87/07/22
همين سايت يک ابزار ديگه براي بررسي طول کلمات عبور کاربران سرور ساخته است بوسيله ي (http://www.openwall.com/passwdqc) مي توانيد ليست کاربراني که از کمات عبور نا امن استفاده ميکنند را پيدا کنيد و به آنها هشدار دهيد .
?- پروتکل SSH شما Secure است؟
سعي کنيد هميشه از براي ورود به سرور از public key authentication استفاده کنيد وهيچ وقت دسترسي SSH را براي عموم باز نگذاريد. اگر از puttyاستفاده مي کنيد مي توانيد نرم افزار putty agent را نصب کرده و key هاي SSH خود را مديريت کنيد.
هميشه پورت SSH را عوض کنيد .معمولا طرف ابتدا به دنبال پورت 22 مي گرده و اگر اطلاعات کافي در مورد سرور شما نداشته باشه از دسترسي به ssh نا اميد خواهد شد . لذا هيچ وقت ssh را روي پورت 22 باز نگذاريد. مي توانيد پورت ssh را از طريق ويرايش فايل etc/ssh/sshd_config به يک پورت باز ديگر مثلا ???? تغيير دهيد. port 1654
از پروتکل 2 استفاده کنيد . اگر از putty استفاده مي کنيد اين نرم افزار قابليت پشتيباني از هر دو پروتکل را دارست پس نگراني وجود ندارد . در همين فايل etc/ssh/sshd_config مي توانيد خط Protocol 2. را تايپ کنيد.
در اکثر سيستم هاي لينوکس ميتوانيد محدوديت هايي را روي دستري هاي shell اعمال کنيد . با استفاده از تنظيماتي که در /etc/security/limits.conf وجود دارد مي توانيد محدوديت هاي بسيار جالب را براي تک تک کاربران shell ايجاد کنيدتا استفاده ي نابجاي آنها با استفاده وارد آوردن فشار بيش از حد به سرور شما و down شدن آن نشود .
3- وب سرور خود را secure کنيد
مهمترين قسمتي که با عموم کاربران در ارتباط است و بيشتر مورد حمله و نفوذ قرار مي گيرد همان webserver است .
يکي از بهترين ماژول هايي که براي جلوگيري از استفاده ي نابجا از وب سرور استفاده مي شود mod_security است که در همين وب لاگ بار ها در موردش صحبت کرديم. البته خود اون فقط يک ابزاره و بقيش برميگرده به هنر مدير سرور در طراحي يک سري rule مناسب مخصوص اون سرور براي اطلاعات بيشتر به سايت هاي http://www.modsecurity.org و http://www.gotroot.com سر بزنيد.
توجه کنيد که هميشه موقع compile کردن apache گزينه ي suexec حتما فعال باشد. فعال کردن اين گزينه به معني اجرا شدن اسکريپت هاي CGI تحت owner خود (مالک فايل) مي باشد. اين گزينه باعث جلوگيري از دسترسي فايل هاي CGI به فايل هاي سيستم ميشه و همچنين براي جلوگيري از فايل هايي که باعث در سرور مي شود بسيار مناسب است.
همچنين بعضي ها اعتقاد داند که بايد PHPsuexec هم روي سرور فعال باشه اين گزينه باعث ميشه که فايل هاي php هم تحت کاربر خودشون اجرا بشن و با عث بالا بردن امنيت فايل هاي سيستمي و جلوگيري از استفاده نا بجا از اين گونه اسکريپت ها ميشه .
مي تونيد apache رو بوسيله ي دستور /scripts/easyapach که به شما محيط نيمه گرافيکي ميده يا با استفاده از خود whm که محيط کاملا گرافيکي داره compile کنيد.
با استفاد از فعال کردن گزينه ي open_basedir در قسمت Tweak Security در WHM دسترسي کاربران را از مشاهده ي فايل هايي که خارج پوشه ي مربوط به خودشون هست بگيريد.
اگر خيلي از امنيت سرور خود حراس داريد و نمي توانيد تک تک دسترسي ها مسدود کنيد مي توانيد به راحتي در فايل php.ini گزينه ي safe mode را فعال کنيد . Safe_mode=on اين گزينه هر لحظه چکميکنه که آيا کسيکه داره اين فايل رو اجرا ميکنه مالک اون قسمتهست يا نه و خيلي دستورات را خود به خود مسدود ميکنه . و راحت ترين راه براي بستن دسترسي هاي اضافي روي سروره . البته بايد گم که با فعال کردن اين گزينه حدود 60 درصد از scriptها و کاربران به مشکل برمي خورند.
?- پروتکل SSH شما Secure است؟
سعي کنيد هميشه از براي ورود به سرور از public key authentication استفاده کنيد وهيچ وقت دسترسي SSH را براي عموم باز نگذاريد. اگر از puttyاستفاده مي کنيد مي توانيد نرم افزار putty agent را نصب کرده و key هاي SSH خود را مديريت کنيد.
هميشه پورت SSH را عوض کنيد .معمولا طرف ابتدا به دنبال پورت 22 مي گرده و اگر اطلاعات کافي در مورد سرور شما نداشته باشه از دسترسي به ssh نا اميد خواهد شد . لذا هيچ وقت ssh را روي پورت 22 باز نگذاريد. مي توانيد پورت ssh را از طريق ويرايش فايل etc/ssh/sshd_config به يک پورت باز ديگر مثلا ???? تغيير دهيد. port 1654
از پروتکل 2 استفاده کنيد . اگر از putty استفاده مي کنيد اين نرم افزار قابليت پشتيباني از هر دو پروتکل را دارست پس نگراني وجود ندارد . در همين فايل etc/ssh/sshd_config مي توانيد خط Protocol 2. را تايپ کنيد.
در اکثر سيستم هاي لينوکس ميتوانيد محدوديت هايي را روي دستري هاي shell اعمال کنيد . با استفاده از تنظيماتي که در /etc/security/limits.conf وجود دارد مي توانيد محدوديت هاي بسيار جالب را براي تک تک کاربران shell ايجاد کنيدتا استفاده ي نابجاي آنها با استفاده وارد آوردن فشار بيش از حد به سرور شما و down شدن آن نشود .
3- وب سرور خود را secure کنيد
مهمترين قسمتي که با عموم کاربران در ارتباط است و بيشتر مورد حمله و نفوذ قرار مي گيرد همان webserver است .
يکي از بهترين ماژول هايي که براي جلوگيري از استفاده ي نابجا از وب سرور استفاده مي شود mod_security است که در همين وب لاگ بار ها در موردش صحبت کرديم. البته خود اون فقط يک ابزاره و بقيش برميگرده به هنر مدير سرور در طراحي يک سري rule مناسب مخصوص اون سرور براي اطلاعات بيشتر به سايت هاي http://www.modsecurity.org و http://www.gotroot.com سر بزنيد.
توجه کنيد که هميشه موقع compile کردن apache گزينه ي suexec حتما فعال باشد. فعال کردن اين گزينه به معني اجرا شدن اسکريپت هاي CGI تحت owner خود (مالک فايل) مي باشد. اين گزينه باعث جلوگيري از دسترسي فايل هاي CGI به فايل هاي سيستم ميشه و همچنين براي جلوگيري از فايل هايي که باعث در سرور مي شود بسيار مناسب است.
همچنين بعضي ها اعتقاد داند که بايد PHPsuexec هم روي سرور فعال باشه اين گزينه باعث ميشه که فايل هاي php هم تحت کاربر خودشون اجرا بشن و با عث بالا بردن امنيت فايل هاي سيستمي و جلوگيري از استفاده نا بجا از اين گونه اسکريپت ها ميشه .
مي تونيد apache رو بوسيله ي دستور /scripts/easyapach که به شما محيط نيمه گرافيکي ميده يا با استفاده از خود whm که محيط کاملا گرافيکي داره compile کنيد.
با استفاد از فعال کردن گزينه ي open_basedir در قسمت Tweak Security در WHM دسترسي کاربران را از مشاهده ي فايل هايي که خارج پوشه ي مربوط به خودشون هست بگيريد.
اگر خيلي از امنيت سرور خود حراس داريد و نمي توانيد تک تک دسترسي ها مسدود کنيد مي توانيد به راحتي در فايل php.ini گزينه ي safe mode را فعال کنيد . Safe_mode=on اين گزينه هر لحظه چکميکنه که آيا کسيکه داره اين فايل رو اجرا ميکنه مالک اون قسمتهست يا نه و خيلي دستورات را خود به خود مسدود ميکنه . و راحت ترين راه براي بستن دسترسي هاي اضافي روي سروره . البته بايد گم که با فعال کردن اين گزينه حدود 60 درصد از scriptها و کاربران به مشکل برمي خورند.
نوشته شده توسط الهام در ساعت 13:21 | لینک
|
