سلسلة دروس ادارة السيرفرات ...مهم جدا

[light4arab]

شكرا لك
بالنسبة لسؤالي عن الموزع قصدي ما هي الخصائص الأفضل للموزع
الشيء الثاني أخي أنا أضفتك في خدمة لاهنت لكنك شكلك كنت مشغول moafnet أنتظرك في أقرب فرصة لك
شكرا لك مرة آخرى

[egmix]

أخي الفاضل : ياوش ...اشكرك على مرورك على الموضوع والتشجيع

الاخ الفاضل : أيمن أبو عبيدة ...بهذه الطريقة تجعل لغة ال asp تعمل على سيرفرك ..وهي اللغة المناظرة لل php أي تجعل سكربتات ال asp تعمل على السيرفر ..,هي ليست اباتشى جديد ....هي فقط اضافة وتعديل للأباتشي الموجود .


أخي الفاضل : BitSurFer ...ماهي توزيعة اللينكس لديك ؟؟


اخي الفاضل : light4arab ...عفوا لم اجد ايميلك لدي ...ارسل ما تود الاستفسار عنه على البريد mero160@hotmail.com وانا تحت امرك في اي وقت ان شاء الله .

وبالنسبة لسؤالك :
انا فهمت انك تقصد الصلاحيات التي ينبغي ان تمنح أو لا ...
أولا : لا تعطي shell access لاي مستخدم ....وان كان ولا بد منه فأعطيه ال jail shell ....ولا تعطيه ال normal shell

واثناء اعطائها الصلاحيات ..يفضل ان تجعلها كما في الصور :

هنا يفضل ( وليس اجباري) انك تحدد كل ريسلر بالمساحة الممنوحة له والترافيك ...على سبيل المثال :



وهذه يفضل ايضا تخليها كده :


ولا تعطيه صلاحية اعادة تشغيل البرامج كما في الصورة :


وطبعاااااااا لا تعطيه ال root accses كما في الصورة :


وبالنسبة لباقي الصلاحيات ما فيها مشاكل :



تحياتي

[egmix]

السلام عليكم ورحمة الله وبركاته ....

نتحدث اليوم وفي الدروس القادمة ان شاء الله عن مواضيع غاية في الاهمية ..وهي حماية وتأمين السيرفر...
وهو ما يجب ان يشغل بال اي مستضيف قبل اي شيء ..قبل حتى ان يفكر في الدعاية لشركته ....
الاجراءات الأمنية الواجب اتباعها تنقسم الى قسمين :
================================================
القسم الاول هو تغيير بعض الاعدادت الافتراضيه للسيرفر ...
******************************************
القسم الثاني هو تركيب بعض البرامج الاضافية للسيرفر والتي تساعد على حمايته بشكل افضل ...
******************************************
وسوف يأخذ القسم الاول المواضيع التالية :
1) اغلاق وحجب خدمة التلنت ( وقد تحدثنا عنها في الدرس التاسع والعشرون في هذه السلسة )
2) اغلاق المترجمات Compilers ( وقد تحدثنا عنها في الدرس الثامن والعشرون في هذه السلسلة)
3) منع دخول المستخدم root الى ال SSH بشكل مباشر .
4) تغيير المنفذ الخاص بال ssh لزيادة الامان .
5) تلقي تحذير بريدي عند الخول بحساب ال root (وقد تحدثنا عنها في الدرس الرابع عشر في هذه السلسة).
6) تشغيل السيرفر في وضع ال safe-mode .
7) اخفاء معومات السيرفر (توقيع الاباتشي ) .
8) ترقية وتحديث ال cPanel وال WHM (وقد تحدثنا عنها في الدرس الخامس والعشرون في هذه السلسلة).
9) تغيير تصريحات بعض الملفات لمنع المخترقين من استخدامها .
10) تأمين مجدل ال tmp .
===============================================
القسم الثاني ويأخذ المواضيع التالية :
1) تركيب برنامج ال Advanced Policy Firewall وهو الجدار الناري الاكثر من رائع.
2) تركيب برنامج Brute Force Detection وهو احد البرامج الضرورية والهامة .
3) تركيب برنامج ال rkhunter لفحص ملفات السيرفر واحتياطاته الامنية (وقد تحدثنا عنه في الدرس السادس والعشرون).
4) تركيب برنامج ال Linux Socket Monitor لمراقبة منافذ السيرفر .
5) تركيب برنامج ال SIM لمراقبة اداء السيرفر ...واعادة تشغيل الخدمات المتوقفة تلقائيا.
6) تركيب برنامج ال rootcheck كبديل لل rkhunter .
7) تركيب برنامج ال KISS الجدار الناري .

[kuwait101]

السلام عليكم جميعاً

* جزاك الله خير والله يرحم والديك ان شاءالله

[egmix]

الدرس الحادي والثلاثون: طريقة منع دخول المستخدم root الى ال SSH بشكل مباشر .
-------------------------------------------------------------------------------------------------------------------
نتعلم معا ان شاء الله الان كيف نقوم بمنع الدخول المباشر للمستخدم root لما يشكله من خطورة كبيرة جدا على السيرفر ...على سبيل المثال تخمين الباسوورد عن طريق احد الاكسبلويتات...وخلافه .
---------------------------------------------------------------------------------------------------------------------
1) بداية يجب عليك أن تقوم بانشاء حساب جديد ..وباسم مستخدم صعب التخمين ...على سبيل المثال
swalif ....الان توجه الى ال whm وقم بانشاء الاكونت الخاص هناك ...

2) بعد انشاء الحساب قم باتباع الشرح المصور :



والان



تلاحظ



3) قم بفتح السيرفر عن طريق ال ssh بالمستخدم root ( يمكنك تحميل ال ssh من هنا http://www.egmix.com/security/putty.exe) ..

4) قم بكتابة الامر التالي :



الان ابحث في الملف المفتوح امامك عن العبارة التالية :



والان قم بتغيير البروتوكول كما في الصورة التالية :



5) تابع البحث في نفس الملف على العبارة التالية :



6) والان غيرها كما في الصورة التالية :



7) الان قم باغلاق الملف وحفظ التغييرات عن طريق الضغط على مفتاحي CTRL+ X ومن ثم الضغط على y

8) الان قم باعادة تشغيل ال sshd عن طريق الامر التالي :



9) الان قد انتهينا بحمد الله ......لاحظ انك لن تستطيع الان الدخول بالمستخدم root مباشرة عن طريق ال ssh وانما يجب عليك اولا ان تقوم بالدخول باسم المستخدم الذي اضفته...اذن قم بالدخول الى ال ssh باسم المستخدم الذي أضفته منذ قليل اولا ....ومن ثم التحويل الى المستخدم الرووت ...
بعد تسجيل دخولك بالمستخدم قم بكتابة الامر التالي :




والان قم بادخال الباسوورد ( لاحظ انها لن تظهر ) الخاصة بالرووت :



والان تم تسجيل دخولك بواسطة الرووت

[egmix]

أشكرك اخي الفاضل kuwait101 على ردك المشجع
ان شاء الله نتابع الدرس القادم :

تشغيل السيرفر في وضع ال safe-mode وتغيير بعض التصريحات لبعض الملفات المهمة

[BitSurFer]

حليت المشكله اخوي
المشكله ان الملف اللى اسحبه قديم جربت سحبت ملف احدث واشتغل

[egmix]

الحمد لله انه اتحلت مشكلتك

[BoO_SuLtAn]

السلام عليكم ورحمة الله ...


ماشاء الله عليـــك يا Egmix سلسلــه ضخمــه جداً ..

بالتوفيق ان شاء الله ..


السلام عليكم ..

BoO_SuLtAn

[m7m7]

السلام عليكم
مشكور اخي egmix
على الدروس هذه وجزاك الله خير الجزاء ولكني اطمع في شيء ربما يعتبر بسيط
اطمع في ان تضيفني في ماسنجر احتاج لمساعدتك في بعض الامور
وهذه ماسنجري
m7m7com (at) hotmail.com
مع تحياتي

[egmix]

تحت امرك اخي الفاضل ...تمت الاضافة

[light4arab]

أخي وقعت في الفخ فأنا أضفت egmix@msn.com
لكن خذ بريدي moafanet@@hotmail.com
شكرا لك على تجاوبك معي وشروحك الأكثر من ممتازة

[egmix]

السلام عليكم ورحمة الله وبركاته ....
نناقش معا في هذا الدرس ان شاء الله ..طريقة تفعيل ال safe-mode بحيث تعمل ال php في الوضعية الامنة ....
-------------------------------------------------------------------------------------------------------
يعتبر السبب الرئيسي في خطورة عدم تفعيل ال safe-mode على السيرفر ..هو امكانية استغلال الوضع في اختراق السيرفر والسيطرة عليه سيطرة كاملة ....

كيف ؟

تقوم بعض الاسكربتات الخبيثة مثل البي اتش بي شيل ..أو الهومو كوماندر أو السي جي اي كوماندر أو التيلنت كوماندر ...او غيرها الكثير ..في استغلال الوضع واستدعاء اخطر دوال النظام ...واستخدامها في كشف ملفات السيرفر كلها ...
على سبيل المثال يمكن للمخترق استعراض ملفات ال config على السيرفر ..او ملفات ال passwd او حتى استخدام الامر wget او ال lynx في احضار وجلب بعض الاكسبلويتات والتي تستخدم في الاختراق الداخلي ...حيث يقوم بترجمتها أو تطبيقها على السيرفر ..ويحصل على التحكم الكامل في السيرفر ....

اذن ما الحل ؟

الحل هو ان تقوم بحجب هذه الدوال يدويا ..او تشغيل السيرفر في الوضعية الامنة ....

ماهي الاثار الجانبية ؟

الاثار الجانية لهذاالوضع ...هي عدم عمل بعض الاسكربتات ( القلة القليلة منهم ) على السيرفر بشكل صحيح ...او ظهور بعض سطور الخطا في الاسكربتات الاخرى ....ولكن في المقابل تكون قد اتقيت خطر كبير يهدد السيرفر .....يجب الا تستهين به ....حيث يمكن للمخترق ان يقوم برفع احد هذه الاسكربتات عن طريق ثغرة في احد المواقع المستضافة لديك ....أو حتى ان يطلب منك الاستضافة مباشرة ....

طريقة تشغيل ال safe-mode

الطريقة سهلة جدا .... فقط اتبع الخطوات التالية :

1) قم بتسجيل الدخول الى سيرفرك عن طريق ال ssh بالمستخدم root
( أو لو استخدمت طريقة الدخول غير المباشر ..قم بالدخول باسم المستخدم ..ثم استخدم su - )

2) قم بفتح ملف ال php.ini عن طريق الامر التالي :


او قم بتحديد مساره عن طريق الامر locate .

3) الان ابحث عن هذه العبارة :



4) قم بتغييرها الى الاتي :



5) الان قم باغلاق الملف وحفظه ...عن طريق الضغط على مفتاحي CTRL + X ومن ثم الضغط على Y

6) قم باعادة تشغيل الاباتشي .

والان انتهينا بحمد الله ....

في حالة لم ترد اغلاق ال safe-mode وأحببت ان تقوم بحجب دوال النظام يدويا ...

يمكنك بعد القيام بالخطوة 2 ..أن تقوم بالاتي .....

ابحث عن العبارة التالية :



وقم بتغييرها الى العبارة التالية :



والان اغلق الملف ...وقم باعادة تشغيل الاباتشي ....

--------------------------------------------------------------------------------------
يمكنك لزيادة الامان ..والاحتياط ...ان تقوم بتغيير بعض التصريحات الخاصة ببعض الاوامر ....مثل الاوامر التي تقوم بجلب واحضار الملفات الى السيرفر ...فقط اتبع الاتي :

1) قم بتسجيل الدخول الى سيرفرك عن طريق ال ssh وبالمستخدم root .
2) قم بكتابة الامر التالي :

chmod 750 /usr/bin/scp

3) والان قم بكتابة الامر التالي :

chmod 750 /usr/bin/rcp

4) وايضا قم بكتابة التالي :

#chmod 750 /usr/bin/wget

5) وايضا الامر التالي :

#chmod 750 /usr/bin/lynx



وبهذا نكون قد انتيهنا بحمد الله

[egmix]

السلام عليكم ورحمة الله وبركاته :

نناقش معا ان شاء الله اليوم طريقة تغيير المنفذ الافتراضي لل SSH وذلك لزيادة الأمان على السيرفر ...ويزيد من صعوبة اختراق السيرفر ....

( أرجو الانتباه في تسلسل الخطوات خاصة ان كان سيرفرك يعمل خلف جدار ناري ..حتى لا يتسبب ذلك في حجبك ومنعك من دخول السيرفر )

++++++++++++++++++++++++++++++++++++++++++++++++++++++++
قم بهذه الخطوات على مسؤوليتك الخاصة
++++++++++++++++++++++++++++++++++++++++++++++++++++++++
1) قم بالدخول الى سيرفرك عن طريق ال SSH وبالمستخدم root ....( أو طبعا لو كنت قد منعت الدخول المباشر للروت ...قم بالدخول عن طريق المستخدم العادي ...ومن ثم التحويل ((su -)) الى ال root .

2) قم بكتابة الامر التالي وذلك لتعديل ملف الكونفج الخاص بال ssh :



3) الان قم بالبحث عن العبارة التالية :



4) قم بتغييره الى المنفذ الذي تختاره ....يفضل ان يكون من 4 ارقام ...ولا تنسى حذف علامة ال #



5) الان قم بالضغط على CTRL + X ومن ثم الضغط على Y لحفظ التغييرات .

6) الان لو كان سيرفراك يعمل خلف جدار ناري ..
يجب عليك اضافة هذا المنفذ في المنافذ المفتوحة

7) بفرض ان سيرفرك يعمل خلف ال APF ...قم بكتابة الامر التالي :



8) الان قم بالبحث عن الجملة التالية فيه ..وقم باضافة المنفذ الذي اخترته هناك ..كما في الصورة :



9) الان قم بالضغط على مفتاحي CTRL + X ومن ثم الضغط على Y وبعدين Enter .

10) الان قم باعادة تشغيل الجدار الناري APF ..عن طريق الامر التالي ..كما في الصورة ..



11) والان قم باعادة تشغيل برنامج ال SSH ولكن احذر ان تقوم باغلاق الواجهة ( واجهة البرنامج )
وذلك حتى تتاكد من عمل المنفذ بشكل صحيح ......قم باعادة التشغيل عن طريق الامر التالي :



12) لا تغلق واجهة ال SSH ولكن قم بفتح واجهة اخرى من ال PUTTY واختبر عليها الدخول عن طريق المنفذ الجديد الذي اخترته..... واذا دخلت والحمد لله ..يمكنك اغلاق الواجهة الاولى ..والدخول الى سيرفرك من الان وصاعدا بالمنفذ الجديد واحذر ان تنساه

اما لو لم يتم العمل بشكل صحيح ..ولم تستطع الدخول الى السيرفر ..قم باعادة المنفذ القديم كما هو ...واعادة تشغيل ال SSH .

[فداء]

بارك الله فيك اخي الكريم

ونأمل في الاستمرار

الله يوفقك دائما

اختكم فداء

[Ahmed Tohamy]

أخى العزيز egymix رجاء شرح أذا كان السيرفر مازال جديدا ولسه مستلمه حالا من الشركه ادخل أعمل أيه ؟\

من ناحية تظبيط الدومين على الاى بى وغيرها من أعدادات

وشكرا ليك على دروسك الجميله

[egmix]

اخي الفاضل ..راجع هذا الدرس فستجد كيفيه اعداد السيرفر لاول مره
والدرس بعنوان طريقه اعداد السيرفر لاول مره

وهذا الرابط الخاص به
http://www.swalif.net/softs/showthre...5&pagenumber=3

وهوه الدرس رقم 24 ...
تمنياتي بالتوفيق ..وان عجزت امام اي شيئ ..ابلغني وانا تحت امرك

[mad_4u]

تواجهني مشكله عن ترقية الاباتشي وهو error1 make وبعدها ما يشتغل الاباتشي الا اني اسوي رول سيرفر وارجع الاعدادات القديمه
والمشكله الثانيه النطاق يعلق في السيرفر بعد مسحه وتركيبه من جديد ما يشتغل يكون معلق يا يوريك السي بانل او يورك الصفحه التعيسه سيرفر نوت كونفقرد
هل في حل للمشكلتين دي؟
والثالث اشغل الجدار الناري يعمل لي بلوك من السيرفر كيف افك نفسي:anger2:

[egmix]

السلام عليكم ورحمة الله وبركاته

اخي الفاضل: mad_4u

كود PHP:

والمشكله الثانيه النطاق يعلق في السيرفر بعد مسحه وتركيبه من جديد 


ممكن تقولي يعني ايه يعلق !!!

بالنسبة لسؤالك الاول :

تواجهني مشكله عن ترقية الاباتشي وهو error1 make وبعدها ما يشتغل الاباتشي

ماهي الطريقة التي تتبعها للترقية ؟؟
ارجو المزيد من التوضيح

[Ahmed Tohamy]

شكرا لك أخى العزيز

على الشرح الرائع

[mad_4u]

الاول تعليق النطاق
هو مو تعليق النطاق بشكل او باخر ولاكن الحين انا شغلت بعد فتره غيرت الاي بي حقه القى النطاق يسقط وما يشتغل ارجعه للأي بي الاساسي القى الموقع مخفي في السيرفر يعني ما يبان في الwhm اشيك عليه من الشل موجود
مافي طريقه غير احدفه واحطه من جديد طيب حدفته وحطيته من جديد القى النطاق ما يشتغل عندي يشتغل عند بعض الناس وناس ما يشتغل معاها
مثل هذا www.aqsaa.com النطاق مو شغال عندي وعند اكثر الي عندي في المسنجر شغال
تعتقد من ايش المشكله مع العلم النطاق راكب مع موقع ثاني على نفس الاي بي وشغال الثاني وهذا لا :anger1:
الشيء الثاني وهو الترقيه
انا رقيت الاباتشي عن طريق ويب هوستنغ منجر
اروح على Update Apache
واكبس عليه يفتح لي واسوي ابديت في فتره الابديت الصفحه يطلع لي كلها حمره خخخخخخ مافي شيء صالح فيها
:shy:


شكله معقد نصحني واحد خد سيرفر ونط عليه وخلك من هذا وبعد شهر ارجع لهم لين يحلون مشكلة السيرفر

[egmix]

الاخ الفاضل: mad_4u

لو اللي عندك ع الماسنجر من بلد اخرى ....ويشتغل الموقع معاهم ....يبقى مالك حل الا انك تكلم الداتا سنتر ...وتقولهم ع المشكلة وان شاء الله يحلوها معاك .....لو سيرفرك من ال managed يبقى المشكلة من عندهم ....وهي مشكلة عامة عندهم .
(( وطبعا انتظر اربع سنين ونص عشان يردوا عليك ))

بخصوص المشكلة الثانية ..كلمني على الماسنجر وان شاء الله نحلها سويا ...لانها تحتاج نظرة من الداخل ...
-----------------------------------------
mero160@hotmail.com
-----------------------------------------
تحياتي

[mad_4u]

انت ما فهمت قصدي
اقصد بالدومين ما يشتغل عندي الموقع اشغله عن طريق الاي بي يشتغل بشكل طبيعي
بس اشغله عن طريق الدومين نفسه ما يشتغل
كل مواقع السيرفر يشتغل بشكل عادي عند الناس كلها وعندي الا
الدومين تبع اقصى والثاني دومين ما ابغى افصح عنه في سوالف
السؤال اش معنى الدومينين هذي
على العموم تم اضافتك

[egmix]

الاخوة الأفاضل : kuwait101 , BoO_SuLtAn , m7m7 , light4arab , tohamy , فداء اشكركم على التشجيع وما نعمل الا الواجب علينا ..
الاخ الفاضل : mad_4u قبلت اضافتك وبانتظارك ان شاء الله

[egmix]

+++++++++++++++++++++++++++++++++++++++++++++
نناقش معا اليوم ان شاء الله ..طريق تركيب برنامج ال apf وهو من اقوى الجدران النارية ..واسهلها استخداما ....
+++++++++++++++++++++++++++++++++++++++++++++
طريقة التنصيب والتشغيل :
1) قم بتسجيل الدخول الى ال SSH بالمستخدم root ....( او التحويل الى root في حالة منع الدخول المباشر )

2) قم باحضار النسخة الاخيرة ( الاصدار الاخير ) من موقع الشركة الرسمي عن طريق كتابة الامر التالي :





3) الان قم بفك الضغط عن المجلد باستخدام tar كما في الصورة :



4) قم بالدخول الى المجلد بعد فك ضغطه عن طريق cd كما في الصورة :



5) الان قم بتنصيب البرنامج باستخدام ملف التنصيب عن طريق الامر التالي :



6) الان قم بتحرير ملف الكونفج عن طريق الامر التالي:



7) ابحث فيه عن المقطع الموضح في الصورة :



8) واسفل هذا المقطع تماما قم باضافة المنافذ التالية :

IG_TCP_CPORTS="20,21,22,25,53,80,110,143,443,465,993,995,2082,2083,2086,2087,2095,2096,3306,10000,19 638,35000_35999"

++++++++++++++++++++++++++++++++++++++++++++++++++++

ملاحظة مهمة جدا : لو كنت قد غيرت منفذ ال SSH يجب عليك اضافته ضمن المنافذ السابقة ...والا فلن تستطيع الدخول الى ال SSH مطلقا

++++++++++++++++++++++++++++++++++++++++++++++++++++

9) والان انتقل الى المقطع الموجود اسفل المقطع السابق تماما وهو :



واضف فيه المنافذ التالية :
20,21,53,1040

10) الان قم باغلاق الملف عن طريق الضغط على مفتاحي CTRL+ X ومن ثم الضغط على Y وبعد ذلك ENTER

11) الان قم بتشغيل الجدار الناري عن طريق الامر التالي :



12) الان قم باعادة فتح ملف الكونفج عن طريق الامر التالي :



13) وابحث فيه عن المقطع التالي :



14) وقم بتغيير القيمة DEVM الى الصفر كما في الصورة :



15) قم باغلاق الملف وحفظه CTRL+X ثم Y ثم ENTER ...

16) الان اعد تشغيل الجدار الناري عن طريق الامر التالي :




17) وتأكد انه قام باعادة التشغيل عن طريق ظهور الاتي :



18) الان نكون قد انتهينا بحمد الله من اعداد وتركيب الجدار الناري ...ولكن بقى شيئين اخرين

19) قم بجعل الجدار الناري يعمل عند كل مرة تقوم بعمل ريبووت للسيرفر ..بحيث يعمل تلقائيا ..عن طريق الأمر التالي :



20 ) الان قم بخطوة اخيرة وهي السماح لاي بي معين بتخطي الحاجز الناري ...مثلا الاي بي الخاص بك ....حتى لا يقوم الجدار الناري بحجبك لا ي سبب من الاسباب....وذلك عن طريق فتح الملف التالي :



21 ) انزل الى اخر الملف وقم باضافة الاي بي الخاص بك ..وقم باغلاق الملف وحفظه CTRL+X ثم Y ثم ENTER



ملاحظة مهمة : لو كان سيرفرك مدعم من قبل الشركة الموفرة لك السيرفر بحيث تقوم بمراقبة نظامك قم باضافة الاي بي الخاص بهم ..والا فلن يتمكنوا من الدخول للسيرفر ومراقبته

++++++++++++++++++++
وشكرا
++++++++++++++++++++