صهيب الفهداوي
07-03-2010, 11:08 صباحاً
http://img181.imageshack.us/img181/5140/11069446aq6.gif (http://up.3eyon.net/)
موضوعنا اليوم يحتوي على
إلغاء تركيب أي جدار ناري أو برنامج حماية على السيرفر
تركيب الجدار الناري
CSF
إعداده إعداداً جيداً ومناسباً
عمل حماية لصد هجمات الإغراق الفلود بواسطة الجدار الناري
فحص الموديلات المفعله والمطلوبة لعمل الجدار الناري
تفعيل الموديلات المهمه التي يتطلبها الجدار الناري من داخل السيرفر الرئيسي
فحص حماية السيرفر بواسطة الجدار الناري
فلنبدأ على بركة الله تعالى
حماية السيرفر من هجمات الفلوود باستخدام الخاصيّة
Port Flood Protection
الموجودة في الجدار الناري CSF.
بعد القيام بالاعدادات اللازم سنتمكّن من تحديد عدد الاتصالات المسموح بها بنفس الوقت لكل
IP
يحاول الاتصال بالسيرفر
طريقة عمل هجمات الـ
Flood
منطقياً هجمات الفلود تتم بطريقتين, الأولى من خلال اتصال معين والثانية من خلال عدة اتصالات
وكل اتصال من هذه الاتصالات يتصل بالمزود بكل مالدية من طاقة وبالعادة يتم توحيد مكان الضرب مثلاً يكون الضرب
على
HTTPd
بروتوكول
TCP
منفذ
80
.
المتطلّبات
تركيب الجدار الناري CSF آخر اصدار.
IPT مفعل ويعمل بشكل جيد.
الموديل IPT_Recent الخاص بالـ IPT.
من وضائف الجدار الناري
CSF
خفيف و سهل و قوي يعتمد على الجدار الناري
iptables
و ميزة البرنامج او الاضافة ان واجهة الاعدادات واجهة رسومية يتم التحكم بها عن طريق
WHM
* هذا البرنامج لسيرفرات السي بنل فقط
يمنع المحاولات الدخول الفاشلة الى
FTP SSH POP IMAP HTTP
و اقصد فيها يوقف كل من يحاول الدخول اكثر من خمس مرات على هذه الخدمات
في بادئ الأمر لمن لا يستخدمون الجدار الناري
CSF
أو يستخدمون أي برنامج آخر ينصح بإلغائه وتركيب
CSF
وطريقة التركيب كالآتي
أول شي نقوم بحذف أي جدار ناري أو أي برنامج حماية آخر مثل
APF + BFD
عن طريق تطبيق الآتي
chkconfig --del apf
rm /etc/init.d/apf /etc/cron.d/fw
rm -rf /etc/apf
ومن ثم نقوم بتركيب الجدار الناري
CSF
عن طريق
rm -fv csf.tgz
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
الآن تم تركيب الجدار الناري وتستطيع التأكد منه من لوحة تحكم الـ
WHM
ستجد رسالة فوق
Firewall Status: Enabled but in Test Mode
حالياً الجدار الناري مركب ومفعل ولكن في الوضع التجريبي وتستطيع تشغيله في الوضع الطبيعي عن طريق إعداد الجدار الناري كالآتي
إضغط على
Firewall Configuration
ومن ثم طبق الآتي
TESTING = 0
TESTING_INTERVAL = 5
AUTO_UPDATES =1
TCP_IN =هنا ضيف بورت الشيل في حال غيرته من 22 الى رقم اخر ضيف المنفذ هنا
TCP_OUT = نفس الكلام ضيف بورت الشيل هنا
SYNFLOOD =1
SYNFLOOD_RATE =30/s
SYNFLOOD_BURST =50
CT_LIMIT =250
CT_PORTS =80,443
LF_SCRIPT_ALERT = 1
PT_SKIP_HTTP = 0
ومن ثم إضغط على
Change
ومن ثم
restart csf+lfd
و
Return
ومن ثم أدخل على
Firewall Security Level
وتختار
Medium
ومن ثم
restart csf+lfd
هكذا لقد قمت بتشغيل الجدار الناري
CSF
بنجاح على سيرفرك يتبقى ان تقوم بضبط برنامج
FTP
على سيرفرك وغالبا ما يكون
Pure-FTPD
ليتوافق عمله مع عمل الجدار الناري
بدون مشاكل .
نفذ الامر التالي من خلال الشيل :
pico /etc/pure-ftpd.conf
ابحث عن
PassivePortRange
قم بازالة علامة # من امامها
بعد ذلك قم بعمل ريستارت لل
FTP
من خلال الامر التالي
/scripts/restartsrv_ftpserver
الآن إنتهينا وبنجاح من تركيب الجدار الناري وإعداده الإعداد الصحيح بإذن الله تعالى
الآن بالنسبة للحماية من هجمات الفلود بواسطة هذا البرنامج الجبار طبق الآتي
nano /etc/csf/csf.conf
قوم بالضغط على CTRL + W ونبحث عن
PORTFLOOD
سوف نحد السطر بالشكل التالي افتراضياً:
PORTFLOOD = ""
نضع بداخل "" الاعدادات التي نريدها, كما في المثال التالي:
PORTFLOOD = "80;tcp;20;10"
80
هو المنفذ
TCP
هو البروتوكول
20
هو عدد الاتصالات المسموح به بنفس الوقت
10
هو وقت الايقاف المؤقت وبعد الـعشر ثواني يتم السماح للأي بي بعمل اتصالات جديدة.
ملاحضه مهمه:
ipt_recent
تستطيع حساب
20 Packets
لكل عنوان, لذا تستطيع تغيير عدد الاتصالات من 1 إلى 20 فقط.
هل هنالك امكانية اضافة اكثر من منفذ ؟ نعم ويكون بالشكل التالي مجرد مثال
PORTFLOOD = "22;tcp;10;200,21;tcp;15;100,80;tcp;20;5"
لاحظ أني عند كل اضافة منفذ جديد اضع فاصلة (,)
في المثال السابق اخترت اكثر من منفذ وهم 22 و 21 و 80 وتستطيع اضافة المزيد وتستطيع تغيير عدد الاتصالات و وقت الايقاف المؤقت وايضاً تغيير نوع البروتوكول مثلاً
من
TCP
إلى
UDP
وهكذا. بعد الانتهاء من التعديل نقوم بحفظ الملف
CTRL + X
ثم Y
ثم
Enter.
واخيراً لا ننسى اعادة تشغيل
CSF
بالأمر التالي:
csf -r
ملاحضة
من خلال الفلود لا يتم اختراق الموقع او السيرفر, الفلود عبارة عن
DoS "حجب الخدمة"
ولمعلومات أكثر عن هذا النوع من الهجوم على السيرفرات توجه إلى
http://en.wikipedia.org/wiki/Denial-of-service_attack (http://en.wikipedia.org/wiki/Denial-of-service_attack)
هذه الطريقة تصد الفلود العادي والمتوسط ولا تستطيع مواجهة الفلود القوي او العالي.
ملاحضه أخرى
هذه العملية تتطلب وجود تفعيل موديل
ipt_recent
للتحقق من أن الموديل مفعل إضغط على
Test iptables
وشوف الموديلات الموجوده هل الموديل المطلوب مفعل أم لا ؟
إذا كنت صاحب سيرفر مشترك في بي أس راسل صاحب السيرفر الرئيسي لتفعيل الموديل
أما إذا كنت صاحب السيرفر الكامل وتريد تفعيل الموديل لعملائك الفي بي أي
إليك الطريقة
ملاحظة هامة : التطبيقات التالية سيتم تنفيذها على ملفات هامة جداً
وخاصة بنظام التشغيل للنود الرئيسي ،
لذلك يجب عليك اخذ نسخة احتياطية من هذه الملفات
قبل تنفيذ التطبيقات الموجودة بالشرح ،
حتى اذا قمت بخطأ ما يمكنك استرجاع النسخة الاصلية من جديد ،
يمكنك اخذ نسخة من الملفات من خلال الاوامر النالية :
cp /etc/sysconfig/iptables-config /etc/sysconfig/iptables-config.old
cp /etc/sysconfig/vz /etc/sysconfig/vz.old
cp /etc/vz/vz.conf /etc/vz/vz.old
الان نبدأ بإسم الله .
افتح الشيل وسجل دخول الى السيرفر الرئيسيى بحساب الروت ونفذ الخطوات التالية .
سيتم اضافة موديلات الـ iptables اللازمة فى 3 ملفات ، من خلال الخطوات التالية :
نفذ الامر التالي لاضافة الـ iptables modules اللازمة :
nano /etc/sysconfig/iptables-config
ابحث عن
IPTABLES_MODULES=
ستجدها كالآتي
IPTABLES_MODULES=" "
او ربما تجد موديلات موجوده ما بين القوسين "" ، قم بمسح ما بين القوسين وضع الموديلات التالية ، وتأكد انها على سطر واحد :
ip_tables ipt_state ipt_multiport iptable_filter ipt_limit ipt_LOG ipt_REJECT ipt_conntrack ip_conntrack ip_conntrack_ftp iptable_mangle ipt_owner ipt_recent iptable_nat ip_nat_ftp ipt_REDIRECT ipt_length ipt_tos ipt_TOS ipt_TCPMSS ipt_tcpmss ipt_ttl ip_conntrack_netbios_ns
بعد وضع الموديلات السابقة ، قم بحفظ التغييرات التي قمت بها فى الملف من خلال الضغط على Ctrl+x ، ثم y ثم انتر .
بعد ذلك ، قم بفتح الملف التالي لوضع الموديلات اللازمة ايضاً :
nano /etc/sysconfig/vz
ثم ابحث عن :
IPTABLES=
ستجدها كالتالي
IPTABLES=" "
أيضاً ربما تجد موديلات موجوده ما بين القوسين "" ، قم بمسح ما بين القوسين وضع الموديلات التالية ، وتأكد انها على سطر واحد
ip_tables ipt_state ipt_multiport iptable_filter ipt_limit ipt_LOG ipt_REJECT ipt_conntrack ip_conntrack ip_conntrack_ftp iptable_mangle ipt_owner ipt_recent iptable_nat ip_nat_ftp ipt_REDIRECT ipt_length ipt_tos ipt_TOS ipt_TCPMSS ipt_tcpmss ipt_ttl ip_conntrack_netbios_ns
بعد وضع الموديلات السابقة ، قم بحفظ التغييرات التي قمت بها فى الملف من خلال الضغط على Ctrl+x ، ثم y ثم انتر .
بعد ذلك ، قم بفتح الملف التالي لوضع الموديلات اللازمة ايضاً
nano /etc/vz/vz.conf
ثم ابحث عن :
IPTABLES=
ستجدها كالتالي
IPTABLES=" "
أيضاً ربما تجد موديلات موجوده ما بين القوسين "" ، قم بمسح ما بين القوسين وضع الموديلات التالية ، وتأكد انها على سطر واحد
ip_tables ipt_state ipt_multiport iptable_filter ipt_limit ipt_LOG ipt_REJECT ipt_conntrack ip_conntrack ip_conntrack_ftp iptable_mangle ipt_owner ipt_recent iptable_nat ip_nat_ftp ipt_REDIRECT ipt_length ipt_tos ipt_TOS ipt_TCPMSS ipt_tcpmss ipt_ttl ip_conntrack_netbios_ns
الان انتهينا من اضافة الموديلات اللازمة .
بعد ذلك سنقوم باضافة الموديلات لملف الكونفيج الخاص بالفي بي اس الذي نريد تشغيل الـ csf عليه ، فلنفترض مثلا ان رقم الفي بي اس هو 100 ، اذاً سوف نقوم باضافة الموديلات فى ملف كونفيج الفي بي اس 100 وايضاً سوف نقوم بتحديد الـ resource الخاص بـالـ iptables لهذا الفي بي اس ، وسنقوم بعمل ذلك من خلال الاوامر التالية
vzctl set 100 --iptables ipt_REJECT --iptables ipt_tos --iptables ipt_TOS --iptables ipt_LOG --iptables ip_conntrack --iptables ipt_limit --iptables ipt_multiport --iptables iptable_filter --iptables iptable_mangle --iptables ipt_TCPMSS --iptables ipt_tcpmss --iptables ipt_ttl --iptables ipt_length --iptables ipt_state --iptables iptable_nat --iptables ip_nat_ftp --save
هكذا اضفنا الموديلات فى ملف الكونفيج الخاص بالفي بي اس ، ولتحديد الـ عدد iptables ، وعلى الاقل يجب ان تكون 1000 ، سوف نقوم بتنفيذ الامر التالي ايضاً
vzctl set 100 --numiptent 2000 --save
-- طبق الامرين السابقين على جميع الـ vps التي تريد ان تقوم بتفعيل الـ csf لها بدون مشاكل ، مع استبدال رقم الـ vps الموجود اعلاه (100) برقم الفي بي اس الذي سوف تقوم بتنفيذ العملية عليه .
- بعد ذلك سوف تقوم بايقاف خدمة الـ vz وريستارت للـ iptables ثم بعدها اعادة التشغيل مرة اخري (ملحوظة : سوف يتم ايقاف جميع الفي بي اسات على النود عند ايقاف الخدمة وسوف يتم اعادة تشغيلهم مرة ثانية عند تشغيل الخدمة ) .
الان سوف تقوم بايقاف الخدمة من خلال الامر التالي
service vz stop
انتظر حتى ينتهى وثم بعدها ريستارت للـ iptables :
service iptables restart
بعدها تشغيل الخدمة مرة اخرى
service vz start
الان تم حفظ التطبيقات التي قمت بها .
- بعد ذلك سنقوم بعمل رستارت للنتوورك من داخل الشيل الخاص بالفي بي اس ، قم بالدخول الى الفي بي اس من خلال الشيل او يمكنك الدخول اليه من خلال النود عن طريق الامر التالي
vzctl enter 100
الان انت بداخل الشيل للفي بي اس 100 ، ستقوم بعمل ريستارت للنتورك وذلك من خلال الامر التالي
service network restart
إلى الآن إنتهينا من إزالة أي جدار ناري على السيرفر وتركيب الـ
CSF
وإعداده إعداد مناسب وجيد والمساهمة بصورة كبيرة في حماية السيرفر من خطر الفلود وهجمات الإغراق على السيرفرات
وتأكدنا من الموديلات المفعله وفعلنا الموديلات المهمه لأصحاب السيرفرات الكاملة المقسمة إلى في بي أسات
آخر أمر في الموضوع
خاصية فحص حماية السيرفر بواسطة الجدار الناري
CSF
Chek Server Security
يعطيك نقاط ضعف سيرفرك وأخطاء السيرفر والأخطاء الأمنية
ستجد كل خطأ أماه تحذير باللون الأحمر
أبحث عن إسم الخطأ لتعرف حله
والموضوع هنا مفتوح لتحذيرات الجدار الناري مجرد أذكر لي التحذير بالكامل وسيتم وضع الحل بإذن الله تعالى
وفي الختام أتمنى من الله عز وجل أن أكون وفقت في عملي هذا فإن أصبت من الله وإن أخطأت من الشيطان
الموضوع الأصلي ...
http://3eyon.net/vb/showthread.php?p=1914#post1914 (http://3eyon.net/vb/showthread.php?p=1914#post1914)
بالنسبة لتفعيل الموديلات
مقتبسه من شركة الخليج هوست
http://www.gulfhosted.com/main/t24.html (http://www.gulfhosted.com/main/t18.html)
في حال حدوث أي مشاكل معكم
فنحن هنا والموضوع مفتوح لجميع الأسئلة والإستفسارات
تحياتي وإحترامي لكم
صهيب الفهداوي
شبكة عيون الحبايب العراقيه
http://www.3eyon.net (http://www.3eyon.net/)
http://www.3eyon-host.com (http://www.3eyon-host.com/)
http://img364.imageshack.us/img364/5291/34787798xm6xo8jc5.gif
موضوعنا اليوم يحتوي على
إلغاء تركيب أي جدار ناري أو برنامج حماية على السيرفر
تركيب الجدار الناري
CSF
إعداده إعداداً جيداً ومناسباً
عمل حماية لصد هجمات الإغراق الفلود بواسطة الجدار الناري
فحص الموديلات المفعله والمطلوبة لعمل الجدار الناري
تفعيل الموديلات المهمه التي يتطلبها الجدار الناري من داخل السيرفر الرئيسي
فحص حماية السيرفر بواسطة الجدار الناري
فلنبدأ على بركة الله تعالى
حماية السيرفر من هجمات الفلوود باستخدام الخاصيّة
Port Flood Protection
الموجودة في الجدار الناري CSF.
بعد القيام بالاعدادات اللازم سنتمكّن من تحديد عدد الاتصالات المسموح بها بنفس الوقت لكل
IP
يحاول الاتصال بالسيرفر
طريقة عمل هجمات الـ
Flood
منطقياً هجمات الفلود تتم بطريقتين, الأولى من خلال اتصال معين والثانية من خلال عدة اتصالات
وكل اتصال من هذه الاتصالات يتصل بالمزود بكل مالدية من طاقة وبالعادة يتم توحيد مكان الضرب مثلاً يكون الضرب
على
HTTPd
بروتوكول
TCP
منفذ
80
.
المتطلّبات
تركيب الجدار الناري CSF آخر اصدار.
IPT مفعل ويعمل بشكل جيد.
الموديل IPT_Recent الخاص بالـ IPT.
من وضائف الجدار الناري
CSF
خفيف و سهل و قوي يعتمد على الجدار الناري
iptables
و ميزة البرنامج او الاضافة ان واجهة الاعدادات واجهة رسومية يتم التحكم بها عن طريق
WHM
* هذا البرنامج لسيرفرات السي بنل فقط
يمنع المحاولات الدخول الفاشلة الى
FTP SSH POP IMAP HTTP
و اقصد فيها يوقف كل من يحاول الدخول اكثر من خمس مرات على هذه الخدمات
في بادئ الأمر لمن لا يستخدمون الجدار الناري
CSF
أو يستخدمون أي برنامج آخر ينصح بإلغائه وتركيب
CSF
وطريقة التركيب كالآتي
أول شي نقوم بحذف أي جدار ناري أو أي برنامج حماية آخر مثل
APF + BFD
عن طريق تطبيق الآتي
chkconfig --del apf
rm /etc/init.d/apf /etc/cron.d/fw
rm -rf /etc/apf
ومن ثم نقوم بتركيب الجدار الناري
CSF
عن طريق
rm -fv csf.tgz
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
الآن تم تركيب الجدار الناري وتستطيع التأكد منه من لوحة تحكم الـ
WHM
ستجد رسالة فوق
Firewall Status: Enabled but in Test Mode
حالياً الجدار الناري مركب ومفعل ولكن في الوضع التجريبي وتستطيع تشغيله في الوضع الطبيعي عن طريق إعداد الجدار الناري كالآتي
إضغط على
Firewall Configuration
ومن ثم طبق الآتي
TESTING = 0
TESTING_INTERVAL = 5
AUTO_UPDATES =1
TCP_IN =هنا ضيف بورت الشيل في حال غيرته من 22 الى رقم اخر ضيف المنفذ هنا
TCP_OUT = نفس الكلام ضيف بورت الشيل هنا
SYNFLOOD =1
SYNFLOOD_RATE =30/s
SYNFLOOD_BURST =50
CT_LIMIT =250
CT_PORTS =80,443
LF_SCRIPT_ALERT = 1
PT_SKIP_HTTP = 0
ومن ثم إضغط على
Change
ومن ثم
restart csf+lfd
و
Return
ومن ثم أدخل على
Firewall Security Level
وتختار
Medium
ومن ثم
restart csf+lfd
هكذا لقد قمت بتشغيل الجدار الناري
CSF
بنجاح على سيرفرك يتبقى ان تقوم بضبط برنامج
FTP
على سيرفرك وغالبا ما يكون
Pure-FTPD
ليتوافق عمله مع عمل الجدار الناري
بدون مشاكل .
نفذ الامر التالي من خلال الشيل :
pico /etc/pure-ftpd.conf
ابحث عن
PassivePortRange
قم بازالة علامة # من امامها
بعد ذلك قم بعمل ريستارت لل
FTP
من خلال الامر التالي
/scripts/restartsrv_ftpserver
الآن إنتهينا وبنجاح من تركيب الجدار الناري وإعداده الإعداد الصحيح بإذن الله تعالى
الآن بالنسبة للحماية من هجمات الفلود بواسطة هذا البرنامج الجبار طبق الآتي
nano /etc/csf/csf.conf
قوم بالضغط على CTRL + W ونبحث عن
PORTFLOOD
سوف نحد السطر بالشكل التالي افتراضياً:
PORTFLOOD = ""
نضع بداخل "" الاعدادات التي نريدها, كما في المثال التالي:
PORTFLOOD = "80;tcp;20;10"
80
هو المنفذ
TCP
هو البروتوكول
20
هو عدد الاتصالات المسموح به بنفس الوقت
10
هو وقت الايقاف المؤقت وبعد الـعشر ثواني يتم السماح للأي بي بعمل اتصالات جديدة.
ملاحضه مهمه:
ipt_recent
تستطيع حساب
20 Packets
لكل عنوان, لذا تستطيع تغيير عدد الاتصالات من 1 إلى 20 فقط.
هل هنالك امكانية اضافة اكثر من منفذ ؟ نعم ويكون بالشكل التالي مجرد مثال
PORTFLOOD = "22;tcp;10;200,21;tcp;15;100,80;tcp;20;5"
لاحظ أني عند كل اضافة منفذ جديد اضع فاصلة (,)
في المثال السابق اخترت اكثر من منفذ وهم 22 و 21 و 80 وتستطيع اضافة المزيد وتستطيع تغيير عدد الاتصالات و وقت الايقاف المؤقت وايضاً تغيير نوع البروتوكول مثلاً
من
TCP
إلى
UDP
وهكذا. بعد الانتهاء من التعديل نقوم بحفظ الملف
CTRL + X
ثم Y
ثم
Enter.
واخيراً لا ننسى اعادة تشغيل
CSF
بالأمر التالي:
csf -r
ملاحضة
من خلال الفلود لا يتم اختراق الموقع او السيرفر, الفلود عبارة عن
DoS "حجب الخدمة"
ولمعلومات أكثر عن هذا النوع من الهجوم على السيرفرات توجه إلى
http://en.wikipedia.org/wiki/Denial-of-service_attack (http://en.wikipedia.org/wiki/Denial-of-service_attack)
هذه الطريقة تصد الفلود العادي والمتوسط ولا تستطيع مواجهة الفلود القوي او العالي.
ملاحضه أخرى
هذه العملية تتطلب وجود تفعيل موديل
ipt_recent
للتحقق من أن الموديل مفعل إضغط على
Test iptables
وشوف الموديلات الموجوده هل الموديل المطلوب مفعل أم لا ؟
إذا كنت صاحب سيرفر مشترك في بي أس راسل صاحب السيرفر الرئيسي لتفعيل الموديل
أما إذا كنت صاحب السيرفر الكامل وتريد تفعيل الموديل لعملائك الفي بي أي
إليك الطريقة
ملاحظة هامة : التطبيقات التالية سيتم تنفيذها على ملفات هامة جداً
وخاصة بنظام التشغيل للنود الرئيسي ،
لذلك يجب عليك اخذ نسخة احتياطية من هذه الملفات
قبل تنفيذ التطبيقات الموجودة بالشرح ،
حتى اذا قمت بخطأ ما يمكنك استرجاع النسخة الاصلية من جديد ،
يمكنك اخذ نسخة من الملفات من خلال الاوامر النالية :
cp /etc/sysconfig/iptables-config /etc/sysconfig/iptables-config.old
cp /etc/sysconfig/vz /etc/sysconfig/vz.old
cp /etc/vz/vz.conf /etc/vz/vz.old
الان نبدأ بإسم الله .
افتح الشيل وسجل دخول الى السيرفر الرئيسيى بحساب الروت ونفذ الخطوات التالية .
سيتم اضافة موديلات الـ iptables اللازمة فى 3 ملفات ، من خلال الخطوات التالية :
نفذ الامر التالي لاضافة الـ iptables modules اللازمة :
nano /etc/sysconfig/iptables-config
ابحث عن
IPTABLES_MODULES=
ستجدها كالآتي
IPTABLES_MODULES=" "
او ربما تجد موديلات موجوده ما بين القوسين "" ، قم بمسح ما بين القوسين وضع الموديلات التالية ، وتأكد انها على سطر واحد :
ip_tables ipt_state ipt_multiport iptable_filter ipt_limit ipt_LOG ipt_REJECT ipt_conntrack ip_conntrack ip_conntrack_ftp iptable_mangle ipt_owner ipt_recent iptable_nat ip_nat_ftp ipt_REDIRECT ipt_length ipt_tos ipt_TOS ipt_TCPMSS ipt_tcpmss ipt_ttl ip_conntrack_netbios_ns
بعد وضع الموديلات السابقة ، قم بحفظ التغييرات التي قمت بها فى الملف من خلال الضغط على Ctrl+x ، ثم y ثم انتر .
بعد ذلك ، قم بفتح الملف التالي لوضع الموديلات اللازمة ايضاً :
nano /etc/sysconfig/vz
ثم ابحث عن :
IPTABLES=
ستجدها كالتالي
IPTABLES=" "
أيضاً ربما تجد موديلات موجوده ما بين القوسين "" ، قم بمسح ما بين القوسين وضع الموديلات التالية ، وتأكد انها على سطر واحد
ip_tables ipt_state ipt_multiport iptable_filter ipt_limit ipt_LOG ipt_REJECT ipt_conntrack ip_conntrack ip_conntrack_ftp iptable_mangle ipt_owner ipt_recent iptable_nat ip_nat_ftp ipt_REDIRECT ipt_length ipt_tos ipt_TOS ipt_TCPMSS ipt_tcpmss ipt_ttl ip_conntrack_netbios_ns
بعد وضع الموديلات السابقة ، قم بحفظ التغييرات التي قمت بها فى الملف من خلال الضغط على Ctrl+x ، ثم y ثم انتر .
بعد ذلك ، قم بفتح الملف التالي لوضع الموديلات اللازمة ايضاً
nano /etc/vz/vz.conf
ثم ابحث عن :
IPTABLES=
ستجدها كالتالي
IPTABLES=" "
أيضاً ربما تجد موديلات موجوده ما بين القوسين "" ، قم بمسح ما بين القوسين وضع الموديلات التالية ، وتأكد انها على سطر واحد
ip_tables ipt_state ipt_multiport iptable_filter ipt_limit ipt_LOG ipt_REJECT ipt_conntrack ip_conntrack ip_conntrack_ftp iptable_mangle ipt_owner ipt_recent iptable_nat ip_nat_ftp ipt_REDIRECT ipt_length ipt_tos ipt_TOS ipt_TCPMSS ipt_tcpmss ipt_ttl ip_conntrack_netbios_ns
الان انتهينا من اضافة الموديلات اللازمة .
بعد ذلك سنقوم باضافة الموديلات لملف الكونفيج الخاص بالفي بي اس الذي نريد تشغيل الـ csf عليه ، فلنفترض مثلا ان رقم الفي بي اس هو 100 ، اذاً سوف نقوم باضافة الموديلات فى ملف كونفيج الفي بي اس 100 وايضاً سوف نقوم بتحديد الـ resource الخاص بـالـ iptables لهذا الفي بي اس ، وسنقوم بعمل ذلك من خلال الاوامر التالية
vzctl set 100 --iptables ipt_REJECT --iptables ipt_tos --iptables ipt_TOS --iptables ipt_LOG --iptables ip_conntrack --iptables ipt_limit --iptables ipt_multiport --iptables iptable_filter --iptables iptable_mangle --iptables ipt_TCPMSS --iptables ipt_tcpmss --iptables ipt_ttl --iptables ipt_length --iptables ipt_state --iptables iptable_nat --iptables ip_nat_ftp --save
هكذا اضفنا الموديلات فى ملف الكونفيج الخاص بالفي بي اس ، ولتحديد الـ عدد iptables ، وعلى الاقل يجب ان تكون 1000 ، سوف نقوم بتنفيذ الامر التالي ايضاً
vzctl set 100 --numiptent 2000 --save
-- طبق الامرين السابقين على جميع الـ vps التي تريد ان تقوم بتفعيل الـ csf لها بدون مشاكل ، مع استبدال رقم الـ vps الموجود اعلاه (100) برقم الفي بي اس الذي سوف تقوم بتنفيذ العملية عليه .
- بعد ذلك سوف تقوم بايقاف خدمة الـ vz وريستارت للـ iptables ثم بعدها اعادة التشغيل مرة اخري (ملحوظة : سوف يتم ايقاف جميع الفي بي اسات على النود عند ايقاف الخدمة وسوف يتم اعادة تشغيلهم مرة ثانية عند تشغيل الخدمة ) .
الان سوف تقوم بايقاف الخدمة من خلال الامر التالي
service vz stop
انتظر حتى ينتهى وثم بعدها ريستارت للـ iptables :
service iptables restart
بعدها تشغيل الخدمة مرة اخرى
service vz start
الان تم حفظ التطبيقات التي قمت بها .
- بعد ذلك سنقوم بعمل رستارت للنتوورك من داخل الشيل الخاص بالفي بي اس ، قم بالدخول الى الفي بي اس من خلال الشيل او يمكنك الدخول اليه من خلال النود عن طريق الامر التالي
vzctl enter 100
الان انت بداخل الشيل للفي بي اس 100 ، ستقوم بعمل ريستارت للنتورك وذلك من خلال الامر التالي
service network restart
إلى الآن إنتهينا من إزالة أي جدار ناري على السيرفر وتركيب الـ
CSF
وإعداده إعداد مناسب وجيد والمساهمة بصورة كبيرة في حماية السيرفر من خطر الفلود وهجمات الإغراق على السيرفرات
وتأكدنا من الموديلات المفعله وفعلنا الموديلات المهمه لأصحاب السيرفرات الكاملة المقسمة إلى في بي أسات
آخر أمر في الموضوع
خاصية فحص حماية السيرفر بواسطة الجدار الناري
CSF
Chek Server Security
يعطيك نقاط ضعف سيرفرك وأخطاء السيرفر والأخطاء الأمنية
ستجد كل خطأ أماه تحذير باللون الأحمر
أبحث عن إسم الخطأ لتعرف حله
والموضوع هنا مفتوح لتحذيرات الجدار الناري مجرد أذكر لي التحذير بالكامل وسيتم وضع الحل بإذن الله تعالى
وفي الختام أتمنى من الله عز وجل أن أكون وفقت في عملي هذا فإن أصبت من الله وإن أخطأت من الشيطان
الموضوع الأصلي ...
http://3eyon.net/vb/showthread.php?p=1914#post1914 (http://3eyon.net/vb/showthread.php?p=1914#post1914)
بالنسبة لتفعيل الموديلات
مقتبسه من شركة الخليج هوست
http://www.gulfhosted.com/main/t24.html (http://www.gulfhosted.com/main/t18.html)
في حال حدوث أي مشاكل معكم
فنحن هنا والموضوع مفتوح لجميع الأسئلة والإستفسارات
تحياتي وإحترامي لكم
صهيب الفهداوي
شبكة عيون الحبايب العراقيه
http://www.3eyon.net (http://www.3eyon.net/)
http://www.3eyon-host.com (http://www.3eyon-host.com/)
http://img364.imageshack.us/img364/5291/34787798xm6xo8jc5.gif