امنیت سیستم های linux

در ابتدا باید بدونید که عمل Caching بر خلاف خیلی از کارهای دیگه در شبکه به Hardware حساس هست تا به Software . در حقیقت شما بهینه سازی هایی که با انتخاب درست یک Hardware می تونید بکنید خیلی بیشتر و موثرتر از بهینه سازی های نرم افزاری هستش . گویی که در Load بالا همین بهینه سازی های نرم افزاری می تونه باعث بشه به صورت خیلی محسوسی شما از همان Hardware ها به نحو احسن استفاده کنید ، اما انتخاب Hardware رکن اساسی هستش . پس خیلی در مورد خرید Hardware برای Cache Server تون دقت کنید . گاهی پول زیاد دادن و دستگاههای گران قیمت خریدن نه تنها باعث بهبود نمیشه ، بلکه گاهی مشکل ساز هم میشه . پس دقت کنید که در این مورد به خصوص گرونترین ها رو نرید تو بازار انتخاب کنید و با معیار های علمی که اشاره خواهم کرد قطعات مورد نیازتون رو خریداری و انتخاب کنید .

چهار عامل به طور کلی در انتخاب سخت افزارها مهم هستند :

اطلاعات کاربران لینوکس (Linux) در /etc/passwd ذخیره می شود و شما می توانید مستقیما آنها را ویرایش کنید که اصلا این روش توصیه نمی شود.

اطلاعات password کاربران لینوکس (Linux) در /etc/shadow ذخیره شده است و تنها با دستور passwd قابل تغییر است.

اطلاعات گروه های کاربران لینوکس (Linux) هم در /etc/group ذخیره می شود.

امروزه حتی با وجود هاردها و دستگاههای ذخیره سازی با حجم زیاد , فشرده سازی همچنان یکی از موارد مهم در همه سیستم عامل ها محسوب می شود , برخی از مزایای فشرده سازی عبارت است از :
کاهش حجم اشغالی , راحتی در انتقال , راحتی در به اشتراک گذاری , افزایش سرعت انتقال ( تصور کنید که بخواهید 1000 فایل یک مگابایتی در مقایسه با یک فایل 1 گیگابایتی جا به جا کنید).
معمولترین ابزارهای فشرده سازی در لینوکس gzip , bzip2 و zip می باشد که در بین کاربران عادی zip محبوبیت و کاربرد بیشتری دارد ولی در دنیای لینوکس 2 ابزار دیگر کاربرد و مقبولیت بیشتری دارند.
خروجی پسوند هر کدام از ابزارهای بالا به شرح زیر می باشد :

bzip2=bz2
gzip=gz
zip=zip

شاید در ذهن شما این سوال آمده است که "ما اغلب با پسوندهایی نظیر tar.gz و tar.bz2 روبرو هستیم , پس جایگاه و کاربرد tar چیست؟"

برای اینکه لینوکس خود را عضو دامین ویندوزی کنیم از Samba  ، winbind  و Kerberos  کمک می گیریم . پس نیاز هست تا این سه بسته را تهیه و نصب کنید . البته هر سه این بسته در سی دی اغلب توزیع های لینوکس موجود است و اگر الان می خواهید لینوکس را نصب کنبد می توانید در هنگام نصب این بسته ها را نیز انتخاب کنید . برای این آموزش من از توزیع Fedora Core 5  و همچنین windows 2003  که اکتیو دایرکتوری بر روی آن در حال اجرا است استفاده کردم .

1. تنظیم سیستم برای بوت از روی CD یا DVD
2. اجرا در مد نجات ( Rescue mode )
3. پیدا کردن پارتیشن ریشه و مونت کردن آن - این مرحله در بعضی بصورت خودکار انجام می شود
4. تغییر ریشه ( Chroot )
5. تغییر پسورد ( Passwd )
6. شروع مجدد سیستم ( Reboot )
   

وب سرور Apache , پایگاه داده MySQL و پردازشگر زبان اسکریپت نویسی PHP یکی از محبوب ترین و کاربردی ترین مجموعه ها برای طراحی و پیاده سازی وب سایت با صفحات دینامیک و پویا هستند .از ویژگی های این سه ابزار می توان به استواری بالا , قابلیت انعطاف زیاد , سطح بالایی از امنیت و قابل اجرا بر روی تعداد زیادی platform اشاره کرد .
در این مقاله سعی شده است که روش ساده نصب Apache , MySQL و PHP شرح داده شود . روشی که در این مقاله توضیح داده خواهد شد روشی عمومی است و در صورتی که شما مایل باشید که از حداکثر توانایی های این سه نرم افزار قدرتمند استفاده کنید بهترین راه استفاده از Documentation بسیار غنی این سه پروژه متن باز می باشد.

اسکریپتی که براتون گذاشتم تعداد کانکشن ها رو کنترل می کنه و اگر تعداد یک کانکشن از طرف یک آی پی زیاد باشه اون رو بن می کنه . تعدا کانکشن رو در قسمت /usr/local/ddos/ddos.conf خودتون مشخص کنید .

Cron ابزاری (سرویسی؟) است که دستورات shell را به صورت دوره ای، بر اساس زمانبندی داده شده اجرا می کند. Cron بوسیله crontab گردانیده می شود. Crontab فایل پیکربندی ای است که جزییات دستورات و جدول زمانبندی در آن نگهداری می شود.

در این مقاله به معرفی يكي از ابزارهاي قدرتمند تصفيه كننده بسته ها به نام IPtables مي پردازيم. IPtables به عنوان نسل چهارم پياده سازي شده از ابزارهاي تصفيه كننده سيستم عامل لينوكس معرفي مي شود.نکاتی که در این مقاله آورده شده بر اساس تجربیات شخصی جمع آوری شده به همین سبب بیشتر از مطالب تئوریک کتابها میتواند مفید فایده واقع شود ضمن آنکه میتوان از آن به عنوان یک هندبوک ساده استفاده کرد.

1.مقدمه

موضوع مورد بحث در این مقاله، مفهوم جداول، زنجیرها (Chains) و قوانین (Rules) می باشد و اینکه به چه شکل می توان از آنها استفاده نمود تا یک کامپیوتر دارای سیستم عامل Linux را به یک فایروال تبدیل نمود.در این مقاله هدف بررسی مجموعه دستورات لازم برای آنکه یک فایروال توسط IPTables راه اندازی شود، نمی باشد؛ بلکه فقط توسط یک نقشه فیزیکی شبکه سعی دارد تا جریان بسته و جایگاه جداول را در IPTables ارائه نماید. این دیاگرام می تواند سنگ بنای معرفی ویژگی ها، دستورات، و مفاهیم IPTables به شکل غیر فنی باشد. این مقاله صرفاً جنبه آشنایی برای افراد تازه کار داشته و در مقاله های بعدی موجود در سایت linuxsecurity.blogfa.com می توانید اطلاعات تخصصی در مورد IPTables و نحوه پیکربندی آن بدست آورید.

به طور خلاصه sudo دستوری است که به شما اجازه وارد شد با کاربر روت را می‌دهد

حال اگر بخواهیم برخی از دسترسی های کاربر روت را به یک کاربر دیگر بدهیم باید فایل etc/sudoers/ را ویرایش کنیم. مقاله که در این بخش آماده کرده ام به تشریح همین موضوع پرداخته

یکی از لایه های دیگر امنیتی صدور مجوز ارتباط یا جلوگیری از برقراری ترافیک با شبکه اینترنت از طریق تعریف کردن host  های مجاز یا غیر مجاز است .

مثلا شما میتوانید به سادگی اطلاعات دو فایل مهم etc/hosts.deny  و etc/hosts.allow  را به نفع خود ویرایش کنید تا فقط آدرسهای بخصوصی اجازه دسترسی به کامپیوتر شما را بصورت از راه دور داشته باشند.

بهترین تنظیم برای فایل etc/hosts.deny  شامل خط زیر است که باید به فایل اضافه شود:

ALL: ALL

بدیهی است که با این دستور بصورت پیش فرض همه کامپیوتر های را دور از دسترسی به سیستم شما منع میشوند ، سپس  میتوانید در فایل etc/hosts.allow  تنظیمات لازم یعنی آدرسهای دامنه یا آدرس آی پی مجاز را به تفکیک وارد کنید :

مثال :

sshd: 192.168.0.1 #allow 192.168.0.1 to access ssh
sshd: somebox.somedomain.com #allow somebox.somedomain.com to access ssh

یکی از مسائل امنیت این است که تا آنجایی که می‌توانید سیستم خود را از دست هکرها پنهان نمائید تا نتوانند سیستم شما را شناسایی کنند. یکی از دستورات ساده که خیلی از آن استفاده می‌گردد دستور Ping است که با این دستور مشخص می‌شود آیا چنین آدرسی در شبکه وجود دارد یا نه. برای همین منظور شما میت‌وانید با یک دستور ساده کاری کنید که سیستم شما به Ping هائی که از شبکه می‌آید جواب ندهد. دستور ذیل این کار را برای شما انجام می‌دهد.

#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

با اجراء این دستور سیستم شما به هیچ Ping ی جواب نمی‌دهد. اگر دوباره می‌خواهید سیستم را به حالت قبل باز گردانید فقط کافی است بجای عدد ۱ ( یک ) عدد ۰ ( صفر ) را در دستور بالا جایگزین نمائید و دستور را اجراء نمائید.

احتماً برای شما هم پیش آمده که بخواهید از yum استفاده کنید.

اما به دلیل عدم اتصال به اینترنت یا سرعت پایین با بروز رسانی و دانلود بسته ها مشکل داشته اید ، به هر حال در این مقاله ما از DVD فدورا به عنوان منبع استفاده می کنیم و که برای نصب از yum استفاده کنیم.

یاداور میشوم که استفاده از yum  برای جلو گیری از دردسر برخورد با خطا dependence package  بهترین راهکار است.

بعد از پیکربندی سخت افزاری کارت شبکه نوبت یه شناساندن آن به لایه شبکه کرنل است . برای پیکربندی نرم افزاری از دستور ifconfig استفاده می شود . شکل کلی این دستور به صورت زیر است :

اکثر شبکه ها از TCP/IP به عنوان پروتکلهاي پايه اي براي ارتباط شبکه استفاده ميکنند
علارقم استفاده شما از سيستم عاملي که استفاده ميکنيد , هميشه درست کردن تنظيمات TCP/IP احتياج به پيکربندي شدن به منظور ارتباط با ديگر سيستمها به عنوان شبکه دارد
پايه اي ترين اين تنظيمات در کارت اينترفيس شما ,IP address ,Subnet mas و شماره شبکه است.عموما اين تنظيمات بصورت اتوماتيک توسط سرور DHCP تنظيم ميشود
بهرحال زماني که پيکربندي دستي مورد نياز باشد احتياچ به دانستن اين تنظيمات است.اغلب تنها IP Address که مشخص کننده دستگاه شماست تنها احتياج شما به منظور قرار دادن ميباشد

بیشک پارتیشن‌بندی هارددیسکت به هنگام نصب لینوکس یک دغدغه جدی برای استفاده کننده سیستم به حساب می‌آید. این موضوع جدی‌تر میشود هنگامی که سیستم به عنوان یک سرور ایفای نقش میکند. مباحثی همچون تعداد پارتیشنها، Mount Point مناسب، و از همه مهمتر اندازه مناسب با توجه به نیاز آینده ممکن است شخص را گیج و منگ کند. بالاخره از روز اول که همه چیز مشخص نیست. چه باید کرد؟
در این مقاله کوتاه چند توصیه ساده اما کارا مطرح شده است. همچنین با توجه به جایگاه lvm به عنوان یک ابزار مهم در پارتیشن بندی مناسب سیستم، تعاریف اولیه و نیز طرز استفاده ازآن به طور خلاصه بیان شده است.

گفتنی ها در باره لینوکس بسیار است.در این قسمت به مفهوم انواع توزیع ((distribution های لینوکس خواهیم پرداخت.
يكي از سوالات مطرح براي كاربراني كه قصد كار باسيستم عامل لينوكس را دارند، انتخاب توزيع است و اينكه چرا انواع مختلفي از لينوكس وجود دارد و كداميك مناسب تر است؟

راهنمای نصب قدم به قدم لینوکسfedora :
راههای زیادی برای اغاز نصب فدورا وجود دارد از جمله boot از روی CD ، فایل های FTP ،HTTP ،از روی یک هارد دیگر(هارد رو هارد کردن) و بسیاری روشهای دیگر.
شاید متداول ترین روش نصب، وارد کردن CD های نصب در داخل کامپیوتر و راه اندازی مجدد ان از روی CD ها باشد.ما در طول این راهنما فرض میکنیم که شما نصب فدورا را با استفاده از CD های نصب انجام می دهید.

در این قسمت برای نصب لینوکس اماده می شیم.در قسمت بعد طریقه کلی نصب رو توضیح میدیم.این اموزش برای ردهت و فدورا مفید ِ و البته برای بقیه لینوکس ها هم تا حدودی جواب می ده. در ضمن نصب لینوکس یک کار فوق العاده سخت نیست و شما می توانید در کمال ارامش، این کار لذت بخش را انجام دهید.پس از نصب این سیستم عامل،مشاهده می کنید که یک کامپیوتر قدرتمند با قابلیت های فوق العاده سودمند برای اجرای بیشتر کارهای خود با حداقل هزینه در اختیار دارید.(واقعا همین جوریه ها،می تونید امتحان کنید تا خودتون ببینید.) قبل از اون بد نیست با یک سری اصطلاحات و کارای ابتدایی هم اشنا شیم.

ویرایشگر vi و vim (که نسخه گسترش داده شده vi است) جزو ویرایشگرهای محبوب در بین لینوکس کاران است. البته در رویارویی اولیه شاید ظاهر بدون منو کمی مشکل آفرین باشد اما آشنا شدن با دستورات این ویرایشگر قدرت زیادی به یک برنامه نویس میدهد ، گرچه همیشه طرفداران آن برنامه نویسان نیستند زیرا هر کاربر حرفه ایی با توجه به نوع سیستم فایل لینوکس برای اعمال پیکربندی هایش به این ویرایشگر نیاز دارد.

بسیاری از کاربران به علت عدم اگاهی در مورد نوع اطلاعات و محل ذخیره سازی انها در لینوکس دچار مشکل می شوند.ما سعی خواهیم کرد که شیوه ساز ماندهی فایل ها را در سیستم فایلی این سیستم عامل روشن کنیم. همچنین مهمترین فایل ها و دایرکتوری ها را ذکر کرده و روش های متفاوت مشاهده محتوای فایل ها ،چگونگی ایجاد، جابه جایی و پاک کردن فایل ها و دایرکتوری ها را شرح خواهیم داد.