آموزش افزایش امنیت سرور دایرکت ادمین

در این آموزش که بصورت تخصصی و توسط قائم هاست ترجمه و منتشر شده شما میتوانید امنیت سرور دایرکت ادمین خود را تا چند برابر افزایش دهید و از نفوذ هکر ها به سرور خود بصورت چشمگیر جلوگیری کنید , سرورهای دایرکت ادمین باتوجه به عدم توانایی کافی افرادی که نصب و ارائه میدهند براحتی مورد نفوذ قرار میگیرند و با منتشر شدن باگ های گوناگون از ورژن های مختلف دایرکت ادمین و سیستم عامل هکر ها با استفاده از این باگها اقدام به بای پس کردن روت سرور میکنند و به کل سرور دایرکت ادمین نفوذ میکنند . این آموزش تا حد مناسبی میتواند امنیت سرور شما را افزایش دهد و از مورد نفوذ قرار گرفتن سرور دایرکت ادمین شما جلوگیری کند.

شما با خرید سرور مجازی دایرکت ادمین از قائم هاست میتوانید از مزایای نصب و کانفیگ کامل امنیتی و بهینه سازی سرور به همراه پشتیبانی 24 ساعته بهره مند شوید.

افزایش امنیت ssh

در صورت امکان، اجازه ورود کاربر ssh به سرور را نمی دهد. همچنین ورود کاربر ریشه را غیرفعال کنید و از sudo برای دسترسی ریشه استفاده کنید.

[root@directadmin]# nano -w /etc/ssh/sshd_config

تغییر دادن:

PermitRootLogin no

راه اندازی مجدد ssh سرور!

[root@directadmin]# /etc/init.d/sshd restart

توجه: مطمئن شوید که sudo و sudoers را به کاربر خود نصب کرده اید!

افزایش امنیت سیستم فایل

شما می توانید دسترسی به پوشه ها و فایل های خاصی را پنهان کنید.

cd /
chmod 751 .
chmod 751 /etc
chmod 751 /home
chmod 751 /boot
chmod 751 /usr/local
chmod 751 /usr/local/bin
chmod 751 /usr/local/directadmin
chmod 751 /bin
chmod 751 /usr/bin
chmod 750 /usr/bin/users
chmod 750 /usr/bin/top
chmod 750 /usr/bin/who
chmod 750 /usr/bin/lspci
chmod 750 /usr/bin/ftp
chmod 750 /usr/bin/rcp
chmod 750 /usr/bin/lynx
chmod 750 /usr/bin/links

افزایش امنیت و تنظیمات php.ini

توابع مشخصی در پی اچ پی وجود دارد که ما نمی خواهیم کاربران به دلیل خطر آنها استفاده کنند. حتی اگر شما می دانید که کاربران از توابع خاصی استفاده نمی کنند، عاقلانه است که آنها را کاملا غیر فعال کنید تا مهاجم نمی تواند از آنها استفاده کند. این ملاحظات امنیتی به طور خاص در توقف مهاجمی که به نحوی موفق به آپلود یک اسکریپت پی اچ پی شده است، می نویسد: یکی به سیستم فایل، و یا حتی شامل یک فایل پی اچ پی از راه دور است. با غیر فعال کردن قابلیت اطمینان حاصل کنید که می توانید اثربخشی این نوع حملات را محدود کنید.

بستن پیکربندی شما، ویرایش php.ini و غیرفعال کردن توابع خطرناک پیکربندی ماژول سرور و ماژول php (mod_php، php-fastcgi، PHP-FPM، suPHP، lsphp) بستگی دارد:

/usr/local/lib/php.ini
/usr/local/etc/php5/cgi/php.ini
/usr/local/etc/php6/cgi/php.ini
/usr/local/etc/php7/cgi/php.ini

تغییر دادن disable_functions به زیر:

disable_functions =
exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,
show_source,posix_kill,posix_mkfifo,posix_getpwuid,posix_setpgid,posix_setsid,posix_setuid,
posix_setgid,posix_seteuid,posix_setegid,posix_uname

اسکنر Clamav نصب کنید

[root@directadmin]# cd /usr/local/directadmin/custombuild

ویرایش options.conf و تغییر به:

clamav=yes
clamav_exim=yes

[root@directadmin]# ./build clamav

امضاهای Clamav

ویرایش فایل Freshclam.conf:

[root@directadmin]# nano -w /etc/freshclam.conf

این پایان خط فایل را اضافه کنید:

DatabaseCustomURL http://cdn.malware.expert/malware.expert.ndb
DatabaseCustomURL http://cdn.malware.expert/malware.expert.hdb
DatabaseCustomURL http://cdn.malware.expert/malware.expert.ldb
DatabaseCustomURL http://cdn.malware.expert/malware.expert.fp

راه اندازی مجدد Freshclam

[root@directadmin]# /etc/init.d/freshclam restart

امضاهای اضافی

اگر میخواهید از امضای بیشتری برای clamav استفاده کنید، پیشنهاد میکنم لینوکس را پیدا کنید Malware Detect – از www.rfxn.com

اگر شما نمی خواهید نرم افزار خودتان را نصب کنید، می توانید نهایت استفاده و استفاده از امضا را به کلامو دهید. اضافه کردن freshclam.conf پایان فایل:

DatabaseCustomURL http://cdn.rfxn.com/downloads/rfxn.ndb
DatabaseCustomURL http://cdn.rfxn.com/downloads/rfxn.hdb

نصب ModSecurity

[root@directadmin]# cd /usr/local/directadmin/custombuild

ویرایش فایل options.conf :

modsecurity=yes
modsecurity_ruleset=none

ساخت ModSecurity با custombuild:

[root@directadmin]# ./build modsecurity
[root@directadmin]# ./build modsecurity_rules

ModSecurity اسکن بارگذاری با Clamav

تمامی فایل های آپلود شده را به سرور با قوانین مدرن ایمن اسکن کنید.

ویرایش فایل options.conf :

modsecurity_uploadscan=yes

نصب Runav.conf قوانین ModSecurity:

[root@directadmin]# mkdir /usr/local/directadmin/custombuild/custom
[root@directadmin]# mkdir /usr/local/directadmin/custombuild/custom/modsecurity
[root@directadmin]# mkdir /usr/local/directadmin/custombuild/custom/modsecurity/conf

ایجاد فایل runav.conf با محتوا:

SecRule FILES_TMPNAMES "@inspectFile /usr/local/bin/runav.pl" \
        "phase:2,t:none,block,msg:'Virus found in uploaded file',id:'399999'"

به روز رسانی قوانین تغییرات:

[root@directadmin]# ./build modsecurity_rules

بررسی قوانین نصب شده در پوشه /etc/modsecurity.d !

همچنین فایل /usr/local/bin/runav.pl را بررسی کنید:

#!/usr/bin/perl
#
# runav.pl
# Copyright (c) 2004-2011 Trustwave
#
# This script is an interface between ModSecurity and its
# ability to intercept files being uploaded through the
# web server, and ClamAV
$CLAMDSCAN = "/usr/local/bin/clamdscan";
if ($#ARGV != 0) {
    print "Usage: runav.pl <filename>\n";
    exit;
}
my ($FILE) = shift @ARGV;
$cmd = "$CLAMDSCAN --stdout --no-summary $FILE";
$input = `$cmd`;
$input =~ m/^(.+)/;
$error_message = $1;
$output = "0 Unable to parse clamscan output [$1]";
if ($error_message =~ m/: Empty file\.?$/) {
    $output = "1 empty file";
}
elsif ($error_message =~ m/: (.+) ERROR$/) {
    $output = "0 clamscan: $1";
}
elsif ($error_message =~ m/: (.+) FOUND$/) {
    $output = "0 clamscan: $1";
}
elsif ($error_message =~ m/: OK$/) {
    $output = "1 clamscan: OK";
}

تروجان کارشناس – قوانین ModSecurity

[root@directadmin]# cd /usr/local/directadmin/custombuild
[root@directadmin]# mkdir custom
[root@directadmin]# mkdir custom/modsecurity
[root@directadmin]# mkdir custom/modsecurity/conf

اضافه کردن فایل malware_expert.conf به پوشه custom / modsecurity / conf و جایگزینی (کلید سریال) :

SecRemoteRules (serial key) https://rules.malware.expert/download.php?rules=generic

اگر مجوز ندارید، خرید کن !

توجه داشته باشید! اطمینان حاصل کنید که custombuild را بهروزرسانی کنید:

[root@directadmin]# ./build modsecurity_rules

و بررسی custombuild افزودن malware_expert.conf به /etc/modsecurity.d/malware_expert.conf

httpd-modsecurity.conf (تنظیم پیکربندی سرور)

همچنین پیکربندی Apache modsecurity نیاز به تغییر کمی دارد، زیرا clamav نیاز به اسکن فایل های آپلود شده دارد.

این کار با Apache 2.4 / mod_php / mod_ruid2 :

[root@directadmin]# cd /usr/local/directadmin/custombuild
[root@directadmin]# mkdir custom
[root@directadmin]# mkdir custom/ap2
[root@directadmin]# mkdir custom/ap2/conf
[root@directadmin]# mkdir custom/ap2/extra

اضافه کردن فایل custom / ap2 / extra / httpd-modsecurity.conf با این تغییرات:

LoadFile /usr/local/lib/libxml2.so
LoadModule security2_module /usr/lib/apache/mod_security2.so
<IfModule mod_security2.c>
    # Default recommended configuration
    SecRuleEngine On
    SecRequestBodyAccess On
    SecDefaultAction "phase:1,deny,log,status:406"
    SecDefaultAction "phase:2,deny,log,status:406"
    SecRemoteRulesFailAction Warn
    SecRequestBodyLimitAction ProcessPartial
    SecResponseBodyLimitAction ProcessPartial
    SecPcreMatchLimit 250000
    SecPcreMatchLimitRecursion 250000
    SecCollectionTimeout 600
    SecDebugLog /var/log/httpd/modsec_debug.log
    SecDebugLogLevel 0
    SecAuditEngine RelevantOnly
    SecAuditLogDirMode 1733 
    SecAuditLogFileMode 0550 
    SecAuditLogType Concurrent
    SecAuditLogStorageDir /var/log/modsec_audit
    SecAuditLog /var/log/httpd/modsec_audit.log
    SecUploadDir /tmp
    SecTmpDir /tmp
    SecDataDir /tmp
    SecUploadFileMode 0644
    SecTmpSaveUploadedFiles on
    # ModSecurity Core Rules Set and Local configuration
    IncludeOptional /etc/modsecurity.d/*.conf.main
    IncludeOptional /etc/modsecurity.d/*.conf
</IfModule>

تنظیم مجدد

[root@directadmin]# ./build rewrite_confs

قوانین و اصلاحات را فعال کنید

[root@directadmin]# ./build modsecurity_rules

این صفحه چطور بود؟ post

2018/11/05

قائم هاست

اطلاعات تماس

سایر خدمات

دنبال کنید!

آموزش افزایش امنیت سرور دایرکت ادمین