امنیت سیستم های linux

منبع و جزوه دوره پیشرفته امنیت سیستم های لینوکس

در ابتدا باید بدونید که عمل Caching بر خلاف خیلی از کارهای دیگه در شبکه به Hardware حساس هست تا به Software . در حقیقت شما بهینه سازی هایی که با انتخاب درست یک Hardware می تونید بکنید خیلی بیشتر و موثرتر از بهینه سازی های نرم افزاری هستش . گویی که در Load بالا همین بهینه سازی های نرم افزاری می تونه باعث بشه به صورت خیلی محسوسی شما از همان Hardware ها به نحو احسن استفاده کنید ، اما انتخاب Hardware رکن اساسی هستش . پس خیلی در مورد خرید Hardware برای Cache Server تون دقت کنید . گاهی پول زیاد دادن و دستگاههای گران قیمت خریدن نه تنها باعث بهبود نمیشه ، بلکه گاهی مشکل ساز هم میشه . پس دقت کنید که در این مورد به خصوص گرونترین ها رو نرید تو بازار انتخاب کنید و با معیار های علمی که اشاره خواهم کرد قطعات مورد نیازتون رو خریداری و انتخاب کنید .

چهار عامل به طور کلی در انتخاب سخت افزارها مهم هستند :


ادامه مطلب
+ نوشته شده در  89/03/12ساعت 14:40  توسط مهیار تاج دینی  | 

برای دانلود دیسک زنده لینوکس فدورا ۱۲ از لینک زیر استفاده کنید ضمن اینکه دقیقاً ۷ روز آینده نسخه ۱۳ آن منتشر خواهد شد.

 

Get Fedora 12 Desktop Edition Now

Live CD This is the latest version of the Fedora Linux operating system featuring the GNOME desktop. It's everything you need to try out Fedora—and if you like it, install it right from the desktop!

690MB, ISO format, 1 CD-ROM disc image for Intel-compatible PCs (32-bit) | How do I use this file?

Download Now!

+ نوشته شده در  89/02/29ساعت 11:21  توسط مهیار تاج دینی  | 

در لینوکس از چند طریق می توان شبکه را config  کرد.config  کردن شبکه، یعنی مشخص کردن :

1- IP Address
default Gateway-2
hostname-3

در لینوکس یکسری فایل برای save کردن تنظیمات وجود دارد و یکسری command  برای نشان دادن تنظیمات فعلی، فایل هایی که تنظیمات در آن ذخیره می شود به شرح زیر است :

Ip Address:
به ازاء هر device یک فایل config  در مسیر زیر داریم.

etc/sysconfig/network-scripts/ifcfg-eth0
اگر چندین کارت شبکه داشته باشیم به ترتیب eth1,eth2,... خواهد بود.
در این فایل ip address و subnet  قرار می گیرد.

default Gatway:
در فایل زیر default Gatway قرار می گیرد.
/etc/sysconfig/network

:DNS , Hostname
و DNS Server، ip در فایل زیر قرار می گیرد.
/etc/resolv.conf
مثلآ اگر ip DNS server ،
192.168.1.10 بود ، در resolv.conf ، تنظیمات زیر را وارد می کنیم:
nameserver 192.168.1.10
+ نوشته شده در  89/02/15ساعت 10:46  توسط مهیار تاج دینی  | 

اطلاعات کاربران لینوکس (Linux) در /etc/passwd ذخیره می شود و شما می توانید مستقیما آنها را ویرایش کنید که اصلا این روش توصیه نمی شود.

اطلاعات password کاربران لینوکس (Linux) در /etc/shadow ذخیره شده است و تنها با دستور passwd قابل تغییر است.

اطلاعات گروه های کاربران لینوکس (Linux) هم در /etc/group ذخیره می شود.


ادامه مطلب
+ نوشته شده در  89/02/11ساعت 23:53  توسط مهیار تاج دینی  | 

دانشجویان محترم

درصورتی که برای دسترسی به فرم ثبت پروژه دچار مشکل شده اید از لینک زیر استفاده کنید.

فرم ثبت موضوع پروژه

+ نوشته شده در  89/02/07ساعت 14:45  توسط مهیار تاج دینی  | 

IP يك‌ عدد 32 بيتي‌ (bit) است‌ كه‌ پس‌ از اتصال‌ به‌ شبكه‌(... , Internet , LAN) به‌ ما متعلق‌ مي‌گيرد.
شكل كلي IP را مي توان به صورت www.xxx.yyy.zzz در نظر گرفت كه با هر بار اتصال به اينترنت به صورت Dial Up اين عدد تغيير مي كند.
به عنوان مثال در حال حاضر IP ما 213.155.55.104 است اما در اتصال بعدي ممكن است اين عدد به 213.155.55.20 تغيير كند.

ادامه مطلب
+ نوشته شده در  89/02/07ساعت 14:14  توسط مهیار تاج دینی  | 

امروزه حتی با وجود هاردها و دستگاههای ذخیره سازی با حجم زیاد , فشرده سازی همچنان یکی از موارد مهم در همه سیستم عامل ها محسوب می شود , برخی از مزایای فشرده سازی عبارت است از :
کاهش حجم اشغالی , راحتی در انتقال , راحتی در به اشتراک گذاری , افزایش سرعت انتقال ( تصور کنید که بخواهید 1000 فایل یک مگابایتی در مقایسه با یک فایل 1 گیگابایتی جا به جا کنید
).
معمولترین ابزارهای فشرده سازی در لینوکس
gzip , bzip2 و zip می باشد که در بین کاربران عادی zip محبوبیت و کاربرد بیشتری دارد ولی در دنیای لینوکس 2 ابزار دیگر کاربرد و مقبولیت بیشتری دارند.
خروجی پسوند هر کدام از ابزارهای بالا به شرح زیر می باشد
:

bzip2=bz2
gzip=gz
zip=zip

شاید در ذهن شما این سوال آمده است که "ما اغلب با پسوندهایی نظیر tar.gz و tar.bz2 روبرو هستیم , پس جایگاه و کاربرد tar چیست؟"
ادامه مطلب
+ نوشته شده در  89/02/01ساعت 10:17  توسط مهیار تاج دینی  | 

برای اینکه لینوکس خود را عضو دامین ویندوزی کنیم از Samba  ، winbind  و Kerberos  کمک می گیریم . پس نیاز هست تا این سه بسته را تهیه و نصب کنید . البته هر سه این بسته در سی دی اغلب توزیع های لینوکس موجود است و اگر الان می خواهید لینوکس را نصب کنبد می توانید در هنگام نصب این بسته ها را نیز انتخاب کنید . برای این آموزش من از توزیع Fedora Core 5  و همچنین windows 2003  که اکتیو دایرکتوری بر روی آن در حال اجرا است استفاده کردم .


ادامه مطلب
+ نوشته شده در  89/01/30ساعت 14:5  توسط مهیار تاج دینی  | 

جزوه دستورات مهم لینوکس. { به ادامه مطلب مراجعه نمائید }


ادامه مطلب
+ نوشته شده در  89/01/28ساعت 11:56  توسط مهیار تاج دینی  | 

ممکن است برای هر کدام از ما پیش آمده باشد که پسورد کاربر ریشه یا Root را فراموش کرده ایم و برای انجام وظایف مدیریتی سیستم شدیدا به آن محتاج باشیم ; در این زمان است که می توان با استفاده از مد نجات (rescue mode) براحتی پسورد را بازیابی کرد.
ممکن است با دیدن این آموزش ها تصور کنید که برای بازیابی پسورد در انواع مختلف لینوکس, روش ها متفاوت از یکدیگر می باشند , این در حالیست که اصول یکیست ولی ممکن است شیوه اجرا متمایز باشد.
بطور خلاصه می توان مراحل بازیابی پسورد را این چنین شرح داد :
  1. تنظیم سیستم برای بوت از روی CD یا DVD
  2. اجرا در مد نجات ( Rescue mode )
  3. پیدا کردن پارتیشن ریشه و مونت کردن آن - این مرحله در بعضی بصورت خودکار انجام می شود
  4. تغییر ریشه ( Chroot )
  5. تغییر پسورد ( Passwd )
  6. شروع مجدد سیستم ( Reboot )
+ نوشته شده در  88/12/27ساعت 3:10  توسط مهیار تاج دینی  | 

وب سرور Apache , پایگاه داده MySQL و پردازشگر زبان اسکریپت نویسی PHP یکی از محبوب ترین و کاربردی ترین مجموعه ها برای طراحی و پیاده سازی وب سایت با صفحات دینامیک و پویا هستند .از ویژگی های این سه ابزار می توان به استواری بالا , قابلیت انعطاف زیاد , سطح بالایی از امنیت و قابل اجرا بر روی تعداد زیادی platform اشاره کرد .
در این مقاله سعی شده است که روش ساده نصب Apache , MySQL و PHP شرح داده شود . روشی که در این مقاله توضیح داده خواهد شد روشی عمومی است و در صورتی که شما مایل باشید که از حداکثر توانایی های این سه نرم افزار قدرتمند استفاده کنید بهترین راه استفاده از Documentation بسیار غنی این سه پروژه متن باز می باشد.

ادامه مطلب
+ نوشته شده در  88/12/24ساعت 1:50  توسط مهیار تاج دینی  | 

اسکریپتی که براتون گذاشتم تعداد کانکشن ها رو کنترل می کنه و اگر تعداد یک کانکشن از طرف یک آی پی زیاد باشه اون رو بن می کنه . تعدا کانکشن رو در قسمت /usr/local/ddos/ddos.conf خودتون مشخص کنید .
ادامه مطلب
+ نوشته شده در  88/11/26ساعت 1:25  توسط مهیار تاج دینی  | 

Cron ابزاری (سرویسی؟) است که دستورات shell را به صورت دوره ای، بر اساس زمانبندی داده شده اجرا می کند. Cron بوسیله crontab گردانیده می شود. Crontab فایل پیکربندی ای است که جزییات دستورات و جدول زمانبندی در آن نگهداری می شود.
ادامه مطلب
+ نوشته شده در  88/11/25ساعت 15:19  توسط مهیار تاج دینی  | 

در این مقاله به معرفی يكي از ابزارهاي قدرتمند تصفيه كننده بسته ها به نام IPtables مي پردازيم. IPtables به عنوان نسل چهارم پياده سازي شده از ابزارهاي تصفيه كننده سيستم عامل لينوكس معرفي مي شود.نکاتی که در این مقاله آورده شده بر اساس تجربیات شخصی جمع آوری شده به همین سبب بیشتر از مطالب تئوریک کتابها میتواند مفید فایده واقع شود ضمن آنکه میتوان از آن به عنوان یک هندبوک ساده استفاده کرد.
ادامه مطلب
+ نوشته شده در  88/11/24ساعت 0:39  توسط مهیار تاج دینی  | 

1.مقدمه

موضوع مورد بحث در این مقاله، مفهوم جداول، زنجیرها (Chains) و قوانین (Rules) می باشد و اینکه به چه شکل می توان از آنها استفاده نمود تا یک کامپیوتر دارای سیستم عامل Linux را به یک فایروال تبدیل نمود.در این مقاله هدف بررسی مجموعه دستورات لازم برای آنکه یک فایروال توسط IPTables راه اندازی شود، نمی باشد؛ بلکه فقط توسط یک نقشه فیزیکی شبکه سعی دارد تا جریان بسته و جایگاه جداول را در IPTables ارائه نماید. این دیاگرام می تواند سنگ بنای معرفی ویژگی ها، دستورات، و مفاهیم IPTables به شکل غیر فنی باشد. این مقاله صرفاً جنبه آشنایی برای افراد تازه کار داشته و در مقاله های بعدی موجود در سایت linuxsecurity.blogfa.com می توانید اطلاعات تخصصی در مورد IPTables و نحوه پیکربندی آن بدست آورید.


ادامه مطلب
+ نوشته شده در  88/11/23ساعت 23:38  توسط مهیار تاج دینی  | 

به طور خلاصه sudo دستوری است که به شما اجازه وارد شد با کاربر روت را می‌دهد

حال اگر بخواهیم برخی از دسترسی های کاربر روت را به یک کاربر دیگر بدهیم باید فایل etc/sudoers/ را ویرایش کنیم. مقاله که در این بخش آماده کرده ام به تشریح همین موضوع پرداخته


ادامه مطلب
+ نوشته شده در  88/11/23ساعت 20:39  توسط مهیار تاج دینی  | 

در این مقاله مطالب زیر را برای شما گردآوری کرده ام.

چک کردن درستی بسته‌های نرم‌افزاری ، نصب و پیکربندی OpenSSH ، امنیت آپاچی ، پیکربندی TCP Wrapper-ها ، استفاده از RPM و dpkg ، پیکربندی Syslog ، امنیت DNS ، فایلهای حیاتی سیستم


ادامه مطلب
+ نوشته شده در  88/11/21ساعت 0:56  توسط مهیار تاج دینی  | 

هدف این مرجع سریع، فراهم آوردن زمینه‌هایی برای بهبود امنیت سیستم شما می‌باشد. اطلاعات بیشتر در مورد اطلاعات امنیتی، افزایش آگاهی و روشهایی که بتوان امنیت سیستم را بهتر نمود، از جمله مواردی است که در این مستند به آن پرداخته شده است. لازم به ذکر است که این مقاله، جایگزینی برای مستندات انبوهی که در زمینه امنیت لینوکس وجود دارد، نخواهد بود.
ادامه مطلب
+ نوشته شده در  88/11/21ساعت 0:50  توسط مهیار تاج دینی  | 

یکی از لایه های دیگر امنیتی صدور مجوز ارتباط یا جلوگیری از برقراری ترافیک با شبکه اینترنت از طریق تعریف کردن host  های مجاز یا غیر مجاز است .

مثلا شما میتوانید به سادگی اطلاعات دو فایل مهم etc/hosts.deny  و etc/hosts.allow  را به نفع خود ویرایش کنید تا فقط آدرسهای بخصوصی اجازه دسترسی به کامپیوتر شما را بصورت از راه دور داشته باشند.

بهترین تنظیم برای فایل etc/hosts.deny  شامل خط زیر است که باید به فایل اضافه شود:

ALL: ALL

بدیهی است که با این دستور بصورت پیش فرض همه کامپیوتر های را دور از دسترسی به سیستم شما منع میشوند ، سپس  میتوانید در فایل etc/hosts.allow  تنظیمات لازم یعنی آدرسهای دامنه یا آدرس آی پی مجاز را به تفکیک وارد کنید :

مثال :

sshd: 192.168.0.1 #allow 192.168.0.1 to access ssh
sshd: somebox.somedomain.com #allow somebox.somedomain.com to access ssh

+ نوشته شده در  88/11/21ساعت 0:48  توسط مهیار تاج دینی  | 

یکی از مسائل امنیت این است که تا آنجایی که می‌توانید سیستم خود را از دست هکرها پنهان نمائید تا نتوانند سیستم شما را شناسایی کنند. یکی از دستورات ساده که خیلی از آن استفاده می‌گردد دستور Ping است که با این دستور مشخص می‌شود آیا چنین آدرسی در شبکه وجود دارد یا نه. برای همین منظور شما میت‌وانید با یک دستور ساده کاری کنید که سیستم شما به Ping هائی که از شبکه می‌آید جواب ندهد. دستور ذیل این کار را برای شما انجام می‌دهد.


#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

با اجراء این دستور سیستم شما به هیچ Ping ی جواب نمی‌دهد. اگر دوباره می‌خواهید سیستم را به حالت قبل باز گردانید فقط کافی است بجای عدد ۱ ( یک ) عدد ۰ ( صفر ) را در دستور بالا جایگزین نمائید و دستور را اجراء نمائید.

+ نوشته شده در  88/11/21ساعت 0:42  توسط مهیار تاج دینی  | 

مطالب قدیمی‌تر