مشکل کلاودفلر چی بود و ما باید چیکار کنیم

من آخر هفته خیلی شلوغی داشتم. درست‌تر بگم، هفته خیلی شلوغی و اگر دقیق تر بخوام حرف بزنم؛ ماه خیلی شلوغی! این وسط هم کلی خبر خوب داشتیم که خب نرسیدیم در موردشون حرف بزنیم. اما به نظرم یکی از جالبترین‌هاش که جاش اینجا بود، بحث مشکل امنیتی نشت اطلاعات کلاودفلر بود. توضیحات اشتباه هم در موردش خیلی زیاد داده شده، حتی سایت های معتبر خارجی.

کلاودفلر یک سیستم دی ان اس است که کنار دی ان اس کلی سرویس دیگه هم می ده. مثل فشرده کننده صفحات، جلوگیری کننده از حملات، ریدایرکت اچ تی تی پی اس و خیلی چیزهای دیگه. در واقع کلاودفلر صفحه شما رو دریافت می کنه، به دلایل مختلف تغییرش می ده و اونو برای کاربر می فرسته. مثل یک کش خیلی خوب و کارا.

اما چند روز قبل کلاودفر یک خبر بزرگ منتشر کرد: باگ گزارش شده توسط تاویس اورماندی از پروژجت زیرو گوگل بهشون خبر داده که در بعضی صفحات اطلاعات غیر عادی وجود داره! خیلی غیرعادی؛ در حد توکن لاگین یوزرها، پسوردهاشون، ای پی آی کال ها و غیره و غیره. در واقع اطلاعاتی که باید بین هر یوزر کاملا مخفی باشه، حالا به عنوان بخشی از یک صفحه وب در گوشه ای از اینترنت قابل دیدن است!

اشتباه اول خیلی خبرگزاری ها این بود که فکر می کردن این اطلاعات یک‌جا نشست کرده و در دسترس است. اینطور نبود. مساله این بود که اطلاعات برخی سایت های خیلی بزرگ که از کلاودفلر استفاده می کردن در بعضی صفحات بی ربط پخش در اینترنت قابل دیدن بود و هنوزم هست. در واقع مثل این بود که زیر یکی از صفحات جادی.نت بتونین پسورد یک نفر رو ببینین (یا توکن لاگین کردنش رو) و با داشتن اون بتونین به جاش لاگین کنین.

این مساله به خاطر باگ موسوم به Buffer Overrun ایجاد شده بود. باگی که در زبان های سی و سی پلاس پلاس برنامه نویس موظف به مواظب بودن در موردش است و در نتیجه بارها و بارها اشتباها از زیر دست تست ها در می ره و باعث مشکلات امنیتی بزرگ می شه. این باگ اینطوری کار می کنه که یک متغیر از جای تعیین شده برای خودش بیرون می زنه و با بقیه حافظه قاطی می شه! کد زیر دقیقا خطی است که باعث شد کلاودفلر دچار مشکل بشه:

if ( ++p == pe )
    goto _test_eof;

یک ابزار که قراره صفحه رو بهینه کنه، این رو صدا می زنه و تا وقتی که پوینتر به جای مورد نظر «برسه». حالا چی می شه اگر پوینتر در یک حالت خاص از اینجا بپره؟ تا مدت ها پیش می ره و بقیه اطلاعات حافظه رو توی متغیر مورد نظر می ریزه! همین می شه که سرور کلاود فلری که مثلا صفحه من رو بر می گردونه ممکنه بخشی از حافظه خودش که حاوی اطلاعات حساسه رو هم ته صفحه من برگردونه!

کلاود فلر می گه فقط در ۷ ساعت این مشکل رو حل کرد؛ از طریق درگیر کردن تیم‌هاش در تمام جهان. البته این باگ از هر سه میلیون و سیصد درخواست اچ تی تی پی فقط ۱ دونه رو درگیر می کرد ولی همین هم کافی بود که هنوزم اگر توی گوگل بگردین، ممکنه بتونین توکن های مشابهی رو پیدا کنین!

چه باید کرد

این هم یکی دیگه از اشتباه‌های بعضی منابع است؛ در واقع من و شما به عنوان یوزر کار چندانی نمی تونیم بکنیم. عوض کردن پسورد همیشه ایده خوبیه ولی در بسیاری از این موارد چیزی که لو می ره پسورد نیست (چون اون فقط یکبار رد و بدل می شه). اکثر سرورها برای نگهداری اطلاعات از توکن ها استفاده می کنن (مثلا قسمت هفتم بستون رو ببینین) و این توکن ها دائما دست به دست می شن. حتی اگر شما پسورد رو عوض کنین این توکن احتمالا کماکان در سرور فعال و معتبر است.

پیشنهاد اصلی در مورد وب مسترها و مدیر سیستم ها است و نه یوزرها. برای مقابله و امن شدن در مقابل این اتفاق امنیتی، لازمه مسوولین سایت ها توکن ها رو ریست کنن یا به یوزرها اجبار کنن که دوباره لاگین کنن و پسورد رو تغییر بدن تا حتی جلوی رو رفتگی های پسوردها هم گرفته بشه. شاید کار خیلی راحتی نباشه ولی چاره ای نیست. به احتمالا به همین دلیله که گوگل و چندین سرویس دیگه در طول دیروز از ما خواستن که دوباره وارد سیستمشون بشیم و توکن های قبلی رو غیر معتبر اعلام کردن.

بهترین نکته؟ شفافیت کلاودفلر که حتی کدهای مشکل دار رو هم نشونمون داد (:

ابزارهای برنامه‌نویسی اندروید – دور زدن تحریم‌ها

یه مشکل که برنامه‌نویس‌های اندروید باهاش مواجه هستن تحریم ایران از طرف گوگل و اوراکل هست، در این پست راه دور زدن این تحریم‌ها رو قرار دادم امیدوارم کمک کنه همه رو 🙂

 

اندروید-گوگل


متاسفانه هنوز هم گوگل و اوراکل دسترسی ما ایرانی‌ها رو محدود می‌کنن و نمی‌ذارن از ابزارهایی مثل JDK و اندروید استودیو و SDK و… به راحتی استفاده کنیم. برای همین با کمک تاکس فمیلی که بهم فضای اضافه داد 😊 تونستم فایل‌ها رو روی هاست خودم قرار بدم (به سادگی با ssh به هاست وصل می‌شی و با wget از لینک اصلی روی هایت دانلود می‌کنی فایل‌ها رو 😎).
البته در گنو/لینوکس (حتما) از open-jdk استفاده کنید و اگر آرچ داشته باشید از AUR یا اگر اوبونتو دارید با استفاده از PPA ها از مخازن اندروید استودیو رو دانلود کنید ولی من برای گنو/لینوکس هم قرار می‌دم فایل‌ها رو:

گنو/لینوکس:

لینک دانلود
امضای SHA1

اندروید استودیو
۱۷۲c9b01669f2fe46edcc16e466917fac04c9a7f

اندروید SDK
aafe7f28ac51549784efc2f3bdfc620be8a08213

ویندوز:

لینک دانلود
امضای SHA1

اندروید استودیو + sdk
۲۷۲۱۰۵b119adbcababa114abeee4c78f3001bcf7
لینک دانلود
امضای SHA256

Oracle JDK
۳e39f87441841a152cd327e95d09755f
be4b443316dac94a0494d68910b0994e

چک کردن امضا

برای چک کردن امضای فایل‌ها در گنو/لینوکس از این دستور ها استفاده کنید:

MD5
md5sum filename
SHA1
sha1sum filename
SHA256
sha256sum filename

در ویندوز هم خودتون راه خودتون رو پیدا کنید من بلد نیستم 😆

چک کردن امضا باعث می‌شه هم از درست دانلود شدن فایل مطمئن بشید هم با مقایسه امضا با امضای موجود در سایت مرجع از دستکاری نشدن فایل اطمینان پیدا می‌کنید، چون اگر ۱ بیت از فایل عوض بشه شما امضای کاملا متفاوتی خواهید یافت.

دور زدن تحریم‌ها

استفاده از پروکسی:

بعد از دانلود فایل‌ها در گنو/لینوکس اگر تور داشته باشید کارتون بسیار راحت خواهد بود. باز هم به علت تحریم‌ها، شما نمی‌تونید به با استفاده از Gradle به پروژه کتاب‌خانه اضافه کنید یا SDK رو آپدیت کنید. در گنو/لینوکس بعد از نصب و راه‌اندازی تور+پولیپو، وقتی پروژه جدید ایجاد کردید در انتهای فایل gradle.properties این تنظیمات رو قرار بدید

systemProp.http.proxyHost=127.0.0.1
systemProp.http.proxyPort=8123
systemProp.https.proxyHost=127.0.0.1
systemProp.https.proxyPort=8123
systemProp.socks.proxyHost=127.0.0.1
systemProp.socks.proxyPort=9050

استفاده از آینه:

این روش رو در کل توصیه نمی‌کنم چون هم رسمی نیست هم فقط می‌تونید باهاش SDK رو آپدیت کنید و مشکلات Gradle هنوز سر جاش هست…

برای استفاده از آینه، Android SDK Manager رو باز کنید و از منوی Tools گزینه Manage Add-on Sites رو انتخاب کنید و همه تیک‌های موجود رو بردارید، سپس به تب User Defined Sites برید و بعد از زدن New آدرس زیر رو بهش بدید…

http://mirrors.neusoft.edu.cn/android/repository/

نوشته ابزارهای برنامه‌نویسی اندروید – دور زدن تحریم‌ها اولین بار در علی مولایی پدیدار شد.

SpaceView ابزاری برای نمایش میزان فضای مصرفی

 SpaceView یک Indicator برای اوبونتو است که لیستی از دستگاه‌ها (Devices) را به همراه میزان مصرف و مقدار فضای باقیمانده از آن‌ها را نمایش می‌دهد.

از طریق SpaceView قادر خواهید بود برای هر دستگاه یک نام مستعار تخصیص داده و رنگ وانل آن را نیز برگزینید و آستانه هشدار آن رامشخص نمایید. (زمانیکه فضای آزاد با آستانه هشدار می‌رسد، اخطاری نمایش داده می‌شود.)

از دیگر ویژگیهای آن می‌توان به نمایش دستگاههای متصل شده در Startup اشاره داشت.

پس از انجام تنظیمات، تنها کافیست بر روی دکمه Restart now کلیک کرده تا Indicator ریستارت شده و تغییرات اعمال گردد.

نحوه نصب SpaceView بر روی اوبونتو

SpaceView با اضافه کردن PPA در اوبونتو نسخه‌های ۱۴.۰۴، ۱۶.۰۴ و ۱۶.۱۰ از طریق فرمان‌های زیر قابل استفاده است:

sudo add-apt-repository ppa:vlijm/spaceview
sudo apt update
sudo apt install spaceview

همچنین می‌توانید فایل deb آن را نیز از طریق لینک زیر دانلود نمایید:

لینک دانلود

منبع: webupd8.org

دسترسی به فایل‌ها، دایرکتوری‌ها، و ایجاد کانکشن از طریق Rocket Menu

Rocket Menu یک AppIndicator بمنظور گشودن فایل‌ها، دایرکتوری‌ها و ایجاد کانکشن برای کنترل سرورها از طریق ناتیلوس به شما می‌آید.

Rocket Menu در بالای محیط Unity مستقر گردیده بطوریکه امکان دسترسی به منابع متعددی را برای شما مهیا می‌نماید.

این برنامه فابلیت افزودن فایل‌ها، دایرکتوری‌ها، وب‌سایت‌ها و کنترل کانکشن‌ها را داراست که تمامی آن‌ها از طریق Rocket Menu قابل دسترسی‌اند.

به بیان دیگر Rocket Menu یک نرم‌افزار شاخص و بسیار سریع به مانند Quick Launch برای محیط یونیتی اوبونتو بوده که روش مناسبی برای گشودن فایل‌ها، پوشه‌ها، وب‌سایت‌ها و درایورهای شبکه (SSH/SFTP, FTP, SMB) می‌باشد.

این نکته را حتماً مد نظر داشته باشید که دسترسی به کانکشن‌ها تنها در ناتیلوس قابل اجراست.

نصب Rocket Menu

اگر از محیط یونیتی بهره می‌إرید، می‌توانید آن را از طریق PPA در اوبونتو ۱۶.۰۴ به کمک فرمان‌های زیر نصب نمایید:

sudo add-apt-repository ppa:corenominal/rocket-menu
sudo apt update
sudo apt install rocket-menu gir1.2-gtk-3.0 gir1.2-pango-1.0 gir1.2-notify-0.7

منابع بکار رفته:

webupd8.org

corenominal.org

مخازن مانجارو روی سرورهای ایران

به طور اتفاقی با سایت یکی از دانشگاه های ایرانی روبرو شدم که بطور سخاوتمندانه ای تعدادی از مخازن لینوکسهای معروف رو برای استفاده آزاد در دسترس قرار داده. برای دیدن این سایت میتونید به این لینک مراجعه کنید.

مخازن مانجارو وجود نداشت، با ایمیلی که بهشون زدم اونها ظرف مدت بسیار کوتاهی پاسخ دادند و مخازن مانجارو هم به این لیست اضافه شد. اینجا چند نکته وجود داره که لازمه بنویسم:
  • اولا تشکر از گردانندگان این پروژه، هم بخاطر کاری که میکنند و هم بخاطر پاسخ گویی‌. تلاششان تحسین بر انگیزه.
  • بودن مخازن در داخل ایران خوبیش اینه که میشه با سرعت بسیار بالاتری بسته ها رو دانلود کرد. اما طی چند بار تستی که بنده در روزهای مختلف داشتم هر بار سرعت دانلود از سرورهای خارج از کشور (که خود پکیچ منیجر مانجارو اونها رو لیست میکنه) به مراتب بیشتر از سرعت دانلود از این سرور بود. حداقل سه برابر. در یک ایمیل موضوع رو مطرح کردم و پاسخ دادند که اونها با سرعت بسیار بالایی دارن استفاده میکنن و مشکلی در این زمینه نمیبینند. متاسفانه بخاطر این موضوع من نمیتونم از این مخازن استفاده کنم. بسیار عجیبه که دانلود از سرور مثلا انگلستان خیلی سرعت بیشتری به من میده تا دانلود از سروری که بیخ گوشمون هست!
اگر شما کاربر مانجارو هستید و میخواید که این رو امتحان کنید، فایل زیر رو باز کنید و سرورهای دیگه رو کامل پاک کنید و سرور ایران رو بهش اضافه کنید. بعد هم دیتابیس رو رفرش کنید:
sudo gedit /etc/pacman.d/mirrorlist
-------------------------------------------
Server = http://repo.sadjad.ac.ir/manjaro/stable/$repo/$arch

sudo pacman -Syy
در خط سرور عبارت stable در توضیحات سایت دانشگاه سجاد branch$ نوشته شده. که میبایست در این فایل تغییر کنه. در غیر این صورت با پیام خطای سینک مواجه میشید. نسخه های دیگه unstable و testing هستتند.

پشت‌پرده سواستفاده از تصاویر خصوصی زنان ایرانی در توییتر

هفته گذشته توییت یکی از دوستان رو دیدم که از سواستفاده از تصاویر خصوصی زنان ایرانی در توییتر ناراحت بود. با نگاهی به اکانت گفته شده، متوجه شدم پیدا کردن فرد مسئول این سواستفاده نباید کار مشکلی باشه اما گستره سواستفاده بیشتر از یک اکانته.

اخطار: این نوشته شامل تصاویر محو شده است اما همین تصاویر هم ممکنه برای کسانی ناراحت‌کننده باشه.

بخش اول – وب سایت

همه توییت‌ها یک سایت سرویس «لوله بازکن» رو تبلیغ می‌کردند. بررسی دامنه‌ها (lolehbazkoni.ir و lolehbazkon.com) و سرور نشون داد که به احتمال زیاد کسی که دامنه رو ثبت کرده و سرور رو تهیه کرده در این سواستفاده دخالتی نداشته. قبل از نوشتن این متن، ایمیل فرستادم و بهش اطلاع دادم که ممکنه با این نوشته اسمی ازش برده بشه جایی. همین ابتدا باید بگم که من نشونه‌ای از همکاری آقای «ع.الف ن.» در این سواستفاده ندیدم.

در ادامه خواهیم دید که مدیر سایت، شخصا پشت‌پرده ساخت اکانت و توزیع تصاویر است.

بخش دوم – اکانت‌های مرتبط

در ابتدا با چک کردن ارتباط اکانت‌ها، تاریخچه توزیع تصاویر در توییتر و جستجوی نام‌های مشابه، تعداد دیگه‌ای از اکانت‌هایی که برای سواستفاده از تصاویر خصوصی زنان ایرانی ساخته شده بود رو پیدا کردم.

اکانت دوم

یکی از شیوه‌های معمول این سواستفاده‌گرها فالو کردن تعداد زیادی کاربره که اون‌ها رو ترغیب کنه با دیدن تصویر پروفایل و توییت‌های دیگه، فالوش کنند و به هدف نهایی که تبلیغ محصوله برسه. در تصویر زیر می‌بینید که از هر قشر و عقیده‌ای ممکنه فریب این روش رو بخورند و این اکانت مخرب رو فالو کنند.

فالوئرها

نتیجه پیگیری‌های من در توییتر این ۱۴ اکانت مرتبط بود:

https://twitter.com/karami75348779
https://twitter.com/emamia8201
https://twitter.com/karami136219
https://twitter.com/ali73124230
https://twitter.com/lolehbazkon711
https://twitter.com/lolehbazk
https://twitter.com/lolehbazkon44
https://twitter.com/karami136200
https://twitter.com/lolehbazkon444
https://twitter.com/bkarami850
https://twitter.com/mohab2080
https://twitter.com/lolehbazkon
https://twitter.com/lolehbazkonik
https://twitter.com/sarahakimi981

می‌بینیم که همه اکانت‌ها اشاره‌ای به «لوله بازکن» و نام خانوادگی «کرمی» دارند. در ابتدا حدس می‌زدم که شاید برای بدنام کردن کسی این اکانت‌ها ساخته شده که به این وضوح داره تبلیغ یک شرکت رو انجام می‌ده و اسم مدیرش رو استفاده می‌کنه.

باید بررسی رو بیشتر می‌کردم تا بتونم با اطمینان بیشتری این فرضیه رو رد یا تایید کنم.

برای این کار مجبور شدم ایمیلی که باهاش اکانت‌های توییتری ساخته شده بود رو پیدا کنم، با اکانت‌های احتمالی در فیسبوک، اینستاگرام و سایت‌های دیگه مقایسه کنم و صحتشون رو بسنجم.

اکانت‌های توییتری با این ایمیل‌ها ساخته شده:

alikarami136219@yahoo.com
mansorkarami3@gmail.com
mohammadkarami31@gmail.com
alikarami305@gmail.com
lolehbazkon@gmail.com

alikarami - gmail contact

با ایمیل mohammadkarami31@gmail.com اکانت توییتر karami75348779 ساخته شده بود و همچنین اکانت فیسبوک محمد کرمی (mohammad.karami.7545)

mohammad karami - facebook

می‌تونیم بیینیم که محمد کرمی در اکانت فیسبوک، به برخی از اکانت‌های تویتری لینک داده:

شماره تلفن پشتیان این اکانت فیسبوک ۰۹۱۲۱۸۹۲۰۹۲ بود که با همین شماره تلفن اکانت فیسبوک منصور کرمی (mansor.karami.5) هم ساخته شده.

mansoor karami - facebook

ایشون با اکانت منصور کرمی هم به برخی دیگه از اکانت‌های توییتر لینک داده:

همچنین اکانت فیسبوک دیگه‌ای به اسم «لوله بازکنی تخلیه چاه» که اون هم تصاویر خصوصی زنان رو منتشر می‌کنه، با همین شماره تلفن ساخته شده (lolehbazkonikarami).

09121892092 - facebook

اکانت‌های دیگه این فرد از این قراره:

گوگل پلاس (حسین کرمی): https://plus.google.com/115720787780817867955

آپارات: http://www.aparat.com/lolehbazkon

اینستاگرام: instagram.com/__09121892092

اینستاگرام: https://www.instagram.com/lolehbazkoni

اینستاگرام: https://www.instagram.com/lolehbazkon71/

لنزور: http://www.lenzor.com/lolehbazk

سایت اسک: https://ask.fm/alikarami

یوتیوب: https://www.youtube.com/channel/UCxlntGGAoTqycW7IuF9P2BQ

همچنین اکانت گوگل پلاسی به اسم «سارینا دوستی» داره اما به اشتباه در یکی از نوشته‌ها اسمش رو اعلام کرده:

در نوشته دیگه‌ای در سال ۲۰۱۴ هم ایمیلش رو نوشته:

لیست اکانت‌ها و وبلاگ‌های دیگه‌اش رو می‌تونید توی این تصویر ببیند:

دو مورد دیگه برای رد فرضیه «بدنام کردن» به مجموعه اطلاعات بالا اضافه شد.

۱. ایشون به اشتباه در اکانت فیسبوک «لوله بازکنی تخلیه چاه» فیلمی از خودش رو منتشر کرده که با چهره‌اش با تصاویرش در اکانت‌های دیگه هماهنگی داره. من ردی از این فیلم جای دیگه پیدا نکردم.

facebook - leaked video

۲. شماره حساب‌های اعلام شده در سایت «لوله بازکنی» معتبر بوده و به اسم ایشون بود.

با توجه به همه اطلاعات گفته شده، فردی که اکانت‌های متعدد و وبلاگ‌های گوناگون ساخته و با انتشار تصاویر خصوصی زنان ایرانی، سعی در تبلیغ شرکتش رو داشته آقای بهمن کرمی است. ایشون با اسامی منصور، علی، محمد و حسین کرمی هم خودش رو معرفی می‌کنه.

اگر رفتارهای ایشون آسیب دیدید، می‌تونید با تشکیل پرونده ازش شکایت کنید.

همچنین همونطور که در نوشته‌های قبلی گفتم، در صورتی که آقای بهمن کرمی تمامی اکانت‌ها و وبلاگ‌هایی که جهت سواستفاده از تصاویر خصوصی زنان ایرانی ساخته رو ببنده، من هم این نوشته رو از دسترس خارج می‌کنم.

The post پشت‌پرده سواستفاده از تصاویر خصوصی زنان ایرانی در توییتر appeared first on Scriptics.

V-I-M

خیلی وقته که دنبال یه ادیتور سبک و همه کاره هستم که هم بتونه واسه ادیت های دم دستی کمک حالم باشه و هم بشه باهاش نیمچه کدی زد.از مدت ها پیش می دونستم که ویم هم چین قابلیت های خوبی  داره.شاید پس ازسعی و خطاهای مختلفی که روی ادیتور های مختلف از Atom گرفته تا Sublime و Gedit‌ تا ویرایشگر های کنسولی ای هم چون نانو، هیچ کدوم به معنای واقعی یه ادیتور کامل نبودن و هر کدوم نقص های خودشونو داشتن.از اتم فوق العاده سنگین گرفته تا سابلایم غیر آزاد و Gedit لخت!

ادامه مطلب

نصب و پیکره‌بندی آپاچی در گنو/لینوکس برای برنامه نویسی CGI

چند وقت پیش میخواستم چند تا اسکریپت پرل را تست بکنم و در حال نوشتن یک برنامه ساده با پرل بودم که مجبور شدم آپاچی را نصب و پیکره‌بندی بکنم.

نکته: فکر نمیکنم لازم به ذکر باشه که باید دسترسی ریشه داشته باشید.

نکته: با توجه به اینکه من از اوبونتو ۱۶.۰۴ استفاده میکنم شاید نیاز باشه تا بعضی دستورات را با توجه به توزیع خود تغییر دهید.

نکته:‌ اگر کمی باهوش(یا باتجربه؟) باشید میتوانید با توجه به این آموزش آپاچی را برای ویندوز و سایر شبه یونیکس ها هم پیکره‌بندی بکنید.

برای اینکار اول آپاچی را نصب کنید(در توزیع شما ممکن است متفاوت باشد):

apt install apache2

حال آدرس localhost یا 127.0.0.1 را در مرورگر وارد بکنید، اگر صفحه It works ظاهر شد پس آپاچی به درستی نصب شده است. حال این دو خط را به فایل /etc/apache2/apache2.conf اضافه کنید:

AddHandler cgi-script .cgi .pl
ServerName 127.0.0.1

حال این بلاک را پیدا کنید:

<Directory /var/www/>
    Options Indexes FollowSymLinks
    AllowOverride None
    Require all granted
</Directory>

و آنرا به این تغییر دهید:

<Directory /var/www/>
    Options Indexes FollowSymLinks
ExecCGI
    AllowOverride None
    Require all granted
</Directory>

حال باید ماژول cgi را با این دستور فعال بکنید:

a2enmod cgi

و سرویس مربوط به آپاچی را از نو راه‌اندازی بکنید(در توزیع شما ممکن است متفاوت باشد):

service apache2 restart

پایان!

آموزش محدود کردن دسترسی به سرویس SSH

SSH-Logo

یکی از پرکاربردترین سرویس ها SSH می باشد که امکان اتصال به ماشین های راه دور را فراهم می کند.از طرف دیگر همه ی سیستم های لینوکسی به صورت پیش فرض کاربری با نام root دارند که بالاترین سطح دسترسی به سیستم را دارا می باشد و یکی از راه کارهای امنیتی این می باشد که دسترسی ssh را برای کاربر root غیرفعال کرد و یا سایر کاربران را جهت دسترسی به این سرویس محدود کرد.

 

غیرفعال کردن SSH Root Login :

 

برای غیرفعال کردن دسترسی کاربر root کافیت تا فایل پیکربندی سرویس ssh را باز کنید :

 

#vi /etc/ssh/sshd_config

سپس این خط را پیدا کنید :

 

#PermitRootLogin yes

و آن را به خط پایین تغییر دهید :

 

PermitRootLogin no

در واقع باید علامت # را  از جلوی خط پاک کنید و در مقابل آن no بنویسید.اکنون برای اعمال تغییرات کافیست تا یکبار سرویس sshd را restart کنید :

 

 

#systemctl restart sshd

نکته اینکه قبل از انجام مراحل گفته شده مطمئن باشید که علاوه بر کاربر root کاربر دیگری بر روی سیستم تعریف شده باشد، که برای تعریف کاربر جدید می توانید از دستور usersdd استفاده کنید.از این پس برای اتصال به سرور از طریق ssh کافیست ابتدا به کاربر معمولی ssh بزنید و سپس با دستور su به کاربر root سوئیچ کنید.

 

 

 

فعال کردن SSH Root Login :

 

جهت فعال کردن دسترسی کاربر root به ssh کافیست تا فایل پیکربندی سرویس ssh را باز کنید :

 

#vi /etc/ssh/sshd_config

سپس مانند خط پایین در جلوی آن علامت # قرار دهید :

 

#PermitRootLogin no

اکنون کافیست تا یکبار سرویس sshd را restart کنید :

 

 

#systemctl restart sshd

 

محدود کردن دسترسی کاربران به SSH :

 

جهت محدود کردن دسترسی کاربران به سرویس ssh کافیست تا فایل پیکربندی سرویس ssh را باز کنید :

 

#vi /etc/ssh/sshd_config

سپس در انتهای فایل خط AllowUsers را اضافه کنید و در جلوی آن نام کاربرانی که قرار است دسترسی به سرویس ssh را داشته باشند را با فاصله بنویسید :

 

AllowUsers  hos7ein fedorafans

 

اکنون کافیست تا یکبار سرویس sshd را restart کنید :

 

 

#systemctl restart sshd

 

فقط برای تفریح


کتاب فقط برای تفریح (just for fun) نوشته لینوس توروالدز خالق لینوکسه که تو این کتاب روند نوشته شدن این سیستم عامل محبوب رو توضیح میده.
این کتاب رو جادی عزیز ترجمه کرده.
کتاب رو بخونین و اگه خوشتون اومد ازش حمایت کنید ;)
برای خوندن این کتاب جالب به اینجا مراجعه کنین.یا میتونین از کانال لینوکس و من دانلودش کنین
لذت ببرین ;)