لكن، إستخدام FTP قد يعرض سيرفرك للإختراق، راجع هذة التدوينة: لتفادي إختراق موقعك، توقف عن إستخدام FTP.

ويوجد أيضاً خيار إعطاء من يريد الدخول إلى سيرفرك للتعامل مع الملفات صلاحيات عبر برتوكول SFTP الأمن المعتمد على بروتوكول SSH، ولكن، لكي تعطي مستخدميك صلاحيات لإستخدام SFTP يجب أن يكون لديهم حساب SSH فعال.

إذا، مالمشكلة بإعطاء المستخدم حساب SSH على السيرفر للتعامل مع الملفات عبر برتوكول SFTP؟

الإشكالية بأن المستخدم سوف يكون لديه حساب “شل Shell” على السيرفر بصلاحيات أكبر من مجرد التعامل مع الملفات، سوف يكون لديه عبر هذة الشل إمكانية التعامل مع اوامر السيرفر، مثل معرفة من على السيرفر بهذة اللحظة، معلومات السيرفر، معلومات المستخدمين، إمكانية إستخدام “المترجمات Compilers” في حالة وجودها على سيرفرك لعمل Compile لبعض البرامج الخبيثة لإستغلال ثغرات السيرفر الخاص بك وغيرها.

مالحل؟

الحل بكل بساطة أنك تجبر المستخدم على إستخدم شل Shell مخصص فقط لنقل الملفات عبر بروتوكول SFTP، بدلاً عن إعطائه كامل الصلاحيات التي يوفرها بروتوكول SSH.

سوف أنشى حساب بإسم jerais وسوف يكون الشل Shell الخاص به فقط SFTP لنقل الملفات.

لينكس ديبيان Debian:

useradd -m -s /usr/lib/sftp-server jerais

ريدهات\سنتوس\فيدورا RedHat/CentOs/Fedora:

useradd -m -s /usr/libexec/openssh/sftp-server jerais

تم!.

بإمكانك الآن محاولة الدخول على السيرفر بالمستخدم jerais عبر برتوكول SSH وسوف تجد أنه لايزوده بأي شل Shell بعكس عندما تتصل بالسيرفر عبر برتوكول SFTP لنقل الملفات.

للمعلومية:

توجد شل Shell جيدة خارجية مخصصة فقط لنقل الملفات عبر برتوكول SFTP و مزامنتها عبر Rsync، لكن قد تواجه بعض المشاكل بها عند إتصالك عبر برتوكول SFTP. إسم الشل RSSH، ويمكتك الحصول عليه إما من مستودع التوزيعة الخاصة بك أو عبر موقعهم: rssh – restricted shell for scp/sftp

سوف أتطرق بهذة التدوينة إلى طرق رفع مستوى قواعد بيانات بيانات MySQL على مستوى “السيرفر”، وليس على مستوى التطبيق الذي يستخدم قواعد البيانات.

تطبيق هذة الخطوات الأمنية جداً سهل وسلسل، فقط تحتاج حساب المستخدم الجذري Root قبل البدء بأي خطوة، وسيتم التطبيق على أنظمة لينكس RedHat/Fedora/CentOs. وقد تنطبق على أنظمة لينكس الأخرى.

سيتم التعديل بشكل كامل على الملف my.cnf، لذلك قم بفتحه عن طريق vi أو أي محرر نصوص تفضله:

vi /etc/my.cnf
وتأكد أن تقوم بإعادة تشغيل قواعد بيانات MySQL بعد أي عملية تعديل في الملف my.cnf كالتالي:
/etc/init.d/mysql-server restart

الخيارات 1 و 2 التي سوف أتطرق لها قم بإضافاتها أسفل

[mysqld]

1- تعطيل الإتصال بالشبكة بشكل كامل:

skip-networking

سبب هذا الأجراء الأمني أنه في حالة وجود حساب على قاعدة البيانات غير مؤمن بكلمة مرور أو كلمة مرور ضعيفة أو في حالة سرقة أحد الحسابات الموجودة على قاعدة البيانات لن يستطيع الإستفادة منه عن بعد للتحكم أو لخرق خصوصية قاعدة البيانات.

علماً أن التطبيقات التي تعمل على نفس السيرفر  وتستخدم هذة قاعدة البيانات تستخدم Sockets وليس عن طريق الشبكة، إلا في بعض الحالات.

2- تشغيل قاعدة البيانات للعمل على IP محدد، وليس على جميع IPs السيرفر:

bind-address  = aa.bb.cc.dd

سبب هذا الإجراء في حالة وجود كرتي شبكة على نفس السيرفر، الكرت الأول يحتوي على IP خاص للتواصل بين السيرفرات التي بنفس شبكته، والكرت الثاني يحتوي على IP عام Public متصل بالإنترنت. يمكنك إجبار قاعدة البيانات فقط بالإتصال بالسيرفرات الموجودة في شبكتك الداخلية الخاصية وعدم إستقبالها لأي إتصال من قادم من الإنترنت.

علماً أنه يمكن الإستغناء عن الخيار رقم 1 بالأعلى بجعل قاعدة البيانات تعمل على الأي بي المحلي 127.0.0.1 كالتالي:

bind-address = 127.0.0.1

3- وضع كلمة مرور للحساب الجذري root:

# mysqladmin -u root password "NEW-PASSWORD"

قم بإستبدال NEW-PASSWORD بكلمة مرور تريدها للحساب root الخاص بقاعدة البيانات وليس الخاص بالسيرفر.

سبب هذا الأجراء الأمني أنه للأسف بعد تثبيت قاعدة البيانات MySQL لايتم وضع كلمة مرور للحساب الجذري root! مما يعني أنه يمكن ﻷي مستخدم محدود، ليس root، لديه صلاحية الدخول على السيرفر أن يدخل على قاعدة البيانات بصلاحيات المستخدم الجذري بالشكل التالي:

$ mysql -u root
Welcome to the MySQL monitor.  Commands end with ; or \g.
mysql> use mysql;
Database changed
mysql> select user();
+----------------+
| user()         |
+----------------+
| root@localhost |
+----------------+

كما تلاحظ، إستطعت أن أدخل على الحساب الجذري بدون كلمة مرور مع أنني مستخدم محدود على السيرفر!

4- تفادي إستخدام الحساب الجذري root بشكل كامل بداخل تطبيقك وإستخدام مستخدم محدد

mysql> create database jerais_blog;
mysql> grant all privileges on jerais_blog.* to jerais@"localhost" identified by "PASSWORD"

بالأمر الأول قمت بإنشاء قاعدة بيانات بإسم jerais_blog، ثم قمت بالأمر الثاني بمنح كامل الصلاحيات على قاعدة البيانات jerais_blog إلى المستخدم jerais الموجود “فقط” على نفس السيرفر localhost والذي كلمة مروره هي PASSWORD.

الخيار jerais@”localhost” جدا مهم لتحديد من أين يستطيع المستخدم jerais الوصول إلى قاعدة بيانات jerais_blog.

إذا كنت أريد أن يستطيع المستخدم jerais أن يتصل بقاعدة البيانات من السيرفر الذي اسم server.jerais.com فقط، أنفذ الأمر بالشكل التالي:

mysql> grant all privileges on jerais_blog.* to jerais@"server.jerais.com" identified  by "PASSWORD".

اما إذا كنت أردت أن يستطيع المستخدم jerais الوصول إلى قاعدة البيانات jerais_blog من نطاق الشبكة 192.168.1.0/24، أعمل كالتالي:

mysql> grant all privileges on jerais_blog.* to jerais@"192.168.1.0/255.255.255.0" identified by "PASSWORD"

اما إذا كنت تريد ان يكون حساب المستخدم jerais قادر على الوصول إلى قاعدة البيانات من جميع عناوين الشبكة سوا الأمنة والغير أمنة مثل الإنترنت، يمكنك عمله كالتالي:

mysql> grant all privileges on jerais_blog.* to jerais@"%" identified by "PASSWORD"

الأمر الأخير جداً خطير ﻷنه لو تمت سرقة الحساب jerais سيتم الوصول إلى قاعدة بياناتك من جميع أنحاء العالم!

5- إستخدام الأداة mysql_secure_installation  بعد تثبيت MySQL:

# mysql_secure_installation
NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MySQL
SERVERS IN PRODUCTION USE!  PLEASE READ EACH STEP CAREFULLY!
In order to log into MySQL to secure it, we'll need the current
password for the root user.  If you've just installed MySQL, and
you haven't set the root password yet, the password will be blank,
so you should just press enter here.
Enter current password for root (enter for none):
OK, successfully used password, moving on...
Setting the root password ensures that nobody can log into the MySQL
root user without the proper authorisation.
Set root password? [Y/n] Y هل تريد وضع كلمة مرور لحساب المستخدم الجذري لقاعدة البيانات؟
New password:
Re-enter new password:
Password updated successfully!
Reloading privilege tables..
... Success!
By default, a MySQL installation has an anonymous user, allowing anyone
to log into MySQL without having to have a user account created for
them.  This is intended only for testing, and to make the installation
go a bit smoother.  You should remove them before moving into a
production environment.
Remove anonymous users? [Y/n] Y هل تريد حذف المستخدم المجهول من قاعدة البيانات، غالباً توجد في أنظمة ويندوز
... Success!
Normally, root should only be allowed to connect from 'localhost'.  This
ensures that someone cannot guess at the root password from the network.
Disallow root login remotely? [Y/n] Y هل تريد السماح للمستخدم الجذري بالدخول إلى قاعدة البيانات عن بعد بواسطة الشبكة؟
... Success!
By default, MySQL comes with a database named 'test' that anyone can
access.  This is also intended only for testing, and should be removed
before moving into a production environment.
Remove test database and access to it? [Y/n] Y هل تريد حذف قاعدة البيانات التجريبية التي تم إنشائها وقت تثبيت قاعدة البيانات؟
- Dropping test database...
... Success!
- Removing privileges on test database...
... Success!
Reloading the privilege tables will ensure that all changes made so far
will take effect immediately.
Reload privilege tables now? [Y/n] Y هل تريد تطبيق الخيارات بالأعلى الآن؟
... Success!
Cleaning up...
All done!  If you've completed all of the above steps, your MySQL
installation should now be secure.
Thanks for using MySQL!


الأداة mysql_secure_installation جداً رائعة وعملية لزيادة أمان قاعدة البيانات لديك. بعد تنفيذ الأمر بالأعلى سوف تظهر لك قائمة بالخيارات التي بالأعلى، وتستطيع أن تجيب عليها إما ب Y او N.

بعض النقاط:

1- بعد تنفيذ أي أمر في شيل mysql متعلق بالصلاحيات، نفذ  flush privileges;

2- يوجد مشروع GreenSQL لحماية قواعد بيانات MySQL من هجمات الحقن SQL Injection، ويعمل كطبقة فلترة فوق قاعدة البيانات.

3- لزيادة أمان قاعدة البيانات الخاصة بالمستخدم المحدود، يفضل بعد أن تنشىء قاعدة بيانات خاصة به كما في الخطوة 4 أن فقط تمنحه صلاحيات محدودة على قاعدة البيانات، مثلاً تمنحه صلاحية الإستعلام  Select فقط ولن يستطيع عمل إضافة أو تعديل أو حذف على قاعدة البيانات الخاصة به. وهذا يتعمد بشكل كلي على تطبيقك.

4- تأكد من وجود نسخة إحتياطية وبشكل محدث من قواعد بياناتك، قد أتطرق لها في تدوينة قادمة بإذن الله.

5- قد تجد هذة التدوينة مفيدة لك: إجبار PHPMyAdmin لإستخدام HTTPS.

لكن، ماذا عن تأمين الدخول على هذة الواجهة؟

إفتراضياً، PHPMyAdmin تستخدم البرتوكول HTTP الغير أمن للدخول عليها للتحكم بقواعد البيانات، ويمكن تفادي هذا الخطر الأمني بجعل PHPMyAdmin تعمل بشكل “تلقائي” على البرتوكول الأمن HTTPS.

إجبار PHPMyAdmin بإستخدم HTTPS جداً سهل، بعد تثبيتك لها بداخل السيرفر الخاص بك، قم بتعديل هذا الملف:

vi /etc/phpMyAdmin/config.inc.php

قبل نهايته، قم بإضافة هذا الخيار:

$cfg['ForceSSL'] = TRUE;

تم!.

بالتأكيد؛ يجب أن يدعم سيرفر الويب الخاص فيك برتوكول HTTPS! إضغط هنا لمعرفة كيفة إعداده.

إضغط هنا لمعرفة معلومات أكثر عن خيارات PHPMyAdmim.

شخصياً، لدي هذة الأسباب:
بطئ إتصال الإنترنت.
أستخدم جهاز كمبيوتر محمول في جميع أعمالي، مما يصعب إمكانية ترك الجهاز يعمل على تحميل الملفات بواسطة التورينت في حالة كوني بالخارج.
إستغلال سرعة إتصال الخوادم.

وحالياً أستخدم Azureus على خادمي الشخصي المستضاف لدى شركة Hostgator.com، وقبل التركيب الرجاء مراجعة سياسة الإستضافة الخاصة بك لكي لا يتعرض خادمك للأيقاف.

التركيب سوف يتم على الأنظمة المبنية على حزم RPM، مثل Redhat/CentOS/Fedora.

نفذ الأوامر التالية كالمستخدم الجذري root.

قم بتركيب أدوات التطوير الخاصة بالجافا JDK عن طريق Yum:
yum -yv install java-1.6.0-openjdk.i386
قم بتحميل الكود المصدري الخاص ب Azureus:
cd ~
mkdir azureus && cd azureus
wget "http://sourceforge.net/projects/azureus/files/vuze/Vuze_4602/Vuze_4602.jar/download"

قم يتحميل المكتبات المساعدة وضعهم في نفس المجلد الذي قمت بتحميل الكود المصدري الخاص ب Azureus بداخله
wget "http://svn.vuze.com/public/client/trunk/uis/lib/commons-cli.jar"
wget "http://svn.vuze.com/public/client/trunk/uis/lib/log4j.jar"

تم!
الأن قم بتشغيل برنامج Azureus كالتالي:
cd ~/azureus
java -jar Vuze_4602.jar --ui=console

ظهرت لك الشاشة الرئيسية الخاصة ببرنامج Azureus، وبالأسفل تعليمات الإستخدام:
لإضافة ملف تورينت:
add path/to/the/torrent/file.torrent
سحب ملف تورينت من الإنترنت:
add http://torrents.jerais.com/file.torrent

لعرض ملفات التورينت الحالية التي تقوم بتحميلها أو رفعها:
show torrents

بجانب كل ملف تورينت نسبة النقل % و الرقم التسلسلي الخاص به، لإيقاف الملف رقم 7 ننفذ الأمر
stop 7
ولحذف ملف توربنت بعد الإنتهاء منه، لنفرض أنه رقم 7
remove 7
لإغلاق برنامج Azureus
quit

معلومات:
سيتم حفظ ملفات التورينت في المجلد
/root/Vuze Downloads
تستطيع تغيير مكان الحفظ بتنفيذ
set "Default save path" "/home/jerais/torrents/" string
set "Use default data dir" true boolean

تفاصيل الوظائف:

مكان العمل: المملكة العربية السعودية، الرياض.

طبيعية العمل: إدارة خوادم أنظمة لينكس ويونكس وتشمل:

1- تثبيت الأنظمة وتشغيلها.

2- معرفة كيفية التعامل مع هذة الخدمات، على سبيل المثال لا الحصر: HTTP, FTP, SSH, DNS, Cache, DB, Backup, SSL وغيرها.

3- معرفة كيفية تأمين أنظمة لينكس ويونكس.

4- معرفة بطبيعة عمل الشبكات.

الشروط:

لاتوجد شروط محددة، لكن الأفضلية لمن تنطبق عليه هذه المؤهلات:

1- سعودي الجنسية.

2- لديه مهارة اللغة الإنجليزية تحدثاً وكتابة.

3- لديه خبرة بإدارة خوادم أنظمة لينكس ويونكس.

4- يحمل شهادات حديثة في أنظمة لينكس ويونكس.

ترسل السيرة الذاتية إلى الإيميل info@jerais.com.

ما أدري كيف تحب فيدورا .. الظاهر إنك عتيق و قديم و لا قد جربت اوبن سوزي أو أوبونتو و مينت على الأقل ! أو حتى ديبيان .. عائلة ريدهات علة عن جد ، أرجو التعليق

هل أنظمة لينكس ريدهات\فيدورا فعلاً أنظمة عتيقة مقارنة مع عائلة ديبيان (ديبيان\أوبونتو\مينت)؟

قبل أن أبدأ، هذة التدوينة ليست تقليل من قيمة أحد توزيعات اللينكس، بل بالعكس، جميع التوزيعات هدفها نشر لينكس على أكبر مدى، هي فقط  توضيح لبعض الحقائق لمن يريد.

المقارنة سوف تكون 99% تقنية بين:

لينكس فيدورا و لينكس أوبونتو في أنظمة سطح المكتب Desktop.

لينكس ريدهات و لينكس أوبونتو في أنظمة الخودام Servers.

لينكس فيدورا و لينكس أوبونتو في أنظمة سطح المكتب Desktop:

لايوجد غالب أو مغلوب في أنظمة فيدورا أو أوبونتو للإستخدام المكتبي، مع كل إصدار تأتي أوبونتو بخصائص غير موجودة في فيدورا، ومن ثم بالإصدار التالي تأتي فيدورا بمميزات غير موجودة في أوبونتو.

سابقاً كانت لينكس فيدورا تصدر كل 8 شهور، لكن في الفترة الأخيرة أصبحت تصدر كل 6 أشهر بالتوازي مع أوبونتو لرفع حدة المنافسة.

المقارنة هنا شبه صعبة لأنها تخصع لتفضيل المستخدم في أنظمة سطح المكتب، ومن ناحيتي، الرووت جريس، ليس لدي إهتمام كبير بأسطح المكتب، إلى الآن أستخدم لينكس فيدورا 10 ( التي تم إصدارها بشهر نوفمبر 2008 ) بواجهة رسومية جداً بسيطة LXDE، وفي الأسبوع القادم سوف أنتقل إلى نظام لينكس CentOS كسطح مكتب، بمشيئة الله.

كل ما أحتاجه في نظام سطح المكتب هو: متصفح الإنترنت فايرفوكس، أوبن أوفيس، مشغلات الوسائط Totem & Rhythmbox وبالتأكيد قبلهم Terminal.

لكن، ماذا عن أنظمة الخودام؟

لينكس ريدهات و لينكس أوبونتو في أنظمة الخودام Servers.

في البداية، إخترت أنظمة لينكس ريدهات ولينكس أوبونتو الخاصة بالخوادم لأنها تقدم دعم تجاري للشركات مقارنة مع بقية التوزيعات، مع العلم أن توزيعة لينكس سوزي كذلك تقدم الدعم التجاري من شركة نوفل.

قبل ان ابدأ بمقارنة أنظمة لينكس ريدهات مع لينكس أوبونتو الخاصة بالخوادم، أود أن أوضح أن الغلبة لأنظمة ريدهات :).

ماذا قدمت لينكس ريدهات في مجال الخوادم؟

1- توفير حلول تجارية ناجحة ومهمة للإستخدام في مجال الشركات الضخمة أو التي تستخدم أنظمة لينكس ريدهات:-

- أول شركة قدمت الدعم التجاري ﻷنظمة لينكس للشركات عن طريق متصفح الويب!.

يمكنك إدارة خادمك بالكامل عن طريق الإنترنت بصفحة ويب سهلة الإستخدام، تستطيع مراقبة النظام، تركيب التحديثات، إنشاء مستخدمين وعرض آخر التحديثات الأمنية على الخادم الخاص بك من خلال شبكة ريدهات Red Hat Network (RHN.)

في حالة كثرة هذة الخوادم لديك وتريد أن تتم الإدارة بشكل سلسل وسهل من داخل الشبكة الخاصة بك وليست عن طريق شبكة ريدهات (RHN) من خلال الإنترنت، تستطيع أن تدير وتتحكم بجميع خوادمك بكل يسر وسهولة عن طريق نظام Red Hat Network Satellite!.

- أول شركة تقدم حلول إنشاء الحوسبة السحابية Cloud Computing بضغطة زر لأنظمة لينكس!

عن طريق تقديمها لسيرفر Red Hat Enterprise Virtualization(RHEV. الخاص بتسهيل إنشائك لأول سحابة كمبيوترية خاصة بك!

2- دعم لينكس والمصادر المفتوحة على أوسع نطاق:

المتابع لتاريخ لينكس ريدهات الخاصة بالخوادم، يلاحظ سرعة تطوير التقنيات المستخدمة في هذة التوزيعة بالذات مقارنة بالجميع، وأنها هي السباقة بإنشاء أو بتطبيق هذه التقنيات مما ينعكس على مدى إنتشار إستخدام المصادر المفتوحة، وخاصة في الخوادم.

بعض الأمثلة:

1- تقنية SELinux، هي طبقة حماية خاصة بأنظمة لينكس تساعدك بالتحكم الأمني “الدقيق” بأي برنامج يعمل على الخادم الخاص بك. وأول من قام بتطبيقه إفتراضياً في أنظمة لينكس هي ريدهات بداية من لينكس فيدورا 2 عام 2004!. و قام بتطوريها وزارة الدفاع الأمريكية.

2- تقنية الإنظمة التخيلية Virtualzation، الحديث عن هذة التقنية وإستخدامها في لينكس ريدهات يتطلب موضوع خاص قد أتحدث عنه في وقت لاحق، فقط يكفي القول أنه شركة ريدهات لينكس قامت بشراء شركة إسرائيلية ناشئة توفر حلول الأنظمة التخيلية، ثم قامت ريدهات بفتح مصدر هذة التقنية ودمجة في نواة أنظمة لينكس جميعها، من ضمنها أنظمة أوبونتو للخوادم، لتصبح أنظمة لينكس “جميعها” قادرة على إنشاء وتشغيل الأنظمة التخيلية بكل يسر وسهولة. كما هو الآن!.

3- توفير حلول متقدمة مفتوحة المصدر للجميع، الملاحظ على نهج ريدهات أنها تقدم أغلب، إن لم يكن جميع، حلولها وتطبيقاتها حتى لو كانت ضخمة ومهمة، مفتوحة المصدر، على سبيل المثال تقديمها لمشروع oVirt الخاص بإدارة أنظمتك التخيلية سوا Xen, KVM, VirtualBox للجميع!

4- شركة ريدهات، هي المؤسس لنظام تشغيل مشروع “كمبيوتر محمول لكل طفل“، الخاص بتوفير أجهزة كمبيوتر محمولة تعليمية زهيدة الثمن للأطفال المعدومين والفقراء.

الحديث يطول عن لينكس ريدهات، بالذات إستخدامه على مستوى الخوادم للشركات التي تحتاج مستوى أعلى وأكثر إحترافية بإدارة الأنظمة.

على الجانب الثاني، ماذا قدمت لينكس أوبونتو للسيرفرات أو بشكل عام لتقارن مع ريدهات؟

أعتذر عن قولي هذا، لكن أوبونتو بشكل عام، أو شركة Canonical ( الداعم لنظام أوبونتو ) ما قدمته للمصادر المفتوحة بشكل عام لايقارن مع ماتقدمه ريدهات، بعض الأمثلة:

1- ريدهات قدمت ما نسبته 16% من الكود الإجمالي لواجهة سطح المكتب “غنوم Gnome”، بينما أوبونتو فقط 1%!.

2- أكبر شركة داعمة لنواة لينكس هي ريدهات، بنسبة 12.3% من أجمالي الكود الكلي، بينما أوبونتو؟ رقم صغير لم يذكر!.

3- للأسف يلاحظ على دعم أوبونتو للمصادر المفتوحة أنها تركز على ما تحتاجه، بمعنى، أنه لو حصلت مشكلة أو طلب تحسين في لكود نواة لينكس وأوبونتو غير معنية بالأمر، لن تهتم بما فيه الكفاية!.

4- تطويرات أوبونتو لتحسين لينكس في سوق الخوادم للأسف غير مذكور، مقارنة بما تفعله ريدهات بشكل مستمر في Clustering والأنظمة التخيلية Virtualzation.

5- تقنياً، بالأمس واليوم، تعطل لدينا خادم لينكس أوبونتو بسبب إمتلاء الذاكرة بالمرة الأولى، وبالمرة الثانية بدون سبب، مع العلم أن إمتلاء الذاكرة في حالة حدوثة في خوادم الأوبونتو يعني توقف الخادم Kernel Panic!. وبالتأكيد، هذا التعطل ليس للمرة الأولى أو الثانية، بل للمرة السادسة لخوادم مختلفة!.

6- كل ما فعلته أوبونتو للدعم التجاري هو “نسخ – لصق” بعض مما تفعله ريدهات بالضبط!

شخصياً، أعتبر لينكس أوبونتو في مجال الخوادم كائن طفيلي، يتغذى على الغير (ريدهات).

أغلب الكلام، الأخبار أو الأفكار التقية الموجودة في بالي أطرحها في تويتر، لكن من اليوم، إن شاءالله، أعمل المستطاع لجعلها كتدوينات.

في أحد الخوادم، أردنا، الصديق رائد الراشد وانا، حصر الدخول على خدمة SSH لبعض الأيبيات IP Address المحددة مسبقاً في الخادم لزيادة الأمان بتعطيل محاولات كسر كلمات المرور الخاصة بأحد حسابتنا، وايضاً منع الدخول للخادم حتى وإن تمت سرقة كلمة المرور الخاصة بأحد منا.

تحديد أيبيات معينة سهل في حالة كونك شركة أو قطاع لديه إتصال إنترنت يستخدم عدد من الأيبيات العامةStatic Public IPs ثابتة وليست متغيرة، بعكس الأفراد مستخدمي إتصالات الإنترنت المنزلية مثل الدي إس إل DSL أو المتنقلة مثل البرودباند، حيث تتغير الأيبيات كل فترة Dynamic-Public IP، أو مع كل إتصال جديد!.

جأت في بالنا فكرة، وهي إنشاء عناوين نطاقات ديناميكية Dynamic DNS تُربط مع الأجهزة الخاصة بنا، حيث تُحدث هذة النطاقات بعناوين الأيبيات الخاصة بنا بشكل دوري، ومن ثم نقوم بربط هذة النطاقات الديناميكية مع الجدار الناري iptables لفلترة الدخول على خدمة الـ SSH فقط لهذة النطاقات.

الحمدلله، الفكرة كانت ناجحة وأكثر من فعالة، والآن تتم العملية بالشكل التالي:-

1. يتم تركيب برنامج محدث النطاقات الديناميكية في جهاز الأدمن.
2. يقوم البرنامج بأخذ الأي بي العام الخاص بي وربطه بالنطاق الديناميكي.
3. يقوم الجدار الناري iptables بأخذ الأي بي من النطاق الديناميكي وإضافته إلى جدول الفلترة لدخول لخدمة SSH.
4. في حالة وجود الأي بي مسبقاً في جدول الفلترة، لايتم إضافته أو تعديله، ويبقى كما هو.
5. في حالة تغير الأي بي، يتم حذف الأي بي القديم وإضافة الجديد.
6. تتم هذة العملية دورياً كل دقيقة واحدة.

قمت بكتابة Shell Script يقوم بهذة العملية، يمكنك تحميله من هنا، وتابع للأسفل لمعرفة كيف تركيب وإستخدام السكريبت:-

• فك الضغط عن السكريبت تحت نفس المجلد

tar xzvf iptables_dyndnsv0.1.tgz -C /usr/local/share/

• ستجد مجموعة من الملفات، كالتالي:
  • iptables_dyndns.sh ملف السكريبت
  • iptables_ips_dyn.txt ملف نصي فارغ، سوف يحتوي على اسماء النطاقات الديناميكية كل نطاق بسطر
  • iptables_ips_static.txt ملف نصي فارغ، سوف يحتوي على عناوين أيبيات ثابتة، في حالة أردت إضافة أيبيات معينة بدلاً من اسماء نطاقات
  • iptables_listofips.txt ملف نصي فارغ، لن نقوم بالتعامل معه، سوف يحتوي على الأيبيات الخاصة بالنطاقات الدايناميكية أو الأيبيات الثابتة
• عدل على محتويات الملف النصي iptables_ips_dyn.txt، وقم بإضافة النطاقات الديناميكية الخاصة بكل، كل نطاق بسطر جديد.
• في حالة رغبتك بإضافة أيبيات عامة ثابتة، قم بتعدل الملف iptables_ips_static.txt وأكتب الأي بي أو الشبكات التي تريد لها السماح بدخول لخادمك، كل أي بي أو شبكة بسطر جديد.
• الآن أضف الشرط أو القاعدة Rule التالية في الجدار الناري، والهدف من هذة الشروط إخبار الجدار الناري أنه في حالة وصول طلب دخول على خدمة SSH، قم بالقفز إلى مجموعة من القواعد تمت تسميتها SSH.

iptables -N SSH
iptables -A INPUT -p tcp --dport ssh -j SSH

إنتهينا!.

الآن متبقي خطوتين:-

• التأكد من عمل هذة القواعد بشكل دوري كل دقيقة، كالتالي من خلال Cron:

crontab -e
* * * * * sh /usr/local/share/iptables_dyndns/iptables_dyndns.sh > /dev/null 2>&1

• حفظ هذة القواعد حتى يتم إسترجعها بعد إعادة تشغيل الخادم

Fedora / CentOS / RedHat
/etc/init.d/iptables save
chkconfig iptables on


Ubuntu / Debian
iptables-save > /etc/iptables.rules
echo 'post-up iptables-restore < /etc/iptables.rules' >> /etc/network/interfaces


جميع الخطوات بعاليه تطبق مرة واحدة فقط، وقت تركيب السكريبت، وكلما أردت أن تضيف نطاق ديناميكي جديد، فقط قم بتعدل الملف iptables_ips_dyn.txt أو الملف iptables_ips_static.txt  في حالة أردت أن تضيف أي بي ثابتة أو نطاق شبكة.

]]> http://jerais.com/plug/2010/08/iptables-with-dyndns/feed/ 13 http://jerais.com/plug/2010/08/iptables-with-dyndns/ http://feedproxy.google.com/~r/Root-Jerais-Plug/~3/lF6BnzYajyw/ http://jerais.com/plug/2010/02/linux-training-in-riyadh/#comments Mon, 01 Feb 2010 19:47:01 +0000 جريس http://jerais.com/plug/?p=885 Continue reading →]]> أعلن “التنظيم الوطني للتدريب المشترك ” عن توفير تدريب عملي ونظري لمدة سنة -52 أسبوع- على إدارة سيرفرات أنظمة لينكس منتهي بالتوظيف.

التدريب كما هو مبين يتم عن طريق شركة IBM، وبالتأكيد عن طريق الشريك الخاص بهم في السعودية شركة SBM، منتهي بالتوظيف كما هو موضح بالأعلى مع مكافأة شهرية قدرها 1000 ريال سعودي.

تفاصيل الإعلان بعد الفاصل.

—-

هدف البرنامج التدريبي :

إعداد كفاءات سعودية مدربة تدريباً جيداً على القيام بأعمال وواجبات إدارة الشبكات للحواسب الالكترونية وأنظمة الشبكات (Linux & Windows) كما تتطلبه واجبات الوظيفة في مجال تقنية المعلومات .

البرنامج التدريبي:

التدريب النظري : المدة الكلية للبرنامج التدريبي 9 أشهر يمثل التدريب النظري التطبيقي حوالي 70%  من مدة البرنامج ويتم تنفيذه عن طريق شركة (IBM) تحت إشراف التنظيم الوطني للتدريب المشترك وكلية الاتصالات والمعلومات ويشمل المقررات التخصصية والتدريب الأساسي والعملي بالإضافة إلى المواد الإدارية وتطبيقات الحاسب الآلي والسلوك الوظيفي.

التدريب العملي : ويمثل حوالي 30% من مدة البرنامج ويتم تنفيذه في مواقع العمل الفعلية في المؤسسات وشركات القطاع الخاص وفق التدريب العملي المحدد لمهنة إدارة أنظمة التشغيل و الشبكات (Linux & Windows) بناء على متطلبات سوق العمل الفعلية .

في نهاية البرنامج يتوقع أن يكتسب المتدرب المهارات والمعارف التالية :

*التعرف على مكونات الشبكات
*إمكانية تحليل الشبكات وإنشاءها
*إمكانية الاستخدام الأمثل للبرتوكول TCP/IP
*تصميم الشبكات في نظام الويندوز
*إدارة للشبكات بنظام الويندوز .
*عمل وحدة إدارة الشبكات بنظام الويندوز
*إدارة قواعد البيانات على الشبكة
*إمكانية العمل في بيئة Linux
*إدارة الشبكات في نظام Linux
*عمل وتصميم الشبكات في نظام Linux
*عمل صفات ألنت بنظام Linux
*إدارة الشبكات المعقدة المتداخلة من النظامين (Window & Linux)
*تأمين الشبكات
*تأمين استخدام الانترنت
*إمكانية العمل في فريق العمل
*إمكانية الاتصال ومعرفة متطلبات العمل والعميل
*إمكانية كتابة التقارير الفنية

سلوكيات العمل :

*الطموح
*الصبر
*الالتزام بالمواعيد
*الهندام الحسن
*اللباقة
*سرعة اتخاذ القرار
*سرعة البديهة
*الصدق
*الأمانة
*تحمل ضغوط العمل
*حسن الإصغاء
*السرية
*المبادرة
*العمل بروح الفريق الواحد
*دقة الملاحظة
*تقبل النقد
*الولاء للمنشأة

شروط الالتحاق بالبرنامج :

* أن يكون المرشح سعودي الجنسية
* أن لا يقل عمره عن سبعة عشر عاماً
* أن يستوفي المرشح الحد الأدنى من متطلبات المهنة المحددة
* أن يجتاز المقابلة الشخصية
* أن يجتاز اختبار الالتحاق بالمنشأة
* أن يجتاز الكشف الطبي

الحوافز والمزايا التي تقدم للمتدرب :

* يمنح الخريج شهادة مهنية معتمدة من المؤسسة العامة للتعليم النفي والتدريب المهني والغرف التجارية الصناعية
* يمنح المتدرب أثناء فترة التدريب مكافأة شهرية قدرها ( 1000 ) ريال
* يسجل المتدرب لدى التأمينات الاجتماعية عند التحاقه بالبرنامج
* يمنح المتدرب إجازة سنوية لمدة شهر مدفوعة الأجر
* ضمان الوظيفة للمتدرب بعد اجتياز البرنامج في جهة التدريب

–

تفاصيل الإعلان وكيفية الإلتحاق بالبرنامج تستطيع معرفتها عن طريق:

* الموقع الإلكتروني:

http://www.nsjt.org.sa/Arabic/linux.asp

http://www.nsjt.org.sa/Arabic/e3lanatstudent.asp

الإتصال بهم:

* الرياض – هاتف : 4911998 فاكس :  4911997
* جدة – هاتف : 6532818 فاكس : 6534867
* الدمام – هاتف : 8272324 فاكس : 8272324
* المدينة المنورة – هاتف : 8401602 فاكس : 8401602/105
* القصيم – هاتف : 3267194 فاكس : 3267199
* أبها – هاتف : 2282382 فاكس : 2282382
* حائل – هاتف : 5328655 فاكس : 2282382
* تبوك – هاتف : 4245009 فاكس : 4214830

الشكر لمجموعة مزاجيات على الإعلان.

لندرة المصادر العربية المتطرقة لهذا الموضوع، وهو كيفية إنشاء شهادة SSL خاصة بك، وشخصية، قررت أفرد له هذة التدوينة.

تدوينتي راح تتكون من المحاور هذي:

1- تعريف بـ SSL، وتبيان ماهو ومافائدته.

2- إنشاء شهادة SSL شخصية غير معتمدة:

2.1 توضيح معنى “غير معتمدة”.

2.2 البدء بإنشاء الشهادة:

2.2.1 إنشاء المفتاح الخاص.

2.2.2 إنشاء Certificate Signing Request -طلب توقيع الشهادة-.

2.2.3 إنشاء الشهادة.

3- إنشاء شهادة SSL معتمدة.

قبل ابدأ، لوحات التحكم الخاصة بالسيرفرات تقدم لك خدمة إنشاء شهادات SSL، التدوينة هذي مخصصة للتعامل مع الشهادات وإنشائها بدون لوحات تحكم، عن طريق الشيل Shell الخاصة بالسيرفر، الطريقة المفضلة لدي :).

1- تعريف بـ SSL، وتبيان ماهو ومافائدته:

SSL هو إختصار لعبارة Secure Socket Layer -طبقة الإتصال الآمن-، و أهم وظائف هذة الطبقة:

أ- توثيق المصدر:

تستطيع تعتبرها مثل التوقيع أو الختم الشخصي، كل شخص له توقيع\ختم خاص فيه يثبت إنه هو نفسه، وليس شخص أخر منتحل شخصيته.

ب- التشفير:

تشفير البيانات الواردة والصادرة من وإلى السيرفر لمنع التنصص عليها وسرقتها.

لكن السؤال، كيف تعمل؟

السؤال هذا راح يجيب عليه وبشكل مفصل مركز التميز الرقمي، من خلال المقال” SSL, Secure Socket Layer“، وأيضاً مدونة فهد الدريبي، “كيف يعمل التشفير في الانترنت SSL؟“.

2- إنشاء شهادة SSL شخصية غير معتمدة.

2.1 توضيح معنى “غير معتمدة”:

مقصدي بعبارة “غير معتمدة”، أي إن الشهادة ليست مقدمة  من أحد الجهات المعتمدة والمرخص لها تقديم  شهادات SSL، مثل شركة Thawte وشركة VeriSign وغيرهم من الشركات.

وعدم الأعتماد راح يظهر لك أثره في حالة تركيبك لهذة الشهادة مثلاً على خادم الويب WWW، وهو أنه في حالة تصفح الموقع الخاص بك، راح تظهر رسالة للمستخدم المتصفح لموقعك بأن الشهادة غير معتمدة وموثقة من جهة مرخصة، وأحتمال أن يكون هذا الموقع مزور أو تم التلاعب به. مثل هذة الرسالة:

FireFox Self Signed Certificate

وتستطيع أن تطلع على الشركات المعتمدة لتقديم خدمة توثيق شهادات SSL المدعومة في متصفح فايرفوكس من خلال هذا الرابط Included Certificate List.

2.2 البدء بإنشاء الشهادة:

2.2.1 إنشاء المفتاح الخاص.

المفتاح الخاص هو ملف يحتوي على بيانات مشفرة بخوارزمية RSA، هذة البيانات يتم إنشائها عشوائياً لبدء إنشاء الشهادة*.

openssl genrsa -out ssl.key 2048

openssl: برنامج openssl

genrsa: خيار إنشاء المفتاح بخوارزمية RSA.

-out ssl.key: خيار حفظ المفتاح الخاص  بالاسم ssl.key

2048: طول المفتاح بالبت، ويفضل وضعه 2048 أو أكثر لتفادي الكسر في حالة السرقة.

بعد تنفيذك للأمر، راح يتم إنشاء المفتاح الخاص بك ويحفظ بالاسم ssl.key.

2.2.2 إنشاء Certificate Signing Request -طلب توقيع شهادة-:

في المرحلة ما قبل الأخيرة، وبعد ما تم إنشاء المفتاح الخاص، الآن ننشئ ملف Certificate Signing Request ويختصر له بـ CSR، وهو ملف يحتوي على معلومات الشهادة المراد إنشائها، يحتوي على أسم الدومين، المالك، الدولة والإيميل وغيرها من التفاصيل، وتتم بالطريقة التالية:

openssl req -new -key ssl.key -out ssl.csr

req: من كلمة request طلب.

-new: خيار طلب إنشاء طلب توقيع شهادة جديد.

ssl.key: المفتح الخاص بالشهادة.

-out ssl.csr: خيار حفظ طلب توقيع الشهادة في ملف اسمه ssl.csr.

بعد تنفيذك للأمر، راح يظهر لك طلب تسجيل الشهادة، بالشكل التالي:

Country Name (2 letter code) [GB]:1
State or Province Name (full name) [Berkshire]:2
Locality Name (eg, city) [Newbury]:3
Organization Name (eg, company) [My Company Ltd]:4
Organizational Unit Name (eg, section) []:5
Common Name (eg, your name or your server's hostname) []:6
Email Address []:7
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:8
An optional company name []:9

الخيارات مرقمة باللون الأحمر، وهذي تفاصيلها:

1- رمز مكون من حرفين، وهو يرمز للدولة التابعة لمالك الموقع، على سبيل المثال راح نستخدم الرمز SA لالدلالة على أن الموقع سعودي.

2- اسم المنطقة\المقاطعة، راح نكتب الرياض Riyadh.

3- المدينة، نكتب الرياض Riyadh.

4- اسم الشركة المالكة للموقع، مثلاُ Jerais Company < إن شاءالله :).

5- اسم القسم المدير للموقع، مثلاً قسم تقنية المعلومات IT.

6- اسم الموقع الذي تريد أن تسجل الشهادة باسمه، مثلاً www.jerais.com.

7- إيميل صاحب الموقع.

الخيارات التالية إضافية، ممكن تدعها فارغة.

8- لوضع كلمة مرور على طلب توقيع الشهادة، وهو مفيد في حالة سرقة ملف الطلب، لن يتمكن من إستخدامه إلا بوجود كلمة المرور.

9- اسم إضافي للشركة.

بعد إدخالك للبيانات بالأعلى، راح يتم إنشاء طلب الشهادة.

2.2.3 إنشاء الشهادة:

فقط أمر واحد لإنشاء الشهادة، وهو كالتالي:

openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt

openssl: برنامج إنشاء الشهادات والتعامل مع ssl.

x509: إنشاء شهادة بمعيار x509.

-req: خيار طلب الشهادة، من كلمة request.

-days: مدة صلاحية الشهادة بالأيام، وكما هو موضح بالأعلى الشهادة ستكون صالحة لمدة سنة ثم تنتهي.

-in ssl.csr: إنشاء الشهادة بناء على المعلومات الموجودة في ملف طلب توقيع الشهادة ssl.csr

-signkey: ملف المفتاح الخاص بالشهادة.

-out: خيار حفظ الشهادة بالاسم ssl.crt.

إنتهينا! مبروك عليك شهادة SSL الخاصة فيك.

3- إنشاء شهادة SSL معتمدة:

لأجل تكون شهادة SSL الخاصة فيك معتمدة في المتصفحات، وتتفادى الرسائل التحذيرية التي تواجه المستخدم عند الدخول إلى موقعك، تحتاج إن توقعها من جهة معتمدة لتوقيع شهادات SSL، مثل شركة Thawte وشركة VeriSign وغيرهم من الشركات.

ترسل لهم ملف طلب توقيع الشهادة CSR، وبعد دفع التكاليف، سوف يرسلون لك الشهادة بعد مدة تختلف من شركة لشركة.

نقاط مهمة:

1- في حالة سرقة الشهادة، السارق يستطيع إستخدامه بكل سهولة في الخادم الخاص فيه. لذلك تحتاج تشفيرها بواسطة DES.

2- في حالة التشفير بواسطة DES، كلما أردت أعادة تشغيل خادم الويب، تحتاج إدخال كلمة المرور الخاص بتشفير DES. تستطيع تفادي هذة المشكلة بدمج المفتاح مع الشهادة لينتج ملف من نوع PEM.

3- توجد أكثر من طريقة لإنشاء الشهادات، لكن أدرت توضيحها بشكل مفصل لتفهم الفكرة بأدق تفاصيلها للقارئ.

4- راح أتطرق إن شاء الله بتدوينات قادمة عن كيفية الإستفادة من الشهادات هذة في الويب\الإيميل\FTP.

5- تأكد من وجود برنامج openssl في الخادم.

الأوامر هذي راح تفيدك بعملك اليومي مع سيرفرات -خوادم- لينكس ويونكس، كحل بعض المشكال ومعرفة مصدر الأخطاء.

عموماً، التطبيق راح يكون على لينكس فيدورا\سنتوس\ريدهات، التوزيعات الثانية من لينكس ويونكس إحتمال يواجه إختلاف في مخرجات وخيارات بعض الأوامر.

ما راح أدخل بتفاصيل الأوامر، حاول تكتشفها وتطلع عليها بنفسك، لأني لو دخلت بالتفاصيل أحتاج شهر إضافي لأجل أنشر هذة التدوينة :).

قبل الإسترسال، لتعرف معلومات أكثر عن أمر\برنامج معين، استخدم الأمر man متبوعاً بالأمر المراد معرفة تفاصيل أكثر عنه، مثال

man ping

أو استخدم help

ping -h
ping --help

1- لمعرفة حالة موقع معين، جهاز على الشبكة أو سيرفر هل هو متصل بالشبكة و يشتغل أو لا؟ راح نستخدم الأمر ping متبوعاً بعنوان الموقع أو رقم IP

ping www.jerais.com

2- لمعرفة IP أحد المواقع، راح نستخدم الأمر *host متبوعاً بعنوان الموقع أو رقم IP

host www.jerais.com

*  انتشر إستخدم برنامج host و dig في أنظمة لينكس\يونكس بديلاً عن البرنامج التقليدي nslookup.

3- لمعرفة معلومات عن مالك موقع معين، من الشركة المستضيفة مثلاً، نستخدم الأمر *whois

whois www.jerais.com

* الكثير من المواقع تقدم خدمة whois، تستطيع تستخدمها بدلاً من تنفيذها في كأمر.

4- لتتبع مكان موقع أو IP معين، وتعرف التفاصيل الدقيقة من لحظة خروجه من جهازك إلى وصوله إلى الموقع المطلوب، ولأجل تعرف مصدره أين، وفي أي دولة، ومن مقدم الخدمة لهذا الموقع أو IP، نستخدم traceroute

traceroute www.jerais.com

5- لتعرف IP جهازك الحالي، استخدم الأمر ifconfig

ifconfig

6- لمعرفة من متصل وموجود في سيرفرك، أو بشكل أصح من داخل على سيرفرك الآن، ومن أين، وبالضبط ماذا يعمل في السيرفر، استخدم users أو w أو who

w
who
users

7- لترى سجل أخر دخول للمستخدمين، إستخدم lastlog أو finger

lastlog
finger

8- لعرض جدول كامل عن دخول جميع المستخدمين، وأوقات بدأ عمل السيرفر، وأوقات إعادة تشغيله، إستخدم الأمر last

last -aix

9- لعرض حالة إتصالات السيرفر بالشبكة، وما الجهاز أو IP المتصل بالخادم الآن، ومالمنافذ المفتوحة في جهازك، إستخدم netstat

netstat

10- لعرض العنوان الفيزيائي Mac Address لأحد الأجهزة الموجودة في “نفس” الشبكة، إستخدم arp أو arping متبوعاً ب IP

arping 192.168.1.6

11- ﻷخذ IP تلقائي من الشبكة بواسطة خادم DHCP، إستخدم dhclient متبوعاً باسم كرت الشبكة الخاص بالجهاز

dhclient eth0

12- لعرض إسم الجهاز، إستخدم hostname

hostname

13- لمعرفة معلومات عن مستخدم معين موجود في السيرفر، ماهي صلاحيات وماهي المجموعات المنظم إليها، إستخدم id متبوعاً باسم المستخدم

id jerais

14- لمعرفة اعضاء مجموعة معينة، إستخدم أمر groups متبوعاً باسم المجموعة

groups root

15- للتعامل مع المستخدمين، إستخدم مجموعة أوامر user* و passwd، كالتالي:

- لأضافة مستخدم:

useradd newUser

- لحذف مستخدم:

userdel userName

- لتعديل كلمة المرور خاصة بمستخدم:

passwd userName

16- لمعرفة اسم المستخدم الحالي الخاص بك، استخدم whoami

whoami

17- لإنهاء عملية معينة، إستخدم kill متبوعاً بأمر الإنهاء بعده رقم العملية*

kill -9 PID

إرجع لموضوع “شرح الأمر top الخاص بمعرفة حالة النظام“

18- لمعرفة بيانات الشبكة الداخلة والخارجة من جهازك، إستخدم tcpdump*

tcpdump

* إرجع لموضوع “تحليل بيانات الشبكة بإستخدام tcpdump و wireshark“

19- لنقل ملف بين جهازين بالشبكة بشكل سريع، لكن غير آمن، إستخدم netcat

في الجهاز الأول، اسم الملف المراد نقلة jerais.txt*

cat jerais.txt | nc -l 8888

* IP الجهاز الأول 192.168.1.6

في الجهاز الثاني، نشغل برنامج netcat متبوعاً بعنوان الجهاز الأول، ثم المنفذ 8888، ثم تحويل المخرج إلى ملف

nc 192.168.1.6 8888 > jerais.txt

20- لإعادة تشغيل الجهاز، reboot أو shutdown

reboot
shutdown -r now