخول الفاشلة الى
FTP SSH POP IMAP HTTP
و اقصد فيها يوقف كل من يحاول الدخول اكثر من خمس مرات على هذه الخدمات
في بادئ الأمر لمن لا يستخدمون الجدار الناري
CSF
أو يستخدمون أي برنامج آخر ينصح بإلغائه وتركيب install
CSF
وطريقة التركيب install كالآتي
أول شي نقوم بحذف أي جدار ناري أو أي برنامج حماية آخر مثل
APF + BFD
عن طريق تطبيق الآتي
ومن ثم نقوم بتركيب install الجدار الناري
CSF
عن طريق
رمز PHP:
<code style="white-space:nowrap"> <code> rm -fv csf.tgz
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
</code> </code>
الآن تم تركيب install الجدار الناري وتستطيع التأكد منه من لوحة تحكم الـ
WHM
ستجد رسالة فوق
Firewall Status: Enabled but in Test Mode
حالياً الجدار الناري مركب ومفعل ولكن في الوضع التجريبي وتستطيع تشغيله في الوضع الطبيعي عن طريق إعداد الجدار الناري كالآتي
إضغط على
Firewall Configuration
ومن ثم طبق الآتي
رمز PHP:
<code style="white-space:nowrap"> <code> TESTING = 0
TESTING_INTERVAL = 5
AUTO_UPDATES =1
TCP_IN =هنا ضيف بورت الشيل في حال غيرته من 22 الى رقم اخر ضيف المنفذ هنا
TCP_OUT = نفس الكلام ضيف بورت الشيل هنا
SYNFLOOD =1
SYNFLOOD_RATE =30/s
SYNFLOOD_BURST =50
CT_LIMIT =250
CT_PORTS =80,443
LF_SCRIPT_ALERT = 1
PT_SKIP_HTTP = 0
</code> </code>
ومن ثم إضغط على
Change
ومن ثم
restart csf+lfd
و
Return
ومن ثم أدخل على
Firewall Security Level
وتختار
Medium
ومن ثم
restart csf+lfd
هكذا لقد قمت بتشغيل الجدار الناري
CSF
بنجاح على سيرفر SERVERك يتبقى ان تقوم بضبط برنامج
FTP
على سيرفر SERVERك وغالبا ما يكون
Pure-FTPD
ليتوافق عمله مع عمل الجدار الناري
بدون مشاكل .
نفذ الامر التالي من خلال الشيل :
رمز PHP:
<code style="white-space:nowrap"> <code> pico /etc/pure-ftpd.conf
</code> </code>
ابحث عن
رمز PHP:
<code style="white-space:nowrap"> <code> PassivePortRange
</code> </code>
قم بازالة علامة # من امامها
بعد ذلك قم بعمل ريستارت لل
FTP
من خلال الامر التالي
رمز PHP:
<code style="white-space:nowrap"> <code> /scripts/restartsrv_ftpserver
</code> </code>
الآن إنتهينا وبنجاح من تركيب install الجدار الناري وإعداده الإعداد الصحيح بإذن الله تعالى
الآن بالنسبة للحماية من هجمات الفلود بواسطة هذا البرنامج الجبار طبق الآتي
رمز PHP:
<code style="white-space:nowrap"> <code> nano /etc/csf/csf.conf
</code> </code>
قوم بالضغط على CTRL + W ونبحث عن
PORTFLOOD
سوف نحد السطر بالشكل التالي افتراضياً:
رمز PHP:
<code style="white-space:nowrap"> <code> PORTFLOOD = ""
</code> </code>
نضع بداخل "" الاعدادات التي نريدها, كما في المثال التالي:
رمز PHP:
<code style="white-space:nowrap"> <code> PORTFLOOD = "80;tcp;20;10"
</code> </code>
80
هو المنفذ
TCP
هو البروتوكول
20
هو عدد الاتصالات المسموح به بنفس الوقت
10
هو وقت الايقاف المؤقت وبعد الـعشر ثواني يتم السماح للأي بي بعمل اتصالات جديدة.
ملاحضه مهمه:
ipt_recent
تستطيع حساب
20 Packets
لكل عنوان, لذا تستطيع تغيير عدد الاتصالات من 1 إلى 20 فقط.
هل هنالك امكانية اضافة اكثر من منفذ ؟ نعم ويكون بالشكل التالي مجرد مثال
رمز PHP:
<code style="white-space:nowrap"> <code> PORTFLOOD = "22;tcp;10;200,21;tcp;15;100,80;tcp;20;5"
</code> </code>
لاحظ أني عند كل اضافة منفذ جديد اضع فاصلة (,)
في المثال السابق اخترت اكثر من منفذ وهم 22 و 21 و 80 وتستطيع اضافة المزيد وتستطيع تغيير عدد الاتصالات و وقت الايقاف المؤقت وايضاً تغيير نوع البروتوكول مثلاً
من
TCP
إلى
UDP
وهكذا. بعد الانتهاء من التعديل نقوم بحفظ الملف
CTRL + X
ثم Y
ثم
Enter.
واخيراً لا ننسى اعادة تشغيل
CSF
بالأمر التالي:
رمز PHP:
<code style="white-space:nowrap"> <code> csf -r
</code> </code>
ملاحضة
من خلال الفلود لا يتم اختراق الموقع او السيرفر SERVER, الفلود عبارة عن
DoS "حجب الخدمة"
ولمعلومات أكثر عن هذا النوع من الهجوم على السيرفر SERVERات توجه إلى
http://en.wikipedia.org/wiki/Denial-of-service_attack
هذه الطريقة تصد الفلود العادي والمتوسط ولا تستطيع مواجهة interface الفلود القوي او العالي.
ملاحضه أخرى
هذه العملية تتطلب وجود تفعيل موديل
ipt_recent
للتحقق من أن الموديل مفعل إضغط على
Test iptables
وشوف الموديلات الموجوده هل الموديل المطلوب مفعل أم لا ؟
إذا كنت صاحب سيرفر SERVER مشترك في بي أس راسل صاحب السيرفر SERVER الرئيسي لتفعيل الموديل
أما إذا كنت صاحب السيرفر SERVER الكامل وتريد تفعيل الموديل لعملائك الفي بي أي
إليك الطريقة
ملاحظة هامة : التطبيقات التالية سيتم تنفيذها على ملفات هامة جداً
وخاصة بنظام التشغيل للنود الرئيسي ،
لذلك يجب عليك اخذ نسخة احتياطية من هذه الملفات
قبل تنفيذ التطبيقات الموجودة بالشرح طريقة ،
حتى اذا قمت بخطأ ما يمكنك استرجاع النسخة الاصلية من جديد ،
يمكنك اخذ نسخة من الملفات من خلال الاوامر النالية :
رمز PHP:
<code style="white-space:nowrap"> <code> cp /etc/sysconfig/iptables-config /etc/sysconfig/iptables-config.old
</code> </code>
رمز PHP:
<code style="white-space:nowrap"> <code> cp /etc/sysconfig/vz /etc/sysconfig/vz.old
</code> </code>
رمز PHP:
<code style="white-space:nowrap"> <code> cp /etc/vz/vz.conf /etc/vz/vz.old
</code> </code>
الان نبدأ بإسم الله .
افتح الشيل وسجل دخول الى السيرفر SERVER الرئيسيى بحساب الروت ونفذ الخطوات التالية .
سيتم اضافة موديلات الـ iptables اللازمة فى 3 ملفات ، من خلال الخطوات التالية :
نفذ الامر التالي لاضافة الـ iptables modules اللازمة :
رمز PHP:
<code style="white-space:nowrap"> <code> nano /etc/sysconfig/iptables-config
</code> </code>
ابحث عن
رمز PHP:
<code style="white-space:nowrap"> <code> IPTABLES_MODULES=
</code> </code>
ستجدها كالآتي
رمز PHP:
<code style="white-space:nowrap"> <code> IPTABLES_MODULES=" "
</code> </code>
او ربما تجد موديلات موجوده ما بين القوسين "" ، قم بمسح ما بين القوسين وضع الموديلات التالية ، وتأكد انها على سطر واحد :
رمز PHP:
<code style="white-space:nowrap"> <code> ip_tables ipt_state ipt_multiport iptable_filter ipt_limit ipt_LOG ipt_REJECT ipt_conntrack ip_conntrack ip_conntrack_ftp iptable_mangle ipt_owner ipt_recent iptable_nat ip_nat_ftp ipt_REDIRECT ipt_length ipt_tos ipt_TOS ipt_TCPMSS ipt_tcpmss ipt_ttl ip_conntrack_netbios_ns
</code> </code>
بعد وضع الموديلات السابقة ، قم بحفظ التغييرات التي قمت بها فى الملف من خلال الضغط على Ctrl+x ، ثم y ثم انتر .
بعد ذلك ، قم بفتح الملف التالي لوضع الموديلات اللازمة ايضاً :
رمز PHP:
<code style="white-space:nowrap"> <code> nano /etc/sysconfig/vz
</code> </code>
ثم ابحث عن :
رمز PHP:
<code style="white-space:nowrap"> <code> IPTABLES=
</code> </code>
ستجدها كالتالي
رمز PHP:
<code style="white-space:nowrap"> <code> IPTABLES=" "
</code> </code>
أيضاً ربما تجد موديلات موجوده ما بين القوسين "" ، قم بمسح ما بين القوسين وضع الموديلات التالية ، وتأكد انها على سطر واحد
رمز PHP:
<code style="white-space:nowrap"> <code> ip_tables ipt_state ipt_multiport iptable_filter ipt_limit ipt_LOG ipt_REJECT ipt_conntrack ip_conntrack ip_conntrack_ftp iptable_mangle ipt_owner ipt_recent iptable_nat ip_nat_ftp ipt_REDIRECT ipt_length ipt_tos ipt_TOS ipt_TCPMSS ipt_tcpmss ipt_ttl ip_conntrack_netbios_ns
</code> </code>
بعد وضع الموديلات السابقة ، قم بحفظ التغييرات التي قمت بها فى الملف من خلال الضغط على Ctrl+x ، ثم y ثم انتر .
بعد ذلك ، قم بفتح الملف التالي لوضع الموديلات اللازمة ايضاً
رمز PHP:
<code style="white-space:nowrap"> <code> nano /etc/vz/vz.conf
</code> </code>
ثم ابحث عن :
رمز PHP:
<code style="white-space:nowrap"> <code> IPTABLES=
</code> </code>
ستجدها كالتالي
رمز PHP:
<code style="white-space:nowrap"> <code> IPTABLES=" "
</code> </code>
أيضاً ربما تجد موديلات موجوده ما بين القوسين "" ، قم بمسح ما بين القوسين وضع الموديلات التالية ، وتأكد انها على سطر واحد
رمز PHP:
<code style="white-space:nowrap"> <code> ip_tables ipt_state ipt_multiport iptable_filter ipt_limit ipt_LOG ipt_REJECT ipt_conntrack ip_conntrack ip_conntrack_ftp iptable_mangle ipt_owner ipt_recent iptable_nat ip_nat_ftp ipt_REDIRECT ipt_length ipt_tos ipt_TOS ipt_TCPMSS ipt_tcpmss ipt_ttl ip_conntrack_netbios_ns
</code> </code>
الان انتهينا من اضافة الموديلات اللازمة .
بعد ذلك سنقوم باضافة الموديلات لملف الكونفيج الخاص بالفي بي اس الذي نريد تشغيل الـ csf عليه ، فلنفترض مثلا ان رقم الفي بي اس هو 100 ، اذاً سوف نقوم باضافة الموديلات فى ملف كونفيج الفي بي اس 100 وايضاً سوف نقوم بتحديد الـ resource الخاص بـالـ iptables لهذا الفي بي اس ، وسنقوم بعمل ذلك من خلال الاوامر التالية
رمز PHP:
<code style="white-space:nowrap"> <code> vzctl set 100 --iptables ipt_REJECT --iptables ipt_tos --iptables ipt_TOS --iptables ipt_LOG --iptables ip_conntrack --iptables ipt_limit --iptables ipt_multiport --iptables iptable_filter --iptables iptable_mangle --iptables ipt_TCPMSS --iptables ipt_tcpmss --iptables ipt_ttl --iptables ipt_length --iptables ipt_state --iptables iptable_nat --iptables ip_nat_ftp --save
</code> </code>
هكذا اضفنا الموديلات فى ملف الكونفيج الخاص بالفي بي اس ، ولتحديد الـ عدد iptables ، وعلى الاقل يجب ان تكون 1000 ، سوف نقوم بتنفيذ الامر التالي ايضاً
رمز PHP:
<code style="white-space:nowrap"> <code> vzctl set 100 --numiptent 2000 --save
</code> </code>
-- طبق الامرين السابقين على جميع الـ vps التي تريد ان تقوم بتفعيل الـ csf لها بدون مشاكل ، مع استبدال رقم الـ vps الموجود اعلاه (100) برقم الفي بي اس الذي سوف تقوم بتنفيذ العملية عليه .
- بعد ذلك سوف تقوم بايقاف خدمة الـ vz وريستارت للـ iptables ثم بعدها اعادة التشغيل مرة اخري (ملحوظة : سوف يتم ايقاف جميع الفي بي اسات على النود عند ايقاف الخدمة وسوف يتم اعادة تشغيلهم مرة ثانية عند تشغيل الخدمة ) .
الان سوف تقوم بايقاف الخدمة من خلال الامر التالي
رمز PHP:
<code style="white-space:nowrap"> <code> service vz stop
</code> </code>
انتظر حتى ينتهى وثم بعدها ريستارت للـ iptables :
رمز PHP:
<code style="white-space:nowrap"> <code> service iptables restart
</code> </code>
بعدها تشغيل الخدمة مرة اخرى
رمز PHP:
<code style="white-space:nowrap"> <code> service vz start
</code> </code>
الان تم حفظ التطبيقات التي قمت بها .
- بعد ذلك سنقوم بعمل رستارت للنتوورك من داخل الشيل الخاص بالفي بي اس ، قم بالدخول الى الفي بي اس من خلال الشيل او يمكنك الدخول اليه من خلال النود عن طريق الامر التالي
رمز PHP:
<code style="white-space:nowrap"> <code> vzctl enter 100
</code> </code>
الان انت بداخل الشيل للفي بي اس 100 ، ستقوم بعمل ريستارت للنتورك وذلك من خلال الامر التالي
رمز PHP:
<code style="white-space:nowrap"> <code> service network restart
</code> </code>
إلى الآن إنتهينا من إزالة أي جدار ناري على السيرفر SERVER وتركيب install الـ
CSF
وإعداده إعداد مناسب وجيد والمساهمة بصورة كبيرة في حماية السيرفر SERVER من خطر الفلود وهجمات الإغراق على السيرفر SERVERات
وتأكدنا من الموديلات المفعله وفعلنا الموديلات المهمه لأصحاب السيرفر SERVERات الكاملة المقسمة إلى في بي أسات
آخر أمر في الموضوع
خاصية فحص حماية السيرفر SERVER بواسطة الجدار الناري
CSF
Chek Server Security
يعطيك نقاط ضعف سيرفر SERVERك وأخطاء السيرفر SERVER والأخطاء الأمنية
ستجد كل خطأ أماه تحذير باللون الأحمر
أبحث عن إسم الخطأ لتعرف حله
والموضوع هنا مفتوح لتحذيرات الجدار الناري مجرد أذكر لي التحذير بالكامل وسيتم وضع الحل بإذن الله تعالى
وفي الختام أتمنى من الله عز وجل أن أكون وفقت في عملي هذا فإن أصبت من الله وإن أخطأت من الشيطان
الموضوع الأصلي ...
http://3eyon.net/vb/showthread.php?p=1914#post1914
بلنسبة لتفعيل الموديلات
مقتبسه من شركة الخليج هوست
http://www.gulfhosted.com/main/t18.html
في حال حدوث أي مشاكل معكم
فنحن هنا والموضوع مفتوح لجميع الأسئلة والإستفسارات
تحياتي وإحترامي لكم
صهيب الفهداوي
شبكة عيون الحبايب العراقيه
http://www.3eyon.net
http://www.3eyon-host.com
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى©