السلام عليكم
شرح تظبيط اعدادات الحماية لسيرفر جديد
1- ترقية السى بانل طبعا هنختار الاعدادا المناسب من ال whm ونستخدم الان اصدار ريليز ونجعلها على اوتماتيك يمكن الترقية من whm او من الشل عن طريق /scripts/upcp ==force
2- تغير باسورد قواعد البيانات
3- ترقية ل php
4- غلق الدوال خطرة ويتم ذلك عن طريق nano /usr/local/lib/php.ini
ثم البحث عن كلمة هنكتب ctrl+ w ونكتب الكلمة ولما تظهر نضيف الدوال جمبهاdisable_function ونضع بجوارها الدوال التالية : "dl,exec,shell_exec,system,passthru,popen,pclose,proc_open,proc_nice,proc_terminate,proc_get_status, proc_close,pfsockopen,leak,apache_child_terminate,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid ,posix_setuid,escapeshellcmd,escapeshellarg,hell-exec,fpassthru,exec,crack_check,crack_closedict,crack_getlastmessage,crack_opendict,psockopen,php_in i_scanned_files,php_u,curl_init, curl_exec,tempnam,symlink,mkdir,ini_restore,phpinfo,posix_getpwuid,error_log,Print_r"
طبعا الدوال كلها لازم تكون فى سطر واحد بجوار كلمة disable_function
ثم نبحث عن كلمة safe_mod ونغيرها من Off الى On طبعا البحث بكتابة ctrl+w ثم تكتب الكلمة وانتر بعد غلق الدوال والسيف مود
هنعمل /etc/init.d httpd restart
5 = تركيب المود سكيورتى
wget
http://karempo.com/files/modsecurity...e_1.9.4.tar.gz
tar -zxf modsecurity-apache_1.9.4.tar.gz
cp -r /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.mod.back
/usr/local/apache/bin/apxs -cia -D DISABLE_HTACCESS_CONFIG -cia modsecurity-apache_1.9.4/apache1/mod_security.c
wget
http://karempo.com/files//rules.txt
cat rules.txt >> /etc/httpd/conf/httpd.conf
/etc/init.d/httpd configtest
/etc/init.d/httpd restart
====================================
6منع الدخول المباشر للروت واضافة يوزر اخر للدخول طريقة الااضافة لليوزر وتغير بورت الشل
groupadd admin
useradd admin –gadmin
adduser admin -G wheel
passwd admin
ونضع الباسورد مرتين له وبكذا ضفنا اليوزر ونتاكد من ال whm باضفته للويل جروب
هنسيب الشل مقتوح ونجرب نفتح شل تانى وندخل بيوزر ادمن وبعدين نكتب su هيطلب باسورد الروت لو دخل تماما يبقى مافيش مشكلة للوقتى
الوقتى هنمنع الدخول المباشر :
nano -w /etc/ssh/sshd_config
هنبحث عن Protocol 2, 1
هنلاقى فى اول السطر # هنحذفها ونخلى السطر شكله كده Protocol 2
بعدين هنبحث عن دى PermitRootLogin yes
برضو اول ايطسر هنلاقى # نحذفها ونخلى السطر PermitRootLogin no
تغير البورت هنبحث عن Port او 22 السطر بيكون هنا
فوق السطر الى عدلناه لكده Protocol 2 هنخلى السطر كده مثلا Port 8888 او اى بورت اخر ثم
/etc/rc.d/init.d/sshd restart
============================
اعدادات من ال whm :
قائمة : Security
Security Center
Compilers Tweak
هيكون ظاهر disable Compilers
نضغظ عليها
PHP open_basedir Tweak
ندخل ونعلم صح فوق خالص وسيف
Apache mod_userdir Tweak
ندخل ونعلم صح فوق خالص و سيف
Shell Fork Bomb Protection
نخليها enable
=======================
Tweak Settings
The maximum each domain can send out per hour (0 is unlimited): نحدد الرقم الى هو عبراة عن عدد الرسائل الممسوح ارسالها فى الساعة لكل حساب
Prevent the user "nobody" from sending out mail to remote addresses (PHP and CGI scripts generally run as nobody if you are not using PHPSuexec and Suexec respectively.) لو علمنا صح هنا هنوقف ارسال الرسائل عن طيق النو بودى
Always redirect users to the ssl/tls ports when visiting /cpanel, /webmail, etc. اختارها
When visiting /cpanel or /whm or /webmail WITHOUT SSL, you can choose to redirect to:
Hostname
When visiting /cpanel or /whm or /webmail with SSL, you can choose to redirect to:
SSL Certificate Name
--
Stats Programs
الغى الصح من على كل البرامج
The load average that will cause the server status to appear red (leave blank for default): خليها مثلا 10 دى اللمبة الحمراء الخاصة بارتفاع اللود تبقى حمرا عند رقم كام
====================================
System Health
Background Process Killer
علم صح على كل الموجود وسيف
============
cPanel
Upgrade to Latest Version
With your current Update Settings, you will be upgrading to the latest RELEASE build.
Update Settingsنضغط على كلمة
ونختار Automatic (RELEASE tree) واسفل اوتماتيك ايضا
===========
cPanel
Plugins
Name: spamdconf
Name: pro
Name: clamavconnector
نعلم صح على التلاتة دول وسيف