طريقة حماية حساب الرووت في سيرفرات لينكس

abdullah · #1 29-07-2004, 11:09 PM

حساب الرووت هو الحساب الرئيسي في اجهزة لينكس و يساوي هذا المستخدم

المستخدم ادمنستريتر Administrator في اجهزة الويندوز

و من يملك هذا الحساب هو صاحب السيرفر فقط

و من يملك هذا الحساب يستطيع فتح او الغاء المساحات و يستطيع الوصوال الى كافة موارد السيرفر و برمجياتة لذلك هذا الحساب خطر و يجب حمايتة جيدا و استخدام كلمات مرور طويلة و مخلوطة من ارقام و علامات مميزة مثل */-ّ$%^& و استخدام احرف كبيرة و صغيرة مثل Aa

و الخطوة التالية هي الغاء خاصية الدخول المباشر للرووت

و فكرتها الدخول بحساب مستخدم عادي ثم كتابة امر يحولك من مستخدم عادي الى رووت بكتابة كلمة السر الخاصة بالرووت

و هذا مفيد من عدة نواحي و هي عدم امكانية دخول الهكرز مباشرة الى حساب الرووت و يجب علية ان يحصل على كلمتان للسر الاولى للمستخدم العادي و الثانية لحساب الرووت نفسة

و هذه الخطوات التي تنفذ هذه المهمة

تحرير ملف التكوين لخدمة الشيل عن طريق هذا الامر

كود:

pico -w /etc/ssh/sshd_config

البحث عن النص #Protocol 2, 1 عن طريق الضغط على Ctrl + W
ثم تبديل النص الى

كود:

Protocol 2

و نرجوا الملاحظة باننا قمنا بالغاء الرمز # و خذفنا رقم 1 و الفاصلة

ثم على نفس هذا النهج نبحث عن النص #PermitRootLogin yes و نعدلة حتى يصبح

كود:

PermitRootLogin no مع الملاحظة باننا قمنا بالغاء الرمز # و عدلنا القيمة من yes الى no

ثم خزن ملف التكوين بلضغط على Ctrl + X
و عمل رستارت لخدمة الشيل عن طريق هذا الامر

كود:

/etc/rc.d/init.d/sshd restart

و بعد الرستارت اخرج من برنامج الشيل و اعد تشغيلة البرنامج و انتبة للكلام بالاسفل

---------------------------------------------------
*هذه الخاصية تلغي دخول المستخدم كرووت في الشل فقط اما في whm فيمكن للشخص الدخول على حساب الرووت

* اذا كان سيرفرك يحتوي على cpanel يجب اضافة مستخدم (موقع) و يكون لمستخدم هذا الموقع الصلاحية للحصول على شيل من نوع bash و بعد ذالك يجب اضافة هذا المستخدم الى الى user wheel من الwhm

*** و لاي استفسار الرجاء المراسلة على الخاص او البريد الالكتروني 8)
و حماية دايمة لسيرفراتكم :wink:

3rbhost · #2 18-12-2004, 03:24 PM

يا سلام عليك اخ عبد الله

يعطيك الف الف عافية يا غالي علي هـ الشرح الوافي

بس يا غالي تراك نسيت الامر الي يحولك الي root

اتمنى تكتبه ويعطيك العافية

3rbhost · #3 20-12-2004, 12:12 AM

الامر هو ...

su root

وإذا كنت تبي تغير الي يوزر ثاني تكتب

su USER

تحياتي
احمد

الرّاسم · #4 20-12-2004, 02:17 AM

يعطيكم العافيه

Mr.TOP · #5 20-12-2004, 09:26 AM

تسلم - مشكور يالغالي

بالتوفيق ..

Black_AnGeL · #6 23-12-2004, 06:34 AM

يعطيكم العافيه

Hunter · #7 24-12-2004, 07:49 PM

السلام عليكم

اخي عبدالله
الامر هين بلا يوزرين ولا تعب

فقط تغيير بورت الشل SSH من 22 الى اي رقم اخر ان شاءالله رقم جوالك

كمثال 34354

وين بيعرفه

اذن هنا حمينا الشل وهو الاهم لانه باتسطاعته يفرمت السيرفر وياخذ نسخه من الباك اب وال VAR وغيره

اما ال WHM يامكانه ايضا حمايتها بمحادثه السبورت بالهوستنق وتغيير المنفذ للي يبيه من 2086+2087
الى اي شي اخر ونأخذ كمثال ناشر نت 2222

وغيرهم
يعني نحط مثلا 100030 <--------- ماعتقد يبخمنه المخترق لكونه يبمل ويقول ندور غيره

وايضا للحمايه الكليه للسيرفر فرضا عندك 30 موقع ماتقدر تشيك عليهم يوميا وش رفعو من ملفات
والبغيه هي البحث عن ملفات الShell
فالمخترق ليس بالغباء ليترك اسم الملف shell.php
اذن نبحث عن كلمة shell

بالامر التالي تحت محث cd /home
grep | -b "shell"

لتحصل على اي ملف مكتوب في هالكلمة بسيرفرك
وتحذف الملف وتقاضي صاحب الموقع

انتهى وهي توضيح بسيط اكمالا لما قاله الاخ عبدالله

SecurityWay · #8 29-12-2004, 08:15 AM

إقتباس:

اقتباس من مشاركة Hunter

	السلام عليكم اخي عبدالله الامر هين بلا يوزرين ولا تعب فقط تغيير بورت الشل SSH من 22 الى اي رقم اخر ان شاءالله رقم جوالك كمثال 34354 وين بيعرفه اذن هنا حمينا الشل وهو الاهم لانه باتسطاعته يفرمت السيرفر وياخذ نسخه من الباك اب وال VAR وغيره اما ال WHM يامكانه ايضا حمايتها بمحادثه السبورت بالهوستنق وتغيير المنفذ للي يبيه من 2086+2087 الى اي شي اخر ونأخذ كمثال ناشر نت 2222 وغيرهم يعني نحط مثلا 100030 <--------- ماعتقد يبخمنه المخترق لكونه يبمل ويقول ندور غيره وايضا للحمايه الكليه للسيرفر فرضا عندك 30 موقع ماتقدر تشيك عليهم يوميا وش رفعو من ملفات والبغيه هي البحث عن ملفات الShell فالمخترق ليس بالغباء ليترك اسم الملف shell.php اذن نبحث عن كلمة shell بالامر التالي تحت محث cd /home grep \| -b "shell" لتحصل على اي ملف مكتوب في هالكلمة بسيرفرك وتحذف الملف وتقاضي صاحب الموقع انتهى وهي توضيح بسيط اكمالا لما قاله الاخ عبدالله

السلام عليكم

ملوحوظه فقط :

-يستطيع الشخص معرفة البورت الخاص بالشل حتى وان تم تغييره الى مليون رقم , أبسط شيء يقوم ب Port scan كمثال بال Nmap وسوف يجد البورت .

- البورتات 2086 والبورتات 2087 بورتات مبرمجة داخليه اي Hard coded لا يمكن تغييرها أبدا وهي خاصه بال WHM .

-بالنسبة للبورت 2222 فهو البورت الخاص بلوحة التحكم DA "Direct Admin"

-بالنسبة لملفات ال Shell فيمكن التغلب على اكثر بتفعيل safemode & Suexec كما يمكن أيضا جعل السيرفر Chrooted وبهذه الطريقة تبطل عمل اي php script سواء php or cgi / pl

كما ان هذه السكربتات يجب وان تعتمد على أحد الدوال مثل : exec , system , loop , shellexec

اذا قمت بوضع الدوال الخطره في ملف php.ini وقمت بعمل disable لها فسياسعد ايضا .

-فيه برمجيات ترسل لمدير السيرفر تقرير يومي باي ملف تم رفعه او حذفه او اي دخول بالشل او من لوحة التحكم والايبي والوقت ونوع الملف ويتعرف على الملف اذا كان بداخله فيروس او عباره عن اكسبلويت (Anti-local exploits)

وهناك الكثير على القائمة ليتم عمله .

طبعا مع الادارة الجيده للسيرفر والمتابعة المستمره سوف يكون كل شيء على ما يرام ان شاء الله .

تحياتي لكم ,

Hunter · #9 29-12-2004, 10:04 PM

السلام عليكم

كل ماتكرمت فيه طرق صحيحه وجيده

وللايضاح

- البورتات 2086 والبورتات 2087 بورتات مبرمجة داخليه اي Hard coded لا يمكن تغييرها أبدا وهي خاصه بال WHM .

-بالنسبة للبورت 2222 فهو البورت الخاص بلوحة التحكم DA "Direct Admin

الاول سبق وتغير

ومعي انا قمت بتغيير المنفذ من 2086 الى منفذ خاص بي اسم وليس رقم

بالنسبه للدايركت ادمن اتيت بمه كمثال وليس كتغيير

SecurityWay · #10 30-12-2004, 12:24 AM

نعم , يمكن تغيير الاسم بدل من WHM الى أي شيء آخر مثلا

http://domain.com/ahmed

http://domain.com/mohammed

http://domain.com/control

http://domain.com/xx_xxxx

من خلال تغيير الاسم في httpd.conf

ولكن سيبقى رقم البورت ثابت ويستطيع الشخص الدخول من خلال البورت باي وقت

http://domain.com:2086

http://domain.com:2087

اذا , تغيير الاسم ليس له نتيجة الا لتجاوز المبتدئين .

يجب ايجاد حلول لهذه المشاكل بدلا من الهروب منها بتغيير بورتات واسماء الخ .

تحياتي ,

محمد

Hunter · #11 30-12-2004, 12:49 PM

وتستطيع حذفه يامحمد

وبالنسبه لاايجاد حلول

مساء الورد مافي حلول دام انت مستضيف لمواقع

فاذا لم تات من سيرفرك اتت من المواقع اللتي تستضيفها اذن الحل هو الباك اب الثنائي يومي واسبوعي

وايضا بعض حلول الحمايه اللتي ستؤثر على المواقع المستضافه كالبطء والتعليق وغيره

شخصيا لم اجد اي حلول للحمايه قويه جدا اي انه في يوم ما سيتم اختراق هذا السيرفر او ذاك وانا وانت نعرف لماذا
لوجود الاف الثغرات واماكن الضعف في كل سيرفر على حده
وهي ايضا تختلف من مستضيف الا الاخر

وعلى فكره اكثر السيرفرات اللتتي تخترق هي عربيه وبرازيليه
تدري ليش لانهم مايهتمون كثير فقط استافه ووسع صدرك يعني مايدري الا عن امر الباك اب والنقل لااكثر
يعني اذا ربك رحمه ركب APF

ولا Dosattack Firewall
وهذه البرامج ليست بالضروره حمايه
ايضا لاتنسى دور المحادثات المسنجريه بين الاصحاب يرسل له ملف لوق ستيل وياخذ باسورداته علما ان اغلبيتهم اي المستضيفين يدخلون للسيرفرات من اجهزه شخصيه يتم استعمالها للشات والمنتديات وتنزيل الملفات وهنا الخطر والخطأ
ليش مايخلي له جهاز خاص بالسيرفر نظيف ماعليه غير الشل وكم برنامج للسكوال وخلافه من برامج تصميم

ايضا ذكرت في ردك Nmap

يامحمد هالبرنامج نادرا ماحد يعرف له على كثرت السؤال عنه

ماغير يعرفون p-O

يعني الدنيا بخير لاتشيل هم

شاكر لك تواصلك

1host · #12 07-02-2005, 09:33 AM

إقتباس:

اقتباس من مشاركة Hunter

	السلام عليكم اخي عبدالله الامر هين بلا يوزرين ولا تعب فقط تغيير بورت الشل SSH من 22 الى اي رقم اخر ان شاءالله رقم جوالك كمثال 34354 وين بيعرفه اذن هنا حمينا الشل وهو الاهم لانه باتسطاعته يفرمت السيرفر وياخذ نسخه من الباك اب وال VAR وغيره اما ال WHM يامكانه ايضا حمايتها بمحادثه السبورت بالهوستنق وتغيير المنفذ للي يبيه من 2086+2087 الى اي شي اخر ونأخذ كمثال ناشر نت 2222 وغيرهم يعني نحط مثلا 100030 <--------- ماعتقد يبخمنه المخترق لكونه يبمل ويقول ندور غيره وايضا للحمايه الكليه للسيرفر فرضا عندك 30 موقع ماتقدر تشيك عليهم يوميا وش رفعو من ملفات والبغيه هي البحث عن ملفات الShell فالمخترق ليس بالغباء ليترك اسم الملف shell.php اذن نبحث عن كلمة shell بالامر التالي تحت محث cd /home grep \| -b "shell" لتحصل على اي ملف مكتوب في هالكلمة بسيرفرك وتحذف الملف وتقاضي صاحب الموقع انتهى وهي توضيح بسيط اكمالا لما قاله الاخ عبدالله

من شاور عاون وانا اخوك

اذكر لنا الطريقه بالتفصيل لتغيير البورت

وجزاك الله خير

JSRhost.com · #13 07-02-2005, 04:42 PM

يا سلام عليك اخ عبد الله

يعطيك الف الف عافية يا غالي علي هـ الشرح الوافي

بس يا غالي تراك نسيت الامر الي يحولك الي root

اتمنى تكتبه ويعطيك العافية

abdullah · #14 02-05-2005, 11:38 AM

اسف على التاخير شباب لاكن اعذرونا التاخر بسبب الدراسة و الانشغال بالمشاريع

عزيزي للتحويل الى الرووت اكتب هذا الامر

su

و ادخل باسورد الرووت و سوف تلاحظ ان الغلاف تحول من باش الى غلاف الرووت

بالتوفيق

web4host · #15 01-06-2005, 08:18 PM

بلنسبه المنفذ (port) لاتغلب حالك في تغيره و السبب ان هو اي شخص يعمل مسح من اي برنامج بحث يستطيع ان يعرف المنفذ