سالها قبل زمانیکه دامین tosinso.com به تازگی ثبت شده بود تقریبا همگی سرویس ها و نرم افزارهای CMS رایگان مانند جوملا ، وردپرس ، ShareTronix و .... را برای قراردادن وب سایت در اینترنت استفاده کردیم. در این بین طبیعی است که از سرویس های هاست اشتراکی لینوکس یا Linux Shared Hosting که هزینه کمتری نسبت به سرویس های ویندوزی داشت استفاده می کردیم ، امنیت یکی از پارامترهای مهمی بود که برای وب سایت itpro در آن زمان ( البته الان هم هست اما مثاله دیگه ( در اولویت قرار داشت ، بعد از چند وقت مطالعه در خصوص سرویس های هاستینگ اشتراکی لینوکس در نهایت به یک سری نکات ساده و کاربردی برای امن کردن سرویس هاستینگ خود رسیدیم که در این مطلب قصد داریم آن را با شما به اشتراک بگذاریم بنابراین تا انتهای مطلب با ما باشید.
سرویس های هاستینگ اشتراکی بر خلاف سرویس های هاستینگ اختصاصی یا سرورهای مجازی ، سیستم عامل سرور را در اختیار شما قرار نمی دهند و فقط و فقط یک فضا و یک کنترل پنل مدیریتی با انواع و اقسام اشکال مختلف به شما ارائه می دهند تا وب سایت خود را در آنجا آپلود کنید و از آن استفاده کنید. بنابراین امنیتی که شما برای هاستینگ وب خود ایجاد می کنید در سطح همان فضا و همان پنل مدیریتی است که در اختیار شما قرار گرفته است و نمی توانید به جای دیگری دسترسی داشته باشید.
اولین و مهمترین نکته برای امن کردن سرویس های هاستینگ اشتراکی این است که در نهایت امنیت اصلی شما را سرور هاستینگ و مسئولین سرورها باید تامین کنند و اگر سرور بصورت کلی نقطه ضعف امنیتی داشته باشد شما قادر به انجام هیچ کاری در سطح پنل و فضای هاست خود نخواهید داشت بنابراین به ناچار ما در این مطلب فرض را بر این می گذاریم که سرور ما امنیت لازم را دارد و به سراغ مسائل امنیتی می رویم که در خصوص خود پنل مدیریت و فضای در اختیار گذاشته شده وجود دارد بنابراین به نکات زیر توجه کنید :
allow_url_fopen=off disable_functions = proc_open , popen, disk_free_space, set_time_limit, leak, tmpfile, exec, system, shell_exec, passthru
به این نکته توجه کنید که دستورات بالا که در فایل php.ini در کنار تنظیمات PHP قرار می گیرند ممکن است فعالیت های برخی از قسمت های کد نرم افزار شما را دچار اختلال کنند ، بنابراین قبل از اینکه دستورات بالا را وارد کنید یک کپی از فایل اصلی php.ini بگیرید که در صورت بروز مشکل بتوانید به حالت اولیه برگردانید به هر حال کار اگر از محکم کاری عیب کرد باز هم محکم کاری کنید :D جمله از خودم بود البته ، در کنار تنظیمات بالا شما باید از دسترسی bot ها یا crawler ها به فایل های حساس وب سایت خود جلوگیری کنید در عین حالی که باید Perl را نیز Deny کنید ، این قوانین یا rule ها را می توانید براحتی با ویرایش کردن فایل htaccess. و وارد کردن دستورات پایین در آن ایجاد کنید :
SetEnvIfNoCase User-Agent libwww-perl bad_bots order deny,allow deny from env=bad_bots
اگر شما از اسکریپت های Perl استفاده نمی کنید ، قطعا باید به نحوه اجرای این کدها در فضای هاستینگ خود نظارت کنید و آنها را مدیریت کنید ، در home directory خود یک فایل به اسم htaccess. ایجاد کنید که دارای کدهای زیر باشد :
##Deny access to all CGI, Perl, Python and text files <FilesMatch ".(cgi|pl|py|txt)"> Deny from all </FilesMatch> ##If you are using a robots.txt file, please remove the # sign from the following 3 lines to allow access only to the robots.txt file: #<FilesMatch robots.txt> #Allow from all #</FilesMatch>
کدهای بالا از اجرا شدن کلیه کدهایی که با استفاده از اسکرییپت های Perl نوشته شده اند جلوگیری می کند. بیشتر exploit ها و backdoor های شناخته شده امروزی به زبان perl نوشته شده اند و با استفاده از کدهای بالا شما از اجرا شدن آنها در هاستینگ خود به خوبی جلوگیری خواهید کرد. این directory بر روی همه subdirectory های موجود در مجموعه خود تاثیر خواهد گذاشت ، نکته بسیار مهمی که باید رعایت کنید این است که زمانی که حساب کاربری شما مورد حمله قرار گرفت و از آن سوء استفاده شد .
احتمال بسیار زیادی وجود دارد که مهاجم از سرویس شما یک backdoor دارد که براحتی قابلیت دسترسی به هاست شما را می دهد ، اینجا تنها محلی است که شما در نهایت باید کدهای نوشته شده در نرم افزار خود را درست کنید و نقاط ضعف امنیتی موجود در آنها را درست کنید. پیدا کردن backdoor ها معمولا هزینه و زمان زیادی در بر دارد و یک برنامه نویس حرفه ای برای اینکار لازم است ، در چنین مواردی ترجیجا وب سایت خود را از اول بر روی هاستینگ دیگر با نرم افزار بروز تر مجددا راه اندازی کنید.
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات
محمد نصیری هستم ، بنیانگذار انجمن تخصصی فناوری اطلاعات ایران و مجموعه توسینسو ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 80 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر و ناظر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود