بعد عناء عامين أو أكثر و بعد انتظار طويل و شد أعصاب و شوق لسماع الخبر الرائع.. بفضل الله و حمده . أنهى اليوم الدكتور علي الشمري شهادة الدكتوراة بنجاح و الحمدلله و بصراحة كنت على أعصابي من الصباح و لكن الحمدلله اتصل و طمني بأجمل خبر سمعته هذا العام و الله على ما أقول شهيد

بعد ما سمعت الخبر ,, أقامت صلاة العصر و كنت أكاد أضيع كل صلاتي بسبب أنني سرحان في الخبر من كثر الفرحة . ههههههههههههههههه

من القلب أقول ,, ألف ألف ألف مليون مبروك يا علي يا صاحبي و الله يرزقك الدين و العلم و الصحة و المال و كمان العيال

سامحني على التقصير في التعبير لكن هذا ما أستطيع أن أكتبه و ما تخفي نفسي أكثر بكثير و الله يعلم هذا

تحياتي و احترامي

Related posts:

1. ألف مبروك للدكتور المهندس بشار

بصراحة لي فترة كبيرة أريد أن أكتب عن أشياء كثيرة لكن لا أجد الوقت و إن توفر الوقت لا يتوفر النشاط لكتابة موضوع. لكن سأضع هذا الموضوع لعل أحد يحتاجه كما أحتاجة كثيرا في العمل.

في البداية ما هي الـ VLAN ؟

هي اختصار لـ Virtual LAN  و هي تقسيم منطقي(ليس فيزيائي) لشبكة داخلية LAN  إلى عدة شبكات منفصلة مع الحفاظ على بعض التوصيلية بينهم.

ما الفرق بين الـ eth0  و eth0:2  و eth0.2  ؟

الجواب:

eth0: هو اسم الكرت الأول في الجهاز و هو كرت حقيقي / فيزيائي

eth0:2: وهذا ما يسمى Alias  أي إسم أو اسم مستعار لنفس الكارت الحقيقي و تستخدم لإعطاء أكثر من IP لتفس الكارت و كثيرا ما تكون العناوين من نفس الـ Subnet  ولكن هذا ليس شرطا أبدا.

eth0.2 هنا نقوم بإنشاء كرت متكامل , لكنه وهمي و يستخدم في الـ VLAN  لكي يفصل الـ LANs  عن بعضها و إن كانوا على نفس الـ Switch و هنا يسمى هذا بـ Sub Interface

هناك طريقتين لإنشاء VLAN في اللينوكس

1. طريقة يدوية

1.1. إنسخ الملف ifcfg-eth0  وسمه ifcfg-eth.1

cd /etc/sysconfig/network-scripts/

cp ifcfg-eth0 ifcfg-eth0.2

1.2. افتح ملف إعدادات الـ Sub interface  الجديد

vim ifcfg-eth0.2

- غير إسم الكرت هكذا

DEVICE=ifcfg-eth0.2

- أضف إليه التالي لتعريف أنه VLan

VLAN=yes

حيث الخيار الأخير ينادي على Module  خاص في الكرينال ليقوم بهذه المهمة.

1.3. أسند عنوان للكارت الجديد أو استخدم الـ DHCP  إن شئت

1.4. أعد تشغيل الخدمة

service network restart

هكذا أصبح لدينا كارت وهمي أو Sub interface  لعمل VLAN  و الـ ID  أو المعرف لهذا الكرت هو 2

ملاحظة: إبتعد عن تسمية المعرف برقم “1″ و استخدامه بشكل عام لأن الـمعرّف “1″ يستخدم دائما للإدارة.

1.5. ذحف الكرت الوهمي

- أوقف عمل

ifconfig eth0.2 down

- احذف ملف إعدادات

rm /etc/sysconfig/network-scripts/ifcof-eth0.2

- اعد تشغيل الشبكة

service network restart

2. عن طريق الأمر “vconfig”

قمت بشرح الطريقة الأولى لكي تعرف ماذا يحصل بالظبط و هذا الأمر سيوفر عليك الجهد و الوقت مع أنني لا أرى فيها أي جهد, قد تكون المسألة هي مسألة وقت فقط

2.1. إضافة كرت وهمي

vconfig add eth0  2

عرفنا أن “2″ هو الـ Interface ID  و أنت تختاره كما تشاء

2.2. لعرض معلومات عن الكرت الجديد

cat /proc/net/vlan/eth0.2

2.3. لحذف الكرت الوهمي

- أوقف عمل الكرت

ifconfig eth0.2 down

- ثم احذفه

vconfig rem eth0  2

تحياتي واحترامي

Related posts:

1. DNS Script

لي فترة لم أكتب تدوينة و بصراحة انشغلت في عملي الجديد و أيضا انشغلت مع مجتمع الحماية العربي أيضا ,, لهذا قلت أضع شئ خفيف لحفظ ماء الوجه أمام أحبابي الزوار

أضع لكم دورة Linux  فيديو من إنتاج شركة LinuxCBT  الشهيرة و المتخصصة في أنظمة لينوكس و كل ما يتعلق بها, أرجوا أن تعجبكم.

الدورة كاملة و هي:

LinuxCBT enterprise linux 5 edition video training

التحميل

ملاحظة: الروابط ليست من رفعي

تحياتي و احترامي

No related posts.

سأضع في هذا الموضوع إضافاتي أو التول بار التي أستخدمها لتكون مرجع لي و لمن يحب أن يستفيد منها و يستطيع أحبابي بنصحي بأي إضافة جديدة لا أعرفها أو قد أكون نسيتها.

ملاحظة: ليس من الضروري أن تستخدم/تفعّل جميع الإضافات, بل تفعل ما تحتاجه حاليا أو دوريا و البقية اجعلها مغلقة لحين الحاجة إليها للتقليل من الضغط على المتصفح.

# شريط الأدوات (Toolbar)

• تول بار مجتمع لينوكس العربي

حيث يساعدني كثير جدا إلى الصفحة الرئسية دون عناء و أيضا في البحث عن أخر المشاراكات و خدمات و دورات المجتمع. و أراه في نظري يلخص المجتمع بشكل رائع

# إضافات تحميل البرامج

• Download Statusbar

ستستغرب عندما أقول لك أنني من عشاق هذه الإضافة فهي رائعة في إظهار التحميل يشكل أنيق و غير مزعج

• DownThemAll

إذا كنت تعاني من انقطاع التحميل كثيرا أو ترغب في استخدام أداة تنافس الـ Download Manager  على الويندوز, فأنصحك بهذه الإضافة و التي نصحني بها أخوي بشار حفظه الله عندما كنت أشتكي من انقطاع التحميل لبرنامج كبير الحجم و كان السيرفر عندهم سيئ جدا و فعلا حمّلت البرنامج بكل أريحية. (شكرا بشار)

# إضافات النسخ الاحتياطي

• Xmarks

إضافة رائعة بحق في تصنيف و ترتيب و حفظ مواقعك المفضلة و كلمات المرور واستيرادها و تصديرها أيضا تستطيع حفظ كل هذا على حساب خاص بك في موقعم بحيث تستطيع الوصول إلى مفضلتك أينما كنت أعتبرها إضافةعملية جدا لكن انتبه أن تحفظ كلمات المرور , قد يصل أحد إلى حسابك في موقعهم و تدخل في دوامة لن تحبها.

# إضافات الحماية

• Flagfox

إضافة خفيفة تظهر لك علم الدولة للـ IP الخاص بالموقع الذي تزوره حاليا كما أنك تستطيع أن تحدد مكان الـIP  أيضا من خلال هذه الإضافه عند الضغط على العلم و هناك مميزات خفيفة أخرى استكشفها بنفسك

• Live HTTP Headers

إضافة تظهر لك معلومات الـ Header  للمواقع التي تفتحها و تظهر لك الكوكيز المتداولة و أيضا نوع السيرفر الذي يحمل الموقع و إصدار الأباتشي و بعض المعلومات الأخرى التي قد تفيدك في جمع المعلومات عن موقع أو عن سيرفر و غيره من الأهداف النبيلة

• User Agent Switcher

احترت أين أضع هذه الأداة هي تحت تصنيف إضافات متفرقة أم تحت إضافات الحماية , لكن في نظري أي شئ فيه خداع فهو يتعلق بالحماية بشكل أو بأخر. هذه الإضافة تقوم بتغير معلومات متصفح الفايرفوكس و جعل الموقع يراه على أنه أي نوع أخر مثل IE  أو Opera  و غيرهم. هذه بالطبع مفيدة لتلك المواقع التي تشترط عليك متصفح غير الفايرفوكس. أيضا أراها مناسبة جدا عندما يعطيك أحد رابط لا تعرف مدى موثوقيته فأفضل أن أغير معلومات المتصفح بحيث إن كان هناك سكربتات تعرف نوع المتصفح ثم تبحث في ثغراته و تطبقه عليها فإنه يطبق على المتصفح الخاطئ.

• NoScript

طبعا الإضافة هذه أشهر من النار على العلم و الجميع توقع أن أضعها في أول إضافات الحماية لكن لن أفعل فهذه مدونتي و أفعل بها ما أشاء . هذه الإضافة تحميك بشكل قوي من مخاطر الجافا سكريت و الفلاش و من الصفحات المنبثقة و أيضا ثغرات الـ XSS و Clickjacking.

• Nagios Checker

إضافة لا أستغنى عنها شخصيا الأن في عملي و في بيتي. تقوم بإبلاغك بكل التحذيرات التي تصدر من برنامج الـ Nagios  و تصدر أصوات بحسب خطورة الحدث و أنصح كل من يستخدم الـ Nagios  باقتنائها. أخبرني بها أخوي مصطفى البازي (شكرا مصطفى )

• SQL Inject Me / XSS-Me / Exploit-Me

ثلاث إضافات من موقع SECCOM LABS بصراحة الكلام قليل في حفقهم لن أقول أنها أدوات ليس لها مثيل لكن فعلا مفيدة جدا جدا في عمليات إختبار و اكتشاف ثغرات المواقع و استغلالها. استكشفها!!

• CookieSwap

يبدو أن الأمر أصبح مرضيا معي,, هذه الإضافة تستخدم لكي تتنقل بين ملفات الكوكيز الخاصة بك لكي تستطيع أن تفتح أكثر من بريد إلكتروني على نفس المتصفح لكن بصراحة استخدامها عندي يبدأ بعد استخدام الإضافة XSS-Me فبعد سحب الكوكيز تقوم بتبديله عن طريق هذه الإضافة الرائعة و هذا من ضمن الاستخدامات البريئة.

# إضافات متفرقة

• web2PDF

صحيح أن المعلومة ستبقى في صفحة الويب إلى ماشاء الله ,, لكن حب التملك أيضا شئ فطري و أنا أحب المعلومة تكون على جهازي أو في مدونتي لهذا أضطر أحيانا لتحويل صفحة ويب كاملة إلى ملف PDF.

القائمة متجددة إن شاء الله,,

تحياتي و احترامي

Related posts:

1. أريد أن أتخصص في حماية الشبكات و الأنظمة, فما هي الخطوات؟
2. الاستخدامات المتقدمة للـ IPtables

مجـتـمـع الحـمـايـة الـعـربي

تم بفضل الله , افتتاح مجتمع الحماية العربي و الذي يهدف إلى الارتقاء بالوعي العربي في مجالات أمن و حماية الشبكات و الأنظمة المختلفة. يركز مجتمع الحماية العربي على عرض أقوى و أحدث طرق الحماية و الاختراق المعتمدة في بيئات عمل الشركات و المنظمات, و تبنّي المشاريع العالمية المختصة بعالم الأمن و الحماية. كما يركز على النقاشات العلمية العملية المتقدمة و تقديم الأبحاث و مناقشتها لنصل يداً بيد إلى مستوى راقي من المعرفة بأمن الشبكات و الأنظمة مع الهتمام بالجانب الأخلاقي الذي يجب أن يتسم به مهندسوا و خبراء حماية الشبكات و الأنظمة الحقيقيّن.

تم تأسيس مجتمع الحماية العربي على أيدي مختصين في مجال الحماية مما يضمن للباحثين عن المعرفة المصداقية في المعلومة و صحة عرضها.

راجين من الله وحده, الثواب في الأخرة و بركة نشر العلم.

ملاحظة: سيكون الموقع في الفترة الترجيبية الأولى حتى نستطيع الوصول لأفضل وضع للمجتمع و الذي نضمن به إرضاء زوارنا الكرام

تحياتي و احترامي

No related posts.

بصراحة لا أعرف من أين أبدأ و كيف أنتهي لكن ,, بصراحة هناك أخ غالي عليّ و قريب إلى قلبي أهداني قبل أن يهدي لنفسه النجاح في تقديم ورقته في تحضيره للدراسات العليا في تخصص الحماية , حيث قام أخي الدكتور المهندس بشار بتقديم الورقه بنجاح رائع ماشاء الله لا قوه إلا بالله و بتفوق. بصراحة لم أكتب التدوينه فور معرفتي بالخبر لأن الخبر أنساني حتى همي فسبحان الله ما إن كنت مهموم إلا فرحني الله بشئ و جاءني هذا الرجل و هو يعرف محبتي له لكنه لا يعرف مقدارها; قام بإخباري بهذا الخبر الأكثر من رائع و أحب من هنا أن أقوله له نجاحك كان لك و لصبري و للمسلمين و نفع الله بك المسلمين دنيا و آخرة و إلى الأمام يا رجل و رفع الله رأسك كما رفعت رأس من يحبوك دائما.

ألف ألف ألف مبروك يا دكتور و عقبال ما نسمع خبر نجاحك يا أبو محمد في رسالة الدكتوراه عاجلا و يكون خبرين حلوين في آن واحد.

صدق من قال: رب أخ لم تلده أمك و الحمدلله رب العالمين رزقني الله بإخوان أعتز بإخوتهم و نسأل الله أن يكتب لنا اللقاء دنيا و أخره في جنته آمين

هذا ما في صدري

للاضطلاع على الورقة في موقع SANS  الشهير

Pass-the-hash attacks: Tools and Mitigation

تحياتي و احترامي

Related posts:

1. ألف مليون مبروك للدكتور علي الشمري

في الشركة التي أعمل فيها حاليا يتم التواصل بين الموظفين باستخدام برنامج الـ Microsoft Office Communicator حيث هذا البرنامج يقوم بمقام برامج المحادثة لكن على مستوى الشركة بأكملها فقط و يستخدم هذا البرنامج المحادثة الكتابية و الصوتية و المرئية و يدعم أيضا المحادثات الجماعية أو الجلسات الجماعية الـ Conference.  المحزن في الأمر أن هذا كان يجبرني أن أدخل على الويندوز لكي أتعامل معه و التواصل مع الأخرين حيث أنني من أول يوم قاموا بإعطائي Laptop و نزلت عليه Windows 7  لكي أتعامل مع متطلباتهم و في ثاني يوم قمت بإنزال  Fedora 12 . طبعا الجميع يعرف أنني أستخدم فيدورا.

المهم اليوم بفضل الله بعد الدوام وجدت الحل السهل و اليسيرحيث يكمن الحل في مشروع SIPE project و الذي قام بعمل الرقعة الرائعة لبرنامج الـ Pidgin.

لنبدأ,,,

1. تثبيت برنامج الـ Pidgin مع بعض الإضافات

2. تنزيل و تثبيت حزمة/رقعة الـ SIPE

ملاحظة: عند عمل Compile  للرقعة, قد يطلب منك تنصيب “intltool“,, فقط قمل بتثبيتها

ثم ابدأ مرة أخرى في عملية الـ Compile  من البداية

تستطيع أن تزل الحزمة من مدير الحزم أيضا عن طريق,,

3. الأن افتح برنامج الـ Pidgin  و اختر بروتوكول “Office Communicator” حيث هذا البرنامج يستخدم بروتوكول الـ SIP الخاص بالـ VoIP.

و ضع في التالي ما يناسبك

user name: ضع بريدك و غالبا يكون على البريد على نفس دومين خادم الـ SIP server

مثال: لو فرضنا أن نطاق خادم الـ SIP  هو king.sabri.net  فالبريد مثلا يكون king@king-sabri.net

Login: حيث ييتم كتابته إسم الدومين أولا ثم علامة ” \ ” أو Back Slash ثم بريدك بدون دومين

مثال:

king-sabri.net\king

password: ضع كلمة مرور بريد الذي استخدمته في موضوعنا

4. إذهب إلى التبويب Advanced  و غير المنفذ/البورت إلى 5061 و إن لم يعمل جرب 5060 و إن لم يعمل إترك مكان فارغ لكي يبحث بنفسه(Auto),, لكن الأول عمل معي بنجاح ثم بعد فترة لم يعمل فمسحت المنفذ ليكون في وضع Auto  و يعمل بنجاح الأن.

5. إضغط ” Add ” و تمتع على الممتع لينوكس

تحياتي و احترامي

No related posts.

#~  مقدمة

عندما نتكلم عن خدمة رفع الملفات إلى الخوادم ,, فإن أول ما يخطر ببالنا هو واحد من أخدم بروتوكولات نقل الملفات في تاريخ الشبكات الـ FTP protocol  و أكثر قد جرب أن يقوم بتنزيل أو رفع ملف من خلاله و هو موجود بشكل أساسي في أجميع سيرفرات الاستضافة لسهولة إعداده و التعامل معه, لكن ثمة أشياء تسهلنا بها كمدراء أنظمة ألا و هي حماية المستخدم و التي تصب مباشرة في حماية خوادمنا فتركنا الاتصال بخوادمنا بشكل غير آمن إما أننا نسمح بالمستخدم anonymous و رفع الملفات أو بترك كلمات المرور غير مشفرة غير آمنة أو بترك المجال للمستخدمين بالتجول في الخادم دون عمل أي مقيدات عليه.  بالدخول

في موضوعنا اليوم سنتطرق إلى عدة نقاط لا أريد تحديدها لأني نويت إن شاء الله أن أجدد هذا الموضوع و أجعله مرجعا لكل ما يخص هذا البروتوكول.

لنبدأ,,,

#~  التثبيت

في موضوعي الأن لن أقوم بتثبيت الـ FTP server  فقط بل سأثبت معه الـ OpenSSL  حيث نريكم الفرق عند استخدامه مع بروتوكولنا الـ FTP

#~ الإعدادات

ملف إعدادات الـ FTP  توجد في “/etc/vsftpd”

ويتكون المجلد من الشكل التالي

/etc/vsftpd/
|– ftpusers
|– user_list
|– vsftpd.conf
`– vsftpd_conf_migrate.sh

حيث أن ..

• ftpusers: ملف نضع فيها أسماء المستخدمين الغير مسموح لهم بالدخلول عبر هذا البروتوكول,, بالطبع تستطيع أن تضيف إليه من تشاء من مستخدمين النظام
• user_list: هذا الملف في حالته الافتراضيع يعمل نفس عمل الملف السابق, أما إن أضفت إلى ملف إعدادات الـ FTP  هذا السطر”userlist_deny=NO” فسيقوم بالسماح فقط للمستخدمين الموجودين فيه بالدخول. نستخدمه إذا كان عدد المستخدمين المحظورين كبير و المسموح لهم أقل
• vsftpd_confg_migrate.sh: هو سكريبت يقوم بأخذ نسخة احتياطية من ملف إعدادات الـ FTP
• vsftpd.conf: هو ملف إعدادات الـ FTP  و هو الذي يحتوي على كل ما نحتاجة لتشغيل الخدمة و كيفية تعاملها مع المستخدمين و مجلداتهم و تصاريحهم.

لندخل ملف الإعدادات الأن ,,,

- نمنع المستخدم anonymous حيث أنه موجود بشكل افتراضي

ابحث عن

anonymous_enable=YES

و اجعلها

anonymous_enable=No

- إن أردت أن تسمح برفع المفات للـ anonymous user  (يجب ألا تقوم بالخطوة السابقة)

افتراضيا فإن هذه المستخدم تحديدا مقيد في المجلد “/var/pub“

ابحث عن

#anon_upload_enable=yes

واجعلها

anon_upload_enable=no

- إن أردت منع رفع الملفات لكافة المستخدمين(لا يخص الـ anonymous)

ابحث عن

write_enable=yes

واجعلها

write_enable=no

هناك الكثير من الإعدادات الأخرى سأضيفها حين توفر الوقت إن شاء الله

الأن احفظ التغيرات و أعد تشغيل الخدمة

#~  إعادة تشغيل الخدمة

#~ إعداد الـ SELinux

#~إضافة مستخدم جديد للنظام

بشكل افتراضي, كل مستخدم على النظام له حساب على FTP server  و بالطبع هذا أمر خطر و يهدد حماية خادمك

يكون مجلد المستخدم  “/home/userName”هو المجلد الإفتراضي له ما لم تقم بتغيّره

- تستطيع أن تمنع هذا المستخدم من الدخول على النظام عن طريق الـ SSH  وتسمح فقط بالـ FTP

الأن سنقوم بتسجيل الدخول بحساب FTP للمستخدم “nosec”  و قبلها سنشغل برنامج الـ Wireshark لنرى ماذا سيحدث!!

أرئيت؟!! اسم المستخدم و كلمة المرور تم التقاطهما بشكل سهل جدا فلو كنت في شبكتك و عملت عملية Sniffing بسيطة جدا على جهازك لعرفت حسابك و كلمة مرورك لأن الملفات تذهب بدون أي تشفير. إذن ما الحل؟

الحل هو أن نعمل شهادات لتشفير الاتصال بين الخادم و العميل و نجبر جميع المستخدمين أن يستخدموا طريقة الاتصال الأمن في برامجهم

#~ إعداد الـ SSL

- إنشاء شهادة للـ FTP  بنوع تشفير قوي و مفتاح طويل

في الأمر السابق أنشأنا مفتاح مدته 365 يوم و نوع تشفير RSA  و طول المفتاح 1024-bit و خزناه في نفس مجلد إعدادات الـ FTP server.

طبعا عند إنشاء شهادة يجب أن تعطي بعض المعلومات ليتم كتابتها في هذه الشهادة  فعند تنفيذ الأمر سيبدأ التالي و هو عبارة عن أسئلة خفيفة يتم الإجابة عليها ولن أقوم بشرحها لأنها واضحة جدا

Generating a 1024 bit RSA private key
………….++++++
…………………………..++++++
writing new private key to ‘/etc/vsftpd/vsftpd.pem’
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [GB]:KS
State or Province Name (full name) [Berkshire]:Kingdom
Locality Name (eg, city) [Newbury]:Riyadh
Organization Name (eg, company) [My Company Ltd]:Forbidden Zone
Organizational Unit Name (eg, section) []:Control Room
Common Name (eg, your name or your server’s hostname) []:forbidden-zone
Email Address []:king-sabrii@hotmail.com

- الأن نفتح ملف إعدادات الـ  FTP  من جديد

ونضع في آخره ما يلي

#–> Allow SSL FTP
ssl_enable=YES
allow_anon_ssl=YES
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/vsftpd/vsftpd.pem

#–> END

ملاحظة: لقد أجبرت المستخدم على استخدام الطريقة الأمنه و إن كنت تريد الأمر اختياريا للمستخدم فغير قيمة السطر  force_local_logins_ssl=YES إلى NO

- الأن أعد تشغيل خدمة الـ FTP  و إن أحببت اجعله يعمل عند بدئ التشغيل

وعندما تدخل ببرنامج العميل سيكون الاختيار كالتالي

رائع!! قبل تسجيل الدخول بشكل آمن نشغل برنامج الـ Wireshark  ثم نراقب المخرجات بعد تجيل الدخول,, و ستكون النتيجة كالتالي..

أعتقد الفرق واضح!!

#~ تحديد مساحة محددة للمستخدم

من الخطأ أن تسمح للمستخدمين برفع ملفاتهم دون تحجيم المساحة المسموح بها لكل مستخدم بناء على ما يلزمه بشكل حقيقي فقد يتسبب هذا بامتلاء المساحة التخزينية دون فائدة

- نضيف اختيار للبارتيشن بأن يسمح بتحديد المساحات (لن تقوم بعمل هذه الخطوة إلا أول مرة فقط)

سأفترض هنا أنك جعلت كل المستخدمين يرفعون ملفاتهم في مجلدهم الرئيسي و ليس على قرص خارجي أو على خادم أخر

نفتح الملف “/etc/fstab”

فسنجده بشكله الافتراضي هكذا

LABEL=/                 /                       ext3    defaults        1 1
tmpfs                   /dev/shm                tmpfs   defaults        0 0
devpts                  /dev/pts                devpts  gid=5,mode=620  0 0
sysfs                   /sys                    sysfs   defaults        0 0
proc                    /proc                   proc    defaults        0 0
LABEL=SWAP-hda2         swap                    swap    defaults        0 0

و نصيف إلى المجلد الجذر بعض الخيارات ليصبح شكل الملف كالتالي(انتبه للون الأحمر)

LABEL=/                 /                       ext3    defaults,usrquota 1 1
tmpfs                   /dev/shm                tmpfs   defaults        0 0
devpts                  /dev/pts                devpts  gid=5,mode=620  0 0
sysfs                   /sys                    sysfs   defaults        0 0
proc                    /proc                   proc    defaults        0 0
LABEL=SWAP-hda2         swap                    swap    defaults        0 0

- نعيد تطبيق ما حدث من سطر الأوامر لكي لا نضطر لإعادة التشغيل حاليا (لن تقوم بعمل هذه الخطوة إلا أول مرة فقط)

- إنشاء قاعدة البيانات و التي سيتم تخزين بيانات المستخدمين فيها لاحقا و اسم الملف “quota.user” (لن تقوم بعمل هذه الخطوة إلا أول مرة فقط)

- تحديد مساحة للمستخدم

يجب أن نشير أن هناك ثلاثة قيم يجب إعطاءها: 1- أقل مساحة. 2- أقصى مساحة. 3- رقم الـ inode. ولن أتعمق في كلها بل يكفي أن تعرف أقصى مساحة تريد أن تسمح بها للمستخدم لكن بالكيلوبايت

كما جعلنا أقصى مساحة يستخدمها المستخدم nosec للمجلد /home هي 500 ميجابايت.

- نشغل خاصية تحديد المساحات

- لعرض جميع المستخدمين مع المساحات المحددة لهم على مجلد معين وهنا هو المجلد الرئيسي لهم

حتى هنا أكون أنهيت بعض ما أريد أن أضعه في الـ FTP server  وللحديث بقية إن شاء الله و أي تحديث سيكون في نفس الموضوع

تحياتي و احترامي

Related posts:

1. How to Nagios server on CentOS 5.4
2. How to AWStats With Squid on CentOS 5.4

#~ مقدمة

كنت من فترة أريد أن أكتب عن هذا الموضوع لكني انشغلت كثيرا بأمور أخرى و قد وجدت وقت صغير لأكتب في هذا الموضوع. ألا وهو ,,

كيف أجعل الـ IPtables يسجل الأحداث في ملف منفصل عن الملف ” /var/log/messages ” ؟

يجب أن نعرف أولا أن الكيرنال يسجل الأحداث بناء على مستوى أهميتها أو تصنيفها بمعنى أصح, حيث هناك 7 تصنيفات كل تصنيف يحتل مستوى خاص به بناء على أهميته و الأهمية تنقص تصاعديا أي الرقم الأكبر هو الأقل أهمية
كالتالي

لمذا نحتاج معرف ما سبق ؟ لأننا في شبكاتنا الكبيرة قد نحتاج أن نصنف سجلات الجدار الناري فمثلا هجمات تخمين كلمات المرور نعطيها “alert”, والبيناتا الذاهبة للشبكة الداخلية مباشرة نعطيها “notic”, والاتصالات الغير آمنة نعطيها التصنيف “crit”. طبعا أنا أقول مثلا للتوضيح

#~ الخطوات

1. أنشئ مجلد خاص بالـ iptables في مجلد الـ Logs

- أنشئ ملفات فارغة للمستويات التي تريدها و تستطيع أن تشئ ملفات لجميع المستويات لكي تستعملها مستقبلا إن أردت

2. نذهب إلى الملف الأساسي المسؤل عن السجلات في النظام

و نضع إعدادات الفايروول بناء على المستويات اللتي نريدها للجدار الناري, وستكون بالشكل التالي

#–> IPtables’s Log Files
kern.LevelName /var/log/iptables/iptables.LevelName

مثال توضيحي

kern.debug /var/log/iptables/iptables.debug

تستطيع أن تضع أكثر من مستوى ولا يشترط الترتيب ولكني أفضله

kern.info /var/log/iptables/iptables.info
kern.error /var/log/iptables/iptables.error
kern.crit /var/log/iptables/iptables.crit
kern.alert /var/log/iptables/iptables.alert

و احفظ الإعدادات و أغلق الملف
- أعد تشغيل الخدمة

هكذا انتهينا من إعداد ملفات الـ Log.
حسناً!! كيف نستطيع أن نسجل الأحداث الأن عن طريق الـ iptables ؟
سيكون شكل القاعدة الأساسي هكذا

طبعا ما يهمنا في الأمر السابق هو
-j LOG –log-level
تستطيع وضع بعدها اسم المستوى أو رقمه و الأسماء و أرقامها ذركناها آنفا
ملاحظة: هذا الأمر تستطيع إدراجه كيفما وافقك ولا يشترط هذا البروتوكول أو أو غيره أيضا لا يشترط أن يكون مع الـ INPUT فقط , لا بل مع ما أردت
مثال

أظنك فهمت المقصد

لو عرضنا مثلا ملف الـ iptables.warning

نجد المخرجات مثل التالي

Sep 26 17:27:50 server1 last message repeated 3 times
Sep 26 17:27:51 server1 kernel: ICMPIN=eth0 OUT= MAC=00:21:5a:51:e6:18:00:0f:b0:c7:f1:6f:08:00 SRC=192.168.40.176 DST=192.168.40.2 LEN=84 TOS=0×00 PREC=0×00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=56334 SEQ=63

ملاحظة: افترضت في شرحي أنك مُلم بسأساسيات الـ iptables

تحياتي و احترامي

Related posts:

1. الاستخدامات المتقدمة للـ IPtables
2. How to Nagios server on CentOS 5.4

الاستخدامات المتقدمة للـ IPtables

مقدمة:

إن الجداري الناري في نظام لينوكس يحتوي العديد من الخيارات و يمتلك المرونة الكافية لأي مدير شبكة يحتاج جدار ناري متكامل و احترافي. في موضوعنا إن شاء الله سنتكلم عن البعض القليل للاستخدامات المتقدمة في الجدار الناري لنظامنا الحبيب, ولا يعني هذا أننا عرفنا ولو 1% من بحر هذا الجدار الناري.

ملاحظة: سأفترض في هذا المقال أنك تعرف أساسيات Iptables جيدا.

سنغطي في هذا الموضوع النقاط التالية:

1- تحديد أكثر من منفذ(port) و التعامل معهم في سطر واحد

2- موازنة الحمل (Load Balancing).

3- تحديد عدد الاتصالات أو الطلبات.

4- الإبقاء على الاتصالات الحالة فقط.

5- مطابقة الاتصالات التي تحتوي على أحمال.

6- تنفيذ قاعدة عند وقت معين.

7- تحديد حصص النقل.

1- تحديد أكثر من منفذ(port) و التعامل معهم في سطر واحد

لنعرف مدى حاجتنا إلى حل مناسب يجب أن نفرض المشكلة, لو أردنا أن نسمح للمنافذ التالية فقط أن تكون مفتوحة (80,22,25,443,21) , فإن القواعد اللتي يجب أن تُكتب هي ..

ما رأيك لو جعلنا الخمس سطور في سطر واحد؟ بإضافة إضافة(module) صغيرة و فعالة.

وهو هذا الـ Module المسمى (multiport) يدعم حتى 15 منفذ في سطر واحد

2- موازنة الحمل (Load Balancing)

تخيل أنك تمتلك أربعة خوادم ويب يعلمون كمرآة لبعضهم(Mirrored Web Server) و تريد توزيع الحمل عليهم بحيث لا يزد الضغط أو الطلب على أحدهم دون الأخر. ستكون اﻵن مخير في أن تجعل توزيع الحمل بطريقة(nth) أو(random) و ما بين الأقواس السابقة ما هي إلا إضافات (modules) سنضيفها للجدار الناري كما فعلنا سابقا و ينشرح فكرة عملة كل طريقة .. لنرى

• توزيع بطريقة nth

إن هذه الإضافة (nth) تحتوي على عدّادات(counter) عددها 16 عدّاد, من (0 إلى 15). مهمتها هي عندما يصل عدد الPKTs إلى العدد المحدد

(في مثالنا كل أربعة حزم (every 4)) فإنه يقوم بتصفير العداد مرة أخرى.في قواعدنا الأربعة السابقة تم استخدام العداد رقم صفر في جمعهم لكي يعدوا كل أربع حزم قادمة. طريقة علمهم: تستقبل أول قاعدة أول حزمة من الأربع حزم , ثم تستقبل القاعدة الثانية ثانية حزمة من الأربعة حزم وهكذا في القاعدة الثالثة و الرابعة. ثم تعود القاعدة الأولى باستقبال أول حزمة من الأربعة حزمة التالية.

• توزيع بطريقة random

هذه الإضافة(random) تقوم بمطابقة الحزمة بالنسبة المئوية قياسا على حجم جميع الحزم المتجهة إلى منفذ معين عن طريق بروتوكول معين (في مثالنا بروتوكول الاتصال TCP و المنفذ 80). طريقة عملهم: تأخذ أول قاعدة نسبة من مجموع الحزم يتضح ذلك هنا (average 25) هنا في مثالنا ستأخذ أول قاعد 25% فقط من مجموع عدد الحزم و سترسل جميع الـ75% المتبقية إلى القاعدة الثانية و لو نظرنا للقاعدة الثانية سنجد أنها ستأخذ أيضا 25% من مجموع عدد الحزم و سترسل بقية 50% إلى القاعدة الثالثة و القاعدة الثالثة ستأخذ 25% أما الرابعة فلم نحدد لها average لكي تأخذ ما تبقى و على العلم أننا نستطيع أن نغير في average كيفما نشاء

نستطيع أن نستخدم هذه الإضافة في غرض آخر ألا و هو اختبار الشبكة و الحمل عليها و قياس حالة البرامج و الأجهزة في الشبكة و اللتي تعتمد في علمها على الشبكة.

3- تحديد/تحجيم عدد الاتصالات أو الطلبات في وقت محدد

هناك إضافتين مسؤولة عن هذه المهمة الأولى “limit” و التي تقوم بتحديد زمن معين لعدد الطلبات المحدد. الإضافة الثانية “iplimit” و التي تقوم بتحديد عدد الاتصالات من عنوان أو شبكة معينه. بمعنى أخر أن نسمح بعدد من الاتصالات في زمن محدد لعنوان محدد . نستفيد من هذه الخاصية في ..

• الحماية من هجمات حجب الخدمة DoS كأن نمنع هجمات إغراق خادم الويب بالطلبات مثلا
• الحماية من هجمات Brute Force و التي تعتمد على تخمين كلمات المرور.

• الحد من الاستهلاك المفرط للإنترنت خلال ساعات العمل.

في القاعدة السابقة, افترضنا أننا نمتلك خادم بروكسي و هو اللذي يقوم بإيصال الإنترنت للموظفين خلال ساعات العمل. نريد أيضا أن نحدد تصفح المواقع , يحتوي خادمنا على كرتين شبكة eth0 موصل بالإنترنت و eth1 موصل بالشبكة المحلية. و في القاعدة السابقة سمحنا للشبكة ب50 اتصال جديد بمواقع الإنترنت في الساعة حيث يظهر هذا هنا (limit 50/hour) و أما في معامل (limit-burst) فهو يقوم بمنع جهاز واحد أن يأخذ كامل الـ 50 اتصال دفعة واحدة و سيتم شرحة بعد قليل.

ملاحظة:

• تستطيع أن تغير الوحدة الزمنية إلى ثانية/sec أو دقيقة/minute أوساعة/hour أو يوم/day ,
• إن لم تضع قيم للموديول limit فإنه سأخذ قيم افتراضية تساوي 3/hour

لو نظرنا في القاعدة السابقة إلى قيمة المعامل (limit-burst) سنجدها تساوي 5.

حسنا ماذا تعني 5 ؟ هل هي زمن أم نسبة أم عدد اتصالات أم ماذا ؟ سأشرح ما سيحدث عند تطبيق القاعدة السابقة

المعامل (limit-burst 5) سيسمح بخمسة حزم جديدة(خمس اتصالات) مرة واحدة.

عند ربط المعالم (limit-burst 5) مع الـموديول (limit 5/hour) فسيخرج لنا وظيفة تربط بين كلاهما و هي أنه سيقوم بقبول خمس اتصالات مرة واحدة

للمزيد من المعلومات نفذ الأمر :

4- الإبقاء على عدد اتصالات محددة فقط

نواجه دوما مشاكل عمل المسح على منافذ الخوادم و قد نجد المسح مركز على منافذ مهمة. و مهمة قواعدنا التالية هي معرفة العناوين التي تقوم بعمل مسح أو محاولات دخول على المنافذ المهمة و تضعها في قائمة مؤقتة ثم نقوم بالتعامل معها في قاعدة تليها مباشرة حيث نستطيع أن نقوم بحظرها أو توجيهها إلى عنوان آخر أو التحكم في الرد عليها بشكل معين.

مثلا عندنا المنفذ 22 الخاص بخدمة الـ SSH و اللذي دوما نعاني من محاولة المسح عليه, لذا لنتعامل مع هذه المشكلة بالشكل التالي.

• نستخدم الإضافة recent لننشئ قائمة مؤقته نحظر فيها كل العناوين التي تقوم بالمسح
• بما أننا سننشى قائمة في ملف فلزاما أن يأخذ هذا الملف اسما. نقوم بإعطاء إسم لهذه القائمة/الملف عن طريق المعامل name فإن لم نعطيها أسم فإنها ستأخذ اسما افتراضية وهو DEFAUL
• بما أننا سننشئ قائمة نضع فيها العناوين إذا يجب أن نتأكد من وجود هذه العنوان مسبقا أم لا لقي لا نضيف عناوين موجدة أصلا و نملأ القائمه بما لا يفيد. و هذا عن طريق المعامل rcheck
• بما أننا قلنا قائمة/ملف مؤقت فإننا يجب أن نحدد وقت لهذا التوقيت حيث ليس من المفترض أن نحظره مطلقا فقد يكون من يحاول الاتصال بالمنفذ مسموح له بالاتصال لكنه نفذ العملية أكثر من مرة بشكل خاطئ عن طريق المعامل

للمزيد من المعلومات نفذ الأمر :

5- مطابقة ومنع/السماح للاتصالات التي تحتوي على امتداد معين

بحكم أن شبكات الشركات و المنظمات تحتوي على أنظمة متعددة بناء على متطلباتها, فإنه لزاما علينا تحديد نوع الملفات المسموح بها من الإنتر خاصة و إن كانت شبكة تحتوي على نظام تشغيل Microsoft Windows فهو مستهدف و بكثرة من الفيروسات و الديدان و لهذا من الأفضل منع تحميل الملفات التنفيذية بأي شكل من الأشكال إلا إذا دعت الضرورة لذلك و يكون تحت إشراف/مراقبة مدير الشبكة

عيب تلك القواعد السابقة أنها تقوم بمطابقة القاعدة على شكل“string” أي أنه لا يفهم طبيعة المحتوى فإذا قمت بتحميل برنامج فإنه سيقوم بمنع التحميل. و إذا احتوى بريد إلكتروني على كلمة exe أو bat فإنه سيتم منعه ,, قس على ذلك كل البيانات الخارجة و الداخلة.

للمزيد من المعلومات نفذ الأمر :

6- تنفيذ قواعد عند وقت محدد

نستطيع تطبيق قاعدة أو عدة قواعد في زمن معين في يوم معين أو في يوم معين في أسبوع معين. و هذا مفيد لتحديد وقت استخدام الإنترنت للشركات أو لمنع استخدام خدمات معينه في أوقات معينه مثل البريد و خلافه. أيضا يفيد في إيقاف الخدمات لوقت معين يحتاجه مدير الشبكة للقيام بصيانة الشبكة و أخذ نسخ احتياطي أو لوجود ثغرة أمنية في الشبكة و يتم حلها في وقت معين .. إلخ.

تستخدم الساعات بشكل 24-ساعة أي أنك لو أردت إغلاق الخدمة الساعة الثانية و النصف بعد الظهر فإن التوقيت سيكون 14:30 و يفصل بين الساعات و الدقائق نقطتان فوق بعضهما.

تستخدم الأيام الأسبوع باختصارات و هي حساسة لحالة الحروف و تكتب كالتالي : Sat, Sun, Mon, Tue, Wed, Thu, Fri

تستخدم أيام الشهور بنفس الطريقة.

للمزيد من المعلومات نفذ الأمر :

7- تحديد حصص النقل

تحديد حجم نقل و تحميل البيانات أمر مفيد جدا و يستخدما جليا عند شركات توزيع الإنترنت في الاشتراكات محدودة التحميل. فإذا أردت أن تقوم بتحديد حجم تحميل معين للشبكة و لنفرض على سبيل المثال أنك تريد أن تحدد حجم التحميل و يكون 4GB, و لكن في هذه الإضافة لا يقبل إلا قيمة بوحدة الـ Byte عندها ستكون معادلتنا كالتالي

2³⁰ × 4 = 4294967296

عيب هذه الطريقة أنك لا تستطيع إضافة وقت محدد لكي تقوم القاعدة بتصفير عدادها اللذي امتلاء. و لكن الطرق المقترحة. إما أن تقوم بمسح القاعدة يدويا و كتابتها مرة أخرى . أو تقوم بعمل إعادة تشغيل restart للـ iptables . أو أن تضع القاعدة في Cron Job .

إن شاء الله إن وجدت أشياء جديدة و جميلة سأضعها, وإن كنت تعرف أخي القارئ بعض المهارات المفيدة تستطيع أن تضعها و عندها سأتشرف بإضافتها للموضوع

تحياتي و احترامي

Related posts:

1. How to make IPtables log to a Separate log file
2. Firewall Fundamentals
3. أريد أن أتخصص في حماية الشبكات و الأنظمة, فما هي الخطوات؟