- پنج شنبه ، ۲ شهریور
- 3,723 views
- بهنام
- 0 دیدگاه
Iptables and Netfilter Architecture
فایروال ها ابزار مهمی هستند که می توانند به منظور حفاظت از سرورها و زیرساخت ها پیکربندی شوند. در اکوسیستم لینوکس، ابزار iptables به عنوان فایروال به طور گسترده ای استفاده می شود که با چارچوب فیلترینگ بسته netfilter هسته (kernel) سیستم عامل در ارتباط است.
در این مقاله ما در مورد چگونگی استفاده از iptables و تعامل آن با netfilter و چگونگی ارتباط اجزای مختلف فیلترینگ و سیستم mangling در کنار یکدیگر صحبت خواهیم کرد.

Netfilter Hooks
۵ قلاب یاhook برای netfilter تعریف شده است که برنامه میتواند با آن ها کار کند. هر پکتی که وارد فرایند پردازش میشود با یکی از hook ها در kernel قلاب (hook) میشود. بسته به نوع هر پکت input, output و یا forward قلابی به آن اختصاص داده میشود.
در ادامه قلاب هاییکه در پشته پروتکلی شبکه تعریف می شوند به اختصار بیان شده است:
ادامه ی مطلب
- یکشنبه ، ۲۳ آبان
- 2,104 views
- بهنام
- 0 دیدگاه
در ادامه بخش اول افزایش امنیت سرور های لینوکسی به موارد دیگری در این زمینه آشنا خواهیم شد.
- سرویس ها و پکیج های غیرضروری را نصب نکنید. تنها ماژول هایی را نصب کنید که به آن ها نیاز دارید.
- اتصال SSH از طریق root را محدود نمایید، راهکار مناسب استفاده از ورود دو مرحله ای ۲-Factor می باشد. حتما root login را در سرویس ssh به حالت disable قرار دهید. میتوانید از SSH-Key Logins استفاده کنید.
امن سازی ssh
- از پورت های پیش فرض استفاده نکنید. برای سرویس هایی مانند ssh پورت پیش فرض ۲۲ را به پورت دیگری تغییر دهید.
- فایروال سرور را تنظیم نمایید. پورت ها و دسترسی های اضافی را بلاک کنید. تنها پورت های مورد نظر را باز کنید.
تنظیمات فایروال csf
- دسترسی ها و پرمیژن ها را بدرستی تنظیم کنید و از دادن دسترسی هایی بیشتر از نیاز واقعی به فایل ها و مسیر ها بپرهیزید.
- از هر سیستمی و هر جایی به سرور خود متصل نشوید! رمزها را بروی مرورگر یا نرم افزارها ذخیره نکنید.
- از نرم افزارهای مدیریت و ذخیره پسورد مانند keepass استفاده کنید.
- در صورتی که سرور شما بصورت نصب و راه اندازی شده به شما تحویل داده شد تمام پسورد های مربوط به سرور مانند root و SQL را تغییر دهید.
- چهارشنبه ، ۳۱ شهریور
- 2,129 views
- بهنام
- 0 دیدگاه
افزایش امنیت سرورهای لینوکسی
این روزها همه نگران امنیت سرور هستند اما واقعا با وجود تمام مشکلات، اراده ای برای استفاده از راهکارهای مناسب و یادگیری آن مشاهده نمیشود. در این مقاله سعی داریم نکات کلیدی که گاها بسیار ساده هستند اما در اغلب اوقات به آن ها توجه نمیشود را بررسی کنیم.
+ اتصال، ارتباط و انتقال رمزنگاری شده و امن
این موضوع از اهمیت بالایی برخوردار است اما همچنان نادیده گرفته میشود. هنوز هم اکثر مدیران سرور به علت راحتی کار از اتصال ها و ارتباطات غیر امن استفاده میکنند.
پیشنهادها:
– استفاده از ssh، scp، rsync و SFTP برای انتقال اطلاعات. یا با استفاده از ابزارهای sshfs و fuse می توانید فایل سیستم را در مکان مورد نظر map کنید.
– استفاده از VPN برای ایجا کانال رمزنگاری شده برای ارتباط ها
– استفاده از SSL برای وب سرور جهت ارتباط امن بین سرور و کلاینت
– تا جای ممکن است FTP، Telnet و RSH استفاده نکنید. با توجه به اینکه اطلاعات در این حالت clear Text هستند امکان sniff کردن اطلاعات وجود دارد.
– بسته ها، پکیچ ها و نرم افزارهای اضافی و بلااستفاده را نصب نکنید.
– سعی کنید سرویس های مختلف را بروی سرورها مجزا با آدرس های متفاوت ایجاد کنید. برای این کار میتوانید از مجازی سازی کمک بگیرید.
– kernel و تمام نرمافزارهای سرور را بروز نگه دارید.
– از اکستنشن های امنیتی سیستم عامل استفاده کنید. Selinux توانایی زیادی در کنترل امنیت سرور دارد اما از جایی که پیکربندی و تنظیمات آن دشوار است اغلب این ویژگی را غیرفعال میکنند! برای استفاده از این ابزارها باید مهارت لازم را داشته باشید.
استفاده از Selinux پیشنهاد میشود. کنترل دسترسی ها و مجوزها در سطوح مختلف را پیاده سازی میکند.
- سه شنبه ، ۱ دی
- 1,448 views
- بهنام
- 0 دیدگاه
طیف زیادی از تنظیمات در CSF در فایل های پیکیربندی وجود دارد. بحث در مورد راه اندازی ایمیل هشدار برای ورود به سیستم ناموفق غیر مجاز و اسکن پورت است. ایمیل های از پیش تعریف شده برای موارد مختلف در مسیر زیر وجود دارد.
/usr/local/csf/tpl/
برای فعال کردن هشدار Login Failur از طریق ایمیل باید در فایل csf.conf مقدار زیر را تنظیم کنید.
LF_EMAIL_ALERT = 1
برای فعال کردن هشدار Port Scanning از طریق ایمیل باید در فایل csf.conf مقدار زیر را تنظیم کنید.
PS_EMAIL_ALERT = 1
- پنج شنبه ، ۱۸ دی
- 3,583 views
- بهنام
- 0 دیدگاه
Iptables یک فایروال وابزار شبکه است که در تمام نسخه های لینوکس وجود دارد و به تجزیه و تحلیل بست ها در سطح kernel می پردازد. هر جدول از تعدادی زنجیره و هر زنجیره از تعدادی قانون تشکیل شده است. سه زنجیر پیش فرض ، INPUT ، OUTPUT و Forward هستند . یک زنجیر فهرستی ساده از قوانین است و مشخص می کند با هر پکت چطور رفتار شود .
برای مشاهده rule های iptable :
iptables --list
Policies:
Accept :
هیچ قانونی روی این نوع اعمال نخواهد شد. امکان دسترسی به برنامه کاربردی را پیدا می کند.
Reject :
همانند DROP عمل می کند با این تفاوت که بعد از، از بین بردن پکت پیامی به فرستنده آن مبنی بر نابودی پکت ارسال می کند.
DROP :
پکت بدون ارسال پیام برای فرستنده آن نابود می شود .
برای allow کردن ssh :
ادامه ی مطلب
- چهارشنبه ، ۱۹ آذر
- 2,239 views
- بهنام
- 0 دیدگاه
در سیستم عامل Linux تمام ورود ها به سیستم ثبت می شود. اکثرا این گزارشات در مسیر زیر قرار دارد.
/var/log
تمام جزئیات ورود و خروج و همچنین دسترسی ها از راه دور در فایل هایی با نام های utmp، wtmp و btmp قرار دارد.
ادامه ی مطلب
- چهارشنبه ، ۱۲ آذر
- 1,917 views
- بهنام
- 0 دیدگاه
نفش open-source در دنیای امروز web قابل انگار و چشم پوشی نیست. هرروزه شرکت ها و محصولات جدید به open-source پیوند می خورند. امروز بصورت تصویری وضعیت open-source و دنیای web را در سال ۲۰۱۴ با هم تماشا خواهیم کرد.
