استلمت سيرفر جديد؟! ، خطوات الحماية الأولية

[hyyat4host]

اخواني ، السلام عليكم

بداية يجب ان انوه الى ان بعض محتويات هذا الموضوع قد تكون مكرره ولكنني وددت ان اجمع خطوات حماية اي سيرفر جديد في موضوع للإفاده:


على فرض ان لوحة التحكم هي WHM/CPanel

اذهب الى Server Setup ثم Tweak Settings

وتاكد من التالية:

تحت خيارات Domains

تاكد من اختيار Prevent users from parking/adding on common internet domains

تحت خيارات Mail

تاكد من اختيار Attempt to prevent pop3 connection floods

و اختيار Default catch-all/default address behavior for new accounts - blackhole

تحت خيارات System

تاكد من استخدام jailshell as the default shell for all new accounts and modified accounts

----

الان اذهب الى Server Setup ومن ثم Tweak Security

قد بتفعيل حماية php open_basedir

وقم كذلك بتفعيل mod_userdir

وقم بالغاء تفعيل Compilers for unprivileged users

----

الان اذهب الى Server Setup ومن ثم الى Manage Wheel Group Users

قم بالغاء جميع المستخدمين ما عدا الـ root والمستخدم الأساسي للحساب الذي ستستخدمه

----

الان اذهب الى Server Setup ومن ثم الى Shell Fork Bomb Protection

وقم على تنشيط Shell Fork Bomb/Memory Protection

----

الان اذهب الى Service Configuration ومن ثم الى FTP Configuration

قم على الغاء تفعيل Anonymous FTP


----

الان اذهب الى Account Functions ومن ثم الى Manage Shell Access

وقم بالغاء خاصية الدخول بـ SSH لجميع المستخدمين ما عدا المستخدم الذي تستخدمه انت

---

الان اذهب الى Mysql ومن ثم MySQL Root Password

وغير كلمة سر الـ root للـ MySQL ويفضل ان تكون كلمة السر طويلة وصعبة التذكر جدا حتى لو نستيتها انت فلا مشكلة حيث انك تستطيع تغييرها فيما بعد.

يتبع وراء هذا الموضوع مباشرة ....

[hyyat4host]

الان قم بتحديث نظام التشغيل لديك والأباتشي الى اخر اصدار ثابت (Stable) عن طريق ال WHM/Cpanel

تغيير بورت الـ SSH لمزيد من الحماية

قم بالدخول الى السيرفر الخاص بك عن طريق SSH باستخدام اي برنامج متوافق مثل الـ Putty في حال كنت تستخدم ويندوز.

ادخل الأمر التالي: pico /etc/ssh/sshd_config

وذلك لفتح ملف خيارات الـ SSH على السيرفر

ابحث في الملف عن العبارات التالية

#Port 22
#Protocol 2, 1

قم على حذف اشارة المربع # من بداية السطر في كلمة Port

ومن ثم اختر اي رقم مكون من 4 او خمس خانات بعد كلمة Port ليكون هو هذا البورت الذي سوف تستخدمة للدخول الى الـ SSH على سيرفرك (اقصى رقم يمكن ان تستخدمه هو 49151)

ليصبح كثلا هكذا:

Port 2580

قم على حفظ الملف عن طريق الضغظ على Ctrl+x ومن ثم الموافقة على حفظ الملف

الان بعد ان قمت على حفظ الملف قم على اعادة تشغيل موجه الـ SSH على السيرفر عن طريق الأمر التالي:

/etc/rc.d/init.d/sshd restart

لاحظ انه اذا كنت تستخدم جدار ناري كـ apf فانه يجب عليك السماح للبورت الذي استخدمته هنا وهو في مثالنا هذا 2580 من ان يكون قابلا للإستخدام، وذلك عن طريق اضافته على المتغير EG_TCP_CPORTS في خيارات ال apf. و مشكلة بالفعل لو خرجت من ال SSH ولم تقم على اضافة البورت لخيارات APF وكان ال APF عاملا لانه عندها لن يسمح لك بالدخول

الان قم على الخروج من SSH ومن ثم قم على الدخول مرة ثانية وهنا تذكر ان تدخل رقم البورت الجديد الذي قمت على اختيارة للدخول الى SSH.

اذا كنت تدخل الى السيرفر عن طريق لينوكس فان امر الدخول سيكون هكذا

ssh 255.255.255.255 -p 2580

مع استبدال رقم الأي بي برقم اي بي السيرفر الخاص بك ورقم 2580 برقم البورت الذي استخدمته.

الغاء الـ Telnet

لألغاء ال telnet قم بالدخول الى السيرفر عن طريق SSH

ادخل الأمر التالي: pico -w /etc/xinetd.d/telnet

غير العبارة disable = no الى disable = yes من الملف

وقم بحفظ الملف ومن ثم قم على اعادة تشغيل الموجه xinetd عن طريق الأمر التالية

/etc/init.d/xinetd restart


يتبع وراء هذا الرد مباشرة ...

[hyyat4host]

ارسال رسالة لك على الأيميل في كل مرة يدخل ال root عن طريق SSH

لكي يقوم النظام بإرسال رسالة لك عبر البريد الإليكتروني في كل مرة يقوم فيها الـ root بالدخول الى السيرفر عن طريق SSH قم بالخطوات التالية:

ادخل الى السيرفر عن طريق SSH

ادخل الأمر التالي: pico .bash_profile

اذهب الى نهاية الملف وادخل السطر التالي:

كود:

echo 'ALERT - Root Shell Access on:' `date` `who` | mail -s "Alert: Root Access from `who | awk '{print $6}'`" your@email.com

قم على تغير your@email.com الى عنوان بريدك الإليكتروني ويفضل ان يكون هذا العنوان خارج السيرفر.

قم على حفظ الملف ومن ثم الخروج

الغاء عرض معرف الأباتشي في الصفحات

لإلغاء عرض معرف الأباتشي في الصفحات والذي يعرض اصدار الأباتشي المستخدم حاليا على السيرفر قم بالخطوات التالية:

ادخل الى السيرفر عن طريق SSH

ادخل الأمر التالي الى سطر الأوامر: pico /etc/httpd/conf/httpd.conf

ابحث عن عبارة ServerSignature On في الملف واجعلها ServerSignature Off

قم بعمل ريستارت للأباتشي عن طريق الأمر التالي: /etc/rc.d/init.d/httpd restart

يتبع ....

[hyyat4host]

تركيب chkrootkit

لتركيب chkrootkit على السيرفر قم بالدخول الى السيرفر عن طريق SSH

ادخل العبارة التالية الى سطر الأوامر: cd /root/

ومن ثم ادخل العبارة التالية الى سطر الأوامر: wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

ومن ثم ادخل : tar xvzf chkrootkit.tar.gz

ومن ثم ادخل: cd chkrootkit-0.44 او غير chkrootkit-0.44 الى اسم المجلد الذي تم فك ضغطه لديك على السيرفر

ومن ثم ادخل العبارة التالية الى سطر الأوامر: make sense

الان ما عليك الا تشغيل chkrootkit

لتشغيل chkrootkit قم على مناداة ./chkrootkit

او عن طريق العبارة التالية: /root/chkrootkit-0.44/chkrootkit

تاكد من صحة المسار للملف التنفيذي على سيرفرك.

لتشغيل هذا الملف باستمرار بين الحين والأخر قم على اضافته الى ال cron job عن طريق الأمر crontab او عن طريق ال cron job في WHM.

لاحظ انه عند تشغيل chkrootkit فسوف تظهر العبارة التالية من ضمن نتائج الفحص

Checking `bindshell'... INFECTED (PORTS: 465)

لا تخف ان هذه العبارة هي (false positive) اي انها (خطا ايجابي) لانه البورت 465 مخصص لـ SMTP SSL.


يتبع لاحقا فيما بعد .......

[x_uaewolf_x]

يعطيك العافيه

وننتظر باقي موضوع


ولاتحرمنا من دروسك اخوي

تحيتي

[معتدل]

الله يعطيك ألف عافية ولا قصرت .. وكثر من امثالك.

مازلنا في انتظار البقية.

[jadweb.com]

الله يعطيك الف عافية اخوي جزاك الله خير .

[hyyat4host]

x_uaewolf_x

معتدل

jadweb.com

شكرا اخواني لمروركم وردكم

[الغريم]

جزااااااااك الله الف خييييييير تسلم
خطوااات راائعة

[xp4host]

احسنت اخي الكريم على الشرح المفصل

شكرا لك

اخوك ابو سعود