دانلود کتاب آموزشی کانفیگ ایمونیفای 360 | Immunify360 جلد دوم

[cdb_course_lessons title=”بخش 6. مدیریت فایل‌ها و پوشه‌ها”][cdb_course_lesson title=”فصل 1. بررسی مجوزهای فایل‌ها و پوشه‌ها”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه مشاهده و بررسی سطح دسترسی فایل‌ها در لینوکس” subtitle=”توضیحات کامل”]در این بخش به صورت جامع، کاربردی و همراه با مثال‌های عملی، به نحوه تغییر دسترسی فایل‌ها و پوشه‌ها در لینوکس با استفاده از دستورات chmod و chown می‌پردازیم. این دو ابزار پایه‌ای برای مدیریت دسترسی‌ها و مالکیت فایل‌ها در لینوکس محسوب می‌شوند.

---

ساختار کلی سطوح دسترسی در لینوکس

در لینوکس، هر فایل یا دایرکتوری دارای سه نوع کاربر است:

• مالک (Owner)
• گروه (Group)
• دیگران (Others)

و هر نوع کاربر می‌تواند دارای سه سطح دسترسی باشد:

• خواندن (r)
• نوشتن (w)
• اجرا (x)

---

مشاهده سطوح دسترسی و مالکیت فایل

مسیر فایل نمونه:

/home/user/myfile.txt

مشاهده با دستور ls:

ls -l /home/user/myfile.txt

خروجی نمونه:

-rw-r--r-- 1 user user 512 Apr  6 14:00 myfile.txt

توضیح:

• rw- : مالک می‌تواند بخواند و بنویسد.
• r-- : گروه فقط می‌تواند بخواند.
• r-- : دیگران فقط می‌توانند بخوانند.

---

تغییر دسترسی با دستور chmod

مسیر فایل:

/home/user/secret.txt

اعطای دسترسی فقط به مالک (خواندن و نوشتن):

chmod 600 /home/user/secret.txt

اعطای دسترسی کامل به مالک، خواندن به گروه و هیچ دسترسی به دیگران:

chmod 740 /home/user/secret.txt

اعطای دسترسی اجرای یک اسکریپت برای همه:

chmod +x /home/user/myscript.sh

---

استفاده از chmod به‌صورت نمادین (symbolic)

chmod u=rwx,g=rx,o= /home/user/myscript.sh

توضیح:

• u: مالک
• g: گروه
• o: دیگران
• =: تعیین دسترسی دقیق
• +: افزودن دسترسی
• -: حذف دسترسی

مثال دیگر:

chmod o-r /home/user/public.txt

حذف مجوز خواندن از دیگران

---

تغییر مالکیت فایل با دستور chown

مسیر فایل:

/home/user/myfile.txt

تغییر مالک به کاربر admin:

chown admin /home/user/myfile.txt

تغییر مالک و گروه به admin و devs:

chown admin:devs /home/user/myfile.txt

---

تغییر دسترسی به‌صورت بازگشتی (Recursive)

برای تغییر دسترسی یا مالکیت کل یک پوشه و زیرمجموعه‌های آن:

مسیر پوشه:

/var/www/html

با chmod:

chmod -R 755 /var/www/html

با chown:

chown -R www-data:www-data /var/www/html

---

تنظیم دقیق دسترسی‌ها برای دایرکتوری‌ها و فایل‌ها به صورت جداگانه

برای پوشه‌ها بهتر است از 755 استفاده شود، و برای فایل‌ها 644.

مسیر دایرکتوری هدف:

/var/www/project

تنظیم فایل‌ها:

find /var/www/project -type f -exec chmod 644 {} \;

تنظیم دایرکتوری‌ها:

find /var/www/project -type d -exec chmod 755 {} \;

---

نمایش خلاصه وضعیت دسترسی‌ها با stat

stat /home/user/secret.txt

خروجی نمونه:

  File: secret.txt
  Size: 2048       Blocks: 8          IO Block: 4096   regular file
Device: 802h/2050d Inode: 432144      Links: 1
Access: 2025-04-06 14:45:22.000000000 +0000
Modify: 2025-04-06 14:43:12.000000000 +0000
Change: 2025-04-06 14:44:01.000000000 +0000
 Birth: -
Access: 0600/(-rw-------)  Uid: ( 1000/   user)   Gid: ( 1000/   user)

---

اسکریپت ساده برای اعمال تنظیمات امن روی فایل‌ها

#!/bin/bash

target="/home/user/secret.txt"

chmod 600 "$target"
chown user:user "$target"

echo "دسترسی فایل به حالت امن تنظیم شد."

---

جمع‌بندی

در این بخش با نحوه تغییر دسترسی و مالکیت فایل‌ها و پوشه‌ها با استفاده از دستورات chmod و chown آشنا شدیم. یاد گرفتیم چگونه با روش‌های عددی و نمادین، مجوزهای فایل‌ها را تنظیم کنیم، مالکیت آن‌ها را تغییر دهیم، و حتی به‌صورت بازگشتی بر روی دایرکتوری‌ها اعمال کنیم. رعایت دقیق سطوح دسترسی، نقش کلیدی در امنیت فایل‌ها دارد. پیشنهاد می‌شود این تنظیمات در اسکریپت‌های مانیتورینگ و خودکارسازی نیز لحاظ شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تعیین سطح دسترسی امن برای فایل‌های حساس (مانند config.php)” subtitle=”توضیحات کامل”]در این بخش به بررسی کامل، کاربردی و دقیق تعیین سطح دسترسی امن برای فایل‌های حساس مانند config.php می‌پردازیم. این فایل‌ها معمولاً شامل اطلاعات حیاتی مثل رمزهای عبور پایگاه داده، کلیدهای API، توکن‌ها و پیکربندی‌های امنیتی هستند، بنابراین رعایت سطح دسترسی صحیح برای آن‌ها کاملاً حیاتی است.

---

اهمیت تعیین سطح دسترسی امن برای فایل‌های حساس

فایلی مانند config.php در سیستم‌های مدیریت محتوا (مثل وردپرس، جوملا، دروپال) یا اپلیکیشن‌های سفارشی معمولاً شامل اطلاعاتی مانند موارد زیر است:

• نام کاربری و رمز عبور پایگاه داده
• کلیدهای رمزنگاری
• پیکربندی اتصال به سرویس‌های خارجی

اگر این فایل‌ها به‌صورت نادرست قابل خواندن یا نوشتن توسط دیگران باشند، کل سیستم در معرض حمله قرار می‌گیرد.

---

بررسی سطح دسترسی فعلی فایل

مسیر فایل:

/var/www/html/config.php

مشاهده دسترسی و مالکیت:

ls -l /var/www/html/config.php

خروجی نمونه:

-rw-r--r-- 1 www-data www-data 2345 Apr 6 14:15 config.php

---

تنظیم سطح دسترسی امن برای فایل config.php

مسیر فایل:

/var/www/html/config.php

تنظیم سطح دسترسی فقط برای خواندن و نوشتن توسط مالک:

chmod 600 /var/www/html/config.php

توضیح:

• 6 برای مالک (read + write)
• 0 برای گروه
• 0 برای دیگران

اگر فایل فقط باید خوانده شود (برای مثال فقط حاوی تنظیمات است):

chmod 400 /var/www/html/config.php

---

تغییر مالکیت فایل برای سرویس‌دهنده وب (مثلاً Apache یا Nginx)

اگر اپلیکیشن وب باید بتواند فایل را بخواند، باید مالک یا گروه فایل همان کاربری باشد که سرویس وب با آن اجرا می‌شود.

کاربر پیش‌فرض برای Apache در دبیان/اوبونتو:

chown www-data:www-data /var/www/html/config.php

در RHEL/CentOS:

chown apache:apache /var/www/html/config.php

---

جلوگیری از نمایش فایل config.php از طریق مرورگر

مسیر فایل تنظیمات:

/etc/apache2/apache2.conf
یا
/etc/httpd/conf/httpd.conf

یا تنظیمات مجزا در فایل VirtualHost:

/etc/apache2/sites-available/000-default.conf

اضافه کردن یا اطمینان از وجود این دستور در بخش <Directory>:

<Files "config.php">
    Require all denied
</Files>

در صورت استفاده از .htaccess در پوشه /var/www/html:

nano /var/www/html/.htaccess

و افزودن:

<Files "config.php">
    Order allow,deny
    Deny from all
</Files>

---

بررسی مجدد بعد از تغییر سطح دسترسی

ls -l /var/www/html/config.php

خروجی مطلوب:

-rw------- 1 www-data www-data 2345 Apr 6 14:15 config.php

یا فقط خواندنی:

-r-------- 1 www-data www-data 2345 Apr 6 14:15 config.php

---

اسکریپت خودکار برای اعمال سطح دسترسی امن روی فایل‌های حساس

#!/bin/bash

CONFIG_FILE="/var/www/html/config.php"

chown www-data:www-data "$CONFIG_FILE"
chmod 600 "$CONFIG_FILE"

echo "دسترسی امن روی $CONFIG_FILE اعمال شد."

---

جلوگیری از کشف فایل با تنظیمات Nginx

مسیر فایل تنظیمات Virtual Host:

/etc/nginx/sites-available/default

افزودن بخش زیر در بلاک مربوط به server:

location ~* ^/config\.php$ {
    deny all;
    return 404;
}

سپس ری‌لود سرویس:

systemctl reload nginx

---

جمع‌بندی

در این بخش به‌صورت دقیق یاد گرفتیم چگونه با تنظیم سطوح دسترسی 600 یا 400 و تغییر مالکیت فایل به کاربر سرویس‌دهنده وب، از فایل‌های حساس مانند config.php محافظت کنیم. همچنین برای افزایش امنیت بیشتر، از دسترسی به این فایل از طریق مرورگر جلوگیری کردیم، چه در Apache و چه در Nginx. رعایت این نکات به‌صورت خودکار یا دستی می‌تواند از نشت اطلاعات حیاتی جلوگیری کند و نقش مهمی در افزایش امنیت برنامه‌های تحت وب داشته باشد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تغییر دسترسی فایل‌ها و پوشه‌ها با استفاده از chmod و chown” subtitle=”توضیحات کامل”]در این بخش به آموزش کامل، دقیق و کاربردی تغییر دسترسی فایل‌ها و پوشه‌ها با استفاده از دستورهای chmod و chown در لینوکس می‌پردازیم. این دو ابزار کلیدی‌ترین روش‌ها برای مدیریت دسترسی به فایل‌ها و دایرکتوری‌ها هستند و دانستن نحوه صحیح استفاده از آن‌ها برای حفظ امنیت و عملکرد صحیح سیستم حیاتی است.

---

بررسی اولیه سطح دسترسی و مالکیت فایل یا پوشه

برای مشاهده سطح دسترسی فعلی و مالکیت فایل یا دایرکتوری از دستور زیر استفاده می‌کنیم:

ls -l /مسیر/فایل/یا/پوشه

نمونه خروجی:

-rw-r--r-- 1 ali users 1024 Apr 6 13:40 example.txt

در این خروجی:

• -rw-r--r--: سطح دسترسی (permissions)
• ali: مالک فایل (user)
• users: گروه مالک فایل (group)

---

مفهوم سطوح دسترسی در لینوکس

فرمت دسترسی در لینوکس به سه بخش تقسیم می‌شود:

[مالک] [گروه] [دیگران]
r (خواندن)
w (نوشتن)
x (اجرا)

مثلاً:

• rw-r--r-- یعنی مالک می‌تواند بخواند و بنویسد، گروه و سایر کاربران فقط می‌توانند بخوانند.

---

تغییر سطح دسترسی با استفاده از chmod

مسیر فایل:

/home/user/example.txt

فقط اجازه خواندن و نوشتن به مالک:

chmod 600 /home/user/example.txt

اجازه خواندن، نوشتن و اجرا به مالک و گروه:

chmod 770 /home/user/example.txt

مجاز کردن همه برای خواندن فایل:

chmod 644 /home/user/example.txt

---

استفاده از حالت نمادین (Symbolic Mode)

مجاز کردن اجرای فایل برای همه:

chmod +x /home/user/script.sh

حذف مجوز نوشتن برای دیگران:

chmod o-w /home/user/data.txt

مجاز کردن نوشتن برای گروه:

chmod g+w /home/user/data.txt

---

تنظیم سطح دسترسی پوشه‌ها (با اجرای در سطح بازگشتی)

مسیر پوشه:

/var/www/project

مجاز کردن فقط اجرای پوشه برای وارد شدن به آن:

chmod 711 /var/www/project

تنظیم بازگشتی برای تمام فایل‌ها و پوشه‌ها:

chmod -R 755 /var/www/project

---

تغییر مالکیت فایل و پوشه با دستور chown

مسیر فایل:

/home/user/config.ini

تغییر مالک به nginx:

chown nginx /home/user/config.ini

تغییر مالک و گروه همزمان:

chown nginx:nginx /home/user/config.ini

---

تغییر مالکیت پوشه به‌صورت بازگشتی

مسیر پوشه:

/var/www/project

تغییر مالکیت کل پوشه و فایل‌های درون آن:

chown -R www-data:www-data /var/www/project

---

نمونه سناریو عملی

تنظیم دسترسی صحیح برای پوشه وب‌سایت:

مسیر:

/var/www/html/mysite

دستورات:

chown -R www-data:www-data /var/www/html/mysite
find /var/www/html/mysite -type d -exec chmod 755 {} \;
find /var/www/html/mysite -type f -exec chmod 644 {} \;

توضیح:

• تمام دایرکتوری‌ها سطح دسترسی 755 دارند.
• تمام فایل‌ها سطح دسترسی 644 دارند.

---

بررسی سریع دسترسی با استفاده از stat

stat /home/user/example.txt

خروجی نمونه:

Access: 2025-04-06 14:40:00.000000000 +0000
Modify: 2025-04-06 14:38:00.000000000 +0000
Change: 2025-04-06 14:39:00.000000000 +0000
Permissions: 0644 (-rw-r--r--)
UID: (1000/ali)   GID: (1000/ali)

---

استفاده از اسکریپت ساده برای تعیین دسترسی امن به‌صورت خودکار

#!/bin/bash

TARGET="/var/www/html/app"
chown -R www-data:www-data "$TARGET"
find "$TARGET" -type d -exec chmod 755 {} \;
find "$TARGET" -type f -exec chmod 644 {} \;

echo "سطح دسترسی و مالکیت با موفقیت تنظیم شد."

---

جمع‌بندی

در این بخش به‌صورت کامل با ابزارهای chmod و chown برای تغییر دسترسی فایل‌ها و پوشه‌ها آشنا شدیم. یاد گرفتیم چگونه با استفاده از حالت عددی و نمادین، مجوزهای مختلف را تعیین کنیم و مالکیت را به کاربر یا گروه دلخواه تغییر دهیم. همچنین به روش‌های بازگشتی برای تنظیم کل دایرکتوری‌ها و اسکریپت‌نویسی برای خودکارسازی این فرایندها پرداختیم.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”استفاده از Immunify360 برای بررسی و اصلاح مجوزهای نادرست” subtitle=”توضیحات کامل”]در این بخش به‌صورت جامع، کاربردی و همراه با مثال‌های عملی به بررسی نحوه استفاده از Imunify360 برای شناسایی و اصلاح مجوزهای نادرست فایل‌ها و دایرکتوری‌ها در سرورهای لینوکسی می‌پردازیم. این ابزار یکی از بهترین راه‌حل‌های امنیتی برای محافظت از سرورهای هاستینگ مبتنی بر cPanel، DirectAdmin و سایر کنترل‌پنل‌ها است.

---

معرفی اجمالی Imunify360

Imunify360 یک راهکار امنیتی جامع برای سرورهای لینوکسی است که امکانات زیر را فراهم می‌کند:

• اسکن مداوم بدافزار
• دیواره آتش (WAF)
• محافظت در برابر brute-force
• کنترل مجوزهای ناامن فایل‌ها
• بررسی یکپارچگی فایل‌های سیستمی و وب‌سایت‌ها

در این بخش ما بر ویژگی File Permissions Focus می‌کنیم، که به‌طور خودکار فایل‌هایی که دارای مجوزهای خطرناک هستند را شناسایی و در صورت نیاز اصلاح می‌کند.

---

بررسی گرافیکی مجوزهای نادرست در Imunify360

مسیر گرافیکی (برای cPanel یا WHM):

1. وارد WHM شوید.
2. از منوی سمت چپ گزینه Plugins > Imunify360 را انتخاب کنید.
3. وارد تب Incidents شوید.
4. در تب Incidents، اگر فایل یا دایرکتوری دارای مجوزهای ناامن باشد، هشدارهایی از نوع permission مشاهده خواهید کرد.
5. برای هر فایل گزینه‌ای برای Fix وجود دارد که با کلیک روی آن، Imunify360 مجوز فایل را به سطح امن پیشنهاد‌شده تغییر می‌دهد.

---

بررسی و اصلاح مجوزها از طریق خط فرمان (CLI)

اگر به محیط SSH یا ترمینال سرور دسترسی دارید، می‌توانید از دستورات CLI زیر استفاده کنید.

مشاهده مجوزهای نادرست با استفاده از CLI:

imunify360-agent incidents list --type permission

خروجی نمونه:

ID     | TYPE       | PATH                             | PERMISSIONS
------ | ---------- | -------------------------------- | -----------
12345  | permission | /home/user/public_html/config.php | 777

---

اصلاح مجوز نادرست برای یک فایل خاص:

imunify360-agent incidents fix --incident 12345

یا اگر مسیر فایل را می‌دانید:

imunify360-agent secure-file --path /home/user/public_html/config.php

---

اسکن همه فایل‌های دارای مجوز ناامن:

imunify360-agent scan all

سپس برای لیست موارد پیدا‌شده:

imunify360-agent incidents list --type permission

---

اصلاح همه فایل‌های دارای مجوز ناامن:

برای اعمال اصلاحات روی تمام فایل‌هایی که دارای permission ناامن هستند:

imunify360-agent incidents fix --type permission

این دستور به‌طور خودکار مجوز فایل‌ها را به سطوح پیشنهادی امن مانند 600 برای فایل‌های تنظیمات، 644 برای فایل‌های عمومی، و 755 برای دایرکتوری‌ها تنظیم می‌کند.

---

تنظیم خودکار اصلاح مجوزها

Imunify360 این امکان را فراهم کرده که به‌صورت خودکار بعد از شناسایی مجوزهای خطرناک، آن‌ها را اصلاح کند.

مسیر فایل تنظیمات (در سیستم‌های CentOS/CloudLinux):

/etc/sysconfig/imunify360/imunify360.config

فعال کردن اصلاح خودکار:

ابتدا فایل را ویرایش کنید:

nano /etc/sysconfig/imunify360/imunify360.config

سپس مقدار زیر را تنظیم کنید:

AUTO_FIX_INSECURE_PERMISSIONS = true

سرویس را مجدداً راه‌اندازی کنید:

systemctl restart imunify360

---

گزارش‌گیری از فعالیت‌های اصلاحی

برای بررسی اینکه چه فایل‌هایی اصلاح شده‌اند:

imunify360-agent incidents list --type permission --status fixed

یا برای خروجی گزارش در قالب JSON:

imunify360-agent incidents list --type permission --output json

---

جمع‌بندی

در این بخش به‌صورت کامل نحوه استفاده از Imunify360 برای شناسایی، گزارش‌گیری و اصلاح خودکار و دستی مجوزهای خطرناک فایل‌ها و دایرکتوری‌ها را بررسی کردیم. یاد گرفتیم که هم به‌صورت گرافیکی از طریق WHM و هم از طریق خط فرمان می‌توان این مجوزها را مدیریت و به سطوح امن تغییر داد. همچنین تنظیم خودکار برای اصلاح مجوزها و بررسی گزارش‌ها نیز انجام شد.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 2. شناسایی و حذف فایل‌های آلوده”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”اسکن دستی فایل‌ها برای شناسایی بدافزارها” subtitle=”توضیحات کامل”]در این بخش به‌صورت جامع، کاربردی و همراه با مثال‌های عملی به اسکن دستی فایل‌ها برای شناسایی بدافزارها در سرورهای لینوکسی می‌پردازیم. این روش‌ها مخصوصاً زمانی مفید هستند که بخواهیم بدون اتکا به ابزارهای گرافیکی یا به‌صورت دقیق‌تری فایل‌های مشکوک را بررسی کنیم.

---

روش‌های متداول برای اسکن دستی فایل‌ها در لینوکس

اسکن دستی معمولاً شامل بررسی فایل‌ها با استفاده از ابزارهای زیر است:

• استفاده از ابزار clamscan یا clamdscan از مجموعه ClamAV
• بررسی امضاها و کدهای مشکوک با grep
• استفاده از find برای شناسایی فایل‌های با الگوهای خاص (مثلاً مجوزهای نادرست، پسوندهای مشکوک)
• ترکیب این ابزارها برای یافتن الگوهای بدافزار یا اسکریپت‌های ناشناس

---

نصب ClamAV در لینوکس

قبل از شروع، مطمئن شوید که ClamAV نصب شده است. در سیستم‌های مختلف، دستور نصب به شکل زیر است:

# برای Debian/Ubuntu
apt install clamav clamav-daemon -y

# برای RHEL/CentOS/AlmaLinux
yum install epel-release -y
yum install clamav clamav-update -y

---

بروزرسانی دیتابیس آنتی‌ویروس ClamAV

قبل از اسکن، باید دیتابیس ویروس‌ها را به‌روز کنید:

freshclam

اگر سرویس clamd در حال اجراست، از این دستور برای بروزرسانی استفاده کنید:

systemctl restart clamd

---

اسکن دستی با clamscan

اسکن کل سیستم:

clamscan -r --bell -i /

اسکن دایرکتوری خاص (مثلاً /var/www/html):

clamscan -r --bell -i /var/www/html

توضیح گزینه‌ها:

• -r: اسکن بازگشتی در زیرشاخه‌ها
• --bell: در پایان اسکن صدای هشدار ایجاد می‌کند (در ترمینال)
• -i: فقط فایل‌های آلوده را نشان می‌دهد

---

ثبت گزارش اسکن در فایل خروجی

برای ثبت خروجی در فایل گزارش:

clamscan -r -i /var/www/html > /var/log/clamav/manual_scan.log

مسیر فایل خروجی:

/var/log/clamav/manual_scan.log

---

اسکن سریع فایل‌های خاص با پسوندهای مشکوک

find /var/www/html -type f \( -iname "*.php" -o -iname "*.js" -o -iname "*.txt" \) \
  -exec clamscan -i {} \;

---

اسکن با clamdscan (در صورت فعال بودن daemon)

clamdscan --fdpass --multiscan /var/www/html

---

بررسی دستی امضاهای مشکوک با grep

جستجوی توابع رمزگذاری‌شده:

grep -Ri --include="*.php" "base64_decode" /var/www/html

جستجوی کدهای مشکوک eval یا shell_exec:

grep -RiE "eval|shell_exec|system|passthru" /var/www/html

---

اسکن فایل‌های آپلودی اخیر (مثلاً در 24 ساعت گذشته)

find /var/www/html -type f -ctime -1 -exec clamscan -i {} \;

---

مسدودسازی سریع دسترسی به فایل مشکوک

اگر فایلی را آلوده تشخیص دادید، می‌توانید فوراً سطح دسترسی آن را ببندید:

chmod 000 /var/www/html/path/to/suspicious.php

---

جمع‌بندی

در این بخش با روش‌های دستی برای اسکن فایل‌ها در لینوکس آشنا شدیم. استفاده از ClamAV و ابزارهایی مانند grep و find به ما کمک می‌کند تا اسکریپت‌ها یا فایل‌های مشکوک را شناسایی کرده و اقدام‌های لازم را انجام دهیم. همچنین روش ثبت گزارش، اسکن فایل‌های اخیر، اسکن بر اساس پسوندها و بستن سریع دسترسی فایل‌های آلوده نیز پوشش داده شد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”استفاده از Immunify360 Malware Scanner برای اسکن خودکار” subtitle=”توضیحات کامل”]در این بخش به بررسی جامع و عملی استفاده از Imunify360 Malware Scanner برای اسکن خودکار فایل‌ها در محیط سرور لینوکسی می‌پردازیم. این ابزار یکی از قدرتمندترین راهکارهای امنیتی برای محافظت از هاستینگ‌های اشتراکی و سرورهای لینوکس در برابر بدافزارها، حملات Zero-day، فایل‌های مشکوک و تغییرات غیرمجاز است.

---

معرفی Imunify360 Malware Scanner

ماژول Malware Scanner بخشی از بسته امنیتی Imunify360 است که وظیفه اسکن فایل‌های سیستم فایل و سایت‌ها را بر عهده دارد. این ماژول از هوش مصنوعی، Signature-based detection، و رفتارشناسی برای شناسایی تهدیدات استفاده می‌کند و به‌صورت خودکار فایل‌های آلوده را قرنطینه، حذف یا بازنویسی می‌کند.

---

نصب Imunify360 (در صورت عدم نصب)

برای سرورهایی که از cPanel، DirectAdmin یا Plesk استفاده می‌کنند:

wget https://repo.imunify360.cloudlinux.com/defence360/i360deploy.sh
bash i360deploy.sh

پس از نصب، سرویس Imunify360 به‌صورت خودکار فعال خواهد شد.

---

مسیر فایل کانفیگ اسکنر

فایل پیکربندی اسکنر در مسیر زیر قرار دارد:

/etc/sysconfig/imunify360/malware.config

در این فایل می‌توانید رفتار اسکن خودکار را کنترل کنید (مثلاً قرنطینه خودکار یا فقط هشدار).

---

تنظیمات اسکن خودکار در فایل کانفیگ

برای فعال‌سازی یا غیرفعال‌سازی حذف خودکار فایل‌های آلوده، می‌توانید مقدار زیر را تغییر دهید:

AUTO_CLEAN = true

برای فعال‌سازی اسکن دایرکتوری‌های خاص:

SCAN_PATHS = ["/home", "/var/www/html"]

پس از هر تغییر، سرویس را ریستارت کنید:

systemctl restart imunify360

---

اجرای اسکن دستی با CLI

برای اجرای دستی Malware Scanner:

imunify360-agent malware scan all

اسکن فقط یک دایرکتوری خاص:

imunify360-agent malware scan custom /var/www/html

---

مشاهده وضعیت اسکن و گزارش‌ها

برای مشاهده لیست فایل‌های آلوده:

imunify360-agent malware malicious list

برای دیدن جزئیات یک فایل خاص:

imunify360-agent malware malicious view --file /path/to/file.php

برای حذف فایل آلوده:

imunify360-agent malware delete --file /path/to/file.php

برای قرنطینه فایل:

imunify360-agent malware quarantine --file /path/to/file.php

---

بازیابی فایل از قرنطینه

در صورتی که فایل به اشتباه قرنطینه شده باشد، می‌توانید آن را بازیابی کنید:

imunify360-agent malware restore --file /path/to/file.php

---

اسکن خودکار روزانه

Imunify360 به‌صورت پیش‌فرض اسکن روزانه انجام می‌دهد. برای اطمینان از فعال بودن اسکن خودکار:

imunify360-agent config show | grep AUTO_SCAN

برای فعال‌سازی اگر غیرفعال بود:

imunify360-agent config update '{"MALWARE_SCANNING": {"auto_scan": true}}'

---

مشاهده گزارش‌ها در مسیر لاگ‌ها

مسیر لاگ‌های اسکن:

/var/log/imunify360/scanlog.json

یا:

/var/log/imunify360/malware-actions.log

---

رابط گرافیکی در پنل‌های مدیریت

در پنل‌هایی مانند cPanel یا Plesk، تب اختصاصی Imunify360 وجود دارد که در آن می‌توانید:

• لیست فایل‌های آلوده را ببینید
• فایل‌ها را قرنطینه یا بازیابی کنید
• گزارش اسکن را بررسی کنید
• اسکن دستی انجام دهید

---

جمع‌بندی

در این بخش با استفاده از Imunify360 Malware Scanner برای اسکن خودکار و دستی آشنا شدیم. از نصب و پیکربندی گرفته تا اجرای اسکن CLI و گرافیکی، قرنطینه فایل‌ها، مدیریت گزارش‌ها و بازیابی فایل‌های حذف‌شده، تمامی مراحل به‌صورت دقیق و کاربردی بررسی شد. این ابزار یکی از ضروری‌ترین بخش‌های امنیت سرورهای هاستینگ محسوب می‌شود و به‌طور ویژه برای سرورهای دارای چندین دامنه توصیه می‌شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی هشدارهای بدافزار و روش‌های حذف یا قرنطینه فایل‌های آلوده” subtitle=”توضیحات کامل”]در این بخش به‌صورت جامع و دقیق به بررسی هشدارهای بدافزار (Malware Alerts) و روش‌های حذف یا قرنطینه فایل‌های آلوده در سرورهای لینوکسی با استفاده از ابزارهایی مانند Imunify360، ClamAV و روش‌های دستی می‌پردازیم. این مرحله یکی از مهم‌ترین فرآیندهای امنیتی برای مدیریت تهدیدات و جلوگیری از آسیب به سایت‌ها و سیستم است.

---

انواع هشدارهای بدافزار

ابزارهای امنیتی معمولاً هشدارهای مختلفی بر اساس نوع تهدید، رفتار فایل یا الگوهای شناخته‌شده صادر می‌کنند. این هشدارها معمولاً شامل موارد زیر هستند:

• Suspicious File Detected: فایل مشکوک با ساختار غیرعادی.
• Known Malware Signature: فایل آلوده بر اساس پایگاه‌داده تشخیص داده شده.
• PHP Obfuscation: استفاده از کدهای رمزگذاری‌شده یا نامتعارف در PHP.
• Backdoor Detected: شناسایی فایل‌هایی که امکان دسترسی غیرمجاز به سیستم را فراهم می‌کنند.
• Trojan/Webshell: ابزارهایی برای کنترل سیستم توسط مهاجم.

---

مشاهده هشدارها در Imunify360

1. مشاهده لیست فایل‌های آلوده:

imunify360-agent malware malicious list

2. مشاهده جزئیات هشدار خاص:

imunify360-agent malware malicious view --file /path/to/file.php

---

روش‌های حذف یا قرنطینه فایل‌های آلوده با CLI

قرنطینه فایل:

imunify360-agent malware quarantine --file /path/to/file.php

حذف فایل آلوده:

imunify360-agent malware delete --file /path/to/file.php

بازیابی فایل از قرنطینه (در صورت قرنطینه اشتباهی):

imunify360-agent malware restore --file /path/to/file.php

---

گزارش‌های قرنطینه

مسیر گزارش‌های مربوط به قرنطینه و حذف فایل‌ها در Imunify360:

/var/log/imunify360/malware-actions.log
/var/log/imunify360/scanlog.json

در این فایل‌ها می‌توانید فایل‌های مشکوک، عملیات انجام‌شده و تاریخچه اقدامات را بررسی کنید.

---

بررسی هشدارها و حذف بدافزار با ClamAV (در سیستم‌های بدون Imunify360)

نصب ClamAV:

apt install clamav -y        # در Debian/Ubuntu
yum install clamav -y        # در CentOS/RHEL

به‌روزرسانی پایگاه داده:

freshclam

اسکن مسیر خاص:

clamscan -r /var/www/html

اسکن با حذف فایل‌های آلوده:

clamscan -r --remove /var/www/html

---

اسکن فایل مشکوک خاص با ClamAV

clamscan /home/user/public_html/index.php

---

شناسایی دستی فایل‌های مشکوک (برای بررسی بدون ابزار)

برای بررسی فایل‌هایی که اخیراً تغییر کرده‌اند:

find /var/www -type f -mtime -1

برای یافتن فایل‌هایی با توابع خطرناک PHP (مثل eval, base64_decode, shell_exec):

grep -R --include=*.php "eval(" /var/www

---

رابط گرافیکی Imunify360 برای مدیریت هشدارها

در پنل‌هایی مانند cPanel، DirectAdmin یا Plesk که Imunify360 نصب است، از طریق تب مخصوص Malware:

• هشدارها و تاریخچه اسکن را مشاهده می‌کنید.
• فایل‌ها را قرنطینه، بازیابی یا حذف می‌کنید.
• گزینه‌های “Auto Cleanup” یا “Notify Only” را فعال یا غیرفعال می‌کنید.

---

جلوگیری از قرنطینه خودکار فایل‌های خاص

در صورتی که بخواهید فایل خاصی از قرنطینه خودکار مستثنا شود، آن را در فایل زیر اضافه کنید:

/etc/imunify360/ignore/malware.ignore

فرمت:

/home/user/public_html/my-custom-script.php

---

جمع‌بندی

در این بخش یاد گرفتیم چگونه هشدارهای بدافزار را بررسی و تحلیل کنیم، فایل‌های آلوده را با استفاده از Imunify360 یا ClamAV قرنطینه یا حذف کنیم، فایل‌های اشتباهی را بازیابی کنیم، و گزارش‌های اسکن و لاگ‌ها را برای پیگیری دقیق بررسی کنیم. توانایی مدیریت مؤثر این هشدارها به‌طور مستقیم امنیت سرور و حفظ عملکرد سایت‌ها را تضمین می‌کند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”گزارش‌گیری از فایل‌های مخرب و نحوه بررسی آن‌ها” subtitle=”توضیحات کامل”]در این بخش به‌صورت جامع به گزارش‌گیری از فایل‌های مخرب (malicious files) و نحوه بررسی دقیق آن‌ها در سرورهای لینوکسی می‌پردازیم. این مرحله برای تحلیل امنیتی، مستندسازی، اطلاع‌رسانی به کاربران و تیم فنی و همچنین آماده‌سازی برای پاک‌سازی یا به‌روزرسانی سیستم بسیار حیاتی است.

---

گزارش‌گیری فایل‌های مخرب با Imunify360

Imunify360 اطلاعات دقیقی از اسکن‌ها، فایل‌های آلوده، مسیر فایل، نوع تهدید، امتیاز خطر (risk score) و وضعیت (مانند قرنطینه شده، پاک شده یا نادیده گرفته شده) ذخیره می‌کند.

مشاهده لیست فایل‌های مخرب:

imunify360-agent malware malicious list

مشاهده جزئیات یک فایل خاص:

imunify360-agent malware malicious view --file /path/to/infected_file.php

خروجی گرفتن از لیست فایل‌های مخرب در قالب JSON:

imunify360-agent malware malicious list --json > /root/malware_report.json

مسیر فایل لاگ مربوط به اسکن‌ها و تهدیدات:

/var/log/imunify360/scanlog.json
/var/log/imunify360/malware-actions.log

این فایل‌ها با ابزارهایی مانند jq یا less یا grep قابل خواندن و فیلتر هستند:

jq '.' /var/log/imunify360/scanlog.json | less
grep "DETECTED" /var/log/imunify360/malware-actions.log

---

گزارش‌گیری و تحلیل دستی فایل‌های مشکوک

در صورت عدم وجود Imunify360، می‌توان با ClamAV یا ابزارهای اسکریپتی اطلاعات فایل‌های آلوده را استخراج کرد.

نصب ClamAV و تولید گزارش:

apt install clamav -y         # برای Debian/Ubuntu
yum install clamav -y         # برای CentOS/RHEL
freshclam                     # به‌روزرسانی پایگاه داده

clamscan -r /var/www \
  --log=/root/clamav_report.log \
  --infected

بررسی گزارش:

less /root/clamav_report.log
grep "FOUND" /root/clamav_report.log

هر خط شامل مسیر فایل، نوع تهدید و وضعیت خواهد بود.

---

گزارش‌گیری سفارشی با Bash Script

برای ایجاد خروجی اختصاصی و فیلترشده:

#!/bin/bash
LOG="/root/malware_filtered_report.txt"
SCAN_DIR="/var/www"

echo "Scanning directory: $SCAN_DIR"
echo "==== MALWARE REPORT ====" > "$LOG"

clamscan -r --infected "$SCAN_DIR" >> "$LOG"

ذخیره فایل در مسیر:

/root/malware_filtered_report.txt

---

بررسی دستی کدهای مخرب در فایل‌ها

برای بررسی نمونه‌های رایج کدهای مخرب:

جستجوی الگوهای رمزگذاری یا خطرناک در فایل‌ها:

grep -R --include=*.php "base64_decode(" /var/www
grep -R --include=*.php "eval(" /var/www

بررسی دستی تغییرات اخیر:

find /var/www -type f -mtime -2

---

بررسی گزارش‌ها از رابط گرافیکی Imunify360

در پنل‌هایی مانند cPanel، DirectAdmin یا Plesk:

• وارد بخش Imunify360 شوید.
• به بخش Malware Scanner بروید.
• فایل‌های شناسایی‌شده، تاریخ اسکن، اقدام انجام‌شده (حذف/قرنطینه) و دکمه “Details” قابل مشاهده هستند.
• می‌توانید فایل را بررسی، حذف، نادیده گرفتن (Ignore) یا بازیابی کنید.

---

ارسال گزارش به تیم امنیتی

برای مستندسازی یا ارسال گزارش به تیم دیگر می‌توان فایل‌های گزارش را فشرده و ارسال کرد:

tar -czvf malware_logs.tar.gz \
  /var/log/imunify360/scanlog.json \
  /var/log/imunify360/malware-actions.log \
  /root/malware_filtered_report.txt

---

جمع‌بندی

در این بخش یاد گرفتیم چگونه فایل‌های مخرب را شناسایی و گزارش‌گیری کنیم، گزارش‌ها را از طریق CLI یا رابط گرافیکی استخراج کرده و آن‌ها را برای تحلیل دقیق بررسی کنیم. همچنین از ابزارهایی مانند ClamAV و Bash برای تهیه گزارش سفارشی استفاده کردیم. این اطلاعات پایه‌ای برای اقدامات پاک‌سازی، تقویت امنیت و مستندسازی امنیتی فراهم می‌کنند.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 3. نظارت بر تغییرات فایل‌ها”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیم مانیتورینگ برای شناسایی تغییرات غیرمجاز در فایل‌ها” subtitle=”توضیحات کامل”]در این بخش به صورت کامل به روش‌های تنظیم مانیتورینگ جهت شناسایی تغییرات غیرمجاز در فایل‌ها در لینوکس می‌پردازیم. این موضوع برای جلوگیری از تزریق کدهای مخرب، بک‌دورها، یا خرابکاری‌های امنیتی بسیار حیاتی است. ابزارهای متنوعی برای این کار وجود دارند که مهم‌ترین آن‌ها شامل AIDE, inotify-tools, Auditd, و قابلیت‌های Imunify360 هستند.

---

تنظیم مانیتورینگ با استفاده از AIDE (Advanced Intrusion Detection Environment)

AIDE یکی از رایج‌ترین ابزارهای تشخیص نفوذ مبتنی بر مقایسه هش فایل‌ها است.

نصب AIDE:

apt install aide -y       # برای Debian/Ubuntu
yum install aide -y       # برای CentOS/RHEL

ایجاد پایگاه داده اولیه:

aideinit
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

اسکن سیستم و بررسی تغییرات:

aide --check

مسیر پیکربندی AIDE:

/etc/aide/aide.conf

در این فایل، دایرکتوری‌هایی که باید مانیتور شوند و نوع چک (هش، سطح دسترسی، مالکیت و …) مشخص می‌شود. مثلاً برای مانیتور کردن دایرکتوری /var/www:

/var/www    NORMAL

برای افزودن گزارش‌های زمانبندی‌شده به Cron:

crontab -e

و اضافه کردن خط زیر برای اجرای روزانه:

0 2 * * * /usr/bin/aide --check | mail -s "AIDE Daily Report" admin@example.com

---

مانیتورینگ فایل‌ها با inotify-tools

inotify قابلیت‌های بلادرنگ (real-time) برای نظارت بر تغییرات فایل‌ها فراهم می‌کند.

نصب inotify-tools:

apt install inotify-tools -y
yum install inotify-tools -y

اسکریپت ساده برای نظارت بر تغییرات در /var/www:

#!/bin/bash
WATCH_DIR="/var/www"
LOG_FILE="/root/file_change_watch.log"

inotifywait -m -r -e modify,create,delete "$WATCH_DIR" |
while read path action file; do
  echo "$(date) : $action - $path$file" >> "$LOG_FILE"
done

ذخیره اسکریپت در مسیر:

/root/inotify_watch.sh
chmod +x /root/inotify_watch.sh

اجرای اسکریپت به‌صورت background:

nohup /root/inotify_watch.sh &

---

استفاده از Auditd برای مانیتورینگ دقیق سطح کرنل

Auditd ابزار پیشرفته لینوکسی برای ثبت تمام عملیات روی فایل‌ها است.

نصب Auditd:

apt install auditd -y
yum install audit -y

اضافه کردن قانون برای مانیتورینگ فایل‌های config.php:

auditctl -w /var/www/html/config.php -p wa -k config_watch

• -w: مسیر فایل
• -p wa: مانیتور نوشتن و تغییرات
• -k: کلید برای فیلتر در گزارش

مشاهده لاگ تغییرات:

ausearch -k config_watch

مسیر فایل تنظیمات دائمی Audit:

/etc/audit/rules.d/audit.rules

برای دائمی کردن قانون:

echo "-w /var/www/html/config.php -p wa -k config_watch" >> /etc/audit/rules.d/audit.rules

---

مانیتورینگ تغییرات فایل‌ها با Imunify360

اگر Imunify360 فعال باشد، قابلیت File Change Monitoring به صورت پیش‌فرض در نسخه‌های کامل فعال است:

فعال‌سازی File Change Monitoring از CLI:

imunify360-agent config update '{"FILE_INTEGRITY_MONITORING": {"enabled": true}}'

مشاهده تغییرات ثبت‌شده:

cat /var/log/imunify360/file-monitor.log

---

بررسی گرافیکی از طریق پنل (در صورت وجود)

در پنل‌هایی مانند cPanel/Imunify360 می‌توان از بخش:

• File Change Monitoring
• یا Security Events > File Changes

فایل‌هایی که اخیراً تغییر کرده‌اند، به همراه تاریخ و نوع تغییر قابل مشاهده و بررسی هستند.

---

جمع‌بندی

در این بخش روش‌های مختلف مانیتورینگ فایل‌ها و پوشه‌ها برای شناسایی تغییرات غیرمجاز را بررسی کردیم. از ابزارهای AIDE، inotify، Auditd و Imunify360 استفاده کردیم و هم از طریق CLI و هم در صورت وجود، روش گرافیکی را نیز پوشش دادیم. این ابزارها امکان مانیتورینگ بلادرنگ و دوره‌ای، و همچنین ارسال هشدار یا ثبت گزارش را فراهم می‌کنند که برای ایمن‌سازی فایل‌های حساس ضروری هستند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”استفاده از Immunify360 Proactive Defense برای جلوگیری از تغییرات مشکوک” subtitle=”توضیحات کامل”]در این بخش به بررسی کامل و کاربردی قابلیت Imunify360 Proactive Defense می‌پردازیم که یکی از مهم‌ترین امکانات امنیتی این ابزار است. این ویژگی به صورت بلادرنگ (real-time) از اجرای کدهای مشکوک PHP جلوگیری می‌کند و یک لایه دفاعی پیشگیرانه در برابر حملات تزریق کد، webshell و backdoor ایجاد می‌کند.

---

معرفی قابلیت Proactive Defense در Imunify360

قابلیت Proactive Defense با تحلیل رفتار برنامه‌ها در زمان اجرا، کدهای مشکوک PHP را شناسایی می‌کند و مانع از اجرای آن‌ها می‌شود. برخلاف آنتی‌ویروس که فقط فایل‌ها را اسکن می‌کند، این ابزار در لحظه اجرا تصمیم می‌گیرد که اجازه اجرای کد را بدهد یا آن را متوقف کند.

---

فعال‌سازی Proactive Defense به‌صورت گرافیکی در cPanel یا DirectAdmin

برای فعال‌سازی از طریق رابط گرافیکی:

1. وارد پنل مدیریتی کاربر شوید (مثلاً cPanel یا DirectAdmin)
2. از بخش Imunify360، روی گزینه Proactive Defense کلیک کنید
3. گزینه Enabled – Kill Mode را انتخاب کنید (برای حداکثر محافظت)
4. در صورت نیاز می‌توانید به Log Only تغییر دهید تا فقط گزارش گرفته شود

حالت‌های اجرایی:

• Disabled: غیرفعال
• Log Only: فقط گزارش‌گیری
• Kill Mode: مسدودسازی اجرای کد مشکوک (پیشنهاد شده)

---

فعال‌سازی Proactive Defense از طریق CLI

مسیر فایل تنظیمات:

/etc/sysconfig/imunify360/agent.config

فعال‌سازی حالت Kill Mode:

imunify360-agent config update '{"PROACTIVE_DEFENSE": {"mode": "KILL"}}'

بررسی وضعیت:

imunify360-agent config show | grep PROACTIVE_DEFENSE

---

مشاهده گزارش فعالیت Proactive Defense

گزارش اجرای کدهای مشکوک در فایل لاگ زیر ذخیره می‌شود:

/var/log/imunify360/proactive_defense.log

برای مشاهده آخرین فعالیت‌ها:

tail -f /var/log/imunify360/proactive_defense.log

نمونه گزارش:

[2025-04-05 18:30:22] File: /home/user/public_html/index.php
Reason: Suspicious eval() usage
Action: Execution stopped (Kill Mode)

---

واکنش خودکار به فعالیت‌های مشکوک

قابلیت Proactive Defense به صورت خودکار اقدامات زیر را انجام می‌دهد:

• متوقف‌سازی اجرای کد مشکوک
• قرنطینه فایل مربوطه (در صورت فعال‌سازی Quarantine)
• ثبت لاگ دقیق از رفتار کد و مسیر فایل
• اطلاع‌رسانی از طریق ایمیل به مدیر سرور (در صورت تنظیم Notification)

---

مدیریت فایل‌های قرنطینه‌شده

مشاهده لیست فایل‌های قرنطینه:

imunify360-agent malicious list

حذف فایل:

imunify360-agent malicious delete --path /home/user/public_html/suspicious.php

بازیابی فایل (اگر اشتباه قرنطینه شده باشد):

imunify360-agent malicious restore --path /home/user/public_html/suspicious.php

---

تنظیم رفتار Proactive Defense از طریق فایل پیکربندی

مسیر فایل پیکربندی:

/etc/sysconfig/imunify360/agent.config

نمونه تنظیمات:

"PROACTIVE_DEFENSE": {
    "mode": "KILL",
    "log_path": "/var/log/imunify360/proactive_defense.log",
    "quarantine_on_detection": true
}

پس از اعمال تغییرات، سرویس را ری‌استارت کنید:

systemctl restart imunify360

---

جمع‌بندی

در این بخش، روش کامل و دقیق فعال‌سازی، پیکربندی و مدیریت قابلیت Imunify360 Proactive Defense را بررسی کردیم. این ویژگی با نظارت لحظه‌ای بر اجرای کدها، اجرای دستورات مخرب PHP را متوقف می‌کند و یکی از لایه‌های اصلی امنیتی برای محافظت از وب‌سایت‌ها در برابر حملات روز صفر (Zero-Day) و کدهای پنهان است. استفاده از حالت Kill Mode، قرنطینه خودکار و مانیتورینگ لاگ‌ها برای افزایش امنیت به شدت توصیه می‌شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”ایجاد هشدارها برای تغییرات ناگهانی در فایل‌های مهم” subtitle=”توضیحات کامل”]در این بخش نحوه ایجاد هشدار برای تغییرات ناگهانی در فایل‌های مهم سیستم یا برنامه‌های وب را بررسی می‌کنیم. این کار یکی از کلیدی‌ترین اقدامات در حوزه امنیت فایل است تا در صورت هرگونه نفوذ، آسیب‌پذیری یا دستکاری، سریعاً مطلع شویم و اقدامات لازم را انجام دهیم.

---

ابزارهای مناسب برای مانیتور تغییرات فایل

برای نظارت بر فایل‌ها و دریافت هشدار در صورت تغییر، ابزارهای مختلفی در لینوکس وجود دارند که می‌توان از آن‌ها استفاده کرد:

• inotify (ابزار سطح پایین سیستم فایل لینوکس)
• auditd (سیستم لاگ پیشرفته لینوکس)
• AIDE (برای مقایسه هش فایل‌ها و ساختار)
• OSSEC (سیستم مانیتور امنیتی قدرتمند)
• Tripwire
• Monit یا Cron Scripts با ایمیل هشدار

در این بخش، دو روش کاربردی و ساده را بررسی می‌کنیم: استفاده از inotifywait برای مانیتور لحظه‌ای، و استفاده از auditd برای لاگ‌گیری تغییرات سیستمی همراه با هشدار.

---

استفاده از inotify-tools برای پایش فایل‌ها به‌صورت لحظه‌ای

نصب ابزار:

apt install inotify-tools     # برای Debian/Ubuntu
yum install inotify-tools     # برای RHEL/CentOS

اسکریپت نمونه پایش:

فایل زیر را بسازید:

nano /usr/local/bin/watch-config.sh

محتوا:

#!/bin/bash
WATCHED_FILE="/var/www/html/config.php"
LOGFILE="/var/log/filechange-alert.log"

inotifywait -m -e modify,attrib,move,create,delete "$WATCHED_FILE" | while read path action file; do
    echo "$(date): $action detected on $file in $path" >> "$LOGFILE"
    echo "Alert: $action detected on $file" | mail -s "File Change Alert" admin@example.com
done

اعمال سطح دسترسی و اجرای اسکریپت:

chmod +x /usr/local/bin/watch-config.sh
nohup /usr/local/bin/watch-config.sh &

این اسکریپت فایل config.php را برای هرگونه تغییر مانیتور می‌کند و در صورت وقوع، لاگ و هشدار ایمیلی ارسال می‌نماید.

---

استفاده از auditd برای ردیابی تغییرات سیستم فایل

نصب auditd:

apt install auditd     # برای Debian/Ubuntu
yum install audit      # برای RHEL/CentOS

افزودن قانون برای فایل مورد نظر:

auditctl -w /var/www/html/config.php -p wa -k config_watch

این دستور تغییرات Write و Attribute را پایش می‌کند و آن را با تگ (key) به نام config_watch ذخیره می‌نماید.

مشاهده گزارش:

ausearch -k config_watch

ذخیره دائم قوانین:

ویرایش فایل زیر:

nano /etc/audit/rules.d/audit.rules

افزودن:

-w /var/www/html/config.php -p wa -k config_watch

ری‌استارت سرویس:

systemctl restart auditd

---

ارسال ایمیل هنگام تغییر فایل با auditd + پشتیبان

برای ارسال هشدار ایمیل در صورت تغییر فایل، می‌توان از اسکریپت‌های cron یا systemd timer استفاده کرد که مرتب لاگ را بررسی و در صورت تغییر، هشدار بدهند. یک روش ساده‌تر استفاده از ابزارهایی مانند auditbeat یا OSSEC برای ادغام با سرویس‌های ایمیل است.

---

ترکیب با Monit برای هشدار ایمیلی

apt install monit

پیکربندی مانیتور فایل:

nano /etc/monit/conf.d/config_watch

محتوا:

check file config.php with path /var/www/html/config.php
   if changed timestamp then alert
   if changed checksum then alert

ری‌استارت Monit:

systemctl restart monit

---

جمع‌بندی

در این بخش آموختیم که با ابزارهای مختلفی مثل inotify-tools، auditd، monit و سایر روش‌ها می‌توان فایل‌های حیاتی مانند config.php را مانیتور کرد و در صورت تغییر، بلافاصله هشدار دریافت نمود. این اقدامات برای مقابله با حملات تزریق فایل، تغییرات مخفیانه توسط بدافزارها و حفظ امنیت سرویس‌های حیاتی بسیار مؤثر است. استفاده از روش‌های ترکیبی (مثل auditd + ایمیل) بهترین شیوه برای پوشش حداکثری تهدیدات است.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 4. تنظیم قوانین محافظتی برای فایل‌های حساس”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”قفل کردن فایل‌های مهم در سرور و جلوگیری از ویرایش آن‌ها” subtitle=”توضیحات کامل”]برای حفاظت از فایل‌های حیاتی در یک سرور و جلوگیری از ویرایش یا حذف آن‌ها، می‌توان از چندین روش امنیتی استفاده کرد. این روش‌ها شامل تغییرات در سطح دسترسی‌ها، استفاده از ابزارهای خاص برای قفل کردن فایل‌ها و استفاده از سیستم‌های مانیتورینگ هستند. در این بخش به بررسی روش‌های مختلف قفل کردن فایل‌ها خواهیم پرداخت.

---

1. استفاده از ابزار chattr برای قفل کردن فایل‌ها

در لینوکس، می‌توان از ابزار chattr (Change Attribute) برای اعمال ویژگی‌های خاص بر روی فایل‌ها استفاده کرد که امکان تغییر آن‌ها را محدود می‌کند. یکی از ویژگی‌های مفید این ابزار، گزینه i است که فایل را در حالت “غیرفعال” قرار می‌دهد، به این معنی که فایل قابل ویرایش یا حذف نخواهد بود.

نصب chattr:

این ابزار معمولاً به طور پیش‌فرض در اکثر توزیع‌های لینوکس نصب شده است. در صورت عدم نصب، می‌توانید آن را با دستور زیر نصب کنید:

apt install e2fsprogs   # برای Debian/Ubuntu
yum install e2fsprogs   # برای RHEL/CentOS

قفل کردن فایل با استفاده از chattr:

برای قفل کردن یک فایل (مانند config.php)، از دستور زیر استفاده کنید:

chattr +i /var/www/html/config.php

این دستور باعث می‌شود که فایل config.php از نظر نوشتاری و حذف قفل شود. هیچ کاربری نمی‌تواند بدون تغییر ویژگی فایل، آن را ویرایش کند.

بررسی ویژگی‌های فایل:

برای مشاهده ویژگی‌های یک فایل، می‌توانید از دستور lsattr استفاده کنید:

lsattr /var/www/html/config.php

اگر ویژگی i برای فایل فعال باشد، خروجی چیزی شبیه به زیر خواهد بود:

----i-------- /var/www/html/config.php

حذف قفل فایل:

در صورت نیاز به ویرایش مجدد فایل، می‌توانید ویژگی i را از آن حذف کنید:

chattr -i /var/www/html/config.php

---

2. استفاده از دستورات chmod و chown برای تنظیم مجوزها

علاوه بر استفاده از chattr، می‌توان از دستورات chmod و chown برای محدود کردن دسترسی به فایل‌ها استفاده کرد.

محدود کردن دسترسی به فایل‌ها:

برای جلوگیری از دسترسی نوشتاری به فایل‌ها، می‌توانید دسترسی به آن‌ها را فقط به کاربر مالک محدود کنید و دیگران را از دسترسی به فایل منع کنید:

chmod 400 /var/www/html/config.php

این دستور باعث می‌شود که فقط مالک فایل بتواند آن را مشاهده کند، اما هیچ‌کس دیگر نتواند آن را ویرایش کند.

تغییر مالکیت فایل:

برای تعیین مالکیت دقیق فایل و محدود کردن دسترسی به آن، از دستور chown استفاده کنید:

chown root:root /var/www/html/config.php

با این کار، فایل به کاربر root و گروه root اختصاص داده می‌شود و کاربران دیگر نمی‌توانند به آن دسترسی داشته باشند.

---

3. استفاده از SELinux برای کنترل دسترسی‌های پیشرفته

در صورت استفاده از سیستم‌هایی که SELinux (Security-Enhanced Linux) فعال دارند، می‌توان سیاست‌های امنیتی پیشرفته‌ای برای فایل‌ها و دایرکتوری‌ها تنظیم کرد. SELinux می‌تواند به طور خاص فایل‌ها و دایرکتوری‌ها را از دسترسی و تغییر توسط کاربران و فرآیندهای خاص محافظت کند.

تنظیم SELinux برای محدود کردن دسترسی:

اگر SELinux فعال است، می‌توانید دسترسی به فایل‌ها را با استفاده از دستورات semanage و chcon تغییر دهید.

chcon -t httpd_sys_content_t /var/www/html/config.php

این دستور سطح دسترسی فایل را به‌گونه‌ای تنظیم می‌کند که فقط سرویس‌های مجاز به آن دسترسی داشته باشند.

---

4. ایجاد نسخه پشتیبان منظم و استفاده از ابزارهای بازگردانی

برای اطمینان از اینکه فایل‌های حیاتی حتی در صورت تغییر یا حذف توسط افراد غیرمجاز قابل بازیابی هستند، استفاده از ابزارهای نسخه پشتیبان مانند rsync یا سیستم‌های بکاپ مدیریتی می‌تواند مفید باشد.

مثال برای بکاپ‌گیری:

rsync -av --delete /var/www/html/config.php /backup/config.php

این دستور نسخه‌ای از فایل را در دایرکتوری /backup ذخیره می‌کند.

---

جمع‌بندی

در این بخش بررسی کردیم که چگونه می‌توان فایل‌های حساس و حیاتی مانند config.php را با استفاده از ابزارهای مختلف در لینوکس قفل کرده و از تغییرات غیرمجاز آن‌ها جلوگیری کرد. با استفاده از ابزارهایی همچون chattr، chmod، chown و SELinux، می‌توان سطح دسترسی فایل‌ها را به دقت کنترل کرد. همچنین، تهیه نسخه‌های پشتیبان منظم به عنوان یک لایه اضافی امنیتی برای بازیابی فایل‌ها در صورت نیاز توصیه می‌شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیم Immutable Mode برای فایل‌های حیاتی” subtitle=”توضیحات کامل”]در سیستم‌عامل لینوکس، ویژگی Immutable (غیرقابل تغییر) به فایل‌ها این امکان را می‌دهد که حتی توسط کاربران روت یا سایر کاربران با مجوزهای سطح بالا نیز قابل تغییر یا حذف نباشند. این ویژگی به ویژه برای محافظت از فایل‌های حیاتی سیستم، مانند فایل‌های پیکربندی یا فایل‌های امنیتی، بسیار مفید است.

در این بخش از آموزش های ارائه شده توسط فرازنتورک، به نحوه استفاده از ویژگی Immutable Mode برای قفل کردن فایل‌های حیاتی می‌پردازیم.

---

1. فعال کردن ویژگی Immutable برای فایل‌ها

برای فعال کردن ویژگی Immutable روی یک فایل، می‌توان از دستور chattr استفاده کرد. ویژگی i در دستور chattr باعث می‌شود که فایل یا دایرکتوری قفل شود و هیچ‌گونه تغییر، حذف یا جابه‌جایی روی آن انجام نشود.

دستور برای فعال کردن ویژگی Immutable:

برای فعال کردن این ویژگی روی یک فایل (برای مثال config.php)، از دستور زیر استفاده کنید:

chattr +i /var/www/html/config.php

این دستور فایل config.php را به صورت Immutable قفل می‌کند، به این معنا که هیچ‌کس نمی‌تواند آن را تغییر دهد یا حذف کند، حتی اگر کاربر روت باشد.

---

2. مشاهده ویژگی‌های فایل

برای بررسی ویژگی‌های فایل و اطمینان از اینکه ویژگی Immutable به درستی اعمال شده است، از دستور lsattr استفاده می‌کنیم.

دستور برای مشاهده ویژگی‌ها:

lsattr /var/www/html/config.php

در صورت فعال بودن ویژگی Immutable، خروجی به صورت زیر خواهد بود:

----i-------- /var/www/html/config.php

در اینجا، i نشان‌دهنده فعال بودن ویژگی Immutable است.

---

3. حذف ویژگی Immutable از فایل

اگر به هر دلیلی نیاز به ویرایش یا حذف فایل دارید، باید ویژگی Immutable را از آن حذف کنید. برای این کار، از دستور chattr با گزینه -i استفاده می‌شود.

دستور برای حذف ویژگی Immutable:

chattr -i /var/www/html/config.php

با این دستور، ویژگی Immutable از فایل حذف شده و می‌توان آن را تغییر داد یا حذف کرد.

---

4. استفاده از ویژگی Immutable برای حفاظت از چندین فایل

در صورتی که بخواهید چندین فایل یا دایرکتوری را به طور همزمان غیرقابل تغییر کنید، می‌توانید ویژگی Immutable را به صورت دسته‌ای روی چندین فایل اعمال کنید. به عنوان مثال:

chattr +i /var/www/html/*.php

این دستور ویژگی Immutable را روی تمامی فایل‌های .php موجود در دایرکتوری /var/www/html/ اعمال می‌کند.

---

5. هشدار درباره اعمال ویژگی Immutable روی فایل‌ها

• احتیاط در استفاده: از ویژگی Immutable باید با دقت استفاده کرد، زیرا وقتی این ویژگی فعال باشد، حتی کاربران روت نیز نمی‌توانند فایل‌ها را تغییر دهند یا حذف کنند. بنابراین، قبل از استفاده از آن، از وجود نسخه‌های پشتیبان مطمئن شوید.
• تأثیر روی برنامه‌ها: در صورتی که فایل‌های اجرایی یا پیکربندی مورد استفاده برنامه‌ها را به حالت Immutable درآورید، برنامه‌ها نمی‌توانند تغییرات لازم را روی این فایل‌ها اعمال کنند. بنابراین، پیش از اعمال این ویژگی، باید اطمینان حاصل کنید که فایل‌های مورد نظر برای برنامه‌ها به‌طور صحیح عمل خواهند کرد.

---

جمع‌بندی

ویژگی Immutable یک ابزار قدرتمند برای محافظت از فایل‌های حیاتی و جلوگیری از تغییرات غیرمجاز در سیستم است. با استفاده از دستور chattr و فعال کردن ویژگی i، می‌توان فایل‌ها را از تغییر یا حذف در امان نگه داشت. همچنین، قابلیت حذف این ویژگی با دستور chattr -i به شما این امکان را می‌دهد که در صورت نیاز، مجدداً دسترسی به فایل‌ها را باز کنید. این روش به‌ویژه برای محافظت از فایل‌های پیکربندی و فایل‌های حساس در سیستم‌های تولیدی توصیه می‌شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”جلوگیری از حذف یا تغییر فایل‌های سیستمی توسط کاربران غیرمجاز” subtitle=”توضیحات کامل”]در سیستم‌عامل لینوکس، فایل‌های سیستمی بخش حیاتی از ساختار سیستم‌عامل هستند و برای عملکرد صحیح سیستم ضروری‌اند. یکی از نگرانی‌های امنیتی این است که کاربران غیرمجاز یا بدافزارها قادر به تغییر یا حذف این فایل‌ها نباشند. برای این منظور، چندین روش وجود دارد که می‌توان از آن‌ها برای جلوگیری از حذف یا تغییر فایل‌های سیستمی توسط کاربران غیرمجاز استفاده کرد.

---

1. استفاده از ویژگی Immutable برای قفل کردن فایل‌های سیستمی

یکی از بهترین روش‌ها برای جلوگیری از تغییر یا حذف فایل‌ها، استفاده از ویژگی Immutable است. همانطور که در بخش‌های قبل توضیح داده شد، این ویژگی به شما این امکان را می‌دهد که فایل‌ها را از تغییر یا حذف محافظت کنید.

دستور برای قفل کردن فایل سیستمی:

برای قفل کردن یک فایل سیستمی (برای مثال فایل /etc/passwd که اطلاعات کاربری را در خود نگه می‌دارد)، از دستور زیر استفاده می‌شود:

chattr +i /etc/passwd

این دستور باعث می‌شود که هیچ‌کس نتواند فایل /etc/passwd را تغییر دهد یا حذف کند، حتی اگر کاربر روت باشد.

مشاهده ویژگی Immutable:

برای بررسی اینکه آیا ویژگی Immutable روی فایل‌ها اعمال شده است یا خیر، از دستور lsattr استفاده کنید:

lsattr /etc/passwd

در صورت فعال بودن ویژگی Immutable، خروجی به صورت زیر خواهد بود:

----i-------- /etc/passwd

---

2. تنظیم مجوزهای دسترسی به فایل‌ها با استفاده از chmod و chown

برای محدود کردن دسترسی کاربران به فایل‌های سیستمی، از دستورات chmod و chown می‌توان استفاده کرد. این دستورات به شما این امکان را می‌دهند که مجوزهای دسترسی فایل‌ها را به طور دقیق تنظیم کنید.

تغییر مالکیت فایل:

برای تغییر مالکیت یک فایل سیستمی، دستور chown به شکل زیر استفاده می‌شود:

chown root:root /etc/passwd

این دستور مالکیت فایل /etc/passwd را به کاربر روت و گروه روت اختصاص می‌دهد. این اطمینان حاصل می‌کند که تنها کاربر روت قادر به تغییر فایل است.

تنظیم مجوزها برای جلوگیری از تغییر فایل:

برای محدود کردن دسترسی‌ها به طوری که تنها کاربر روت قادر به تغییر فایل باشد، از دستور chmod استفاده می‌شود:

chmod 644 /etc/passwd

در اینجا، مجوز 644 به این معنا است که تنها مالک فایل (یعنی کاربر روت) اجازه خواندن و نوشتن فایل را دارد، در حالی که سایر کاربران تنها اجازه خواندن فایل را دارند.

---

3. استفاده از SELinux یا AppArmor برای کنترل دسترسی پیشرفته

یکی دیگر از روش‌های امنیتی برای جلوگیری از تغییر فایل‌های سیستمی، استفاده از SELinux (Security-Enhanced Linux) یا AppArmor است. این ابزارها به شما این امکان را می‌دهند که سیاست‌های امنیتی پیشرفته‌تری را برای دسترسی به فایل‌ها و منابع سیستم اعمال کنید.

فعال‌سازی SELinux و تنظیم سیاست‌های امنیتی:

برای فعال کردن SELinux، ابتدا وضعیت آن را بررسی کنید:

sestatus

اگر SELinux غیرفعال است، می‌توانید آن را با ویرایش فایل /etc/selinux/config به حالت فعال درآورید:

nano /etc/selinux/config

سپس خط زیر را به حالت enforcing تغییر دهید:

SELINUX=enforcing

پس از اعمال تغییرات، سیستم را ری‌استارت کنید تا SELinux فعال شود.

با استفاده از SELinux می‌توانید سیاست‌های امنیتی دقیق‌تری برای فایل‌های سیستمی تنظیم کنید.

---

4. استفاده از ویژگی Immutable برای محافظت از دایرکتوری‌ها

در صورتی که می‌خواهید از تغییرات غیرمجاز در دایرکتوری‌های خاص جلوگیری کنید، می‌توانید ویژگی Immutable را روی دایرکتوری‌ها اعمال کنید. این کار از تغییرات یا اضافه کردن فایل‌های جدید به دایرکتوری جلوگیری می‌کند.

دستور برای قفل کردن یک دایرکتوری:

برای قفل کردن دایرکتوری /etc به طور کامل، دستور زیر را اجرا کنید:

chattr +i /etc

این دستور از ایجاد یا تغییر فایل‌ها در دایرکتوری /etc جلوگیری می‌کند.

---

5. پیکربندی ابزارهای امنیتی برای هشدار دادن در صورت تغییر

برای دریافت هشدار در صورت تغییرات غیرمجاز در فایل‌های سیستمی، می‌توان از ابزارهای نظارت مانند auditd استفاده کرد. این ابزار به شما این امکان را می‌دهد که تغییرات در فایل‌ها و دایرکتوری‌های حساس را پیگیری کنید.

نصب و پیکربندی auditd:

برای نصب ابزار auditd از دستور زیر استفاده کنید:

apt-get install auditd

پس از نصب، فایل‌های مهم مانند /etc/passwd را به لیست فایل‌های تحت نظارت اضافه کنید:

auditctl -w /etc/passwd -p wa

این دستور به سیستم می‌گوید که هرگونه تغییر یا دسترسی نوشتاری به فایل /etc/passwd را ثبت کند.

---

جمع‌بندی

برای جلوگیری از حذف یا تغییر فایل‌های سیستمی توسط کاربران غیرمجاز، از روش‌های مختلفی می‌توان استفاده کرد. اعمال ویژگی Immutable با دستور chattr، تنظیم مجوزهای دقیق با chmod و chown، استفاده از ابزارهای امنیتی مانند SELinux یا AppArmor، و همچنین پیکربندی ابزارهای نظارت مانند auditd می‌توانند به شما کمک کنند تا فایل‌های سیستمی خود را از تغییرات غیرمجاز محافظت کنید. همچنین، با استفاده از این روش‌ها می‌توانید از تغییرات تصادفی یا حملات بدافزاری که ممکن است به سیستم وارد شود جلوگیری کنید.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 5. جلوگیری از آپلود فایل‌های مخرب”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”محدود کردن نوع و حجم فایل‌های آپلودی در وب‌سرور” subtitle=”توضیحات کامل”]یکی از چالش‌های امنیتی در مدیریت وب‌سرورها، کنترل و محدود کردن فایل‌های آپلود شده توسط کاربران است. این اقدام می‌تواند از حملات مانند SQL Injection، XSS و DoS جلوگیری کند و مانع از بارگذاری فایل‌های مخرب یا غیرمجاز شود. در این بخش، نحوه محدود کردن نوع و حجم فایل‌های آپلودی در وب‌سرور (مانند Apache و Nginx) و همچنین تنظیمات امنیتی مرتبط را بررسی می‌کنیم.

1. اهمیت محدود کردن فایل‌های آپلودی

محدود کردن نوع و حجم فایل‌های آپلودی یک استراتژی مهم در کاهش خطرات امنیتی است. فایل‌هایی که حجم زیاد دارند یا به فرمت‌های غیرمجاز تعلق دارند، می‌توانند به‌راحتی ابزارهای مخرب یا حملات مبتنی بر فایل‌های بزرگ را برای سرور به ارمغان بیاورند. علاوه بر این، فایل‌های آپلودی ممکن است شامل کدهای مخرب یا بدافزار باشند که می‌توانند به سیستم نفوذ کنند.

---

2. محدود کردن نوع فایل‌های آپلودی

برای محدود کردن نوع فایل‌هایی که کاربران می‌توانند آپلود کنند، می‌توان از روش‌های مختلفی استفاده کرد که بیشتر آن‌ها در سطح وب‌سرور پیاده‌سازی می‌شوند.

2.1 محدود کردن نوع فایل‌ها در Apache

در Apache HTTP Server، می‌توانید از mod_rewrite یا mod_security برای محدود کردن انواع فایل‌ها استفاده کنید.

به‌عنوان مثال، برای جلوگیری از آپلود فایل‌های با پسوندهای غیرمجاز مانند .exe، .php و .jsp، می‌توانید از دستور زیر در فایل پیکربندی Apache (/etc/httpd/conf/httpd.conf) استفاده کنید:

<FilesMatch "\.(exe|php|jsp|bat)$">
    Order Deny,Allow
    Deny from all
</FilesMatch>

در این پیکربندی:

• از دستور <FilesMatch> برای شناسایی فایل‌هایی با پسوندهای خاص استفاده شده است.
• دستورات Deny from all به‌طور مستقیم دسترسی به این فایل‌ها را محدود می‌کند.

2.2 محدود کردن نوع فایل‌ها در Nginx

در Nginx، برای محدود کردن نوع فایل‌ها از بخش server و location استفاده می‌کنیم. به‌عنوان مثال، اگر بخواهید فایل‌هایی با پسوند .exe یا .php را مسدود کنید، از پیکربندی زیر در فایل /etc/nginx/nginx.conf استفاده کنید:

server {
    location ~* \.(exe|php|jsp|bat)$ {
        deny all;
    }
}

در این پیکربندی:

• با استفاده از location و دستور ~*، نوع فایل‌های مورد نظر شناسایی می‌شوند.
• دستور deny all برای مسدود کردن دسترسی به این فایل‌ها استفاده می‌شود.

---

3. محدود کردن حجم فایل‌های آپلودی

محدود کردن حجم فایل‌های آپلودی یک اقدام ضروری برای جلوگیری از حملات Denial of Service (DoS) است. حملاتی که باعث استفاده بیش از حد از منابع سرور می‌شوند.

3.1 محدود کردن حجم فایل‌های آپلودی در Apache

برای محدود کردن اندازه فایل‌های آپلودی در Apache، از دستور LimitRequestBody استفاده می‌شود. این دستور حداکثر حجم مجاز برای فایل‌هایی که کاربران می‌توانند آپلود کنند را مشخص می‌کند.

به‌عنوان مثال، برای محدود کردن حجم فایل‌های آپلودی به 10MB، دستور زیر را به فایل پیکربندی Apache (/etc/httpd/conf/httpd.conf) اضافه کنید:

<Directory "/var/www/html/upload">
    LimitRequestBody 10485760
</Directory>

در این پیکربندی:

• LimitRequestBody 10485760 نشان‌دهنده این است که حجم فایل‌های آپلودی نمی‌تواند بیشتر از 10MB (یعنی 10485760 بایت) باشد.

3.2 محدود کردن حجم فایل‌های آپلودی در Nginx

در Nginx، می‌توانید با استفاده از دستور client_max_body_size حجم فایل‌های آپلودی را محدود کنید. این دستور باید در بخش server یا http قرار گیرد. برای محدود کردن حجم فایل‌های آپلودی به 10MB، از پیکربندی زیر در فایل /etc/nginx/nginx.conf استفاده کنید:

server {
    client_max_body_size 10M;
}

در این پیکربندی:

• client_max_body_size 10M حجم فایل‌های آپلودی را به 10MB محدود می‌کند.

---

4. محدود کردن نوع و حجم فایل‌های آپلودی از طریق PHP

اگر از PHP برای مدیریت آپلود فایل‌ها استفاده می‌کنید، می‌توانید تنظیمات مربوط به حجم و نوع فایل‌های آپلودی را در فایل پیکربندی PHP (php.ini) انجام دهید.

4.1 محدود کردن نوع فایل‌ها در PHP

برای محدود کردن نوع فایل‌های آپلودی در PHP، شما باید فایل‌های آپلودی را بررسی کرده و فرمت آن‌ها را مشخص کنید. برای مثال، می‌توانید از اسکریپت زیر برای بررسی فرمت فایل‌های آپلودی استفاده کنید:

<?php
$allowed_types = ['image/jpeg', 'image/png', 'application/pdf'];
$file_type = mime_content_type($_FILES['uploaded_file']['tmp_name']);

if (!in_array($file_type, $allowed_types)) {
    echo "نوع فایل مجاز نیست.";
    exit;
}
?>

در این اسکریپت:

• از mime_content_type() برای شناسایی نوع فایل استفاده شده است.
• اگر فایل آپلودی با یکی از انواع مجاز مطابقت نداشته باشد، پیامی به کاربر داده می‌شود.

4.2 محدود کردن حجم فایل‌ها در PHP

برای محدود کردن حجم فایل‌ها در PHP، از تنظیمات زیر در فایل php.ini استفاده کنید:

upload_max_filesize = 10M
post_max_size = 10M

در این پیکربندی:

• upload_max_filesize حداکثر اندازه فایل آپلودی را مشخص می‌کند.
• post_max_size حداکثر اندازه داده‌های ارسال شده از طریق فرم‌های HTTP را محدود می‌کند.

---

5. سایر اقدامات امنیتی برای آپلود فایل‌ها

علاوه بر محدود کردن نوع و حجم فایل‌های آپلودی، می‌توانید اقدامات امنیتی دیگری نیز انجام دهید تا امنیت وب‌سرور خود را بیشتر کنید:

• اسکن فایل‌های آپلودی: استفاده از ابزارهایی مانند ClamAV برای اسکن فایل‌های آپلودی و شناسایی بدافزارها.
• استفاده از نام‌های تصادفی برای فایل‌ها: جلوگیری از دسترسی مستقیم به فایل‌های آپلودی با استفاده از نام‌های تصادفی.
• استفاده از پوشه‌های ایزوله: ذخیره‌سازی فایل‌های آپلودی در پوشه‌های جداگانه با دسترسی محدود.

---

جمع‌بندی

محدود کردن نوع و حجم فایل‌های آپلودی یکی از روش‌های اصلی برای ایمن نگه داشتن وب‌سرورها و جلوگیری از حملات مختلف است. با پیکربندی صحیح وب‌سرور (Apache یا Nginx) و همچنین تنظیمات PHP، می‌توانید امنیت فایل‌های آپلودی را تضمین کنید. این اقدامات باید همراه با اسکن فایل‌های آپلودی و سایر تدابیر امنیتی انجام شوند تا از آسیب‌های احتمالی جلوگیری گردد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیم فیلترهای WAF (Web Application Firewall) برای بررسی آپلودهای مشکوک” subtitle=”توضیحات کامل”]فایروال‌های برنامه وب (WAF) ابزارهای مهمی در محافظت از برنامه‌های وب هستند که به‌طور خاص برای شناسایی و جلوگیری از حملات مختلف بر روی لایه‌های کاربردی طراحی شده‌اند. یکی از وظایف مهم WAF، جلوگیری از آپلود فایل‌های مشکوک یا مخرب توسط کاربران است. با استفاده از WAF، می‌توان اقداماتی برای فیلتر کردن فایل‌های آپلودی مشکوک انجام داد.

در این بخش، نحوه تنظیم فیلترهای WAF برای بررسی و جلوگیری از آپلود فایل‌های مشکوک را بررسی خواهیم کرد.

1. اهمیت استفاده از WAF برای آپلودهای مشکوک

هنگامی که کاربران می‌توانند فایل‌هایی را در یک وب‌سایت آپلود کنند، این فایل‌ها می‌توانند شامل بدافزار، کد مخرب یا ابزارهای حمله‌ور (مانند web shells یا exploit kits) باشند. WAF‌ها می‌توانند به‌طور مؤثری این فایل‌ها را شناسایی و مسدود کنند، پیش از آن که به سیستم آسیب بزنند. برخی از تهدیدات شامل SQL Injection، XSS و Remote File Inclusion هستند که می‌توانند از طریق فایل‌های آپلودی وارد سیستم شوند.

---

2. تنظیم فیلترهای WAF برای بررسی آپلودهای مشکوک

در ادامه، روش‌های مختلف تنظیم فیلترهای WAF برای بررسی آپلودهای مشکوک در ModSecurity (که یک فایروال برنامه وب معروف است) و Cloudflare را بررسی می‌کنیم.

2.1 تنظیم فیلترهای WAF با استفاده از ModSecurity

ModSecurity یک ابزار فایروال برنامه وب است که می‌تواند بر روی وب‌سرور Apache، Nginx و IIS نصب شود. این ابزار به طور خاص برای محافظت در برابر حملات وب طراحی شده است. برای بررسی آپلودهای مشکوک و فایل‌های خطرناک، می‌توان از قوانین ModSecurity استفاده کرد.

در زیر به تنظیمات ModSecurity برای بررسی آپلود فایل‌های مشکوک اشاره می‌کنیم:

1. محدود کردن پسوندهای فایل آپلودی:برای جلوگیری از آپلود فایل‌های غیرمجاز با پسوندهایی مانند .php, .exe, یا .jsp، می‌توانید این قوانین را در فایل پیکربندی ModSecurity (/etc/modsecurity/modsecurity.conf) اضافه کنید:

   SecRule REQUEST_HEADERS:Content-Type "multipart/form-data" \
   "phase:2,chain,deny,status:403,msg:'Blocked File Upload Attempt'"
   SecRule FILES_NAMES "@rx \.(php|exe|jsp|sh|bat|cgi)$" \
   "t:none,deny,log,status:403,msg:'Blocked suspicious file type upload'"
   

   • در اینجا، هر درخواست با پسوندهای غیرمجاز مسدود خواهد شد.
   • پیام خطا به مدیر وب‌سایت ارسال می‌شود و پاسخ HTTP 403 به کاربر برگردانده می‌شود.
2. بررسی محتوای فایل‌ها:می‌توانید از قوانین برای اسکن محتوای فایل‌هایی که آپلود می‌شوند استفاده کنید. به‌عنوان مثال، می‌توانید محتوای فایل‌های PHP را برای تشخیص دستورات مخرب اسکن کنید:

   SecRule FILES_TMPNAMES "@rx <\?php" "t:none,deny,log,status:403,msg:'PHP code detected in file upload'"
   

   • این قانون هر فایلی که حاوی تگ‌های PHP باشد را مسدود می‌کند.
3. محدود کردن اندازه فایل‌های آپلودی:برای جلوگیری از آپلود فایل‌های بسیار بزرگ که می‌توانند منجر به حملات DoS شوند، می‌توان حد اندازه فایل‌های آپلودی را محدود کرد:

   SecRequestBodyLimit 10485760
   SecRequestBodyNoFilesLimit 10485760
   

   • این تنظیمات اجازه نمی‌دهند که اندازه فایل‌های آپلودی بیشتر از 10MB باشد.

2.2 تنظیم فیلترهای WAF با استفاده از Cloudflare

Cloudflare یکی از معروف‌ترین سرویس‌دهندگان WAF است که می‌تواند برای محافظت در برابر حملات وب استفاده شود. Cloudflare از فیلترهای WAF و قوانین پیش‌ساخته برای شناسایی و مسدود کردن فایل‌های آپلودی مشکوک استفاده می‌کند.

1. تنظیم محدودیت‌های نوع فایل در Cloudflare:برای بررسی و مسدود کردن انواع خاص فایل‌ها می‌توان از Custom WAF Rules در Cloudflare استفاده کرد. به‌عنوان مثال، برای مسدود کردن فایل‌های با پسوندهای خاص می‌توان از قانون زیر استفاده کرد:
   1. به داشبورد Cloudflare وارد شوید.
   2. به بخش Firewall > WAF بروید.
   3. یک قانون جدید ایجاد کنید:
      • قانون: URL Path Contains (در صورتی که URL شما شامل نام فایل آپلودی باشد) یا Content-Type Contains (برای شناسایی نوع فایل‌ها).
      • عملیات: Block (مسدود کردن درخواست‌های مشکوک).

   به‌عنوان مثال، قانون زیر فایل‌های با پسوند‌های خطرناک مانند .php, .exe, و .jsp را مسدود می‌کند:

   Content-Type contains "multipart/form-data" AND (
   filename contains ".php" OR
   filename contains ".exe" OR
   filename contains ".jsp"
   )
   

   در این پیکربندی، هر فایلی که با این پسوندها آپلود شود، مسدود خواهد شد.

2. بررسی محتوای فایل‌ها در Cloudflare:برای اسکن فایل‌های آپلودی از نظر بدافزار یا کد مخرب، می‌توانید از قابلیت Cloudflare’s File Upload Security استفاده کنید. این قابلیت شامل اسکنرهای امنیتی است که می‌توانند محتوای فایل‌ها را بررسی کنند.Cloudflare به طور خودکار فایل‌های آپلودی را از نظر وجود ویروس‌ها یا بدافزارها اسکن کرده و در صورت شناسایی هرگونه تهدید، فایل را مسدود می‌کند.

3. استفاده از سیستم‌های تحلیل ترافیک و تهدیدات در زمان واقعی

بسیاری از WAF‌ها از سیستم‌های تحلیلی تهدیدات در زمان واقعی استفاده می‌کنند که می‌توانند فایل‌های آپلودی را بررسی کرده و فایل‌های مشکوک را شناسایی کنند. این سیستم‌ها به‌طور مداوم فایل‌های آپلودی را اسکن کرده و در صورت شناسایی هرگونه تهدید، اقدامات پیشگیرانه را انجام می‌دهند.

---

 جمع‌بندی

تنظیم فیلترهای WAF برای بررسی آپلودهای مشکوک یک راهکار بسیار مؤثر در امنیت وب‌سرورها است. با استفاده از ModSecurity و Cloudflare می‌توانید انواع فایل‌های مشکوک را شناسایی و مسدود کنید. این اقدامات به همراه اسکن محتوای فایل‌ها و محدود کردن حجم فایل‌ها می‌توانند امنیت سرور شما را افزایش دهند و از خطرات احتمالی مانند SQL Injection، XSS و DoS جلوگیری کنند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه استفاده از Immunify360 Upload Scanner برای بررسی فایل‌های آپلود شده” subtitle=”توضیحات کامل”]Immunify360 یکی از راهکارهای امنیتی پیشرفته برای سرورهای لینوکس است که به طور خاص برای شناسایی، پیشگیری و درمان تهدیدات امنیتی در سرورهای وب طراحی شده است. یکی از ویژگی‌های مهم Immunify360، Upload Scanner است که برای بررسی و شناسایی فایل‌های آپلودی مخرب به کار می‌رود. این ابزار می‌تواند به طور خودکار فایل‌های آپلود شده توسط کاربران را اسکن کرده و فایل‌های مشکوک را شناسایی و مسدود کند.

در این بخش از آموزش های ارائه شده توسط فرازنتورک، نحوه تنظیم و استفاده از Immunify360 Upload Scanner برای اسکن فایل‌های آپلودی را بررسی می‌کنیم و تنظیمات و پیکربندی‌های لازم را با جزئیات کامل همراه با مثال‌های عملی ارائه می‌دهیم.

---

1. نصب و پیکربندی Immunify360

قبل از اینکه از Upload Scanner استفاده کنیم، ابتدا باید Immunify360 را نصب کنیم. برای نصب و پیکربندی این ابزار، از دستورالعمل‌های زیر استفاده کنید.

1.1 نصب Immunify360 بر روی سرور

برای نصب Immunify360، مراحل زیر را دنبال کنید:

1. دانلود و نصب Immunify360:وارد سرور خود شوید و دستور زیر را برای دانلود و نصب Immunify360 وارد کنید:

   wget https://repo.imunify360.com/installer.sh
   bash installer.sh
   

   این دستور اسکریپت نصب را دانلود کرده و اجرای آن Immunify360 را روی سرور شما نصب خواهد کرد.

2. فعال کردن Immunify360:پس از نصب، باید Immunify360 را فعال کرده و تنظیمات اولیه را انجام دهید:

   systemctl start imunify360
   systemctl enable imunify360
   

   این دستور Immunify360 را راه‌اندازی کرده و آن را به صورت خودکار در هنگام راه‌اندازی مجدد سرور فعال می‌کند.

---

2. پیکربندی Upload Scanner برای اسکن فایل‌های آپلودی

بعد از نصب و فعال‌سازی Immunify360، حالا می‌توانیم به پیکربندی Upload Scanner بپردازیم تا فایل‌های آپلود شده توسط کاربران را اسکن کنیم.

2.1 پیکربندی Upload Scanner از طریق فایل پیکربندی

1. مسیر فایل پیکربندی:تنظیمات مربوط به اسکنر فایل‌های آپلودی در Immunify360 در فایل پیکربندی زیر قرار دارد:

   /etc/imunify360/config/config.yaml
   

   این فایل شامل تنظیمات مختلفی است که می‌توانید آن‌ها را برای بررسی فایل‌های آپلودی و اسکن کردن آن‌ها تغییر دهید.

2. افزودن تنظیمات برای اسکن آپلودها:برای فعال کردن اسکنر فایل‌های آپلودی، باید بخش مربوطه را در فایل پیکربندی تنظیم کنید. برای این کار، فایل پیکربندی را ویرایش کنید:

   nano /etc/imunify360/config/config.yaml
   

   در این فایل، بخش‌های مختلفی وجود دارد که تنظیمات Upload Scanner در آن قرار دارد. برای فعال کردن اسکن آپلودها، موارد زیر را به فایل اضافه یا ویرایش کنید:

   file_uploads: true
   scan_file_uploads: true
   scan_file_types:
     - php
     - exe
     - jsp
     - asp
     - sh
   max_file_size: 10MB
   quarantine_on_detect: true
   

   توضیحات تنظیمات:

   • file_uploads: true: این گزینه اسکن آپلودها را فعال می‌کند.
   • scan_file_uploads: true: این تنظیم برای اسکن فایل‌های آپلودی به‌طور فعال است.
   • scan_file_types: این لیست انواع فایل‌هایی که باید اسکن شوند را مشخص می‌کند.
   • max_file_size: حداکثر حجم مجاز برای فایل‌های آپلودی را تعیین می‌کند.
   • quarantine_on_detect: اگر فایل مشکوکی شناسایی شد، آن فایل به قرنطینه منتقل می‌شود.
3. ذخیره و اعمال تغییرات:پس از ویرایش فایل، تغییرات را ذخیره کرده و فایل را ببندید. برای اعمال تغییرات، سرور Immunify360 را راه‌اندازی مجدد کنید:

   systemctl restart imunify360
   

---

3. مدیریت فایل‌های مشکوک و قرنطینه

یکی از ویژگی‌های مهم Immunify360، توانایی قرنطینه کردن فایل‌های مشکوک است. به محض اینکه فایل مشکوکی شناسایی شود، به طور خودکار به قرنطینه منتقل می‌شود تا از تاثیرات منفی آن بر روی سیستم جلوگیری شود.

3.1 مشاهده و مدیریت فایل‌های قرنطینه‌شده

برای مشاهده فایل‌های قرنطینه‌شده، می‌توانید از رابط گرافیکی یا دستورات خط فرمان استفاده کنید. برای مشاهده فایل‌های قرنطینه‌شده از طریق خط فرمان، از دستور زیر استفاده کنید:

imunify360 quarantine list

این دستور لیستی از فایل‌های قرنطینه‌شده را به شما نمایش می‌دهد. اگر بخواهید یک فایل خاص را از قرنطینه خارج کنید یا آن را حذف کنید، می‌توانید از دستورات زیر استفاده کنید:

• خارج کردن فایل از قرنطینه:

  imunify360 quarantine restore <file_path>
  

• حذف فایل از قرنطینه:

  imunify360 quarantine delete <file_path>
  

3.2 پیکربندی تنظیمات قرنطینه در فایل پیکربندی

شما می‌توانید تنظیمات مربوط به قرنطینه را در فایل پیکربندی config.yaml نیز تغییر دهید. برای مثال:

quarantine_directory: /var/imunify360/quarantine
quarantine_expiry: 30d

• quarantine_directory: مسیر پوشه‌ای که فایل‌های قرنطینه‌شده در آن قرار می‌گیرند.
• quarantine_expiry: مدت زمانی که فایل‌ها در قرنطینه نگهداری می‌شوند (برای مثال 30 روز).

---

4. مشاهده گزارش‌ها و تحلیل

برای مشاهده گزارش‌ها و تحلیل فایل‌های آپلودی و فعالیت‌های انجام‌شده توسط Upload Scanner، می‌توانید از گزارش‌های موجود در سیستم استفاده کنید. این گزارش‌ها به‌طور معمول در مسیر زیر ذخیره می‌شوند:

/var/log/imunify360/imunify360.log

برای بررسی گزارش‌های اسکن فایل‌های آپلودی و شناسایی فایل‌های مشکوک، از دستور زیر استفاده کنید:

grep "file_upload" /var/log/imunify360/imunify360.log

این دستور تمامی گزارش‌های مربوط به فایل‌های آپلودی و فعالیت‌های اسکن را نشان می‌دهد.

---

جمع‌بندی

استفاده از Immunify360 Upload Scanner برای اسکن فایل‌های آپلودی یک راهکار موثر برای جلوگیری از تهدیدات امنیتی مانند بدافزارها و کدهای مخرب است. با پیکربندی صحیح این ابزار، می‌توانید فایل‌های مشکوک را شناسایی کرده و از تاثیرات منفی آن‌ها جلوگیری کنید. تنظیمات Upload Scanner در فایل پیکربندی Immunify360 قابل تنظیم است و می‌توان انواع فایل‌های مشکوک، حجم فایل‌ها و نحوه مدیریت فایل‌های قرنطینه‌شده را به دلخواه تغییر داد. همچنین، با استفاده از گزارش‌ها و ابزارهای تحلیل، می‌توان به‌طور دقیق به بررسی عملکرد اسکنر و شناسایی تهدیدات پرداخت.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 6. بررسی و مدیریت قرنطینه (Quarantine)”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه دسترسی به فایل‌های قرنطینه‌شده در Immunify360″ subtitle=”توضیحات کامل”]در Immunify360، زمانی که یک فایل مشکوک یا آلوده شناسایی می‌شود، به طور خودکار به قرنطینه منتقل می‌شود تا از انتشار تهدیدات جلوگیری شود. دسترسی به فایل‌های قرنطینه‌شده و مدیریت آن‌ها از طریق رابط گرافیکی یا دستورات خط فرمان قابل انجام است. در این بخش، نحوه دسترسی به فایل‌های قرنطینه‌شده و مدیریت آن‌ها را بررسی خواهیم کرد.

---

1. دسترسی به فایل‌های قرنطینه‌شده از طریق رابط گرافیکی

1. ورود به پنل مدیریتی Immunify360: ابتدا به رابط وب Immunify360 وارد شوید. برای این کار، آدرس پنل مدیریتی را در مرورگر خود وارد کنید. این آدرس معمولاً به شکل زیر است:

   https://your-server-ip:8080
   

   پس از وارد کردن اطلاعات ورود، وارد پنل مدیریتی خواهید شد.

2. رفتن به بخش قرنطینه: در پنل مدیریتی Immunify360، به بخش Malware بروید. در این بخش، گزینه‌ای به نام Quarantine وجود دارد که فایل‌های قرنطینه‌شده در آن لیست شده‌اند.
3. مشاهده فایل‌های قرنطینه‌شده: در این بخش، شما می‌توانید تمامی فایل‌های مشکوکی که به قرنطینه منتقل شده‌اند را مشاهده کنید. برای هر فایل، اطلاعاتی مانند مسیر فایل، تاریخ شناسایی و وضعیت فعلی (قرنطینه‌شده یا حذف‌شده) نمایش داده می‌شود.
4. عملیات روی فایل‌های قرنطینه‌شده: در این بخش می‌توانید عملیات مختلفی را انجام دهید:
   • بازیابی فایل: برای بازگرداندن فایل از قرنطینه به محل اصلی خود.
   • حذف فایل: برای حذف فایل از سیستم.
   • بررسی بیشتر: برای انجام بررسی‌های بیشتر و مشاهده اطلاعات دقیق‌تر.

---

2. دسترسی به فایل‌های قرنطینه‌شده از طریق خط فرمان

برای دسترسی و مدیریت فایل‌های قرنطینه‌شده از طریق خط فرمان، از دستورات زیر استفاده کنید.

1. مشاهده فایل‌های قرنطینه‌شده:برای مشاهده فایل‌های قرنطینه‌شده، از دستور زیر استفاده کنید:

   imunify360 quarantine list
   

   این دستور لیستی از فایل‌های قرنطینه‌شده را به شما نمایش می‌دهد که شامل اطلاعاتی نظیر نام فایل، مسیر، تاریخ شناسایی و وضعیت آن‌ها است.

2. مشاهده جزئیات فایل قرنطینه‌شده:اگر بخواهید جزئیات بیشتری در مورد یک فایل خاص بدست آورید، از دستور زیر استفاده کنید:

   imunify360 quarantine info <file_path>
   

   این دستور اطلاعات دقیق‌تری در مورد فایل مورد نظر ارائه می‌دهد.

3. بازیابی فایل از قرنطینه:اگر بخواهید فایلی را از قرنطینه بازیابی کنید، از دستور زیر استفاده کنید:

   imunify360 quarantine restore <file_path>
   

   این دستور فایل قرنطینه‌شده را به محل اصلی خود باز می‌گرداند.

4. حذف فایل از قرنطینه:برای حذف فایل از قرنطینه و سیستم، دستور زیر را وارد کنید:

   imunify360 quarantine delete <file_path>
   

   این دستور فایل را به‌طور دائم از قرنطینه و سیستم حذف خواهد کرد.

---

3. پیکربندی مسیر قرنطینه

مسیر پیش‌فرض قرنطینه فایل‌ها در Immunify360 معمولاً در پوشه زیر قرار دارد:

/var/imunify360/quarantine

این پوشه محل ذخیره‌سازی فایل‌های قرنطینه‌شده است و می‌توانید فایل‌ها را مستقیماً از این پوشه بررسی کنید. همچنین، می‌توانید مسیر این پوشه را در فایل پیکربندی config.yaml تغییر دهید.

برای تغییر مسیر قرنطینه، فایل پیکربندی را ویرایش کنید:

nano /etc/imunify360/config/config.yaml

سپس گزینه زیر را تغییر دهید:

quarantine_directory: /new/path/to/quarantine

پس از اعمال تغییرات، برای اعمال تنظیمات جدید، سرویس Immunify360 را ری‌استارت کنید:

systemctl restart imunify360

---

 جمع‌بندی

دسترسی به فایل‌های قرنطینه‌شده در Immunify360 یکی از ویژگی‌های حیاتی این ابزار است که امکان مدیریت فایل‌های مشکوک را به‌طور مستقیم از رابط گرافیکی یا خط فرمان فراهم می‌کند. با استفاده از دستورات خط فرمان یا رابط وب، شما می‌توانید فایل‌های مشکوک را مشاهده، بازیابی یا حذف کنید و همچنین مسیر قرنطینه را به دلخواه تغییر دهید. این قابلیت به شما کمک می‌کند تا تهدیدات امنیتی را به‌طور مؤثری مدیریت و کنترل کنید و از آسیب‌های ناشی از فایل‌های آلوده جلوگیری کنید.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی و ترمیم فایل‌های سالم از قرنطینه” subtitle=”توضیحات کامل”]پس از شناسایی و قرنطینه فایل‌های مشکوک یا آلوده در سیستم‌های امنیتی مانند Immunify360، ممکن است برخی از این فایل‌ها در واقع بی‌خطر و سالم باشند. در این صورت، نیاز به بازگرداندن یا ترمیم این فایل‌ها به سیستم اصلی داریم. در این بخش، نحوه بررسی و ترمیم فایل‌های سالم از قرنطینه را بررسی خواهیم کرد.

---

1. دسترسی به فایل‌های قرنطینه‌شده در Immunify360

برای شروع، باید به فایل‌های قرنطینه‌شده در Immunify360 دسترسی پیدا کنیم. این فایل‌ها معمولاً در دایرکتوری خاصی ذخیره می‌شوند که به شما امکان مدیریت آن‌ها را می‌دهد.

1. مشاهده فایل‌های قرنطینه‌شده: فایل‌های قرنطینه‌شده در مسیر /var/imunify360/quarantine/ قرار دارند. برای مشاهده این فایل‌ها، از دستور زیر استفاده کنید:

   ls -l /var/imunify360/quarantine/
   

2. دسترسی به جزئیات فایل‌های قرنطینه‌شده: برای مشاهده جزئیات بیشتر در مورد هر فایل، می‌توانید از دستور file برای شناسایی نوع فایل استفاده کنید:

   file /var/imunify360/quarantine/filename
   

3. بررسی وضعیت فایل‌ها: شما می‌توانید از ابزارهای Immunify360 برای مشاهده وضعیت و اطلاعات مربوط به فایل‌های قرنطینه‌شده استفاده کنید. برای این کار، دستور زیر را اجرا کنید:

   imunify360 quarantine list
   

   این دستور، لیستی از فایل‌های قرنطینه‌شده به همراه وضعیت آن‌ها و علت قرنطینه را نمایش می‌دهد.

---

2. بررسی سالم بودن فایل‌ها

پس از دسترسی به فایل‌های قرنطینه‌شده، برای ترمیم و بازگرداندن آن‌ها، ابتدا باید اطمینان حاصل کنید که فایل‌های مورد نظر در واقع آلوده نیستند. این بررسی‌ها معمولاً با استفاده از ابزارهای مختلف امنیتی و اسکنرهای بدافزار انجام می‌شود.

1. اسکن فایل‌ها با Immunify360: برای بررسی اینکه آیا فایل‌ها سالم هستند یا خیر، می‌توانید از ابزار Immunify360 Malware Scanner استفاده کنید. برای اسکن یک فایل خاص، دستور زیر را وارد کنید:

   imunify360 scan /var/imunify360/quarantine/filename
   

   این دستور فایل را دوباره اسکن کرده و نتایج را به شما نمایش می‌دهد.

2. اسکن فایل‌ها با ClamAV: اگر بخواهید فایل‌های قرنطینه‌شده را با یک اسکنر دیگر مانند ClamAV بررسی کنید، دستور زیر را وارد کنید:

   clamscan /var/imunify360/quarantine/filename
   

   این اسکنر می‌تواند فایل‌ها را برای شناسایی ویروس‌ها و بدافزارها بررسی کند.

---

3. ترمیم یا بازگرداندن فایل‌های سالم

اگر مشخص شود که فایل‌ها سالم هستند، می‌توانید آن‌ها را از قرنطینه خارج کرده و به سیستم اصلی بازگردانید.

1. بازگرداندن فایل از قرنطینه: برای بازگرداندن یک فایل سالم به مکان اصلی خود، می‌توانید از دستور زیر استفاده کنید:

   imunify360 quarantine restore /var/imunify360/quarantine/filename
   

   این دستور فایل سالم را از دایرکتوری قرنطینه خارج کرده و به مکان اصلی آن بازمی‌گرداند.

2. انتقال فایل به یک دایرکتوری دیگر: در صورتی که بخواهید فایل را به دایرکتوری دیگری انتقال دهید، دستور زیر را استفاده کنید:

   mv /var/imunify360/quarantine/filename /path/to/destination/
   

   به جای /path/to/destination/ مسیر دایرکتوری مقصد را وارد کنید.

3. حذف فایل‌های قرنطینه‌شده که آلوده نیستند: پس از بازگرداندن فایل‌های سالم، اگر تصمیم به حذف فایل‌های قرنطینه‌شده دارید (که آلوده نبودند)، از دستور زیر استفاده کنید:

   rm /var/imunify360/quarantine/filename
   

   این دستور فایل را از دایرکتوری قرنطینه حذف خواهد کرد.

---

4. جلوگیری از قرنطینه فایل‌های سالم در آینده

برای جلوگیری از قرنطینه شدن فایل‌های سالم در آینده، می‌توانید تنظیمات Immunify360 را به گونه‌ای پیکربندی کنید که فایل‌هایی با ویژگی‌های خاص (مانند اندازه یا نوع خاص فایل) از اسکن و قرنطینه‌شدن مستثنا شوند.

1. تنظیمات Immunify360 برای استثناهای فایل: فایل‌های خاصی که به‌طور مداوم سالم شناسایی می‌شوند را می‌توان به لیست استثناها اضافه کرد. برای این کار، به پیکربندی Immunify360 بروید و فایل config.yaml را ویرایش کنید:

   nano /etc/imunify360/config/config.yaml
   

   سپس، بخش مربوط به استثناها را پیدا کرده و فایل‌های مورد نظر را در آن وارد کنید.

2. استفاده از ویژگی Whitelist: برای جلوگیری از اسکن فایل‌های خاص در Immunify360، می‌توانید از ویژگی Whitelist استفاده کنید. این ویژگی به شما این امکان را می‌دهد که فایل‌ها یا دایرکتوری‌هایی که مطمئن هستید سالم هستند را از اسکن مستثنا کنید.

---

 جمع‌بندی

بررسی و ترمیم فایل‌های سالم از قرنطینه نیازمند بررسی دقیق فایل‌ها با استفاده از ابزارهای مختلف و اسکن مجدد آن‌ها برای اطمینان از عدم وجود بدافزار است. پس از این مراحل، می‌توان فایل‌ها را به سیستم بازگرداند و از تکرار چنین مشکلاتی در آینده با تنظیم استثناها و استفاده از Whitelist جلوگیری کرد. این فرایند باعث می‌شود که فایل‌های سالم به اشتباه قرنطینه نشوند و به‌طور مؤثر به سیستم بازگردند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”حذف یا بازگردانی فایل‌های قرنطینه‌شده بر اساس گزارش‌های اسکن” subtitle=”توضیحات کامل”]در سیستم امنیتی Immunify360، فایل‌ها پس از شناسایی به‌عنوان بدافزار یا تهدیدات امنیتی به قرنطینه منتقل می‌شوند. در صورتی که فایل‌ها به اشتباه شناسایی شده باشند یا پس از اسکن دوباره مشخص شود که فایل‌ها تهدیدی ندارند، می‌توان آن‌ها را بازگردانی یا حذف کرد. این فرآیند باید بر اساس گزارش‌های اسکن و ارزیابی دقیق تهدیدات صورت گیرد. در این بخش نحوه حذف یا بازگردانی فایل‌های قرنطینه‌شده بر اساس گزارش‌های اسکن توضیح داده می‌شود.

---

1. بررسی گزارش‌های اسکن

گام اول در حذف یا بازگرداندن فایل‌های قرنطینه‌شده، بررسی دقیق گزارش‌های اسکن است تا اطمینان حاصل شود که آیا فایل‌های قرنطینه‌شده هنوز به‌عنوان تهدید شناسایی می‌شوند یا خیر.

1. مشاهده گزارش‌های اسکن اخیر: برای مشاهده گزارش‌های اسکن اخیر و بررسی فایل‌های قرنطینه‌شده، می‌توانید از دستور زیر استفاده کنید:

   imunify360 scan report
   

   این دستور لیست تمام فایل‌هایی که به‌عنوان تهدید شناسایی شده‌اند را نمایش می‌دهد. از این لیست می‌توانید تشخیص دهید که کدام فایل‌ها به اشتباه در قرنطینه قرار گرفته‌اند و کدام‌یک واقعاً آلوده هستند.

2. مشاهده جزئیات هر فایل قرنطینه‌شده: برای بررسی جزئیات بیشتر در مورد هر فایل قرنطینه‌شده، از دستور زیر استفاده کنید:

   imunify360 quarantine info <file_path>
   

   این دستور به شما اطلاعات دقیق‌تری از جمله مسیر فایل و تاریخ شناسایی آن را ارائه می‌دهد.

---

2. بازگرداندن فایل‌های سالم به سرور

در صورتی که یک فایل سالم به اشتباه به قرنطینه منتقل شده باشد، می‌توانید آن را از قرنطینه بازیابی کنید.

1. بازگرداندن فایل از قرنطینه: برای بازیابی یک فایل سالم از قرنطینه، دستور زیر را اجرا کنید:

   imunify360 quarantine restore <file_path>
   

   این دستور فایل را به مسیر اصلی‌اش برمی‌گرداند و آن را از قرنطینه آزاد می‌کند.

---

3. حذف فایل‌های آلوده از قرنطینه

اگر گزارش‌های اسکن نشان دهند که فایل‌ها همچنان به‌عنوان تهدید شناسایی می‌شوند، باید آن‌ها را از سرور حذف کرد تا امنیت سیستم حفظ شود.

1. حذف فایل‌های آلوده از قرنطینه: برای حذف یک فایل آلوده از قرنطینه، از دستور زیر استفاده کنید:

   imunify360 quarantine delete <file_path>
   

   این دستور فایل آلوده را به‌طور کامل از قرنطینه و سیستم حذف می‌کند.

2. حذف چندین فایل آلوده: اگر می‌خواهید چندین فایل آلوده را هم‌زمان حذف کنید، می‌توانید از یک اسکریپت برای حذف خودکار همه فایل‌های آلوده استفاده کنید. به‌عنوان مثال، دستور زیر تمام فایل‌های آلوده را حذف می‌کند:

   imunify360 quarantine list | awk '{print $1}' | xargs -I {} imunify360 quarantine delete {}
   

   این دستور ابتدا لیست تمام فایل‌های قرنطینه‌شده را دریافت کرده و سپس همه فایل‌های آلوده را حذف می‌کند.

---

4. استفاده از گزارش‌های اسکن برای تنظیم مجدد قوانین

برای جلوگیری از اشتباهات مشابه در آینده، ممکن است بخواهید تنظیمات اسکن و قوانین تشخیص بدافزارها را تنظیم کنید. این تنظیمات می‌توانند به بهبود دقت شناسایی تهدیدات کمک کنند.

1. تنظیم قوانین اسکن: برای بهینه‌سازی فرآیند شناسایی تهدیدات، فایل پیکربندی config.yaml را ویرایش کنید:

   nano /etc/imunify360/config/config.yaml
   

   در این فایل می‌توانید حساسیت اسکن و قوانین شناسایی بدافزارها را تغییر دهید.

---

 جمع‌بندی

حذف یا بازگرداندن فایل‌های قرنطینه‌شده بر اساس گزارش‌های اسکن به شما این امکان را می‌دهد که فایل‌های سالم را از قرنطینه بازگردانید و فایل‌های آلوده را از سیستم حذف کنید. ابتدا با بررسی دقیق گزارش‌های اسکن، فایل‌های صحیح را از آلوده تشخیص دهید. سپس فایل‌های سالم را بازیابی کرده و فایل‌های آلوده را از سیستم حذف کنید. برای جلوگیری از اشتباهات مشابه در آینده، تنظیمات اسکن و قوانین تشخیص بدافزارها را بهینه‌سازی کنید تا فرآیند شناسایی تهدیدات دقیق‌تر و موثرتر باشد.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 7. افزایش امنیت با ابزارهای اضافی”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”ترکیب Immunify360 با ModSecurity برای کنترل سطح دسترسی به فایل‌ها” subtitle=”توضیحات کامل”]ترکیب Immunify360 و ModSecurity به عنوان یک راه‌حل امنیتی جامع، می‌تواند به شما کمک کند تا سطح دسترسی به فایل‌ها را به دقت کنترل کرده و از تهدیدات مختلف مانند حملات SQL Injection، XSS، فیشینگ و دیگر حملات متداول جلوگیری کنید. در این بخش، نحوه ترکیب این دو ابزار برای کنترل سطح دسترسی به فایل‌ها به‌صورت دقیق و کارآمد توضیح داده می‌شود.

---

1. نصب و پیکربندی ModSecurity

قبل از هر چیز، باید اطمینان حاصل کنید که ModSecurity به درستی روی وب‌سرور شما نصب و پیکربندی شده است. برای نصب و پیکربندی ModSecurity مراحل زیر را دنبال کنید.

1. نصب ModSecurity بر روی سرور: بسته به وب‌سرور شما (Apache یا Nginx)، می‌توانید از دستورات زیر برای نصب ModSecurity استفاده کنید.برای Apache:

   sudo apt-get install libapache2-mod-security2
   

   برای Nginx:

   sudo apt-get install libnginx-mod-http-modsecurity
   

2. فعال‌سازی ModSecurity در Apache: پس از نصب، ModSecurity به‌طور پیش‌فرض غیرفعال است. برای فعال‌سازی آن دستور زیر را اجرا کنید:

   sudo a2enmod security2
   

   سپس، Apache را ریستارت کنید:

   sudo systemctl restart apache2
   

3. فعال‌سازی ModSecurity در Nginx: برای فعال‌سازی ModSecurity در Nginx، باید فایل پیکربندی nginx.conf را ویرایش کنید و این خط را به آن اضافه کنید:

   include /etc/nginx/modsec/modsecurity.conf;
   

   پس از آن، سرویس Nginx را ریستارت کنید:

   sudo systemctl restart nginx
   

---

2. تنظیم قواعد ModSecurity

برای کنترل سطح دسترسی به فایل‌ها، باید از قواعد ModSecurity استفاده کنید. این قواعد می‌توانند درخواست‌ها و آپلودهای مشکوک به فایل‌ها را شناسایی کرده و آن‌ها را مسدود کنند.

1. بارگذاری قواعد استاندارد ModSecurity: برای استفاده از قواعد استاندارد، ابتدا باید فایل OWASP ModSecurity Core Rule Set (CRS) را دانلود و بارگذاری کنید. این مجموعه شامل قواعد امنیتی عمومی است که از حملات مختلف جلوگیری می‌کند.برای دانلود و نصب این مجموعه، دستور زیر را وارد کنید:

   cd /etc/modsecurity/
   sudo wget https://github.com/coreruleset/coreruleset/releases/download/v3.3.0/crs-3.3.0.tar.gz
   sudo tar -xvzf crs-3.3.0.tar.gz
   sudo cp crs-3.3.0/crs-setup.conf.example /etc/modsecurity/crs-setup.conf
   

2. پیکربندی فایل‌های قواعد: در فایل پیکربندی modsecurity.conf، تنظیمات مربوط به استفاده از قواعد CRS را اضافه کنید. برای این کار باید فایل modsecurity.conf را ویرایش کنید:

   sudo nano /etc/modsecurity/modsecurity.conf
   

   سپس، موارد زیر را در آن قرار دهید تا از قواعد CRS استفاده کنید:

   Include /etc/modsecurity/crs-3.3.0/*.conf
   

3. اضافه کردن قواعد خاص برای کنترل آپلود فایل: برای کنترل دقیق‌تر سطح دسترسی به فایل‌ها، باید قواعد خاصی برای آپلودهای مشکوک اضافه کنید. به‌عنوان مثال، می‌توانید قواعدی برای مسدود کردن آپلود فایل‌هایی با پسوندهای مشکوک مثل .exe، .php، .sh و غیره ایجاد کنید.برای انجام این کار، فایل modsecurity.conf را باز کرده و دستورات زیر را اضافه کنید:

   SecRule FILES_TMPNAMES "@rx \.(php|exe|sh|jsp)$" \
   "id:10001,deny,msg:'Suspicious file type uploaded.'"
   SecRule REQUEST_METHOD "@rx POST" \
   "phase:2,t:none,chain,deny,log,msg:'Suspicious file uploaded.'"
   SecRule ARGS:upload_file "@rx \.(php|exe|sh|jsp)$" \
   "id:10002,deny,msg:'Suspicious file extension detected.'"
   

   این قواعد باعث مسدود شدن فایل‌هایی با پسوند مشکوک در هنگام آپلود خواهند شد.

---

3. ادغام Immunify360 با ModSecurity

برای بهره‌برداری از هر دو سیستم امنیتی، باید Immunify360 را طوری پیکربندی کنید که از قابلیت‌های ModSecurity در کنترل فایل‌های آپلود شده بهره ببرد.

1. تنظیم Immunify360 برای استفاده از ModSecurity: ابتدا مطمئن شوید که Immunify360 به‌طور کامل نصب و پیکربندی شده است. سپس باید اطمینان حاصل کنید که پیکربندی‌های ModSecurity در Immunify360 فعال است.برای این کار، به مسیر پیکربندی Immunify360 بروید و فایل config.yaml را ویرایش کنید:

   nano /etc/imunify360/config/config.yaml
   

   سپس، تنظیمات مربوط به ModSecurity را پیدا کرده و به‌صورت زیر پیکربندی کنید:

   modsecurity_enabled: true
   

2. ترکیب فرآیندهای اسکن و بررسی فایل‌ها: هنگامی که فایل‌ها از طریق Immunify360 بررسی می‌شوند، در صورتی که مشکلی در فایل آپلودی شناسایی شود، ابتدا ModSecurity آن فایل را مسدود می‌کند. سپس، Immunify360 فایل را برای شناسایی بدافزارهای احتمالی اسکن می‌کند. این کار موجب حفاظت بیشتر از سرور شما خواهد شد.

---

 جمع‌بندی

ترکیب Immunify360 با ModSecurity می‌تواند یک لایه امنیتی قدرتمند برای کنترل سطح دسترسی به فایل‌ها و جلوگیری از حملات مختلف در وب‌سرور شما فراهم کند. با نصب و پیکربندی صحیح این دو ابزار، می‌توانید از آپلود فایل‌های مشکوک جلوگیری کرده و امنیت وب‌سایت خود را تقویت کنید. این ترکیب نه تنها از آپلود فایل‌های تهدیدآمیز جلوگیری می‌کند، بلکه می‌تواند برای شناسایی و مسدود کردن دیگر حملات معروف نیز استفاده شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”استفاده از ClamAV به‌عنوان یک لایه امنیتی اضافی” subtitle=”توضیحات کامل”]ClamAV یکی از معروف‌ترین ابزارهای متن‌باز برای شناسایی و حذف بدافزارها است. این ابزار قادر است انواع مختلفی از تهدیدات از جمله ویروس‌ها، تروجان‌ها، کرم‌ها، و بدافزارهای دیگر را شناسایی کند. در این بخش، نحوه استفاده از ClamAV به‌عنوان یک لایه امنیتی اضافی برای بهبود حفاظت از فایل‌ها و سرورها توضیح داده می‌شود.

---

1. نصب ClamAV

برای استفاده از ClamAV ابتدا باید این ابزار را روی سرور نصب کنید. بسته به نوع سیستم‌عامل خود، دستور نصب متفاوت است.

• در سیستم‌عامل‌های مبتنی بر Debian/Ubuntu:

  sudo apt update
  sudo apt install clamav clamav-daemon
  

• در سیستم‌عامل‌های مبتنی بر CentOS/RHEL:

  sudo yum install epel-release
  sudo yum install clamav clamav-update
  

پس از نصب، سرویس ClamAV به‌طور خودکار راه‌اندازی نمی‌شود و باید به‌صورت دستی آن را راه‌اندازی کنید.

---

2. به‌روزرسانی پایگاه داده ClamAV

برای اطمینان از شناسایی جدیدترین تهدیدات، باید پایگاه داده ویروس‌ها را به‌روزرسانی کنید. برای این کار از دستور زیر استفاده کنید:

sudo freshclam

این دستور پایگاه داده ClamAV را به‌روز می‌کند. freshclam به‌صورت خودکار هر روز به‌روزرسانی‌ها را بررسی می‌کند، اما می‌توانید آن را به‌صورت دستی نیز اجرا کنید.

---

3. اسکن دستی فایل‌ها با ClamAV

برای انجام اسکن دستی و بررسی یک دایرکتوری خاص یا فایل‌ها برای بدافزارها، از دستور زیر استفاده کنید:

clamscan -r /path/to/directory

در این دستور، -r به معنی اسکن کردن دایرکتوری‌ها به صورت بازگشتی است. به جای /path/to/directory می‌توانید مسیر دایرکتوری مورد نظر خود را وارد کنید.

برای اسکن تنها یک فایل خاص، دستور زیر را استفاده کنید:

clamscan /path/to/file

اگر بخواهید فایل‌های آلوده شناسایی‌شده را به‌طور خودکار حذف کنید، از گزینه --remove استفاده کنید:

clamscan -r --remove /path/to/directory

این دستور فایل‌های آلوده را شناسایی کرده و آن‌ها را حذف می‌کند.

---

4. تنظیم اسکن خودکار با Cron

برای داشتن یک لایه امنیتی اضافی و اجرای اسکن‌های دوره‌ای، می‌توانید از Cron برای تنظیم اسکن خودکار با ClamAV استفاده کنید.

1. ویرایش Cron Job:برای اجرای اسکن روزانه با ClamAV، ابتدا باید Cron را پیکربندی کنید:

   crontab -e
   

2. اضافه کردن اسکن روزانه:در ویرایشگر باز شده، دستور زیر را اضافه کنید تا اسکن خودکار هر روز ساعت 3 صبح انجام شود:

   0 3 * * * /usr/bin/clamscan -r /path/to/directory --log=/var/log/clamav/scan.log
   

   این دستور اسکن خودکار را انجام می‌دهد و نتایج اسکن را در فایل لاگ /var/log/clamav/scan.log ذخیره می‌کند.

---

5. ادغام ClamAV با وب‌سرور

برای استفاده از ClamAV به‌عنوان یک لایه امنیتی اضافی در کنار وب‌سرور، به‌ویژه در زمانی که فایل‌ها از طریق فرم‌های آپلود ارسال می‌شوند، می‌توانید از ClamAV به‌عنوان یک اسکنر آپلود استفاده کنید.

1. پیکربندی ClamAV برای اسکن فایل‌های آپلودی:اگر از وب‌سروری مانند Apache یا Nginx استفاده می‌کنید، می‌توانید از یک اسکریپت PHP یا Perl برای بررسی فایل‌های آپلود شده استفاده کنید. این اسکریپت‌ها باید از ClamAV برای اسکن فایل‌ها قبل از ذخیره‌سازی استفاده کنند.

   به عنوان مثال، برای بررسی فایل‌های آپلودی در یک اسکریپت PHP، می‌توانید از دستور زیر استفاده کنید:

   <?php
   $file = '/path/to/uploaded/file';
   $result = shell_exec("clamscan $file");
   echo $result;
   ?>
   

   این اسکریپت فایل آپلودی را به ClamAV ارسال کرده و نتیجه اسکن را نمایش می‌دهد.

---

6. مشاهده و بررسی گزارش‌های ClamAV

برای مشاهده نتایج اسکن‌های ClamAV، می‌توانید فایل‌های لاگ اسکن را بررسی کنید. به‌طور پیش‌فرض، ClamAV لاگ‌ها را در مسیر /var/log/clamav ذخیره می‌کند. برای مشاهده لاگ‌ها، دستور زیر را وارد کنید:

cat /var/log/clamav/scan.log

این گزارش شامل جزئیاتی در مورد فایل‌های شناسایی‌شده به‌عنوان آلوده است و شما می‌توانید براساس آن تصمیم بگیرید که اقداماتی مانند حذف فایل‌ها یا قرنطینه آن‌ها را انجام دهید.

---

 جمع‌بندی

استفاده از ClamAV به‌عنوان یک لایه امنیتی اضافی می‌تواند به طور مؤثری خطرات ناشی از بدافزارها را کاهش دهد. با نصب و پیکربندی آن، می‌توانید فایل‌ها و سیستم خود را در برابر تهدیدات جدید محافظت کنید. اسکن‌های دوره‌ای و خودکار، همراه با ادغام ClamAV با وب‌سرورها برای اسکن فایل‌های آپلودی، کمک می‌کند که از تهدیدات امنیتی جلوگیری شود. همچنین، با بررسی و تحلیل گزارش‌های اسکن، می‌توانید اقدامات لازم را برای حذف یا بازگرداندن فایل‌های آلوده انجام دهید.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نظارت بر فایل‌ها با inotify برای دریافت هشدارهای لحظه‌ای تغییرات” subtitle=”توضیحات کامل”]inotify ابزاری در سیستم‌عامل لینوکس است که به شما این امکان را می‌دهد که تغییرات در فایل‌ها و دایرکتوری‌ها را در زمان واقعی (real-time) شناسایی کنید. با استفاده از inotify، می‌توانید هشدارهای لحظه‌ای دریافت کنید تا از تغییرات ناخواسته یا مشکوک در فایل‌ها و پوشه‌ها آگاه شوید. این ابزار بسیار مفید است برای نظارت بر فایل‌های حساس، شناسایی تلاش‌های دسترسی غیرمجاز، یا نظارت بر تغییرات در سیستم‌عامل‌ها و برنامه‌ها.

---

1. نصب inotify-tools

برای استفاده از inotify در لینوکس، ابتدا باید ابزار inotify-tools را نصب کنید. این ابزار شامل دستورات خط فرمان برای استفاده از inotify است.

• در سیستم‌عامل‌های مبتنی بر Debian/Ubuntu:

  sudo apt update
  sudo apt install inotify-tools
  

• در سیستم‌عامل‌های مبتنی بر CentOS/RHEL:

  sudo yum install inotify-tools
  

---

2. استفاده از inotifywait برای نظارت بر تغییرات فایل‌ها

دستور inotifywait یکی از دستورات اصلی inotify است که می‌تواند برای نظارت بر تغییرات فایل‌ها یا دایرکتوری‌ها به‌صورت آنی استفاده شود. این دستور امکان نظارت بر رویدادهای مختلف از جمله ایجاد، حذف، تغییر، باز کردن یا بستن فایل‌ها را فراهم می‌کند.

مثال دستور برای نظارت بر یک فایل یا دایرکتوری خاص:

inotifywait -m /path/to/directory

در این دستور:

• -m به معنای “حالت نظارتی ماندگار” است که به inotify اجازه می‌دهد تا به طور مداوم به نظارت ادامه دهد.

برای نظارت بر تغییرات یک فایل خاص:

inotifywait -m /path/to/file

در صورتی که بخواهید در مورد رویدادهای خاص مانند ایجاد، حذف یا تغییر فایل‌ها هشدار بگیرید، می‌توانید از گزینه‌های خاصی استفاده کنید:

inotifywait -m -e modify,create,delete /path/to/directory

در این دستور:

• -e modify برای نظارت بر تغییرات فایل‌ها (modifications).
• -e create برای نظارت بر ایجاد فایل‌ها.
• -e delete برای نظارت بر حذف فایل‌ها.

---

3. اجرای اسکریپت برای هشدار هنگام تغییر فایل‌ها

می‌توانید با استفاده از inotifywait یک اسکریپت بنویسید که در صورت تغییر فایل، یک اقدام خاص را انجام دهد. به عنوان مثال، می‌توانید در صورتی که یک فایل خاص تغییر کرد، یک ایمیل ارسال کنید یا گزارشی از تغییرات تهیه کنید.

مثال یک اسکریپت برای ارسال هشدار زمانی که یک فایل تغییر می‌کند:

#!/bin/bash
inotifywait -m -e modify /path/to/file |
while read path _ file; do
  echo "File '$file' at '$path' was modified at $(date)" | mail -s "File Change Alert" admin@example.com
done

در این اسکریپت:

• inotifywait -m -e modify /path/to/file برای نظارت بر تغییرات در یک فایل خاص استفاده می‌شود.
• هر زمان که فایل تغییر کند، یک ایمیل به آدرس admin@example.com ارسال می‌شود.

---

4. نظارت بر چندین فایل و دایرکتوری

با استفاده از inotifywait می‌توانید چندین دایرکتوری یا فایل را به طور همزمان نظارت کنید. برای این کار، کافی است که مسیرهای مختلف را به دستور اضافه کنید:

inotifywait -m -e modify,create,delete /path/to/directory1 /path/to/directory2

این دستور تغییرات در هر دو دایرکتوری /path/to/directory1 و /path/to/directory2 را نظارت می‌کند.

---

5. ایجاد یک فایل لاگ برای تغییرات

برای ذخیره‌سازی تمامی تغییرات به‌طور دائم، می‌توانید خروجی دستورات inotifywait را به یک فایل لاگ هدایت کنید. این کار می‌تواند برای پیگیری تغییرات و تجزیه و تحلیل آن‌ها در آینده مفید باشد.

inotifywait -m -e modify,create,delete /path/to/directory > /var/log/inotify_changes.log

با این دستور، هر تغییری که در دایرکتوری /path/to/directory ایجاد شود، در فایل لاگ /var/log/inotify_changes.log ذخیره خواهد شد.

---

6. نظارت بر تغییرات در فایل‌های حساس

برای نظارت بر فایل‌های حساس مانند فایل‌های پیکربندی سیستم (مثلاً config.php یا فایل‌های سیستم‌عامل) می‌توانید دستور inotifywait را برای نظارت بر تغییرات این فایل‌ها استفاده کنید.

مثال برای نظارت بر تغییرات در فایل‌های حساس:

inotifywait -m -e modify /path/to/config.php

این دستور نظارت بر تغییرات در فایل config.php را فعال می‌کند و در صورتی که تغییراتی در این فایل اعمال شود، هشدار می‌دهد.

---

 جمع‌بندی

با استفاده از inotify، می‌توانید به‌راحتی بر تغییرات فایل‌ها و دایرکتوری‌ها نظارت کرده و هشدارهای آنی دریافت کنید. این ابزار به‌ویژه در سرورهای لینوکسی مفید است تا تغییرات غیرمجاز یا مشکوک در فایل‌های حساس شناسایی و مدیریت شوند. با استفاده از دستورات inotifywait، می‌توانید اسکریپت‌هایی بنویسید که در صورت تغییرات خاص، اقدامات مورد نظر مانند ارسال ایمیل یا ذخیره‌سازی لاگ‌ها را انجام دهند. inotify یک ابزار قدرتمند برای نظارت بر تغییرات در زمان واقعی است که به شما در مدیریت امنیت فایل‌ها و دایرکتوری‌های حساس کمک می‌کند.

 

 [/cdb_course_lesson][/cdb_course_lessons][cdb_course_lessons title=”بخش 7. تنظیمات ضد اسپم”][cdb_course_lesson title=”فصل 1. مقدمه‌ای بر قابلیت‌های ضد اسپم در Immunify360″][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”اهمیت استفاده از Anti-Spam در سرور” subtitle=”توضیحات کامل”]Anti-Spam به مجموعه‌ای از تکنیک‌ها و ابزارها گفته می‌شود که برای شناسایی، جلوگیری و حذف ایمیل‌های اسپم (هرزنامه) از سرورها و سیستم‌ها طراحی شده‌اند. در دنیای دیجیتال امروز، ایمیل‌ها یکی از رایج‌ترین و پرکاربردترین روش‌های ارتباطی هستند، اما در عین حال هدفی برای حملات اسپم، فیشینگ و سایر حملات اینترنتی می‌باشند. استفاده از Anti-Spam در سرور از اهمیت ویژه‌ای برخوردار است، زیرا می‌تواند امنیت سرور و کاربران را حفظ کند، کارایی سرور را بهبود بخشد و تجربه کاربری را ارتقا دهد.

در ادامه، به بررسی دلایل و مزایای استفاده از Anti-Spam در سرور می‌پردازیم.

---

1. جلوگیری از حملات فیشینگ و بدافزارها

یکی از اصلی‌ترین اهداف استفاده از Anti-Spam جلوگیری از ارسال و دریافت ایمیل‌های اسپم است که به طور معمول حاوی لینک‌ها و پیوست‌های مخرب می‌باشند. این لینک‌ها و پیوست‌ها ممکن است به بدافزارها، تروجان‌ها و سایر تهدیدات امنیتی منجر شوند. ایمیل‌های اسپم می‌توانند سیستم‌ها و داده‌های حساس را در معرض خطر قرار دهند.

با فعال کردن سیستم‌های Anti-Spam، می‌توان این ایمیل‌های مخرب را شناسایی و از دریافت آنها جلوگیری کرد. این کار از حملات فیشینگ نیز جلوگیری می‌کند، زیرا ایمیل‌های فیشینگ معمولاً به‌طور دقیق مشابه ایمیل‌های واقعی به نظر می‌رسند.

---

2. کاهش بار اضافی بر سرور و افزایش کارایی

ایمیل‌های اسپم می‌توانند بار اضافی زیادی بر سرور ایجاد کنند. این ایمیل‌ها بدون هیچ‌گونه کاربرد مفیدی ارسال می‌شوند و منابع سرور را برای ارسال یا دریافت آنها مصرف می‌کنند. استفاده از Anti-Spam باعث کاهش حجم ترافیک غیرضروری شده و به سرور اجازه می‌دهد تا به وظایف اصلی خود رسیدگی کند.

این کاهش بار به خصوص در سرورهایی که مسئول ارسال یا دریافت ایمیل‌های تجاری یا کاری هستند، بسیار مهم است، زیرا افزایش بار سرور می‌تواند موجب کاهش عملکرد و کارایی سیستم شود.

---

3. محافظت از اعتبار دامنه و آدرس‌های ایمیل

اگر ایمیل‌های اسپم از دامنه یا آدرس ایمیل شما ارسال شوند، ممکن است باعث سیاه‌لیست شدن دامنه شما توسط سرویس‌های ایمیل مانند Gmail، Yahoo و سایر سرویس‌دهندگان بزرگ شوند. این موضوع می‌تواند تأثیر منفی بر اعتبار کسب‌وکار شما و قابلیت ارسال ایمیل‌های قانونی و تجاری به مشتریان داشته باشد.

استفاده از Anti-Spam کمک می‌کند تا ایمیل‌های اسپم به سرعت شناسایی و مسدود شوند، بنابراین آدرس‌ها و دامنه‌های شما از سیاه‌لیست‌ها جلوگیری کرده و اعتبار خود را حفظ می‌کنند.

---

4. افزایش امنیت شبکه

ایمیل‌های اسپم نه‌تنها به سرور آسیب می‌زنند بلکه می‌توانند شبکه را نیز در معرض تهدیدات قرار دهند. بسیاری از ایمیل‌های اسپم حاوی لینک‌های مشکوک به سایت‌های فیشینگ یا مخرب هستند که در صورت کلیک شدن توسط کاربر، می‌توانند شبکه و سیستم‌های داخلی را آلوده کنند.

نصب و پیکربندی صحیح Anti-Spam باعث جلوگیری از ارسال چنین ایمیل‌هایی به سرور و شبکه می‌شود، که به نوبه خود امنیت کلی سازمان و کاربران را حفظ می‌کند.

---

5. بهبود تجربه کاربری

ایمیل‌های اسپم برای کاربران بسیار آزاردهنده هستند، زیرا این ایمیل‌ها می‌توانند صندوق ورودی را پر کنند و دسترسی به ایمیل‌های مهم و ضروری را دشوار کنند. با استفاده از Anti-Spam، می‌توانید از ورود این ایمیل‌ها به صندوق ورودی جلوگیری کنید و تجربه کاربری بهتری برای کاربران فراهم آورید.

همچنین، با کاهش تعداد ایمیل‌های اسپم، کاربران می‌توانند به سرعت به ایمیل‌های واقعی پاسخ دهند و وظایف خود را به طور مؤثرتر انجام دهند.

---

6. شناسایی و مدیریت ایمیل‌های اسپم با استفاده از الگوریتم‌های پیشرفته

Anti-Spam های مدرن از الگوریتم‌های پیشرفته‌ای مانند یادگیری ماشین (Machine Learning) و هوش مصنوعی (AI) برای شناسایی الگوهای ایمیل‌های اسپم استفاده می‌کنند. این الگوریتم‌ها می‌توانند ایمیل‌های مشکوک را بر اساس ویژگی‌هایی مانند عنوان ایمیل، محتوای متن، لینک‌ها، پیوست‌ها و غیره شناسایی کنند.

این ابزارها به صورت خودکار می‌توانند ایمیل‌های اسپم را شناسایی کرده و آنها را از سایر ایمیل‌ها جدا کنند، بنابراین نیازی به نظارت دستی ندارید.

---

7. مدیریت بهتر ترافیک ایمیل

Anti-Spam کمک می‌کند تا ترافیک ایمیل از ترافیک اسپم جدا شده و سرور قادر باشد تنها ایمیل‌های مفید را پردازش کند. این کار باعث می‌شود که پردازش ایمیل‌ها سریع‌تر و کاراتر انجام شود و زمان و منابع سیستم برای پردازش ایمیل‌های نادرست و بی‌فایده هدر نرود.

---

8. پیکربندی و یکپارچگی با سایر ابزارهای امنیتی

استفاده از Anti-Spam در سرور می‌تواند با سایر ابزارهای امنیتی مانند Firewall، Antivirus و Intrusion Detection Systems (IDS) یکپارچه شود تا حفاظت جامع‌تری از سیستم‌ها و داده‌های شما ارائه دهد. این یکپارچگی می‌تواند به شناسایی سریع‌تر و جلوگیری از تهدیدات جدید کمک کند.

---

جمع‌بندی

استفاده از Anti-Spam در سرور بسیار ضروری است زیرا می‌تواند از حملات فیشینگ، بدافزارها و تهدیدات دیگر جلوگیری کند. این ابزار همچنین بار اضافی بر سرور را کاهش می‌دهد، امنیت شبکه را تقویت می‌کند، اعتبار دامنه و آدرس‌های ایمیل را حفظ می‌کند و تجربه کاربری بهتری برای کاربران فراهم می‌آورد. با استفاده از الگوریتم‌های پیشرفته و یکپارچگی با سایر ابزارهای امنیتی، Anti-Spam می‌تواند به عنوان یک لایه امنیتی حیاتی در جلوگیری از تهدیدات و حفاظت از سرور عمل کند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”معرفی قابلیت‌های ضد اسپم Immunify360″ subtitle=”توضیحات کامل”]Imunify360 یکی از کامل‌ترین و پیشرفته‌ترین راهکارهای امنیتی برای سرورهای لینوکسی به‌ویژه در هاستینگ‌های اشتراکی است. این سیستم امنیتی نه تنها قابلیت محافظت در برابر بدافزارها، حملات Brute Force، اسکن آسیب‌پذیری‌ها و فایروال برنامه‌های وب (WAF) را دارد، بلکه مجموعه‌ای از ابزارهای قدرتمند برای شناسایی، جلوگیری و مقابله با اسپم و ارسال ایمیل‌های غیرمجاز از سرور نیز در اختیار شما قرار می‌دهد.

در ادامه به معرفی کامل قابلیت‌های ضد اسپم Imunify360 به همراه مسیرهای پیکربندی و مثال‌های عملی پرداخته می‌شود.

---

1. شناسایی ارسال‌های اسپم از داخل سرور

Imunify360 با تحلیل الگوهای ارسال ایمیل از سرور، می‌تواند رفتارهای مشکوک مانند ارسال تعداد زیاد ایمیل در بازه زمانی کوتاه، ارسال به لیست‌های ناشناخته، و استفاده از قالب‌های مشکوک (همراه لینک‌های مخرب یا محتوای فیشینگ) را شناسایی کند.

پس از شناسایی، این ارسال‌ها در قسمت “Proactive Defense / Incidents” قابل مشاهده هستند و می‌توان ارسال‌کننده (کاربر یا فرآیند) را بلاک یا محدود کرد.

---

2. بررسی لاگ‌های اسپم و هشداردهی در صورت ارسال مشکوک

مسیر فایل لاگ‌های ارسال ایمیل:

/var/log/exim_mainlog

برای مانیتورینگ ارسال‌های مشکوک می‌توانید از دستور زیر استفاده کنید:

grep -i "spam" /var/log/exim_mainlog | tail -n 50

همچنین لاگ‌های مربوط به تصمیمات Imunify360 در مسیر زیر ثبت می‌شوند:

/var/log/imunify360/console.log

---

3. بلاک کردن اسکریپت‌های PHP که اقدام به ارسال اسپم می‌کنند

Imunify360 دارای مکانیزمی به نام Proactive Defense است که اجرای کدهای PHP را به‌صورت بلادرنگ بررسی می‌کند. اگر کدی شناسایی شود که سعی در ارسال اسپم یا استفاده از توابع مشکوک مانند mail() یا fsockopen() داشته باشد، بلافاصله جلوی اجرای آن گرفته شده و فایل قرنطینه می‌شود.

برای فعال‌سازی این ویژگی:

imunify360-agent config update '{"PROACTIVE_DEFENSE": {"MODE": "KILL"}}'

---

4. نمایش و کنترل اسپم از طریق پنل Imunify360 در WHM/cPanel

در کنترل‌پنل WHM (برای مدیر سرور)، از مسیر زیر می‌توانید به بخش‌های ضد اسپم دسترسی داشته باشید:

WHM → Plugins → Imunify360 → Malware Scanner / Incidents / Proactive Defense

در این بخش، می‌توانید ببینید کدام فایل‌ها یا کاربران اقدام به ارسال اسپم کرده‌اند و اقدامات اصلاحی انجام دهید: شامل قرنطینه فایل، بلاک یوزر، یا بررسی روند ارسال‌ها.

---

5. توقف سرویس ارسال ایمیل برای کاربران متخلف

اگر Imunify360 کاربری را به‌عنوان اسپمر شناسایی کند، می‌تواند به صورت خودکار سرویس ارسال ایمیل آن کاربر را غیرفعال کند. این قابلیت برای جلوگیری از اسپمینگ در هاست‌های اشتراکی بسیار کاربردی است.

دستور CLI برای غیرفعال کردن دستی SMTP برای کاربر مشخص:

/scripts/smtpmailrestriction enable username

و فعال‌سازی مجدد:

/scripts/smtpmailrestriction disable username

---

6. هماهنگی با ClamAV و MailScanner

Imunify360 می‌تواند با ClamAV برای بررسی فایل‌های پیوست ایمیل‌ها هماهنگ شود. این همکاری امکان اسکن دقیق محتوای ایمیل‌ها برای شناسایی اسپم یا بدافزار را فراهم می‌کند.

فعال‌سازی ClamAV در cPanel:

yum install clamav clamd -y

سپس کانفیگ آن با MailScanner انجام می‌شود. این موارد از طریق WHM نیز قابل مدیریت هستند.

---

7. جلوگیری از Blacklist شدن IP سرور

یکی از مشکلات رایج در سرورهای لینوکسی مخصوصاً هاستینگ‌ها، اسپمینگ پنهان (Stealth Spam) است که باعث Blacklist شدن IP سرور می‌شود. Imunify360 با مانیتورینگ مداوم فعالیت SMTP و رفتار ایمیل‌ها، از این اتفاق جلوگیری می‌کند.

همچنین با اتصال به سرویس‌هایی مانند Spamhaus و Barracuda، در صورت شناسایی اسپم سریعاً اقدام به بلاک می‌کند.

---

8. ارسال گزارش‌های اسپم به مدیر سرور

برای ارسال هشدارهای اسپم به مدیر سرور، باید آدرس ایمیل ادمین در تنظیمات Imunify360 وارد شده باشد:

imunify360-agent config update '{"ADMIN_CONTACTS": ["admin@example.com"]}'

همچنین گزارش‌های اسپم در مسیر زیر نگهداری می‌شوند و می‌توانند برای بررسی دستی یا ارسال به ابزارهای مانیتورینگ خارجی مانند SIEM استفاده شوند:

/var/log/imunify360/antispam.log

---

جمع‌بندی

Imunify360 با ارائه مجموعه‌ای از قابلیت‌های پیشرفته و بلادرنگ برای شناسایی، مسدودسازی و هشداردهی اسپم، یکی از قدرتمندترین ابزارها برای حفظ سلامت ایمیل‌ سرور است. از کنترل دقیق اسکریپت‌های PHP تا بررسی لاگ‌های ارسال، قرنطینه فایل‌ها و جلوگیری از بلاک شدن IP سرور، همه و همه در جهت ارائه یک محیط امن و بدون اسپم طراحی شده‌اند. برای حداکثر اثربخشی، پیشنهاد می‌شود Imunify360 با ابزارهایی مانند ClamAV، MailScanner، CSF و Exim به‌صورت یکپارچه پیکربندی شود.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 2. فعال‌سازی و تنظیمات اولیه ضد اسپم”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه فعال‌سازی Anti-Spam در پنل مدیریت” subtitle=”توضیحات کامل”]Imunify360 علاوه بر قابلیت‌های ضد بدافزار و فایروال، دارای یک ماژول قوی ضد اسپم (Anti-Spam) است که به‌صورت یکپارچه با سرویس ایمیل سرور (مانند Exim در cPanel یا Postfix در DirectAdmin) کار می‌کند و می‌تواند فعالیت‌های مشکوک ایمیل را به‌صورت خودکار شناسایی و مسدود کند.

در این بخش، مراحل کامل فعال‌سازی و پیکربندی Anti-Spam از طریق پنل مدیریت و همچنین تنظیمات CLI و مسیر فایل‌های پیکربندی به‌صورت کامل بیان شده‌اند.

---

1. فعال‌سازی Anti-Spam از طریق رابط گرافیکی (WHM/cPanel)

اگر از WHM استفاده می‌کنید:

1. وارد WHM شوید.
2. از منوی سمت چپ به مسیر زیر بروید:

   Plugins → Imunify360
   

3. پس از باز شدن داشبورد Imunify360، به تب Settings بروید.
4. سپس از تب بالا گزینه Antispam را انتخاب کنید.
5. در این بخش می‌توانید گزینه‌های زیر را فعال نمایید:
   • Enable Outbound Spam Protection (فعال‌سازی مانیتورینگ ارسال ایمیل)
   • Automatically block when spam threshold is reached (مسدودسازی خودکار)
   • Send notification to admin (ارسال ایمیل هشدار)
6. پس از انجام تغییرات، روی دکمه Apply Changes کلیک کنید.

---

2. فعال‌سازی از طریق خط فرمان (CLI)

برای فعال‌سازی Anti-Spam و تنظیمات آن به‌صورت کامندی، می‌توانید از دستورات زیر استفاده کنید.

مسیر پیکربندی:

/etc/imunify360/imunify360.config

فعال‌سازی از طریق CLI:

imunify360-agent config update '{"ANTISPAM": {"ENABLED": true}}'

فعال‌سازی مسدودسازی خودکار:

imunify360-agent config update '{"ANTISPAM": {"BLOCK_ON_THRESHOLD": true}}'

تعریف ایمیل ادمین برای هشدار:

imunify360-agent config update '{"ADMIN_CONTACTS": ["admin@example.com"]}'

---

3. تنظیم حد آستانه اسپم

در این قسمت می‌توانید تعیین کنید پس از چه تعداد ارسال مشکوک، کاربر یا دامنه بلاک شود:

imunify360-agent config update '{"ANTISPAM": {"OUTBOUND_SPAM_THRESHOLD": 200}}'

که در این مثال، اگر کاربری بیش از 200 ایمیل مشکوک ارسال کند، به‌صورت خودکار بلاک خواهد شد.

---

4. مشاهده وضعیت Anti-Spam

برای بررسی وضعیت فعال یا غیرفعال بودن سیستم ضد اسپم:

imunify360-agent config show | grep ANTISPAM

---

5. باز کردن فایل پیکربندی و بررسی دستی

در صورتی که نیاز به بررسی یا ویرایش مستقیم فایل پیکربندی داشته باشید:

nano /etc/imunify360/imunify360.config

در این فایل، بخشی به شکل زیر وجود دارد:

"ANTISPAM": {
    "ENABLED": true,
    "BLOCK_ON_THRESHOLD": true,
    "OUTBOUND_SPAM_THRESHOLD": 200
}

در پایان فایل را ذخیره کرده و سرویس را ری‌استارت کنید:

systemctl restart imunify360

---

6. تست عملکرد و مشاهده گزارش‌ها

گزارش‌های مرتبط با عملکرد Anti-Spam در مسیر زیر قابل مشاهده است:

/var/log/imunify360/antispam.log

برای بررسی سریع:

tail -f /var/log/imunify360/antispam.log

---

جمع‌بندی

فعال‌سازی Anti-Spam در Imunify360 نه‌تنها از اسپم جلوگیری می‌کند، بلکه با نظارت بلادرنگ، مسدودسازی خودکار و هشدار به مدیران سرور، از بلاک شدن IP و سواستفاده از سرور جلوگیری می‌نماید. این تنظیمات هم از طریق رابط گرافیکی WHM و هم خط فرمان قابل انجام هستند و امکان سفارشی‌سازی کامل بر اساس نیاز سرور را فراهم می‌کنند. پیشنهاد می‌شود این قابلیت را حتماً در کنار سیستم‌های دیگر مانند CSF و MailScanner فعال نگه دارید تا امنیت ایمیل سرور تضمین شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”پیکربندی اولیه فیلترهای ضد اسپم” subtitle=”توضیحات کامل”]برای افزایش امنیت ایمیل‌های خروجی و جلوگیری از ارسال اسپم از سرور، Imunify360 قابلیت‌های گسترده‌ای در زمینه‌ی فیلترسازی و تحلیل رفتار ایمیل‌ها ارائه می‌دهد. فیلترهای ضد اسپم نه‌تنها از خروج ایمیل‌های مشکوک جلوگیری می‌کنند، بلکه مانع بلاک شدن IP سرور در لیست‌های سیاه (RBLs) می‌شوند.

در این بخش، به بررسی کامل مراحل پیکربندی اولیه فیلترهای ضد اسپم از طریق پنل گرافیکی و خط فرمان پرداخته می‌شود.

---

1. پیکربندی از طریق رابط گرافیکی (WHM / DirectAdmin)

مسیر در WHM:

WHM → Plugins → Imunify360 → Settings → Anti-Spam

مراحل:

1. ورود به پنل WHM و انتخاب گزینه Imunify360.
2. رفتن به تب Settings و سپس بخش Anti-Spam.
3. در این بخش تنظیمات اولیه شامل موارد زیر را فعال کنید:
   • Enable Outbound Spam Protection
   • Enable automatic user blocking
   • Spam threshold (مثلاً: 200 ایمیل مشکوک در ساعت)
   • Enable alert notifications to admin
4. تنظیم دامنه‌هایی که نیاز به نظارت شدیدتری دارند (در صورت نیاز).
5. ذخیره تنظیمات با کلیک روی Apply.

---

2. پیکربندی از طریق خط فرمان (CLI)

مسیر فایل پیکربندی:

/etc/imunify360/imunify360.config

برای پیکربندی اولیه از CLI، مراحل زیر را طی کنید:

فعال‌سازی ماژول ضد اسپم:

imunify360-agent config update '{"ANTISPAM": {"ENABLED": true}}'

فعال‌سازی بلاک خودکار کاربران:

imunify360-agent config update '{"ANTISPAM": {"BLOCK_ON_THRESHOLD": true}}'

تعیین آستانه ارسال اسپم:

imunify360-agent config update '{"ANTISPAM": {"OUTBOUND_SPAM_THRESHOLD": 200}}'

تنظیم ایمیل ادمین برای دریافت هشدار:

imunify360-agent config update '{"ADMIN_CONTACTS": ["security@yourdomain.com"]}'

مشاهده وضعیت کنونی پیکربندی فیلتر اسپم:

imunify360-agent config show | grep ANTISPAM

---

3. ویرایش دستی فایل پیکربندی

اگر ترجیح دارید مستقیماً فایل پیکربندی را ویرایش کنید، دستور زیر را اجرا نمایید:

nano /etc/imunify360/imunify360.config

نمونه تنظیمات پیشنهادی در فایل:

"ANTISPAM": {
    "ENABLED": true,
    "BLOCK_ON_THRESHOLD": true,
    "OUTBOUND_SPAM_THRESHOLD": 200
},
"ADMIN_CONTACTS": ["security@yourdomain.com"]

پس از ذخیره تغییرات، سرویس Imunify360 را ریستارت کنید:

systemctl restart imunify360

---

4. تنظیم دسترسی محدود برای ارسال ایمیل PHP

برای محدودسازی ارسال ایمیل از طریق اسکریپت‌های PHP مشکوک، می‌توانید این قابلیت را فعال کنید:

imunify360-agent config update '{"ANTISPAM": {"BLOCK_PHP_MAIL": true}}'

و در فایل پیکربندی /etc/imunify360/imunify360.config این گزینه را هم اضافه کنید:

"BLOCK_PHP_MAIL": true

---

5. بررسی لاگ‌های ضد اسپم

فایل‌های لاگ مربوط به ماژول ضد اسپم در مسیر زیر ذخیره می‌شوند:

/var/log/imunify360/antispam.log

برای مشاهده زنده لاگ:

tail -f /var/log/imunify360/antispam.log

---

 جمع‌بندی

با انجام پیکربندی اولیه فیلترهای ضد اسپم در Imunify360، یک سد امنیتی مؤثر در برابر خروج هرزنامه از سرور خود ایجاد می‌کنید. این پیکربندی نه‌تنها موجب کاهش احتمال بلاک شدن IP سرور می‌شود، بلکه کنترل بهتری بر رفتارهای مشکوک کاربران و اسکریپت‌ها فراهم می‌سازد. پیشنهاد می‌شود که در کنار این پیکربندی، از سیستم‌های هشدار و مانیتورینگ ایمیل نیز استفاده شود.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 3. بررسی و مدیریت پیام‌های اسپم”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه مشاهده پیام‌های بلاک‌شده در Imunify360″ subtitle=”توضیحات کامل”]Imunify360 نه تنها حملات و فعالیت‌های مشکوک را به‌صورت لحظه‌ای شناسایی می‌کند، بلکه پیام‌های بلاک‌شده توسط فایروال یا آنتی‌ویروس خود را در لاگ‌ها ذخیره می‌کند. این پیام‌ها شامل تلاش‌های ناموفق برای ورود، حملات Brute-force، آپلود بدافزار، ارسال اسپم، و دسترسی‌های غیرمجاز به فایل‌ها یا اسکریپت‌ها هستند.

در این بخش، مراحل مشاهده پیام‌های بلاک‌شده از طریق رابط گرافیکی و خط فرمان (CLI) با جزئیات کامل و مسیرهای مربوط به لاگ‌ها توضیح داده می‌شود.

---

1. مشاهده از طریق رابط گرافیکی (WHM / DirectAdmin)

مسیر در WHM:

WHM → Plugins → Imunify360 → Dashboard → Security Events

مراحل:

1. ورود به WHM یا DirectAdmin.
2. انتخاب Imunify360 از قسمت پلاگین‌ها.
3. ورود به تب Security Events.
4. در این بخش لیست کاملی از رویدادهای بلاک شده نمایش داده می‌شود که می‌توانید بر اساس:
   • تاریخ
   • آدرس IP
   • نوع حمله (Brute Force, Malware, Web Attack, Spam)
   • مسیر فایل آسیب‌دیده یا مسدود شده
     آن‌ها را فیلتر و بررسی کنید.
5. با کلیک روی هر رویداد، جزئیات بیشتری مانند:
   • اسکریپت یا فایل درگیر
   • نام کاربر
   • نتیجه اقدام دفاعی (Blocked, Quarantined, Removed) مشاهده خواهد شد.

---

2. مشاهده پیام‌های بلاک‌شده از طریق خط فرمان (CLI)

مسیر اصلی لاگ‌ها:

/var/log/imunify360/console.log
/var/log/imunify360/antivirus.log
/var/log/imunify360/ids.log
/var/log/imunify360/blocked.log

بررسی سریع تمام لاگ‌های امنیتی:

grep "Blocked" /var/log/imunify360/console.log

یا برای دیدن فقط لاگ بلاک‌شده‌های آنتی‌ویروس:

cat /var/log/imunify360/antivirus.log | grep "blocked"

لاگ IDS برای حملات شبکه‌ای:

tail -f /var/log/imunify360/ids.log

بررسی پیام‌های بلاک‌شده براساس IP:

grep "Blocked" /var/log/imunify360/console.log | grep "192.168.1.100"

---

3. بررسی پیام‌های بلاک‌شده با استفاده از Imunify360 Agent

Imunify360 دارای ابزار CLI برای بررسی رویدادها است.

مشاهده 10 رویداد امنیتی اخیر:

imunify360-agent events list --limit 10

فیلتر براساس IP مشخص:

imunify360-agent events list --ip 203.0.113.10

فیلتر براساس نوع حمله:

imunify360-agent events list --attack-type malware

نمایش رویدادهای خاص توسط کاربر خاص:

imunify360-agent events list --user testuser

---

4. بررسی پیام‌های بلاک‌شده مربوط به ایمیل/اسپم

برای بررسی پیام‌های اسپم بلاک شده توسط ماژول ضد اسپم، مسیر لاگ‌ها:

/var/log/imunify360/antispam.log

مشاهده آخرین پیام‌های بلاک شده:

tail -f /var/log/imunify360/antispam.log

---

5. تنظیم ارسال خودکار پیام‌های بلاک‌شده به ایمیل مدیر

برای ثبت خودکار این گزارش‌ها و ارسال به مدیران سیستم، فایل زیر را ویرایش کنید:

مسیر فایل پیکربندی:

/etc/imunify360/imunify360.config

افزودن/ویرایش بخش:

"ADMIN_CONTACTS": ["security@yourdomain.com"],
"LOG_REPORTS": {
  "ENABLED": true,
  "INTERVAL": "daily"
}

ذخیره تنظیمات و ریستارت:

systemctl restart imunify360

---

 جمع‌بندی

برای نظارت کامل بر وضعیت امنیتی سرور، بررسی منظم پیام‌های بلاک‌شده در Imunify360 از اهمیت زیادی برخوردار است. این اطلاعات کمک می‌کنند تا الگوهای حمله شناسایی شده و اقدامات پیشگیرانه مؤثرتری برای مقابله با تهدیدات آینده اتخاذ شود. استفاده از لاگ‌ها در کنار رابط گرافیکی و CLI امکان تحلیل دقیق‌تر و گزارش‌گیری ساختارمندتر را فراهم می‌کند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی لاگ‌های مربوط به پیام‌های اسپم” subtitle=”توضیحات کامل”]در سرورهایی که Imunify360 فعال است، ماژول ضداسپم این ابزار می‌تواند پیام‌های ناخواسته و مخرب را شناسایی و بلاک کند. برای تحلیل این پیام‌ها، دسترسی به لاگ‌های مرتبط و درک ساختار آن‌ها ضروری است. در این بخش، به‌صورت کامل و کاربردی بررسی لاگ‌های اسپم، مسیرهای ذخیره‌سازی، فیلترسازی، و تحلیل آن‌ها از طریق خط فرمان و ابزارهای موجود شرح داده می‌شود.

---

1. مسیر فایل لاگ پیام‌های اسپم در سرور

فایل مربوط به گزارش‌های اسپم Imunify360 در مسیر زیر قرار دارد:

/var/log/imunify360/antispam.log

این فایل شامل اطلاعات دقیق در مورد:

• پیام‌های مشکوک به اسپم
• آدرس IP ارسال‌کننده
• دامنه فرستنده
• گیرنده
• امتیاز Spam (Spam Score)
• نتیجه نهایی (Blocked, Allowed, Tagged)

---

2. نمایش پیام‌های اسپم به‌صورت زنده (Real-Time)

برای مشاهده لحظه‌ای پیام‌هایی که به‌عنوان اسپم شناسایی شده‌اند:

tail -f /var/log/imunify360/antispam.log

---

3. بررسی پیام‌های بلاک شده در یک بازه زمانی

برای مثال بررسی پیام‌هایی که امروز بلاک شده‌اند:

grep "$(date +'%Y-%m-%d')" /var/log/imunify360/antispam.log | grep "Blocked"

---

4. فیلتر کردن پیام‌های اسپم بر اساس آدرس IP

اگر بخواهید بدانید آیا یک IP خاص اقدام به ارسال اسپم کرده یا خیر:

grep "203.0.113.25" /var/log/imunify360/antispam.log

---

5. استخراج پیام‌هایی که بالاترین Spam Score را دارند

برای مثال، پیام‌هایی که امتیاز اسپم آن‌ها بالای 5 است (در صورتی که در لاگ‌ها با spam_score=5.0 نمایش داده می‌شود):

grep "spam_score=" /var/log/imunify360/antispam.log | awk -F"spam_score=" '{print $2}' | awk '{if ($1 > 5) print}'

یا مشاهده جزئیات مربوط به پیام‌های بلاک‌شده با Spam Score بالا:

grep "spam_score=" /var/log/imunify360/antispam.log | grep -E "spam_score=([6-9]|[1-9][0-9]+)"

---

6. جستجوی پیام‌های اسپم بر اساس گیرنده یا دامنه مقصد

مثال برای بررسی اینکه آیا ایمیل خاصی هدف حملات اسپم بوده:

grep "user@example.com" /var/log/imunify360/antispam.log

---

7. گزارش‌گیری ساختاری از لاگ‌های اسپم

برای ایجاد یک گزارش ساده از IPهایی که بیشترین تعداد پیام اسپم ارسال کرده‌اند:

grep "Blocked" /var/log/imunify360/antispam.log | awk '{print $6}' | sort | uniq -c | sort -nr | head -20

---

8. لاگ‌گیری از اسپم‌های بلاک‌شده و ذخیره در فایل جداگانه برای تحلیل آینده

grep "Blocked" /var/log/imunify360/antispam.log > /var/log/imunify360/spam_blocked_report_$(date +%F).log

---

9. نمایش ساختار هر ورودی در antispam.log

ورودی‌های این فایل معمولا به‌صورت زیر هستند:

2025-04-06 12:45:32 [INFO] Blocked spam message from IP: 203.0.113.25, domain:
 spammer.com, spam_score=7.2, recipient: user@example.com

این ساختار شامل:

• تاریخ و زمان
• وضعیت بلاک
• IP فرستنده
• دامنه فرستنده
• امتیاز اسپم
• گیرنده پیام

---

 جمع‌بندی

برای مقابله مؤثر با حملات اسپم و شناسایی منابع آن‌ها، بررسی لاگ‌های مرتبط در مسیر /var/log/imunify360/antispam.log بسیار ضروری است. با استفاده از ابزارهای خط فرمان می‌توان پیام‌های مشکوک را تحلیل کرد، الگوهای حمله را شناخت و اقدامات پیشگیرانه‌ای مانند بلاک‌کردن IPهای مشکوک یا محدود کردن دسترسی به سرور ایمیل را پیاده‌سازی نمود. این تحلیل‌ها به افزایش امنیت و کاهش بار ناخواسته روی سرور کمک شایانی خواهد کرد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”آنالیز نمونه‌ای از ایمیل‌های مشکوک و نحوه برخورد با آن‌ها” subtitle=”توضیحات کامل”]برای آنالیز ایمیل‌های مشکوک و بررسی چگونگی برخورد با آن‌ها، ابتدا باید چندین مرحله را طی کنیم که شامل شناسایی، بررسی جزئیات، و سپس اتخاذ تصمیمات مناسب در مورد واکنش‌ها و اقدامات پیشگیرانه می‌شود. در اینجا یک نمونه‌ی شبیه‌سازی‌شده از ایمیل مشکوک و روش برخورد با آن را شرح می‌دهیم.

---

نمونه ایمیل مشکوک

فرض کنید ایمیلی از آدرس ناشناخته یا مشکوک به آدرس ایمیل شما ارسال شده است:

From: offer@spammer.com
Subject: Congratulations! You've won a gift card worth $500!
Date: Mon, 6 Apr 2025 12:32:45 GMT
Body: 
Hi user@example.com,

Congratulations! You've just won a $500 gift card in our lucky draw.
To claim your prize, click the link below and enter your details.
Claim Now: http://spammer.com/claim

Best regards,
The Spammer Team

---

1. بررسی محتوای ایمیل

• فرستنده: آدرس offer@spammer.com، یک دامنه‌ی مشکوک است. استفاده از دامنه‌های رایگان و بدون اعتبار یا جدید، معمولاً نشانه‌ای از اسپم یا فیشینگ است.
• موضوع: موضوع ایمیل “Congratulations! You’ve won a gift card worth $500!” یکی از تکنیک‌های فیشینگ است که کاربران را تحریک می‌کند تا روی لینک‌های مشکوک کلیک کنند.
• متن ایمیل: ارائه جایزه یا هدیه در ازای وارد کردن اطلاعات شخصی، یکی از روش‌های شناخته‌شده برای جمع‌آوری اطلاعات حساس است.

---

2. بررسی لینک‌های موجود در ایمیل

• لینک موجود در ایمیل (http://spammer.com/claim) می‌تواند شما را به یک سایت فیشینگ هدایت کند که هدف آن سرقت اطلاعات شماست. برای بررسی لینک‌ها باید از ابزارهای امنیتی یا تحلیلگر URL استفاده کرد.
• چک کردن URL:
  • از ابزارهای آنلاین مانند VirusTotal برای تحلیل URL استفاده کنید تا ببینید که آیا لینک به سایت‌های مخرب اشاره دارد یا خیر.

---

3. تحلیل آدرس IP فرستنده

• IP فرستنده: 203.0.113.25
• بررسی اینکه این آی‌پی شناخته‌شده است یا خیر می‌تواند کمک کند تا بفهمیم این آی‌پی به‌طور مکرر در حملات اسپم یا فیشینگ استفاده شده است.
• شما می‌توانید از ابزارهای آنلاین مانند IPVoid یا AbuseIPDB برای بررسی اعتبار این آی‌پی استفاده کنید.

---

4. بررسی نمره اسپم ایمیل (Spam Score)

برای بررسی سطح اسپم ایمیل می‌توان از ابزارهایی مانند SpamAssassin استفاده کرد. این ابزار به‌طور خودکار ایمیل‌ها را تحلیل می‌کند و نمره اسپم به آن‌ها اختصاص می‌دهد. نمره بالاتر از ۵ یا ۶ نشان می‌دهد که ایمیل احتمالاً اسپم است.

---

5. بررسی و ترمیم فایل‌های آلوده (در صورت نیاز)

اگر ایمیل مشکوک حاوی پیوست یا لینک به فایلی باشد، باید این فایل‌ها را اسکن کرد. استفاده از Immunify360 Malware Scanner یا ClamAV برای اسکن فایل‌ها توصیه می‌شود.

فرمان اسکن فایل در سرور:

clamscan /path/to/suspicious_file

اگر فایل آلوده بود، آن را به‌طور خودکار به قرنطینه منتقل کرده و از دسترسی به آن جلوگیری کنید.

---

6. اقدامات امنیتی در واکنش به ایمیل‌های مشکوک

• مسدودسازی فرستنده: در صورتی که ایمیل‌های مشکوک از دامنه خاصی ارسال شوند، می‌توان آن دامنه را به‌طور دائمی در لیست سیاه قرار داد.مثال پیکربندی برای SpamAssassin:

  # مسیر: /etc/mail/spamassassin/local.cf
  blacklist_from *@spammer.com
  

  بعد از انجام تغییرات در SpamAssassin، باید سرویس را مجدداً بارگذاری کنید:

  systemctl reload spamassassin
  

• اقدامات در سطح فایروال:
  • اگر آدرس IP فرستنده مشکوک باشد، می‌توان آن را در CSF (ConfigServer Security & Firewall) مسدود کرد:

  csf -d 203.0.113.25 "Blocked IP due to spam"
  

• محدود کردن درخواست‌های مشکوک: برای جلوگیری از تکرار چنین ایمیل‌هایی می‌توان از تنظیمات WAF (Web Application Firewall) برای جلوگیری از درخواست‌های مشکوک استفاده کرد.

---

7. ایجاد گزارش و ارسال به مدیر

در صورتی که ایمیل مشکوک به‌طور خاص امنیت سرور شما را تهدید کند، بهتر است گزارشی شامل جزئیات ایمیل، لینک‌ها، فایل‌ها و اقدامات انجام‌شده تهیه کنید و آن را برای تیم امنیتی ارسال کنید.

مثال تهیه گزارش:

echo "Suspicious email from offer@spammer.com blocked due to spam score of 7.2" > /var/log/spam_report.log

---

جمع‌بندی

با تحلیل دقیق ایمیل‌های مشکوک، می‌توانیم اقدامات موثری برای جلوگیری از تهدیدات امنیتی انجام دهیم. از بررسی لینک‌ها و پیوست‌ها گرفته تا استفاده از ابزارهای امنیتی مانند SpamAssassin، ClamAV و فایروال‌ها، همه این‌ها می‌توانند کمک کنند تا از خطرات احتمالی جلوگیری شود. هم‌چنین، با مسدود کردن فرستندگان مشکوک و گزارش‌دهی دقیق، می‌توان امنیت سرور و سیستم ایمیل را تقویت کرد.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 4. تنظیم فیلترهای اسپم پیشرفته”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیم لیست سیاه (Blacklist) و لیست سفید (Whitelist)” subtitle=”توضیحات کامل”]برای افزایش امنیت سرور و جلوگیری از حملات اسپم، فیشینگ و تهدیدات دیگر، تنظیم لیست سیاه (Blacklist) و لیست سفید (Whitelist) برای کنترل دسترسی به سیستم‌ها و سرویس‌ها یکی از راه‌حل‌های موثر است. در اینجا نحوه تنظیم و مدیریت این لیست‌ها در سرور با استفاده از ابزارهای مختلف، از جمله Immunify360، ModSecurity و فایروال بررسی می‌شود.

---

1. لیست سیاه (Blacklist)

لیست سیاه معمولاً برای مسدود کردن آدرس‌های IP، دامنه‌ها، ایمیل‌ها یا سایر منابع مشکوک یا مخرب استفاده می‌شود. این لیست به‌طور فعال دسترسی به منابع را محدود می‌کند تا حملات و فعالیت‌های مخرب از آن منابع جلوگیری شود.

تنظیم لیست سیاه در Immunify360

برای مسدود کردن آدرس‌های IP یا دامنه‌های خاص در Immunify360 می‌توانید از قابلیت Blacklist استفاده کنید.

1. به پنل مدیریت Immunify360 وارد شوید.
2. به بخش Security رفته و روی گزینه Blacklist کلیک کنید.
3. در این بخش، می‌توانید آدرس‌های IP یا دامنه‌های مشکوک را به لیست سیاه اضافه کنید.
4. برای اضافه کردن آدرس‌های IP، روی گزینه Add IP کلیک کرده و IP مورد نظر را وارد کنید.

دستور CLI برای اضافه کردن IP به لیست سیاه:

immunify360-blacklist add 203.0.113.25

تنظیم لیست سیاه در ModSecurity

در صورتی که از ModSecurity برای فایروال وب خود استفاده می‌کنید، می‌توانید دامنه‌ها و آدرس‌های IP مشکوک را در فایل‌های پیکربندی ModSecurity مسدود کنید.

1. فایل پیکربندی modsec.conf را باز کنید:

   nano /etc/modsecurity/modsec.conf
   

2. در این فایل، برای مسدود کردن IP‌ها یا دامنه‌ها، خطوط زیر را اضافه کنید:

   SecRule REMOTE_ADDR "@ipMatch 203.0.113.25" \
   "id:1000,deny,msg:'Blocked IP 203.0.113.25'"
   SecRule REQUEST_HEADERS:Host "@streq spammer.com" \
   "id:1001,deny,msg:'Blocked domain spammer.com'"
   

3. پس از انجام تغییرات، ModSecurity را مجدداً راه‌اندازی کنید:

   systemctl restart apache2
   

تنظیم لیست سیاه در CSF (ConfigServer Security & Firewall)

برای مسدود کردن آدرس‌های IP در CSF، از دستور زیر استفاده کنید:

csf -d 203.0.113.25 "Blocked IP due to spam activity"

---

2. لیست سفید (Whitelist)

لیست سفید به شما اجازه می‌دهد تا آدرس‌های IP یا دامنه‌هایی که به آن‌ها اعتماد دارید را از فیلترهای امنیتی مستثنی کنید. این کار در مواقعی که می‌خواهید دسترسی به سیستم از منابع خاصی را آزاد نگه دارید، بسیار مفید است.

تنظیم لیست سفید در Immunify360

برای اضافه کردن آدرس‌های IP یا دامنه‌های مجاز به Whitelist در Immunify360، مراحل زیر را دنبال کنید:

1. به پنل مدیریت Immunify360 وارد شوید.
2. به بخش Security رفته و روی گزینه Whitelist کلیک کنید.
3. آدرس‌های IP یا دامنه‌های مجاز را وارد کنید.
4. پس از ورود آدرس‌ها، آن‌ها به لیست سفید اضافه خواهند شد.

دستور CLI برای اضافه کردن IP به لیست سفید:

immunify360-whitelist add 203.0.113.50

تنظیم لیست سفید در ModSecurity

برای استثنا گذاشتن آدرس‌های IP یا دامنه‌ها از فیلترهای ModSecurity، می‌توانید از دستور زیر در فایل پیکربندی modsec.conf استفاده کنید:

1. فایل پیکربندی modsec.conf را باز کنید:

   nano /etc/modsecurity/modsec.conf
   

2. برای استثنا گذاشتن IP‌ها یا دامنه‌ها، خطوط زیر را اضافه کنید:

   SecRule REMOTE_ADDR "@ipMatch 203.0.113.50" \
   "id:2000,allow,msg:'Whitelisted IP 203.0.113.50'"
   SecRule REQUEST_HEADERS:Host "@streq trusted-domain.com" \
   "id:2001,allow,msg:'Whitelisted domain trusted-domain.com'"
   

3. پس از انجام تغییرات، ModSecurity را مجدداً راه‌اندازی کنید:

   systemctl restart apache2
   

تنظیم لیست سفید در CSF (ConfigServer Security & Firewall)

برای اضافه کردن آدرس‌های IP به لیست سفید در CSF، دستور زیر را استفاده کنید:

csf -a 203.0.113.50 "Whitelisted IP"

---

3. بررسی و مدیریت لیست‌ها

پس از اضافه کردن IP‌ها یا دامنه‌ها به لیست سیاه یا سفید، باید به‌طور منظم آن‌ها را بررسی کنید و مطمئن شوید که تنظیمات درست و به‌روز باقی‌مانده‌اند.

بررسی لیست‌های سیاه و سفید در Immunify360

در پنل مدیریت Immunify360، می‌توانید به راحتی آدرس‌های IP یا دامنه‌های موجود در لیست‌های سیاه و سفید را مشاهده و مدیریت کنید.

بررسی لیست‌های سیاه و سفید در ModSecurity

برای مشاهده قوانین و تنظیمات لیست سیاه و سفید در ModSecurity، می‌توانید فایل پیکربندی را باز کرده و بررسی کنید:

nano /etc/modsecurity/modsec.conf

بررسی لیست‌های سیاه و سفید در CSF

برای مشاهده آدرس‌های IP مسدود شده و مجاز در CSF، از دستورات زیر استفاده کنید:

csf -l   # برای مشاهده لیست IPهای مسدود شده
csf -a   # برای مشاهده لیست IPهای مجاز

---

جمع‌بندی

تنظیم و مدیریت لیست‌های سیاه و سفید به شما این امکان را می‌دهد که امنیت سرور خود را با کنترل دقیق دسترسی‌ها افزایش دهید. استفاده از ابزارهای مختلف مانند Immunify360، ModSecurity و CSF به شما کمک می‌کند تا به‌طور مؤثر از منابع مشکوک محافظت کرده و به منابع معتبر دسترسی آزاد بدهید.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیم امتیازدهی اسپم برای تشخیص بهتر پیام‌های ناخواسته” subtitle=”توضیحات کامل”]برای تشخیص بهتر پیام‌های اسپم و جلوگیری از ورود ایمیل‌های ناخواسته به سیستم، استفاده از سیستم‌های امتیازدهی اسپم بسیار موثر است. امتیازدهی اسپم معمولاً بر اساس مجموعه‌ای از ویژگی‌ها انجام می‌شود که می‌توانند شامل محتوای پیام، الگوهای ارسال، و ویژگی‌های فنی دیگر باشند. در این بخش از آموزش های ارائه شده توسط فرازنتورک، نحوه پیکربندی امتیازدهی اسپم برای سیستم‌های مدیریت ایمیل و سرویس‌های امنیتی مانند Immunify360 یا ابزارهای مشابه بررسی خواهد شد.

گام‌های تنظیم امتیازدهی اسپم

1. استفاده از ابزارهای تشخیص اسپم مانند SpamAssassin: SpamAssassin یکی از ابزارهای محبوب برای امتیازدهی اسپم است که می‌تواند به طور خودکار پیام‌ها را تحلیل و بر اساس الگوهای شناخته شده و قوانین مختلف امتیازدهی کند. پیام‌هایی که امتیاز بالاتری دارند به عنوان اسپم شناسایی می‌شوند.
2. پیکربندی سیستم برای امتیازدهی دقیق‌تر: برای تنظیم دقیق‌تر امتیازدهی، باید مجموعه‌ای از قوانین را برای SpamAssassin یا ابزار مشابه در سیستم پیکربندی کنید. این قوانین می‌توانند شامل بررسی موضوع پیام، آدرس فرستنده، و محتوای متن باشند.مثال کد برای پیکربندی SpamAssassin:

   sudo nano /etc/mail/spamassassin/local.cf
   

   سپس تنظیمات مربوط به امتیازدهی را به فایل اضافه کنید:

   score HEADER_FROM_DIFFERENT_DOMAINS 3.0
   score BODY_ENDS_IN_QUOTED_STRING 1.5
   score URIBL_BLACK 2.0
   score RCVD_IN_BL_SPAMCOP_NET 2.5
   

   این تنظیمات باعث افزایش امتیاز برای پیام‌های مشکوک با شرایط خاص مانند ارسال از دامنه‌های متفاوت یا شناسایی در لیست‌های سیاه می‌شود.

3. تنظیم امتیازدهی در Immunify360: در Immunify360، تنظیمات مربوط به امتیازدهی اسپم به طور خودکار برای اکثر پیام‌های ورودی انجام می‌شود. برای تنظیم دقیق‌تر، می‌توانید تنظیمات Spam Filtering را پیکربندی کنید.برای تغییر امتیازدهی اسپم در Immunify360، مراحل زیر را دنبال کنید:
   • وارد پنل مدیریتی Immunify360 شوید.
   • به بخش Anti-Spam بروید.
   • گزینه Spam Scoring را تنظیم کنید تا از امتیازدهی دقیق‌تری برخوردار شوید.

   برای فعال‌سازی Spam Filtering در فایل تنظیمات:

   sudo nano /etc/imunify360/settings.conf
   

   مقادیر امتیازدهی را مطابق با نیاز خود تنظیم کنید:

   SPAM_SCORE_THRESHOLD=5.0
   

4. بررسی پیام‌های اسپم در لاگ‌ها: برای مشاهده پیام‌های شناسایی‌شده به عنوان اسپم، می‌توانید از دستور زیر در لینوکس استفاده کنید:

   tail -f /var/log/maillog | grep 'spam'
   

   این دستور لاگ‌های مرتبط با پیام‌های اسپم را نمایش می‌دهد.

5. پیکربندی گزارش‌دهی اسپم: می‌توانید گزارش‌های مرتب از اسپم‌ها تنظیم کنید تا به صورت روزانه یا هفتگی به ایمیل مدیران ارسال شوند. برای این کار، به تنظیمات سیستم ایمیل خود بروید و گزارش‌ها را به صورت خودکار تنظیم کنید.

---

جمع‌بندی

تنظیم امتیازدهی اسپم یک روش کارآمد برای شناسایی و فیلتر کردن ایمیل‌های ناخواسته است. استفاده از ابزارهایی مانند SpamAssassin و تنظیمات امنیتی در Immunify360 به شما کمک می‌کند تا بتوانید ایمیل‌های مشکوک را شناسایی کرده و از ورود آنها به سیستم جلوگیری کنید. تنظیم دقیق امتیازدهی اسپم، بررسی لاگ‌ها، و ارسال گزارش‌ها از جمله اقدامات کلیدی برای بهبود امنیت ایمیل‌ها می‌باشد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”استفاده از SpamAssassin همراه با Immunify360″ subtitle=”توضیحات کامل”]SpamAssassin یکی از ابزارهای محبوب و قدرتمند برای فیلتر کردن ایمیل‌های اسپم است که می‌تواند در کنار سایر ابزارهای امنیتی مانند Immunify360 برای محافظت بهتر از سرور و جلوگیری از ورود ایمیل‌های ناخواسته مورد استفاده قرار گیرد. در این بخش، نحوه پیکربندی و استفاده از SpamAssassin همراه با Immunify360 بررسی خواهد شد.

گام‌های پیکربندی SpamAssassin همراه با Immunify360

1. نصب SpamAssassin در سرور: ابتدا برای استفاده از SpamAssassin، باید آن را روی سرور خود نصب کنید. در توزیع‌های مختلف لینوکس، می‌توانید از دستور زیر برای نصب آن استفاده کنید.برای نصب در توزیع‌های مبتنی بر Debian (مانند Ubuntu):

   sudo apt update
   sudo apt install spamassassin spamc
   

   برای نصب در توزیع‌های مبتنی بر RedHat (مانند CentOS):

   sudo yum install spamassassin
   

2. فعال‌سازی و پیکربندی SpamAssassin: پس از نصب، SpamAssassin باید فعال شود و تنظیمات لازم برای تشخیص اسپم انجام شود. در اینجا، چند مرحله اولیه برای پیکربندی آن آمده است:ابتدا باید SpamAssassin را برای شروع خودکار در سرور فعال کنید:

   sudo systemctl enable spamassassin
   sudo systemctl start spamassassin
   

   سپس تنظیمات SpamAssassin را در فایل پیکربندی خود ویرایش کنید:

   sudo nano /etc/mail/spamassassin/local.cf
   

   در این فایل می‌توانید تنظیمات مورد نظر خود را اعمال کنید. به عنوان مثال، برای تنظیم امتیازدهی اسپم و فیلتر کردن پیام‌های مشکوک:

   score HEADER_FROM_DIFFERENT_DOMAINS 3.0
   score BODY_ENDS_IN_QUOTED_STRING 1.5
   score URIBL_BLACK 2.0
   score RCVD_IN_BL_SPAMCOP_NET 2.5
   required_score 5.0
   

3. پیکربندی Immunify360 برای استفاده از SpamAssassin: Immunify360 به طور پیش‌فرض از برخی فیلترهای اسپم استفاده می‌کند، اما برای استفاده از SpamAssassin به‌طور همزمان باید تنظیمات آن را در پنل مدیریتی Immunify360 فعال کنید.
   • وارد پنل مدیریتی Immunify360 شوید.
   • به بخش Anti-Spam بروید.
   • در بخش تنظیمات Spam Filtering, گزینه فعال‌سازی SpamAssassin را پیدا کنید.
   • این گزینه را فعال کرده و SpamAssassin را به عنوان فیلتر اسپم پیشرفته برای ایمیل‌ها پیکربندی کنید.
4. یکپارچه‌سازی SpamAssassin با وب‌سرور ایمیل: برای اینکه ایمیل‌های ورودی از طریق SpamAssassin فیلتر شوند، باید تنظیمات وب‌سرور ایمیل مانند Postfix یا Exim را به‌گونه‌ای پیکربندی کنید که ایمیل‌ها از طریق SpamAssassin پردازش شوند.برای پیکربندی Postfix برای استفاده از SpamAssassin، می‌توانید از آمادگی spamd برای فیلتر کردن ایمیل‌ها به صورت زیر استفاده کنید:

   ویرایش فایل /etc/postfix/main.cf:

   sudo nano /etc/postfix/main.cf
   

   سپس خط زیر را اضافه کنید:

   content_filter = spamassassin
   

   در مرحله بعد، فایل /etc/postfix/master.cf را ویرایش کرده و آن را برای همکاری با SpamAssassin تنظیم کنید:

   sudo nano /etc/postfix/master.cf
   

   اضافه کردن تنظیمات زیر برای راه‌اندازی فیلتر کردن محتوا:

   spamassassin   unix  -       n       n       -       -       pipe
     flags=Rq user=spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}
   

5. بررسی و تحلیل ایمیل‌های اسپم شناسایی‌شده: پس از پیکربندی SpamAssassin و Immunify360، می‌توانید ایمیل‌های شناسایی‌شده به عنوان اسپم را بررسی کنید. برای این کار، به لاگ‌های سرور ایمیل مراجعه کنید و ایمیل‌هایی که امتیاز بالای اسپم گرفته‌اند را تحلیل کنید.دستور زیر را برای مشاهده لاگ‌ها استفاده کنید:

   tail -f /var/log/maillog | grep 'spam'
   

   این دستور لاگ‌هایی که به‌عنوان اسپم شناسایی شده‌اند را نمایش می‌دهد.

6. تنظیم گزارش‌دهی و هشدارها: برای اطلاع از ایمیل‌های اسپم و ارسال گزارش‌های روزانه، می‌توانید گزارش‌های SpamAssassin را تنظیم کنید تا به مدیران ارسال شوند. این کار را می‌توان از طریق تنظیمات پنل مدیریتی Immunify360 یا پیکربندی از طریق سیستم ایمیل انجام داد.

---

جمع‌بندی

استفاده از SpamAssassin همراه با Immunify360 به شما کمک می‌کند تا ایمیل‌های اسپم را به‌طور دقیق‌تر شناسایی کرده و از ورود آنها به سیستم جلوگیری کنید. پیکربندی صحیح این ابزارها برای فیلتر کردن ایمیل‌های ناخواسته و گزارش‌دهی آن‌ها برای تحلیل بهتر، بخش مهمی از فرآیند امنیت ایمیل‌ها به شمار می‌رود. با تنظیم دقیق قوانین و فیلترها می‌توانید از امنیت بیشتر سرور خود اطمینان حاصل کنید و از ورود پیام‌های اسپم جلوگیری کنید.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 5. مدیریت و مسدود سازی IPهای مشکوک”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه شناسایی و مسدودسازی آدرس‌های IP ارسال‌کننده اسپم” subtitle=”توضیحات کامل”]در دنیای مدیریت سرورهای ایمیل و امنیت سایبری، شناسایی و مسدودسازی آدرس‌های IP که اسپم ارسال می‌کنند یکی از مراحل مهم و ضروری برای جلوگیری از حملات و پیام‌های ناخواسته است. این کار می‌تواند با استفاده از ابزارها و تکنیک‌های مختلف انجام شود، از جمله بررسی لاگ‌ها، استفاده از ابزارهای فیلتر اسپم و مسدودسازی دستی آدرس‌های IP مشکوک.

در این قسمت، نحوه شناسایی و مسدودسازی آدرس‌های IP ارسال‌کننده اسپم با استفاده از ابزارهای مختلف مانند Immunify360 و ابزارهای سرور ایمیل مانند Postfix و Exim شرح داده خواهد شد.

1. شناسایی آدرس‌های IP ارسال‌کننده اسپم

اولین گام برای مسدودسازی آدرس‌های IP ارسال‌کننده اسپم، شناسایی این آدرس‌ها است. برای این کار، می‌توان از لاگ‌های سرور ایمیل استفاده کرد. در بسیاری از مواقع، ارسال‌کنندگان اسپم معمولاً با امتیاز اسپم بالا در لاگ‌ها ثبت می‌شوند.

برای مشاهده لاگ‌های ارسال ایمیل و شناسایی آدرس‌های IP مشکوک، از دستور زیر در سرور استفاده کنید:

grep "spam" /var/log/maillog

این دستور لاگ‌هایی که به‌عنوان اسپم شناسایی شده‌اند را در فایل /var/log/maillog فیلتر می‌کند. در این لاگ‌ها، اطلاعاتی مانند آدرس IP ارسال‌کننده و دلیل شناسایی به عنوان اسپم وجود دارد.

---

2. مسیریابی و شناسایی آدرس‌های IP مشکوک

با استفاده از دستور زیر می‌توانید آدرس‌های IP که امتیاز اسپم بالایی دارند را شناسایی کرده و آن‌ها را استخراج کنید:

grep "Blocked spam message" /var/log/maillog | \
awk '{print $6}' | \
sort | \
uniq -c | \
sort -nr | \
awk '$1 > 5 {print $2}' > /tmp/spam_ips.txt

این دستور آدرس‌های IP را که بیش از 5 بار به‌عنوان منبع اسپم شناسایی شده‌اند استخراج می‌کند و آن‌ها را در فایل /tmp/spam_ips.txt ذخیره می‌کند. این آدرس‌ها می‌توانند به‌عنوان منابع اسپم برای مسدودسازی در نظر گرفته شوند.

---

3. مسدودسازی آدرس‌های IP مشکوک در فایروال

پس از شناسایی آدرس‌های IP ارسال‌کننده اسپم، مرحله بعدی مسدودسازی این آدرس‌ها است. این کار می‌تواند از طریق فایروال سرور انجام شود. برای مسدود کردن آدرس‌های IP در فایروال (با استفاده از iptables)، از دستور زیر استفاده کنید:

sudo iptables -A INPUT -s <ip_address> -j DROP

برای مثال، اگر آدرس IP مشکوک به اسپم 203.0.113.25 باشد، دستور به‌صورت زیر خواهد بود:

sudo iptables -A INPUT -s 203.0.113.25 -j DROP

این دستور تمام ترافیک ورودی از آدرس IP مذکور را مسدود می‌کند.

---

4. استفاده از Fail2Ban برای مسدودسازی خودکار آدرس‌های IP

برای مسدودسازی خودکار آدرس‌های IP که تلاش‌های ناموفق زیادی برای ارسال ایمیل دارند یا به‌عنوان اسپم شناسایی شده‌اند، می‌توان از ابزار Fail2Ban استفاده کرد. Fail2Ban به‌طور خودکار آدرس‌های IP که رفتار مشکوک دارند را شناسایی کرده و آن‌ها را مسدود می‌کند.

برای پیکربندی Fail2Ban برای مسدودسازی آدرس‌های IP مشکوک در ارتباط با اسپم، فایل پیکربندی /etc/fail2ban/jail.local را ویرایش کنید و قوانین مربوط به Postfix یا Exim را اضافه کنید:

sudo nano /etc/fail2ban/jail.local

برای مثال، برای پیکربندی Fail2Ban برای Postfix:

[postfix-sasl]
enabled = true
port = smtp,ssmtp
filter = postfix
logpath = /var/log/maillog
maxretry = 3
bantime = 3600
findtime = 600

این تنظیمات مشخص می‌کنند که اگر یک آدرس IP بیش از 3 بار تلاش ناموفق برای ارسال ایمیل داشته باشد، به مدت 1 ساعت مسدود شود.

---

5. پیکربندی Immunify360 برای مسدودسازی آدرس‌های IP ارسال‌کننده اسپم

Immunify360 یک ابزار امنیتی جامع است که می‌تواند به‌طور خودکار آدرس‌های IP ارسال‌کننده اسپم را شناسایی و مسدود کند. برای این کار، کافی است که Immunify360 را به درستی پیکربندی کنید.

1. وارد پنل مدیریتی Immunify360 شوید.
2. به بخش Anti-Spam بروید.
3. در این بخش، تنظیمات IP Blocklist را فعال کنید.
4. می‌توانید حد آستانه‌ای برای شناسایی آدرس‌های IP اسپم تنظیم کنید، به‌طوری که اگر آدرس IP بیش از حد مشخصی اقدام به ارسال اسپم کند، به‌طور خودکار مسدود شود.

---

جمع‌بندی

شناسایی و مسدودسازی آدرس‌های IP ارسال‌کننده اسپم یکی از مراحل حیاتی در افزایش امنیت سرور ایمیل است. با استفاده از ابزارهایی مانند Fail2Ban، Immunify360 و تنظیمات فایروال سرور، می‌توان به‌طور مؤثری از ورود ایمیل‌های ناخواسته و اسپم جلوگیری کرد. از طرفی، نظارت مداوم بر لاگ‌ها و تحلیل رفتار آدرس‌های IP ارسال‌کننده اسپم می‌تواند به‌طور موثری از حملات بعدی جلوگیری کند و سرور ایمیل را از تهدیدات احتمالی محافظت کند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”استفاده از سیستم‌های هوشمند تشخیص رفتارهای اسپمینگ” subtitle=”توضیحات کامل”]سیستم‌های هوشمند تشخیص رفتارهای اسپمینگ، ابزارهای پیشرفته‌ای هستند که از الگوریتم‌های یادگیری ماشین، تحلیل داده‌ها و الگوریتم‌های آماری برای شناسایی و جلوگیری از ارسال اسپم استفاده می‌کنند. این سیستم‌ها قادرند الگوهای پیچیده‌ای از فعالیت‌های مشکوک را شبیه‌سازی کرده و به‌طور خودکار رفتارهای اسپم را شناسایی کنند. این سیستم‌ها می‌توانند به‌عنوان یک لایه اضافی امنیتی در کنار روش‌های سنتی مثل لیست سیاه (Blacklist) و لیست سفید (Whitelist) عمل کنند.

در این بخش، نحوه استفاده از سیستم‌های هوشمند برای تشخیص و جلوگیری از اسپم و نحوه ادغام آن‌ها با ابزارهای امنیتی مختلف توضیح داده می‌شود.

1. تعریف سیستم‌های هوشمند تشخیص اسپم

این سیستم‌ها معمولاً از الگوریتم‌های پیچیده برای شناسایی الگوهای ناشناخته یا رفتارهای مشکوک استفاده می‌کنند. این الگوریتم‌ها می‌توانند رفتارهای اسپم را از روی ویژگی‌های مختلفی مانند:

• تعداد ایمیل‌های ارسال شده در مدت زمان کوتاه
• ویژگی‌های آدرس‌های IP ارسال‌کننده
• محتوای ایمیل (برای مثال، وجود لینک‌های مشکوک یا استفاده از عبارات خاص)
• تاریخچه قبلی ارسال‌کننده (آیا در گذشته به‌عنوان اسپم شناخته شده است؟)

شناسایی کنند و آن‌ها را فیلتر یا مسدود کنند.

---

2. سیستم‌های هوشمند تشخیص اسپم مبتنی بر یادگیری ماشین

یکی از مهم‌ترین تکنیک‌ها در این حوزه استفاده از یادگیری ماشین (Machine Learning) است. این تکنیک می‌تواند از داده‌های تاریخی و رفتارهای گذشته برای شناسایی الگوهای اسپم استفاده کند.

نحوه کار یادگیری ماشین برای تشخیص اسپم:

1. آموزش مدل: ابتدا مدل بر اساس داده‌های ورودی آموزش داده می‌شود. این داده‌ها می‌توانند شامل ایمیل‌های قبلی (چه اسپم و چه غیر اسپم) باشند که ویژگی‌هایی مانند موضوع، محتوا، فرستنده و سایر متغیرها در آن‌ها ثبت شده است.
2. پیش‌بینی و تشخیص: پس از آموزش مدل، این سیستم قادر است که به‌طور خودکار ایمیل‌های جدید را بررسی کرده و احتمال اسپم بودن آن‌ها را محاسبه کند. این مدل‌ها معمولاً با استفاده از الگوریتم‌های طبقه‌بندی (مثل Random Forest یا Support Vector Machines) می‌توانند ایمیل‌ها را به دو دسته اسپم و غیر اسپم تقسیم کنند.
3. مدیریت تعاملات: مدل‌های یادگیری ماشین پس از تحلیل ایمیل‌های دریافتی، تصمیم می‌گیرند که آیا ایمیل باید مسدود شود یا به صندوق ورودی ارسال شود.

---

3. پیکربندی سیستم‌های هوشمند تشخیص اسپم در Immunify360

Immunify360 به‌عنوان یک ابزار امنیتی جامع برای سرورهای وب و ایمیل، از سیستم‌های هوشمند برای شناسایی و جلوگیری از ارسال اسپم استفاده می‌کند. این ابزار قادر است که با استفاده از روش‌های مختلف تشخیص، ایمیل‌های اسپم را شناسایی و مسدود کند.

پیکربندی سیستم‌های هوشمند در Immunify360:

1. فعال‌سازی ویژگی Anti-Spam: در ابتدا، باید ویژگی Anti-Spam در پنل مدیریتی Immunify360 فعال شود. برای این کار، به بخش Anti-Spam در پنل مدیریت بروید و تنظیمات پیشرفته را فعال کنید.
2. تنظیم فیلترهای هوشمند: در این بخش می‌توانید فیلترهای هوشمند که به شناسایی رفتارهای مشکوک و اسپم کمک می‌کنند را تنظیم کنید. به‌طور پیش‌فرض، Immunify360 از الگوریتم‌های هوشمند برای تشخیص رفتارهای اسپم استفاده می‌کند.
3. تنظیمات لیست سیاه و سفید: برای تقویت سیستم تشخیص، می‌توانید آدرس‌های IP مشکوک به ارسال اسپم را در لیست سیاه (Blacklist) و آدرس‌های معتبر را در لیست سفید (Whitelist) قرار دهید.
4. پیکربندی یادگیری خودکار (Self-learning): Immunify360 به‌طور خودکار می‌تواند ایمیل‌هایی که شبیه به اسپم هستند را شناسایی کرده و تنظیمات جدیدی را برای تشخیص بهتر یاد بگیرد. به این ترتیب، الگوریتم‌های تشخیص به‌طور مستمر در حال به‌روزرسانی هستند.

---

4. سیستم‌های تشخیص اسپم مبتنی بر شبکه عصبی (Neural Networks)

در برخی سیستم‌های پیشرفته‌تر، از شبکه‌های عصبی مصنوعی (Artificial Neural Networks) برای تشخیص رفتارهای اسپم استفاده می‌شود. این روش معمولاً برای شناسایی الگوهای پیچیده‌ای که توسط روش‌های سنتی قابل تشخیص نیستند، استفاده می‌شود. این سیستم‌ها از روش‌هایی مانند پردازش زبان طبیعی (NLP) و تحلیل محتوا برای شناسایی ایمیل‌های مشکوک بهره می‌برند.

---

5. استفاده از SpamAssassin برای تشخیص اسپم

SpamAssassin یکی از ابزارهای رایج برای شناسایی ایمیل‌های اسپم است. این ابزار از سیستم‌های مبتنی بر قواعد و الگوریتم‌های یادگیری ماشین برای تشخیص اسپم استفاده می‌کند. SpamAssassin قادر است که به‌طور خودکار پیام‌های مشکوک را شناسایی کرده و امتیاز اسپم به آن‌ها بدهد.

نحوه پیکربندی SpamAssassin:

1. نصب و پیکربندی SpamAssassin: برای نصب SpamAssassin در سیستم، از دستور زیر استفاده کنید:

   sudo apt-get install spamassassin
   

2. فعال‌سازی فیلتر اسپم: برای فعال‌سازی فیلتر اسپم، فایل پیکربندی /etc/spamassassin/local.cf را ویرایش کنید و ویژگی‌های موردنظر را اضافه کنید.
3. پیکربندی امتیازدهی: یکی از مهم‌ترین بخش‌های پیکربندی، تنظیم آستانه امتیاز اسپم است. برای مثال، می‌توانید تنظیم کنید که هر ایمیلی که امتیاز بالاتر از 5 دریافت کرد، به‌عنوان اسپم شناسایی شود:

   required_score 5.0
   

---

جمع‌بندی

استفاده از سیستم‌های هوشمند تشخیص رفتارهای اسپمینگ یکی از مؤثرترین روش‌ها برای جلوگیری از ورود ایمیل‌های ناخواسته به سیستم‌های ایمیلی است. این سیستم‌ها با استفاده از یادگیری ماشین، تحلیل الگوها و شبکه‌های عصبی می‌توانند رفتارهای مشکوک را شبیه‌سازی کرده و به‌طور خودکار آن‌ها را شناسایی و مسدود کنند. ابزارهایی مانند Immunify360 و SpamAssassin با قابلیت‌های پیشرفته‌ای که دارند، به‌طور مؤثر در این زمینه عمل می‌کنند و به‌ویژه برای سرورهای ایمیل بزرگ و شبکه‌های گسترده مفید هستند.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 6. تنظیم محدودیت‌های ارسال ایمیل برای کاربران”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تعیین محدودیت ارسال ایمیل برای کاربران و دامنه‌ها” subtitle=”توضیحات کامل”]یکی از جنبه‌های مهم مدیریت سیستم‌های ایمیل، تعیین محدودیت‌های ارسال ایمیل برای کاربران و دامنه‌ها به منظور جلوگیری از سوءاستفاده، ارسال اسپم، یا بار اضافی به سرور است. با اعمال محدودیت‌ها می‌توان میزان ایمیل‌های ارسالی هر کاربر یا دامنه را کنترل کرد و از بروز مشکلاتی مانند شلوغ شدن سرور، لیست‌های سیاه، و سوءاستفاده‌های احتمالی جلوگیری کرد.

در این بخش، نحوه تنظیم محدودیت‌های ارسال ایمیل برای کاربران و دامنه‌ها را با استفاده از ابزارهای مختلف مانند Postfix و Immunify360 بررسی می‌کنیم.

1. استفاده از Postfix برای تعیین محدودیت ارسال ایمیل

Postfix یکی از محبوب‌ترین سرویس‌های ایمیل است که قابلیت تنظیم محدودیت‌های ارسال ایمیل را برای کاربران و دامنه‌ها فراهم می‌آورد. با استفاده از Postfix، می‌توانید محدودیت‌هایی مانند تعداد ایمیل‌های ارسالی در یک بازه زمانی معین، محدودیت‌های برای دامنه‌های خاص و کاربران را تنظیم کنید.

تنظیم محدودیت‌های ارسال ایمیل برای کاربران

برای محدود کردن تعداد ایمیل‌هایی که هر کاربر می‌تواند ارسال کند، می‌توانید از postfix rate limiting استفاده کنید.

• مسیر فایل پیکربندی:
  • /etc/postfix/main.cf
• تنظیمات پیکربندی برای محدود کردن ارسال ایمیل:

  smtpd_client_message_rate_limit = 100
  smtpd_client_recipient_rate_limit = 50
  

  در این مثال:

  • smtpd_client_message_rate_limit تعداد پیام‌هایی که هر کلاینت می‌تواند ارسال کند را محدود می‌کند.
  • smtpd_client_recipient_rate_limit تعداد گیرندگان مجاز برای هر پیام را محدود می‌کند.

تنظیم محدودیت برای دامنه‌ها

برای محدود کردن تعداد ایمیل‌هایی که یک دامنه خاص می‌تواند ارسال کند، می‌توانید از Postfix Access Control استفاده کنید.

• مسیر فایل پیکربندی:
  • /etc/postfix/access
• دستورات پیکربندی:

  example.com     REJECT
  

  در این مثال، دامنه example.com از ارسال ایمیل مسدود خواهد شد.

فعال‌سازی تغییرات در Postfix:

پس از تغییرات پیکربندی، برای اعمال تنظیمات جدید، باید Postfix را ریستارت کنید:

systemctl restart postfix

2. استفاده از Immunify360 برای محدود کردن ارسال ایمیل

Immunify360 یکی از نرم‌افزارهای امنیتی پیشرفته است که می‌تواند به شما کمک کند تا از ارسال ایمیل‌های مشکوک جلوگیری کنید. این نرم‌افزار می‌تواند به‌طور خودکار ایمیل‌های اسپم را شناسایی کرده و محدودیت‌هایی برای ارسال ایمیل اعمال کند.

تنظیم محدودیت‌های ارسال ایمیل در Immunify360:

1. وارد پنل مدیریتی Immunify360 شوید.
2. به بخش “Email Security” بروید.
3. در این بخش می‌توانید گزینه‌هایی برای محدود کردن ارسال ایمیل برای کاربران یا دامنه‌های خاص تنظیم کنید. برای مثال، می‌توانید تعداد ایمیل‌های ارسالی برای هر کاربر را محدود کنید یا از ارسال ایمیل‌های مشکوک جلوگیری کنید.

فعال‌سازی و پیکربندی برای ارسال ایمیل محدود شده:

Immunify360 از الگوریتم‌های هوش مصنوعی برای شناسایی الگوهای ارسال اسپم استفاده می‌کند و می‌تواند با محدود کردن تعداد ایمیل‌ها از سوءاستفاده‌های احتمالی جلوگیری کند.

---

3. استفاده از ابزارهای دیگر برای تعیین محدودیت ارسال ایمیل

در کنار Postfix و Immunify360، می‌توانید از دیگر ابزارهای امنیتی مانند Exim یا Sendmail برای تنظیم محدودیت‌های ارسال ایمیل استفاده کنید. این ابزارها نیز مشابه Postfix قادر به اعمال محدودیت‌های مختلف برای ارسال ایمیل هستند.

---

جمع‌بندی

محدود کردن ارسال ایمیل برای کاربران و دامنه‌ها از جنبه‌های حیاتی امنیت سرور ایمیل است. استفاده از ابزارهایی مانند Postfix و Immunify360 به شما این امکان را می‌دهد که تعداد ایمیل‌های ارسالی را محدود کنید، از ارسال اسپم جلوگیری کنید و امنیت سیستم ایمیل خود را افزایش دهید. پیکربندی دقیق و مناسب این ابزارها باعث می‌شود که سیستم ایمیل شما امن‌تر و کارآمدتر عمل کند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”جلوگیری از سوءاستفاده و ارسال ایمیل‌های انبوه ناخواسته” subtitle=”توضیحات کامل”]ایمیل‌های انبوه ناخواسته یا اسپم‌ها، نه‌تنها می‌توانند منجر به کاهش کارایی سرور ایمیل شوند، بلکه باعث آسیب به اعتبار دامنه و IP سرور نیز خواهند شد. جلوگیری از سوءاستفاده و ارسال اینگونه ایمیل‌ها نیازمند پیاده‌سازی مجموعه‌ای از سیاست‌ها و تنظیمات امنیتی است. این اقدامات به شما کمک می‌کنند تا از ارسال ایمیل‌های ناخواسته جلوگیری کرده و سرور ایمیل خود را ایمن نگه دارید.

1. استفاده از محدودیت‌های ارسال ایمیل

یکی از روش‌های اساسی جلوگیری از سوءاستفاده، محدود کردن تعداد ایمیل‌هایی است که کاربران می‌توانند در یک بازه زمانی مشخص ارسال کنند. این کار به خصوص در جلوگیری از حملات اسپم به سرور ایمیل بسیار موثر است.

تنظیم محدودیت‌ها در Postfix

برای جلوگیری از ارسال ایمیل‌های انبوه، می‌توانید محدودیت‌هایی برای ارسال پیام‌ها اعمال کنید. این محدودیت‌ها می‌تواند شامل تعداد ایمیل‌ها در هر ساعت یا تعداد گیرندگان باشد.

• محدود کردن تعداد ایمیل‌ها برای هر کاربر: در فایل پیکربندی /etc/postfix/main.cf، دستورات زیر را اضافه کنید:

  smtpd_client_message_rate_limit = 100
  smtpd_client_recipient_rate_limit = 50
  

  این تنظیمات به هر کاربر اجازه می‌دهند حداکثر 100 ایمیل در ساعت ارسال کنند و همچنین تعداد گیرندگان برای هر ایمیل محدود به 50 نفر باشد.

تنظیم محدودیت برای دامنه‌های خاص در Postfix

محدود کردن ارسال ایمیل از دامنه‌های خاص می‌تواند کمک کند تا از سوءاستفاده‌های احتمالی جلوگیری کنید.

• پیکربندی فایل access برای مسدود کردن دامنه‌ها: در فایل /etc/postfix/access، دامنه‌هایی که قصد مسدودسازی آن‌ها را دارید اضافه کنید:

  spamdomain.com     REJECT
  

  این دستور باعث می‌شود تا دامنه spamdomain.com نتواند ایمیل ارسال کند.

فعال‌سازی تغییرات در Postfix:

پس از اعمال تغییرات در پیکربندی، سرویس Postfix را ریستارت کنید:

systemctl restart postfix

---

2. استفاده از فیلترهای SpamAssassin

SpamAssassin یکی از ابزارهای قدرتمند برای شناسایی ایمیل‌های اسپم است. این ابزار می‌تواند بر اساس فاکتورهای مختلف، از جمله محتوا، آدرس‌های ارسال‌کننده و الگوهای ارسال، ایمیل‌های مشکوک را شناسایی و مسدود کند.

نصب و پیکربندی SpamAssassin:

1. نصب SpamAssassin:برای نصب SpamAssassin در سیستم‌عامل‌های مبتنی بر دبیان (مانند اوبونتو) از دستور زیر استفاده کنید:

   sudo apt install spamassassin
   

2. فعال‌سازی SpamAssassin:پس از نصب، سرویس SpamAssassin را فعال کنید:

   sudo systemctl enable spamassassin
   sudo systemctl start spamassassin
   

3. پیکربندی قوانین SpamAssassin:در فایل /etc/spamassassin/local.cf می‌توانید قوانینی برای شناسایی ایمیل‌های اسپم تنظیم کنید. به‌طور مثال، برای کاهش حساسیت به ایمیل‌های اسپم، می‌توانید مقدار امتیاز تشخیص اسپم را تنظیم کنید:

   required_score 5.0
   

   این مقدار تعیین می‌کند که هر ایمیلی که امتیاز اسپم آن از 5.0 بیشتر باشد، به‌عنوان اسپم شناسایی شود.

---

3. استفاده از سیستم‌های تشخیص رفتار اسپمینگ

یکی از روش‌های پیشرفته برای جلوگیری از سوءاستفاده، استفاده از سیستم‌های تشخیص رفتار اسپمینگ است. این سیستم‌ها با استفاده از الگوریتم‌های یادگیری ماشین، رفتارهای مشکوک را شناسایی و مسدود می‌کنند.

استفاده از Immunify360 برای شناسایی و جلوگیری از اسپم:

Immunify360 یک سیستم پیشرفته امنیتی است که می‌تواند از ارسال ایمیل‌های اسپم جلوگیری کند. این سیستم رفتارهای مشکوک و حملات اسپم را شناسایی کرده و جلوی آن‌ها را می‌گیرد.

1. نصب و پیکربندی Immunify360: پس از نصب Immunify360، از پنل مدیریتی آن می‌توانید تنظیمات مربوط به Email Security را فعال کنید و ایمیل‌های اسپم را شناسایی و مسدود کنید.
2. اعمال تنظیمات برای محدود کردن ارسال ایمیل: در بخش Email Security، می‌توانید تنظیمات مربوط به محدودیت ارسال ایمیل، تشخیص اسپم و رفتارهای مشکوک را تنظیم کنید.

---

4. تنظیم SPF, DKIM و DMARC برای جلوگیری از جعل ایمیل‌ها

استفاده از پروتکل‌های SPF (Sender Policy Framework)، DKIM (DomainKeys Identified Mail) و DMARC (Domain-based Message Authentication, Reporting, and Conformance) می‌تواند به‌طور چشمگیری از سوءاستفاده‌ها و جعل ایمیل‌ها جلوگیری کند.

پیکربندی SPF:

در فایل DNS دامنه خود یک رکورد SPF اضافه کنید تا مشخص کنید که کدام سرورهای ایمیل مجاز به ارسال ایمیل از طرف دامنه شما هستند.

مثال رکورد SPF:

v=spf1 ip4:203.0.113.0/24 -all

پیکربندی DKIM:

برای پیکربندی DKIM، باید یک کلید خصوصی در سرور خود ایجاد کنید و رکوردهای DNS مناسب را تنظیم کنید. این کار می‌تواند جعل ایمیل‌ها را بسیار دشوار کند.

پیکربندی DMARC:

DMARC برای گزارش‌دهی و جلوگیری از جعل ایمیل‌ها استفاده می‌شود. رکورد DMARC را در DNS دامنه خود اضافه کنید:

_dmarc.example.com   IN  TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com"

---

جمع‌بندی

برای جلوگیری از سوءاستفاده و ارسال ایمیل‌های انبوه ناخواسته، استفاده از تنظیمات محدودیت در Postfix، استفاده از SpamAssassin برای شناسایی اسپم‌ها، Immunify360 برای مدیریت پیشرفته ایمیل‌ها و اعمال SPF, DKIM, DMARC برای جلوگیری از جعل ایمیل‌ها می‌تواند به‌طور مؤثر سرور ایمیل شما را ایمن کند. با این روش‌ها، می‌توانید از حملات اسپم و سوءاستفاده‌های احتمالی جلوگیری کرده و امنیت سرور ایمیل خود را افزایش دهید.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 7. ادغام با سرویس‌های خارجی ضد اسپم”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”استفاده از سرویس‌هایی مانند Spamhaus و Barracuda برای افزایش دقت فیلترها” subtitle=”توضیحات کامل”]استفاده از سرویس‌های Spamhaus و Barracuda برای افزایش دقت فیلترهای ایمیل، یک استراتژی مهم در مقابله با اسپم‌ها و حملات ایمیلی است. این سرویس‌ها به عنوان لیست سیاه (Blacklist) عمومی شناخته می‌شوند و از داده‌های جمع‌آوری‌شده برای شناسایی ایمیل‌های اسپم، منابع مخرب و ارسال‌کنندگان ایمیل‌های ناخواسته استفاده می‌کنند.

این ابزارها می‌توانند به‌طور چشمگیری دقت فیلترهای اسپم را بالا ببرند و از ارسال ایمیل‌های ناخواسته جلوگیری کنند. در ادامه، نحوه استفاده از این سرویس‌ها را توضیح خواهیم داد.

1. استفاده از Spamhaus

Spamhaus یکی از شناخته‌شده‌ترین و معتبرترین سرویس‌ها برای شناسایی منابع اسپم است. این سرویس‌ها به‌طور مداوم اطلاعات مربوط به آدرس‌های IP و دامنه‌های ارسال‌کننده اسپم را جمع‌آوری و فهرست می‌کنند.

نحوه استفاده از Spamhaus

1. ثبت‌نام در Spamhaus: برای استفاده از سرویس‌های Spamhaus، ابتدا باید در وب‌سایت آن ثبت‌نام کنید. لینک ثبت‌نام: Spamhaus.
2. پیکربندی DNSBL در سرور ایمیل: یکی از روش‌های استفاده از Spamhaus، استفاده از DNSBL (DNS-based Blackhole List) است. برای این کار باید آدرس‌های DNS مربوط به Spamhaus را به پیکربندی سرویس ایمیل خود اضافه کنید.به عنوان مثال، برای پیکربندی Postfix با استفاده از Spamhaus DBL (Domain Block List)، فایل پیکربندی main.cf را ویرایش کنید:

   smtpd_recipient_restrictions = 
   ...
   reject_rbl_client zen.spamhaus.org
   

   با این تنظیم، ایمیل‌هایی که از آدرس‌های IP فهرست‌شده در Spamhaus ارسال می‌شوند، رد می‌شوند.

3. استفاده از Spamhaus برای بلاک کردن دامنه‌ها: علاوه بر IP، می‌توانید دامنه‌ها را هم مسدود کنید. برای این کار، باید از DNSBL استفاده کنید که دامنه‌های ارسال‌کننده اسپم را شناسایی می‌کند.

ویژگی‌ها و مزایا:

• دقت بالا در شناسایی اسپم‌ها.
• مدیریت و نظارت مداوم برای بروزرسانی فهرست‌ها.
• امنیت بیشتر در برابر حملات و منابع مخرب.

---

2. استفاده از Barracuda

Barracuda یکی دیگر از سرویس‌های معتبر در زمینه فیلتر اسپم و امنیت ایمیل است که ابزارهایی برای شناسایی منابع اسپم و جلوگیری از آن‌ها ارائه می‌دهد. Barracuda یکی از پیشگامان استفاده از حفاظت از ایمیل‌ها از طریق فیلترهای پیشرفته و سیستم‌های شناسایی خودکار اسپم است.

نحوه استفاده از Barracuda

1. استفاده از Barracuda Reputation Block List (BRBL): BRBL یک لیست سیاه است که Barracuda برای شناسایی منابع ارسال‌کننده اسپم و بدافزارها استفاده می‌کند. شما می‌توانید این لیست را در سرویس‌های ایمیل خود به‌طور مشابه با Spamhaus پیاده‌سازی کنید.برای پیکربندی Postfix با استفاده از Barracuda:

   smtpd_recipient_restrictions = 
   ...
   reject_rbl_client b.barracudacentral.org
   

   با این تنظیم، هر ایمیلی که از آدرس‌های IP که در فهرست Barracuda قرار دارند، ارسال می‌شود، مسدود می‌شود.

2. پیکربندی Barracuda برای نظارت و گزارش‌دهی: Barracuda علاوه بر ارائه فیلترهای اسپم، ابزارهای نظارتی و گزارش‌دهی را نیز در اختیار شما قرار می‌دهد. این ابزارها می‌توانند به شما کمک کنند تا منابع اسپم را شناسایی و با آن‌ها مقابله کنید.

ویژگی‌ها و مزایا:

• فیلتر قدرتمند برای جلوگیری از اسپم‌ها.
• پشتیبانی از ردیابی رفتارها و شناسایی حملات.
• نظارت و گزارش‌دهی جهت افزایش شفافیت.
• سهولت در پیاده‌سازی با اکثر سرویس‌های ایمیل.

---

3. ترکیب استفاده از Spamhaus و Barracuda برای فیلتر ایمیل‌ها

برای ایجاد یک لایه امنیتی چندگانه، می‌توانید از ترکیب هر دو سرویس استفاده کنید. به این ترتیب، هم از Spamhaus و هم از Barracuda برای شناسایی و مسدود کردن اسپم‌ها استفاده خواهید کرد که این روش می‌تواند به میزان زیادی دقت فیلترهای اسپم را افزایش دهد.

پیکربندی ترکیبی در Postfix

برای استفاده از هر دو سرویس در پیکربندی Postfix، باید هر دو لیست سیاه را به فیلترهای دریافت‌کننده اضافه کنید:

smtpd_recipient_restrictions = 
   reject_rbl_client zen.spamhaus.org
   reject_rbl_client b.barracudacentral.org

با این تنظیمات، ایمیل‌هایی که از آدرس‌های IP فهرست‌شده در هر دو سرویس ارسال می‌شوند، مسدود خواهند شد.

---

جمع‌بندی

استفاده از سرویس‌هایی مانند Spamhaus و Barracuda برای فیلتر کردن اسپم‌ها و مسدود کردن منابع مخرب، به‌طور چشمگیری می‌تواند دقت فیلترهای اسپم را افزایش دهد. با پیکربندی این سرویس‌ها در سرور ایمیل خود، می‌توانید از ارسال ایمیل‌های ناخواسته جلوگیری کنید و امنیت ایمیل‌های دریافتی خود را بهبود بخشید. این سرویس‌ها به‌ویژه برای سازمان‌هایی که با حجم بالای ایمیل مواجه هستند، بسیار مفید و کارآمد خواهند بود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیم DNSBL (لیست‌های سیاه DNS) برای فیلتر کردن اسپمرها” subtitle=”توضیحات کامل”]DNSBL (DNS-based Blackhole List) یک روش کارآمد برای شناسایی و مسدود کردن اسپمرها از طریق لیست‌های سیاه DNS است. این سیستم از فهرست‌هایی از آدرس‌های IP استفاده می‌کند که به عنوان منابع ارسال اسپم شناخته شده‌اند. این لیست‌ها به طور مداوم به روز رسانی می‌شوند و به مدیران سرورهای ایمیل اجازه می‌دهند تا ایمیل‌هایی که از این آدرس‌ها ارسال می‌شوند را مسدود کنند.

مراحل تنظیم DNSBL برای فیلتر کردن اسپمرها

در این بخش، به‌طور کامل نحوه پیکربندی DNSBL برای سرور ایمیل Postfix شرح داده می‌شود.

1. انتخاب سرویس DNSBL

قبل از هر چیز، باید تصمیم بگیرید که از کدام سرویس DNSBL استفاده خواهید کرد. برخی از سرویس‌های معروف عبارتند از:

• Spamhaus (zen.spamhaus.org)
• Barracuda (b.barracudacentral.org)
• SpamCop (bl.spamcop.net)
• SORBS (dnsbl.sorbs.net)

این سرویس‌ها لیستی از آدرس‌های IP ارسال‌کننده اسپم را در اختیار قرار می‌دهند. برای این مثال از Spamhaus و Barracuda استفاده خواهیم کرد.

---

2. پیکربندی Postfix برای استفاده از DNSBL

برای پیکربندی DNSBL در سرور ایمیل Postfix، باید فایل پیکربندی اصلی آن (main.cf) را ویرایش کنید.

مراحل پیکربندی:

1. ویرایش فایل پیکربندی Postfix (main.cf): ابتدا وارد سرور خود شوید و فایل پیکربندی Postfix را باز کنید:

   sudo nano /etc/postfix/main.cf
   

2. اضافه کردن تنظیمات DNSBL به main.cf: سپس در این فایل، باید تنظیمات لازم را برای اضافه کردن لیست‌های سیاه DNS انجام دهید. به‌طور مثال، برای استفاده از Spamhaus و Barracuda، باید خطوط زیر را به فایل اضافه کنید:

   smtpd_recipient_restrictions = 
   ...
   reject_rbl_client zen.spamhaus.org
   reject_rbl_client b.barracudacentral.org
   

   این تنظیمات به Postfix دستور می‌دهد که برای هر ایمیلی که از IP‌های فهرست‌شده در Spamhaus و Barracuda ارسال می‌شود، اقدام به رد کردن آن‌ها کند.

3. اجرای تنظیمات جدید: بعد از اینکه فایل main.cf را ویرایش کردید، باید سرویس Postfix را برای اعمال تغییرات مجدداً راه‌اندازی کنید:

   sudo systemctl restart postfix
   

---

3. بررسی و آزمایش پیکربندی

برای اطمینان از اینکه تنظیمات DNSBL به درستی پیکربندی شده‌اند، می‌توانید با استفاده از دستور telnet یا swaks ایمیل‌هایی از IP‌های فهرست‌شده در DNSBL ارسال کرده و ببینید که آیا این ایمیل‌ها مسدود می‌شوند یا خیر.

آزمایش با استفاده از telnet:

برای آزمایش می‌توانید از دستور telnet برای اتصال به پورت SMTP سرور استفاده کنید و ببینید که آیا ایمیل‌ها مسدود می‌شوند یا خیر.

telnet your-mail-server.com 25

سپس، با ارسال ایمیل‌هایی از آدرس‌های IP فهرست‌شده در DNSBL، مطمئن شوید که آن‌ها به درستی مسدود می‌شوند.

---

4. اضافه کردن لیست‌های سیاه اضافی

اگر نیاز دارید که از چندین لیست DNSBL به‌طور هم‌زمان استفاده کنید، می‌توانید به راحتی با اضافه کردن فهرست‌های سیاه بیشتر به تنظیمات Postfix این کار را انجام دهید. برای این کار، به همین روش، DNSBL‌های دیگری مانند SpamCop و SORBS را اضافه کنید:

smtpd_recipient_restrictions = 
   reject_rbl_client zen.spamhaus.org
   reject_rbl_client b.barracudacentral.org
   reject_rbl_client bl.spamcop.net
   reject_rbl_client dnsbl.sorbs.net

---

5. تنظیمات اضافی برای بهینه‌سازی عملکرد

برای جلوگیری از بار اضافی روی سرور ایمیل و یا اضافه شدن زمان تاخیر هنگام استفاده از DNSBL‌ها، بهتر است از Caching DNSBL استفاده کنید. می‌توانید این کار را با استفاده از ابزارهایی مانند rspamd یا Postscreen انجام دهید.

پیکربندی Postscreen برای بهینه‌سازی DNSBL:

در Postfix، ابزار Postscreen به شما کمک می‌کند تا درخواست‌های اسپم را قبل از رسیدن به مراحل بعدی فیلتر کنید. برای فعال‌سازی Postscreen با استفاده از DNSBL، تنظیمات زیر را به main.cf اضافه کنید:

postscreen_dnsbl_sites = zen.spamhaus.org, b.barracudacentral.org, bl.spamcop.net
postscreen_dnsbl_threshold = 2

این تنظیمات باعث می‌شود که Postscreen درخواست‌هایی که از DNSBL‌ها دریافت می‌کند، سریع‌تر بررسی کند.

---

جمع‌بندی

استفاده از DNSBL برای فیلتر کردن اسپمرها یکی از بهترین روش‌ها برای مسدود کردن ایمیل‌های ناخواسته است. با تنظیم Spamhaus، Barracuda و دیگر سرویس‌های DNSBL در سرور ایمیل Postfix، می‌توانید دقت فیلترهای اسپم خود را افزایش دهید و از حملات و اسپم‌های ارسال‌شده جلوگیری کنید.

این تنظیمات علاوه بر افزایش امنیت، باعث کاهش بار اضافی بر روی سیستم و همچنین بهبود تجربه کاربران در دریافت ایمیل‌های معتبر می‌شود.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 8. نظارت و گزارش‌گیری از فعالیت‌های اسپم”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”مشاهده و تجزیه و تحلیل گزارش‌های مربوط به حملات اسپم” subtitle=”توضیحات کامل”]برای تجزیه و تحلیل و مشاهده گزارش‌های مربوط به حملات اسپم، نیاز است که به اطلاعات دقیق از لاگ‌ها و وضعیت‌هایی که سرور ایمیل در آن‌ها قرار دارد، دسترسی داشته باشیم. در این بخش، نحوه مشاهده و تجزیه و تحلیل این گزارش‌ها برای شناسایی و مسدودسازی بهتر حملات اسپم، به‌طور جامع و با جزئیات شرح داده می‌شود.

1. مشاهده گزارش‌های اسپم در Postfix

در Postfix، گزارش‌های مربوط به اسپم معمولاً در فایل لاگ اصلی سیستم ایمیل ثبت می‌شوند. این گزارش‌ها به‌طور عمده شامل اطلاعاتی نظیر IP ارسال‌کننده، آدرس ایمیل مقصد، علت بلاک شدن ایمیل و امتیاز اسپم هستند.

بررسی فایل لاگ اصلی:

فایل لاگ اصلی ایمیل معمولاً در مسیر /var/log/maillog قرار دارد. برای مشاهده گزارش‌های اسپم، می‌توان از دستورات مختلفی برای فیلتر کردن و تجزیه و تحلیل لاگ‌ها استفاده کرد.

1. مشاهده گزارش‌های اسپم با استفاده از grep:با استفاده از دستور grep می‌توانید همه موارد مربوط به اسپم را در فایل لاگ پیدا کنید:

   grep "Blocked spam message" /var/log/maillog
   

   این دستور، تمامی پیام‌های اسپم مسدود شده را که شامل عبارت “Blocked spam message” هستند، نمایش می‌دهد.

2. تجزیه و تحلیل گزارش‌ها بر اساس آدرس‌های IP ارسال‌کننده:با استفاده از ترکیب دستورات awk، sort و uniq می‌توانید تعداد دفعاتی که یک IP خاص به‌عنوان ارسال‌کننده اسپم شناسایی شده است، مشاهده کنید:

   grep "Blocked spam message" /var/log/maillog | awk '{print $6}' | sort | uniq -c | sort -nr
   

   این دستور لیست آدرس‌های IP ارسال‌کننده اسپم را همراه با تعداد دفعات وقوع آن‌ها در گزارش‌ها به شما نمایش می‌دهد.

3. فیلتر کردن IP‌های مشکوک که بیش از حد ارسال اسپم داشته‌اند:در صورتی که بخواهید فقط آدرس‌های IP که بیش از حد معمول اسپم ارسال کرده‌اند را مشاهده کنید، می‌توانید از دستور زیر استفاده کنید:

   grep "Blocked spam message" /var/log/maillog | 
   awk '{print $6}' | 
   sort | 
   uniq -c | 
   sort -nr | 
   awk '$1 > 5 {print $2}'
   

   این دستور فقط آدرس‌هایی را نمایش می‌دهد که بیش از 5 بار در ارسال اسپم‌ها دخالت داشته‌اند.

---

2. تجزیه و تحلیل ایمیل‌های اسپم بر اساس امتیاز اسپم

یکی از روش‌های رایج برای شناسایی اسپم‌ها استفاده از امتیاز اسپم است. این امتیاز معمولاً با استفاده از SpamAssassin یا سایر فیلترهای اسپم محاسبه می‌شود و بر اساس آن، ایمیل‌ها یا مسدود می‌شوند یا به صندوق اسپم منتقل می‌شوند.

مشاهده گزارش‌ها با امتیاز اسپم:

در گزارش‌های Postfix، می‌توانید امتیاز اسپم را نیز مشاهده کنید. این امتیاز معمولاً در قالب عددی در گزارش‌ها ذکر می‌شود. به عنوان مثال، ممکن است بخواهید ایمیل‌هایی را که امتیاز اسپم بالاتر از یک حد مشخص دارند، مشاهده کنید.

برای مثال، برای فیلتر کردن ایمیل‌هایی که امتیاز اسپم آن‌ها بالاتر از 5 است:

grep "spam_score" /var/log/maillog | awk '{if ($NF > 5) print $0}'

این دستور تنها ایمیل‌هایی را نشان می‌دهد که دارای امتیاز اسپم بالاتر از 5 باشند.

---

3. استفاده از ابزارهای خارجی برای تجزیه و تحلیل گزارش‌ها

اگر نیاز به تجزیه و تحلیل پیچیده‌تری دارید یا قصد دارید که گزارش‌های اسپم را در قالب گرافیکی مشاهده کنید، می‌توانید از ابزارهای خارجی مانند ELK Stack (Elasticsearch, Logstash, Kibana) یا Grafana برای جمع‌آوری و تحلیل گزارش‌ها استفاده کنید. این ابزارها امکان جستجوی پیشرفته و تجزیه و تحلیل دقیق‌تری را فراهم می‌کنند.

راه‌اندازی ELK Stack برای تجزیه و تحلیل گزارش‌ها:

1. نصب Logstash برای جمع‌آوری گزارش‌ها از فایل‌های لاگ:ابتدا Logstash را نصب کنید و تنظیمات آن را به‌گونه‌ای پیکربندی کنید که لاگ‌های ایمیل شما را جمع‌آوری کرده و به Elasticsearch ارسال کند.

   sudo apt-get install logstash
   

2. پیکربندی Logstash برای دریافت گزارش‌ها از فایل لاگ:فایل پیکربندی logstash.conf را به‌گونه‌ای تنظیم کنید که گزارش‌های Postfix از /var/log/maillog را دریافت کند.مثال پیکربندی logstash.conf:

   input {
     file {
       path => "/var/log/maillog"
       start_position => "beginning"
     }
   }
   
   filter {
     grok {
     }
   }match => { 
   "message" => "%{TIMESTAMP_ISO8601:timestamp} 
   %{LOGLEVEL:level} 
   %{WORD:action} 
   %{DATA:message}" 
   }
   
   output {
     elasticsearch {
       hosts => ["http://localhost:9200"]
       index => "email_spam_logs"
     }
   }
   

3. دریافت و تجزیه و تحلیل گزارش‌ها در Kibana:بعد از تنظیم و راه‌اندازی Logstash و Elasticsearch، می‌توانید از Kibana برای مشاهده و تجزیه و تحلیل گزارش‌ها استفاده کنید. Kibana این امکان را می‌دهد که بر اساس معیارهایی مانند IP ارسال‌کننده، امتیاز اسپم و آدرس ایمیل مقصد جستجو کرده و تجزیه و تحلیل‌های دقیق‌تری انجام دهید.

---

4. تجزیه و تحلیل نمونه‌ای از ایمیل‌های اسپم

در ادامه، نمونه‌ای از ایمیل‌های اسپم و نحوه برخورد با آن‌ها را بررسی می‌کنیم. فرض کنید ایمیلی با موضوع “Congratulations! You’ve just won a $500 gift card” دریافت شده است. این ایمیل یک مثال کلاسیک از phishing و اسپم است که به‌طور معمول از دامنه‌های مشکوک ارسال می‌شود.

تجزیه و تحلیل ایمیل‌های اسپم:

1. بررسی ارسال‌کننده (Sender): بررسی دامنه ارسال‌کننده به‌طور مستقیم می‌تواند نشان دهد که آیا ایمیل از یک دامنه معتبر ارسال شده یا خیر. به‌عنوان مثال، اگر ایمیل از دامنه‌ای مانند spammer.com ارسال شده باشد، می‌توان به‌عنوان اسپم شناسایی شود.
2. بررسی پیوست‌ها: در بسیاری از موارد، ایمیل‌های اسپم همراه با پیوست‌هایی هستند که ممکن است شامل ویروس یا بدافزار باشند. پیوست‌ها باید با استفاده از ابزارهای آنتی‌ویروس و سیستم‌های اسکنر فایل مانند ClamAV بررسی شوند.
3. بررسی لینک‌ها: بررسی لینک‌های موجود در ایمیل می‌تواند به شناسایی ایمیل‌های فیشینگ کمک کند. اگر لینک‌ها به سایت‌های غیرقابل اعتماد یا مشکوک هدایت کنند، این ایمیل به احتمال زیاد اسپم یا فیشینگ است.

---

جمع‌بندی

مشاهده و تجزیه و تحلیل گزارش‌های مربوط به حملات اسپم می‌تواند به شناسایی بهتر اسپمرها و جلوگیری از ارسال ایمیل‌های ناخواسته کمک کند. با استفاده از ابزارهای مختلفی مانند grep، SpamAssassin، ELK Stack و Kibana، می‌توان گزارش‌ها را تجزیه و تحلیل کرده و الگوهای رفتاری اسپم را شناسایی کرد. این اقدامات کمک می‌کنند تا سرور ایمیل شما به طور موثری از حملات اسپم محافظت شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”ارسال هشدارهای خودکار به مدیران سرور در صورت شناسایی اسپم” subtitle=”توضیحات کامل”]برای ارسال هشدارهای خودکار به مدیران سرور در صورت شناسایی اسپم، می‌توان از اسکریپت‌های خودکارسازی و ابزارهای موجود در سیستم استفاده کرد. این کار به مدیران سرور کمک می‌کند تا به سرعت از وقوع حملات اسپم مطلع شوند و اقدامات لازم را انجام دهند. در این بخش، نحوه راه‌اندازی و پیکربندی هشدارهای خودکار در صورت شناسایی اسپم از طریق لاگ‌های سرور ایمیل توضیح داده می‌شود.

1. استفاده از Logwatch برای ارسال هشدار

Logwatch یک ابزار گزارش‌گیری است که به طور خودکار لاگ‌های سیستم را بررسی کرده و گزارش‌هایی ارسال می‌کند. این ابزار می‌تواند برای ارسال هشدارهای مربوط به اسپم به مدیران سرور استفاده شود.

مراحل راه‌اندازی Logwatch برای ارسال هشدار اسپم:

1. نصب Logwatch:ابتدا باید Logwatch را بر روی سیستم خود نصب کنید. در سیستم‌های مبتنی بر Debian/Ubuntu می‌توانید از دستور زیر استفاده کنید:

   sudo apt-get install logwatch
   

   در سیستم‌های مبتنی بر Red Hat/CentOS، می‌توانید از دستور زیر استفاده کنید:

   sudo yum install logwatch
   

2. پیکربندی Logwatch برای بررسی لاگ‌های اسپم:پس از نصب Logwatch، باید پیکربندی آن را تغییر دهید تا گزارش‌های مربوط به اسپم را استخراج کند. فایل پیکربندی اصلی Logwatch در مسیر /etc/logwatch/conf/logwatch.conf قرار دارد.

   برای تنظیم ارسال گزارش‌های اسپم، فایل پیکربندی را ویرایش کنید:

   sudo nano /etc/logwatch/conf/logwatch.conf
   

   در این فایل، مقادیر زیر را تنظیم کنید:

   • MailTo : آدرس ایمیلی که هشدارها به آن ارسال می‌شود.
   • MailFrom : آدرس ایمیل ارسال‌کننده هشدارها.
   • Detail : سطح جزئیات گزارش (مثلاً “High” برای دریافت گزارش‌های کامل‌تر).

   به عنوان مثال، تنظیمات به شکل زیر خواهد بود:

   MailTo = "admin@example.com"
   MailFrom = "logwatch@example.com"
   Detail = High
   

3. تنظیم گزارش‌های اسپم در Logwatch:برای تنظیم گزارش‌های اسپم، باید لاگ‌های اسپم را از طریق فایل‌های لاگ مربوطه به Logwatch اضافه کنید. برای این کار می‌توانید فایل‌های لاگ مانند /var/log/maillog را به Logwatch معرفی کنید.

   برای اضافه کردن مسیر فایل‌های لاگ ایمیل به Logwatch، فایل /etc/logwatch/conf/services/maillog.conf را ویرایش کنید:

   sudo nano /etc/logwatch/conf/services/maillog.conf
   

   در این فایل، مطمئن شوید که Logwatch قادر به بررسی گزارش‌های اسپم باشد. تنظیمات زیر را بررسی و ویرایش کنید:

   LogFile = /var/log/maillog
   

4. اجرای Logwatch:پس از تنظیمات، می‌توانید Logwatch را به‌صورت دستی اجرا کنید تا گزارش‌ها بررسی شده و هشدارها به ایمیل مشخص‌شده ارسال شوند:

   sudo logwatch --detail high --mailto admin@example.com --range today
   

   این دستور، گزارش‌هایی با جزئیات بالا از اسپم‌ها را برای روز جاری به آدرس ایمیل admin@example.com ارسال خواهد کرد.

---

2. استفاده از Postfix و MailScanner برای ارسال هشدار اسپم

یک راه دیگر برای ارسال هشدارهای خودکار، استفاده از MailScanner همراه با Postfix است. MailScanner یک ابزار قدرتمند برای اسکن ایمیل‌های ورودی است که قادر به شناسایی اسپم‌ها و ارسال هشدار به مدیران سرور می‌باشد.

مراحل تنظیم MailScanner برای ارسال هشدار اسپم:

1. نصب MailScanner:ابتدا باید MailScanner را نصب کنید. در سیستم‌های مبتنی بر Debian/Ubuntu، از دستور زیر استفاده کنید:

   sudo apt-get install mailscanner
   

   در سیستم‌های مبتنی بر Red Hat/CentOS، دستور زیر را اجرا کنید:

   sudo yum install mailscanner
   

2. پیکربندی MailScanner برای ارسال هشدار:پس از نصب MailScanner، باید آن را به‌گونه‌ای پیکربندی کنید که در صورت شناسایی اسپم، هشدار ارسال کند.

   فایل پیکربندی اصلی MailScanner در مسیر /etc/MailScanner/MailScanner.conf قرار دارد. این فایل را ویرایش کنید:

   sudo nano /etc/MailScanner/MailScanner.conf
   

   به بخش Alert بروید و مقادیر مربوط به ارسال هشدار ایمیلی را تنظیم کنید:

   Sendmail = /usr/sbin/sendmail
   AlertTo = "admin@example.com"
   

   این تنظیمات موجب می‌شود که ایمیل‌های هشدار اسپم به آدرس admin@example.com ارسال شوند.

3. تنظیم اسکریپت هشدار برای ارسال ایمیل:برای ارسال هشدار به‌صورت خودکار، می‌توانید اسکریپتی را تنظیم کنید که به محض شناسایی اسپم، ایمیل هشدار را به مدیر سرور ارسال کند. این اسکریپت می‌تواند در صورت شناسایی اسپم‌ها از طریق MailScanner اجرا شود.

   مثال اسکریپت spam_alert.sh:

   #!/bin/bash
   echo "Subject: Spam Alert - Suspicious Email Detected" | sendmail admin@example.com
   

   این اسکریپت هشدار را به آدرس admin@example.com ارسال می‌کند.

4. راه‌اندازی MailScanner برای استفاده از اسکریپت هشدار:می‌توانید MailScanner را به‌گونه‌ای پیکربندی کنید که هر زمان اسپم شناسایی شد، اسکریپت هشدار اجرا شود. برای این کار، فایل پیکربندی مربوط به MailScanner را ویرایش کرده و دستور اسکریپت را در آن وارد کنید.

   در /etc/MailScanner/MailScanner.conf، دستور زیر را برای اجرای اسکریپت هشدار اضافه کنید:

   SpamAssassin::RulesDuJour = /etc/mailscanner/spam_alert.sh
   

---

3. استفاده از Systemd Timer برای ارسال هشدارهای خودکار

یک روش دیگر استفاده از Systemd Timer برای اجرای اسکریپت هشدار به صورت خودکار است. این کار به شما این امکان را می‌دهد که اسکریپت‌های نظارت بر لاگ را در بازه‌های زمانی مشخص اجرا کرده و هشدارهای خودکار ارسال کنید.

مراحل استفاده از Systemd Timer برای هشدار اسپم:

1. ایجاد اسکریپت هشدار:ابتدا اسکریپتی برای ارسال هشدار اسپم ایجاد کنید. به‌عنوان مثال:

   sudo nano /usr/local/bin/spam_alert.sh
   

   محتوای اسکریپت می‌تواند مشابه به این باشد:

   #!/bin/bash
   grep "Blocked spam message" /var/log/maillog | mail -s "Spam Alert" admin@example.com
   

2. ایجاد یک Systemd Timer برای اجرای اسکریپت:فایل timer را در مسیر /etc/systemd/system/spam_alert.timer ایجاد کنید:

   sudo nano /etc/systemd/system/spam_alert.timer
   

   محتوای فایل spam_alert.timer باید مشابه به این باشد:

   [Unit]
   Description=Spam Alert Timer
   
   [Timer]
   OnBootSec=1min
   OnUnitActiveSec=5m
   Unit=spam_alert.service
   
   [Install]
   WantedBy=timers.target
   

3. ایجاد فایل Service برای اجرای اسکریپت:سپس یک فایل service در مسیر /etc/systemd/system/spam_alert.service ایجاد کنید:

   sudo nano /etc/systemd/system/spam_alert.service
   

   محتوای فایل spam_alert.service به‌صورت زیر خواهد بود:

   [Unit]
   Description=Spam Alert Service
   
   [Service]
   ExecStart=/usr/local/bin/spam_alert.sh
   

4. فعال‌سازی و راه‌اندازی Systemd Timer:برای فعال کردن تایمر و اجرای اسکریپت به‌طور خودکار، از دستورات زیر استفاده کنید:

   sudo systemctl daemon-reload
   sudo systemctl enable spam_alert.timer
   sudo systemctl start spam_alert.timer
   

   حالا Systemd Timer هر 5 دقیقه یک بار اسکریپت را اجرا کرده و هشدار اسپم‌ها را به مدیر سرور ارسال می‌کند.

---

جمع‌بندی

ارسال هشدارهای خودکار به مدیران سرور در صورت شناسایی اسپم می‌تواند به سرعت واکنش نشان داده و از آسیب‌های ناشی از اسپم‌ها جلوگیری کند. با استفاده از ابزارهایی مانند

Logwatch، MailScanner یا Systemd Timer، می‌توان این فرآیند را به‌طور خودکار و بهینه انجام داد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه دریافت گزارش‌های امنیتی در ایمیل” subtitle=”توضیحات کامل”]دریافت گزارش‌های امنیتی به صورت ایمیل می‌تواند به مدیران سرور کمک کند تا از وضعیت امنیتی سرور و سیستم‌های خود مطلع شوند. این گزارش‌ها می‌توانند شامل اطلاعاتی از قبیل تلاش‌های نفوذ، شناسایی آسیب‌پذیری‌ها، وضعیت فایروال، فعالیت‌های مشکوک و گزارش‌های مربوط به حملات مختلف باشند. برای انجام این کار، می‌توان از ابزارهای مختلفی برای نظارت و ارسال گزارش‌های امنیتی استفاده کرد. در این بخش، نحوه پیکربندی سیستم‌ها برای ارسال گزارش‌های امنیتی به صورت ایمیل به صورت گام به گام توضیح داده می‌شود.

1. استفاده از Logwatch برای ارسال گزارش‌های امنیتی

Logwatch یک ابزار رایگان است که برای نظارت بر لاگ‌های سیستم و ارسال گزارش‌های امنیتی به ایمیل به‌طور خودکار استفاده می‌شود. این ابزار می‌تواند گزارش‌های مربوط به فعالیت‌های امنیتی و وضعیت سیستم را به مدیر ایمیل ارسال کند.

مراحل راه‌اندازی Logwatch برای ارسال گزارش‌های امنیتی:

1. نصب Logwatch:ابتدا باید Logwatch را نصب کنید. در سیستم‌های مبتنی بر Debian/Ubuntu می‌توانید از دستور زیر استفاده کنید:

   sudo apt-get install logwatch
   

   در سیستم‌های مبتنی بر Red Hat/CentOS، دستور زیر را اجرا کنید:

   sudo yum install logwatch
   

2. پیکربندی Logwatch برای ارسال گزارش‌ها به ایمیل:فایل پیکربندی اصلی Logwatch در مسیر /etc/logwatch/conf/logwatch.conf قرار دارد. برای ویرایش این فایل از دستور زیر استفاده کنید:

   sudo nano /etc/logwatch/conf/logwatch.conf
   

   مقادیر زیر را تنظیم کنید تا گزارش‌های امنیتی به ایمیل ارسال شوند:

   • MailTo: آدرس ایمیلی که گزارش‌ها به آن ارسال می‌شود.
   • MailFrom: آدرس ایمیل ارسال‌کننده گزارش‌ها.
   • Detail: سطح جزئیات گزارش‌ها (می‌توانید آن را به “High” تنظیم کنید تا گزارش‌ها شامل جزئیات بیشتر باشند).

   برای مثال:

   MailTo = "admin@example.com"
   MailFrom = "logwatch@example.com"
   Detail = High
   

3. تنظیم Logwatch برای ارسال گزارش‌های امنیتی:فایل پیکربندی Logwatch به طور پیش‌فرض از همه‌ی لاگ‌ها گزارش تهیه می‌کند، اما می‌توانید این فایل را برای نظارت دقیق‌تر بر روی لاگ‌های امنیتی مانند /var/log/auth.log، /var/log/syslog، یا /var/log/secure پیکربندی کنید.

   برای انجام این کار، فایل /etc/logwatch/conf/services/ را ویرایش کنید تا فقط گزارش‌های مرتبط با امنیت ارسال شود.

4. اجرای Logwatch:پس از انجام تنظیمات، می‌توانید Logwatch را به‌صورت دستی اجرا کرده و گزارش‌ها را به ایمیل ارسال کنید. برای اجرای Logwatch و ارسال گزارش‌های امنیتی، دستور زیر را وارد کنید:

   sudo logwatch --detail high --mailto admin@example.com --range today
   

   این دستور گزارش‌هایی با جزئیات بالا از فعالیت‌های امنیتی سیستم را برای روز جاری به ایمیل admin@example.com ارسال خواهد کرد.

---

2. استفاده از Fail2Ban برای ارسال هشدارهای امنیتی

Fail2Ban یکی دیگر از ابزارهای قدرتمند امنیتی است که برای شناسایی تلاش‌های نفوذ و ارسال هشدار به مدیران سرور به کار می‌رود. این ابزار به‌ویژه برای جلوگیری از حملات Brute Force استفاده می‌شود و می‌تواند به صورت خودکار IPهای مشکوک را مسدود کرده و گزارش‌هایی را به ایمیل مدیر سرور ارسال کند.

مراحل تنظیم Fail2Ban برای ارسال گزارش‌ها به ایمیل:

1. نصب Fail2Ban:ابتدا باید Fail2Ban را نصب کنید. در سیستم‌های مبتنی بر Debian/Ubuntu از دستور زیر استفاده کنید:

   sudo apt-get install fail2ban
   

   در سیستم‌های Red Hat/CentOS، از دستور زیر استفاده کنید:

   sudo yum install fail2ban
   

2. پیکربندی Fail2Ban برای ارسال گزارش‌ها به ایمیل:فایل پیکربندی اصلی Fail2Ban در مسیر /etc/fail2ban/jail.local قرار دارد. برای ویرایش این فایل، دستور زیر را وارد کنید:

   sudo nano /etc/fail2ban/jail.local
   

   در این فایل، باید بخش mailing را برای ارسال گزارش‌ها به ایمیل پیکربندی کنید. به عنوان مثال:

   [DEFAULT]
   # آدرس ایمیل ارسال‌کننده
   sender = fail2ban@example.com
   
   # آدرس ایمیل دریافت‌کننده
   destemail = admin@example.com
   
   # استفاده از SMTP برای ارسال ایمیل
   mta = sendmail
   

3. تنظیم Fail2Ban برای ارسال هشدار به ایمیل:بعد از پیکربندی mailing در Fail2Ban، باید آن را برای ارسال گزارش‌ها در صورت شناسایی حملات پیکربندی کنید. برای این کار، وارد فایل /etc/fail2ban/jail.local شوید و بخش مربوط به هر سرویس (مانند sshd) را ویرایش کنید:

   [sshd]
   enabled = true
   action = %(action_mwl)s
   

   این دستور باعث می‌شود که Fail2Ban در صورت شناسایی تلاش‌های نفوذ از طریق SSH، گزارش‌ها و هشدارهای مربوط به IPهای مشکوک را به ایمیل ارسال کند.

4. راه‌اندازی Fail2Ban:پس از اعمال تغییرات، برای راه‌اندازی Fail2Ban و اعمال پیکربندی‌های جدید از دستور زیر استفاده کنید:

   sudo systemctl restart fail2ban
   

5. بررسی گزارش‌ها:حالا Fail2Ban هر زمان که فعالیت مشکوکی شناسایی کند، گزارشی از آن را به ایمیل مشخص‌شده ارسال خواهد کرد.

---

3. استفاده از Auditd برای دریافت گزارش‌های امنیتی

Auditd یک ابزار پیشرفته برای نظارت بر سیستم و دریافت گزارش‌های مربوط به فعالیت‌های امنیتی است. با پیکربندی Auditd می‌توان گزارش‌های دقیقی از هرگونه فعالیت مشکوک به سرور تولید کرده و به ایمیل ارسال کرد.

مراحل راه‌اندازی Auditd برای ارسال گزارش‌های امنیتی:

1. نصب Auditd:برای نصب Auditd در سیستم‌های مبتنی بر Debian/Ubuntu از دستور زیر استفاده کنید:

   sudo apt-get install auditd
   

   در سیستم‌های Red Hat/CentOS، از دستور زیر استفاده کنید:

   sudo yum install audit
   

2. پیکربندی Auditd برای ارسال گزارش‌ها:پس از نصب Auditd، باید پیکربندی آن را برای ارسال گزارش‌های امنیتی به ایمیل تنظیم کنید. فایل پیکربندی اصلی Auditd در مسیر /etc/audit/auditd.conf قرار دارد. برای ویرایش این فایل از دستور زیر استفاده کنید:

   sudo nano /etc/audit/auditd.conf
   

   در این فایل، گزینه action_mail_acct را به آدرس ایمیل خود تغییر دهید:

   action_mail_acct = admin@example.com
   

3. پیکربندی قوانین Auditd برای ثبت رویدادهای امنیتی:برای دریافت گزارش‌های امنیتی دقیق‌تر، باید قوانین نظارتی را به Auditd اضافه کنید. برای این کار، فایل /etc/audit/rules.d/audit.rules را ویرایش کنید و قوانینی برای نظارت بر فعالیت‌های مشکوک اضافه کنید.
4. راه‌اندازی Auditd:پس از تنظیم پیکربندی‌ها، برای راه‌اندازی Auditd و شروع جمع‌آوری گزارش‌های امنیتی دستور زیر را وارد کنید:

   sudo systemctl start auditd
   sudo systemctl enable auditd
   

---

جمع‌بندی

دریافت گزارش‌های امنیتی از سیستم می‌تواند به مدیران سرور کمک کند تا وضعیت امنیتی سرور را به‌طور مداوم نظارت کرده و از وقوع حملات جلوگیری کنند. ابزارهایی مانند Logwatch، Fail2Ban و Auditd می‌توانند به‌طور خودکار گزارش‌های امنیتی را جمع‌آوری کرده و آن‌ها را به ایمیل مدیر ارسال کنند. این اقدام موجب افزایش امنیت سرور و تسریع در واکنش به تهدیدات می‌شود.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 9. رفع مشکلات رایج در ضد اسپم Immunify360″][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”خطاهای رایج در تنظیمات Anti-Spam و نحوه رفع آن‌ها” subtitle=”توضیحات کامل”]هنگام پیکربندی سیستم‌های Anti-Spam برای محافظت از سرور ایمیل، ممکن است با چندین مشکل و خطای رایج مواجه شوید. این مشکلات ممکن است باعث کاهش کارایی سیستم و حتی از دست رفتن ایمیل‌های مهم شوند. در این بخش، به بررسی مهم‌ترین خطاهای رایج در تنظیمات Anti-Spam و نحوه رفع آن‌ها خواهیم پرداخت.

---

1. خطا: ایمیل‌های معتبر به عنوان اسپم شناسایی می‌شوند

این مشکل زمانی رخ می‌دهد که سیستم Anti-Spam پیام‌های معتبر را به اشتباه به عنوان اسپم شناسایی کرده و آنها را به پوشه اسپم منتقل می‌کند.

علل ممکن:

• استفاده از امتیازدهی اسپم (Spam Scoring) بسیار حساس که باعث می‌شود ایمیل‌های معتبر نیز امتیاز اسپم بالا بگیرند.
• پیکربندی نادرست DNSBL یا RBL که باعث مسدود شدن دامنه‌های معتبر می‌شود.
• تنظیمات نادرست در فیلترهای Bayesian Filtering که باعث اشتباه در شناسایی محتویات ایمیل‌ها می‌شود.

راه‌حل‌ها:

• تنظیم حساسیت فیلترها: حساسیت فیلترهای Anti-Spam را کاهش دهید تا ایمیل‌های معتبر شناسایی نشوند.
• تنظیم DNSBL و RBL: از لیست‌های سیاه معتبر مانند Spamhaus استفاده کنید و آن‌ها را به‌طور صحیح پیکربندی کنید.
• تنظیمات Bayesian Filtering: برای کاهش اشتباهات، مدل‌های فیلترینگ Bayesian را با ایمیل‌های نمونه صحیح آموزش دهید.

---

2. خطا: ایمیل‌های اسپم مسدود نمی‌شوند

این مشکل زمانی رخ می‌دهد که سیستم Anti-Spam قادر به شناسایی و مسدود کردن ایمیل‌های اسپم نیست.

علل ممکن:

• تنظیمات ضعیف لیست سیاه (Blacklist) یا لیست سفید (Whitelist) که به درستی پیکربندی نشده‌اند.
• نداشتن حساسیت کافی در امتیازدهی اسپم که باعث می‌شود ایمیل‌های اسپم امتیاز کافی برای مسدود شدن را دریافت نکنند.
• عدم به‌روزرسانی فهرست‌های سیاه که باعث می‌شود آدرس‌های IP اسپمرها شناسایی نشوند.

راه‌حل‌ها:

• به‌روزرسانی منظم DNSBL و RBL: از فهرست‌های سیاه به‌روز و معتبر استفاده کنید و آن‌ها را به‌طور منظم به‌روزرسانی کنید.
• پیکربندی صحیح لیست سیاه و سفید: برای جلوگیری از ارسال ایمیل‌های اسپم، از لیست سیاه دقیق استفاده کنید و آدرس‌های معتبر را به لیست سفید اضافه کنید.
• افزایش حساسیت امتیازدهی اسپم: حساسیت فیلترها را افزایش دهید تا ایمیل‌های مشکوک به راحتی شناسایی و مسدود شوند.

---

3. خطا: ایمیل‌های اسپم در پوشه ورودی (Inbox) ظاهر می‌شوند

در این مشکل، ایمیل‌های اسپم به جای پوشه اسپم، در پوشه ورودی (Inbox) ظاهر می‌شوند.

علل ممکن:

• پیکربندی نادرست فیلترهای محتوای ایمیل که باعث می‌شود ایمیل‌های اسپم به درستی شناسایی نشوند.
• پیکربندی نادرست قوانین برای ارسال ایمیل‌های اسپم، که ممکن است اجازه دهد ایمیل‌های اسپم از فیلترها عبور کنند.
• حساسیت پایین سیستم Anti-Spam نسبت به ویژگی‌های اسپم مانند پیوست‌ها، لینک‌ها و کلمات مشکوک.

راه‌حل‌ها:

• افزایش حساسیت فیلترهای محتوا: فیلترهای محتوا را برای شناسایی دقیق‌تر کلمات مشکوک، لینک‌های ناامن و پیوست‌های خطرناک به‌روز کنید.
• استفاده از قوانین دقیق‌تر برای شناسایی اسپم: از قواعد پیشرفته‌تری برای شناسایی ایمیل‌های اسپم بر اساس ویژگی‌های مختلف آن‌ها استفاده کنید.
• بهینه‌سازی سیستم Anti-Spam: اطمینان حاصل کنید که سیستم به‌طور صحیح برای شناسایی الگوهای اسپم پیکربندی شده است.

---

4. خطا: ایمیل‌های اسپم مسدود می‌شوند اما هیچ گزارشی ایجاد نمی‌شود

گاهی اوقات ممکن است سیستم Anti-Spam اسپم‌ها را مسدود کند اما گزارشی از این رویدادها ارسال نشود.

علل ممکن:

• پیکربندی نادرست گزارش‌گیری در سیستم Anti-Spam که باعث می‌شود گزارش‌ها ارسال نشوند.
• تنظیمات نادرست ایمیل گزارش‌ها که مانع از ارسال خودکار گزارش‌ها می‌شود.
• عدم تنظیمات هشدار برای مدیر سرور در صورت شناسایی اسپم.

راه‌حل‌ها:

• پیکربندی صحیح گزارش‌گیری: از بخش تنظیمات سیستم Anti-Spam برای فعال کردن ارسال گزارش‌های مسدودسازی ایمیل‌ها به مدیر استفاده کنید.
• تنظیم هشدارهای ایمیل: تنظیم کنید که سیستم به‌طور خودکار به ایمیل مدیر هشدار دهد تا مسدودسازی ایمیل‌ها گزارش شود.
• بررسی تنظیمات لاگ‌ها: بررسی کنید که لاگ‌های سیستم به‌طور صحیح پیکربندی شده و برای بررسی دقیق‌تر تنظیمات گزارش‌گیری فعال باشند.

---

5. خطا: کندی در پردازش ایمیل‌ها به دلیل فیلترهای Anti-Spam

در برخی موارد، فیلترهای Anti-Spam ممکن است باعث کاهش سرعت پردازش ایمیل‌ها و کندی در سرور شوند.

علل ممکن:

• تنظیمات نادرست در فیلترها که باعث می‌شود پردازش ایمیل‌ها زمان بیشتری بگیرد.
• عدم بهینه‌سازی منابع سرور برای پردازش حجم بالای ایمیل‌های دریافتی.

راه‌حل‌ها:

• بهینه‌سازی فیلترها: فیلترهای Anti-Spam را بهینه‌سازی کنید تا منابع سرور کمتر مصرف شوند.
• استفاده از فیلترهای چندگانه: برای پردازش بهتر، از فیلترهای متعدد با تنظیمات دقیق استفاده کنید که هر فیلتر فقط روی بخشی از ایمیل پردازش انجام دهد.
• افزایش منابع سرور: در صورت لزوم، منابع سرور را برای پردازش بهتر ایمیل‌ها افزایش دهید.

---

6. خطا: استفاده بیش از حد از منابع سیستم به دلیل قوانین پیچیده Anti-Spam

استفاده از قوانین پیچیده و چندگانه Anti-Spam می‌تواند باعث استفاده بیش از حد از منابع سیستم شود.

علل ممکن:

• استفاده از قوانین پیچیده که نیاز به پردازش و بررسی زیادی دارند و ممکن است منابع سیستم را به شدت مصرف کنند.
• پیکربندی نادرست قوانین ضد اسپم که موجب بار زیاد بر روی سرور می‌شود.

راه‌حل‌ها:

• سادگی قوانین: سعی کنید قوانین Anti-Spam را ساده‌تر کنید تا سیستم بتواند سریع‌تر و با منابع کمتری پردازش کند.
• استفاده از Cache برای فیلترها: از کش کردن نتایج فیلترهای اسپم استفاده کنید تا پردازش ایمیل‌ها سریع‌تر انجام شود.
• ارزیابی عملکرد سیستم: به‌طور مداوم عملکرد سیستم را ارزیابی کرده و در صورت لزوم، قوانین و فیلترها را بهینه‌سازی کنید.

---

جمع‌بندی

خطاهای رایج در تنظیمات Anti-Spam می‌توانند باعث ایجاد مشکلاتی مانند شناسایی اشتباه ایمیل‌های معتبر، ناتوانی در مسدودسازی اسپم‌ها، و حتی کندی سیستم شوند. با توجه به علل مختلف این مشکلات، می‌توان از روش‌هایی مانند افزایش حساسیت فیلترها، پیکربندی صحیح لیست‌های سیاه و سفید، بهینه‌سازی منابع سیستم و تنظیم گزارش‌های دقیق برای رفع این مشکلات استفاده کرد. تنظیمات صحیح و به‌روز می‌توانند به‌طور چشمگیری به بهبود عملکرد سیستم Anti-Spam و افزایش امنیت سرور کمک کنند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”روش‌های بررسی و تست عملکرد فیلترهای اسپم” subtitle=”توضیحات کامل”]برای اطمینان از عملکرد صحیح و کارایی فیلترهای Anti-Spam، ضروری است که به‌طور منظم عملکرد آن‌ها را بررسی و تست کنیم. این کار نه تنها کمک می‌کند که ایمیل‌های اسپم به‌طور مؤثر شناسایی و مسدود شوند، بلکه از آسیب رسیدن به ایمیل‌های معتبر نیز جلوگیری می‌کند. در این بخش، به معرفی روش‌های مختلف برای بررسی و تست عملکرد فیلترهای اسپم خواهیم پرداخت.

1. استفاده از ابزارهای شبیه‌سازی اسپم

یکی از راه‌های مؤثر برای تست عملکرد فیلترهای اسپم، استفاده از ابزارهای شبیه‌سازی اسپم است. این ابزارها به شما اجازه می‌دهند ایمیل‌هایی با ویژگی‌های اسپم به سرور ارسال کنید تا ببینید آیا سیستم آن‌ها را شناسایی و مسدود می‌کند یا خیر.

ابزارهای محبوب:

• SpamAssassin: این ابزار به شما اجازه می‌دهد که پیام‌های شبیه‌سازی‌شده را با استفاده از امتیازدهی اسپم تست کنید و گزارش دقیقی از نتایج دریافت کنید.
• Mail-tester.com: این ابزار آنلاین به شما این امکان را می‌دهد که ایمیل‌ها را ارسال کرده و تحلیل دقیقی از احتمال اسپم بودن آن‌ها دریافت کنید.

روش استفاده:

1. یک ایمیل با محتوای مشکوک (مثلاً شامل کلمات مشکوک، پیوست‌های خطرناک و لینک‌های اسپم) بسازید.
2. آن را به سیستم Anti-Spam ارسال کنید.
3. بررسی کنید که آیا ایمیل به درستی شناسایی شده و به پوشه اسپم منتقل می‌شود یا خیر.

---

2. آنالیز گزارش‌های مربوط به اسپم

سیستم‌های Anti-Spam معمولاً گزارش‌هایی از ایمیل‌هایی که مسدود شده‌اند، ارائه می‌دهند. بررسی این گزارش‌ها به شما کمک می‌کند که بدانید فیلترهای اسپم چقدر دقیق عمل می‌کنند.

روش استفاده:

1. به پنل مدیریتی سیستم Anti-Spam وارد شوید.
2. به بخش گزارش‌ها یا لاگ‌ها بروید و گزارش‌هایی که شامل ایمیل‌های مسدود شده هستند، مشاهده کنید.
3. بررسی کنید که آیا پیام‌هایی که باید مسدود می‌شدند، به درستی شناسایی شده‌اند یا خیر.

---

3. آزمون‌های دستی برای شناسایی ایمیل‌های اسپم

آزمون دستی یک روش دیگر برای بررسی عملکرد فیلترهای اسپم است. در این روش، شما ایمیل‌هایی با ویژگی‌های اسپم‌گونه را به‌طور دستی ارسال می‌کنید و عملکرد فیلترها را ارزیابی می‌کنید.

روش استفاده:

1. ایمیل‌هایی با ویژگی‌های اسپم‌گونه (شامل پیوست‌های مشکوک، لینک‌های غیرمعتبر یا کلمات خاص اسپم) ارسال کنید.
2. بررسی کنید که آیا ایمیل‌ها به پوشه اسپم منتقل شده‌اند یا خیر.
3. در صورت نیاز، به تنظیمات سیستم Anti-Spam مراجعه کنید و حساسیت فیلترها را تغییر دهید.

---

4. استفاده از تست‌های فنی (نظیر SPF, DKIM, DMARC)

فیلترهای اسپم معمولاً از تکنولوژی‌های SPF (Sender Policy Framework)، DKIM (DomainKeys Identified Mail) و DMARC (Domain-based Message Authentication, Reporting & Conformance) برای تأیید هویت فرستنده استفاده می‌کنند. تست این تنظیمات می‌تواند به شناسایی مشکلات و افزایش دقت فیلترها کمک کند.

روش استفاده:

1. تست SPF: با استفاده از ابزارهایی مانند MXToolbox، از صحت رکوردهای SPF مطمئن شوید.
2. تست DKIM: ابزارهایی مانند DKIMValidator را برای بررسی صحت امضای DKIM ارسال شده توسط سرور استفاده کنید.
3. تست DMARC: بررسی کنید که آیا رکوردهای DMARC برای دامنه پیکربندی شده‌اند و به درستی عمل می‌کنند یا خیر.

---

5. بررسی false positives و false negatives

یکی از مهم‌ترین ارزیابی‌ها، بررسی false positives (ایمیل‌های معتبر که به اشتباه به عنوان اسپم شناسایی می‌شوند) و false negatives (ایمیل‌های اسپم که به اشتباه از فیلتر عبور می‌کنند) است. این دو نوع ارزیابی به شما کمک می‌کند که بدانید فیلترهای شما چقدر کارآمد هستند.

روش استفاده:

1. فهرستی از ایمیل‌های مسدود شده و تحویل شده را بررسی کنید.
2. چک کنید که آیا هیچ ایمیل معتبر به اشتباه به عنوان اسپم شناسایی شده است یا ایمیل‌های اسپم به اشتباه به پوشه ورودی فرستاده شده‌اند.
3. تنظیمات فیلترها را بر اساس این ارزیابی‌ها اصلاح کنید.

---

6. استفاده از SpamTrap برای تست فیلترها

SpamTrap ها آدرس‌های ایمیلی هستند که فقط برای شناسایی اسپم استفاده می‌شوند. ارسال‌کنندگان اسپم به طور معمول به این آدرس‌ها ایمیل می‌فرستند، زیرا این آدرس‌ها در دسترس عموم نیستند و هیچ کاربر واقعی به آن‌ها ایمیل نمی‌فرستد.

روش استفاده:

1. یک SpamTrap بسازید یا از سرویس‌هایی که این آدرس‌ها را ارائه می‌دهند، استفاده کنید.
2. آن را به فهرست ایمیل‌های خود اضافه کنید.
3. بررسی کنید که آیا سیستم Anti-Spam به درستی ایمیل‌های اسپم ارسال‌شده به این آدرس‌ها را شناسایی و مسدود می‌کند.

---

7. بررسی الگوهای اسپم شناخته‌شده

بررسی الگوهای شناخته‌شده‌ای که معمولاً در ایمیل‌های اسپم وجود دارند، می‌تواند به شما کمک کند که فیلترهای خود را بهبود بخشید. این الگوها شامل ویژگی‌هایی مانند لینک‌های کوتاه، پیوست‌های مشکوک و کلمات خاص اسپم هستند.

روش استفاده:

1. ایمیل‌هایی که ویژگی‌های اسپم را دارند (مانند لینک‌های کوتاه یا کلمات خاص مانند “free”, “offer”, “prize”) به سیستم ارسال کنید.
2. بررسی کنید که آیا سیستم آن‌ها را به درستی شناسایی می‌کند یا خیر.

---

جمع‌بندی

برای اطمینان از عملکرد مؤثر فیلترهای اسپم، باید از مجموعه‌ای از روش‌های مختلف استفاده کنید. این روش‌ها شامل آزمون‌های شبیه‌سازی اسپم، بررسی گزارش‌ها و لاگ‌ها، آزمون‌های دستی و استفاده از تکنولوژی‌های تأیید هویت ایمیل مانند SPF، DKIM و DMARC می‌شوند. همچنین، بررسی false positives و false negatives و استفاده از SpamTrap می‌تواند به شما کمک کند تا فیلترهای اسپم خود را بهینه‌سازی کنید و از مسدود شدن ایمیل‌های معتبر یا عبور اسپم‌ها جلوگیری نمایید.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”جلوگیری از False Positive (بلاک شدن ایمیل‌های معتبر)” subtitle=”توضیحات کامل”]یکی از چالش‌های مهم در سیستم‌های Anti-Spam، شناسایی دقیق اسپم‌ها بدون مسدود کردن ایمیل‌های معتبر است. زمانی که ایمیل‌های معتبر به اشتباه به عنوان اسپم شناسایی می‌شوند و به پوشه اسپم منتقل می‌شوند، ممکن است کاربران به اطلاعات حیاتی دسترسی نداشته باشند و مشکلاتی برای سیستم‌های ارتباطی ایجاد شود. جلوگیری از این مشکل نیازمند تنظیمات دقیق و بررسی‌های مستمر است.

در این بخش، به روش‌های جلوگیری از False Positive در سیستم‌های ضد اسپم پرداخته می‌شود.

---

1. تنظیم دقیق و بهینه فیلترهای اسپم

یکی از مهم‌ترین اقدامات برای جلوگیری از False Positive، تنظیم دقیق فیلترهای اسپم است. فیلترهای اسپم معمولاً بر اساس ویژگی‌هایی مانند محتوای ایمیل، آدرس فرستنده، IP ارسال‌کننده و سایر معیارهای مشابه کار می‌کنند. برای جلوگیری از شناسایی اشتباه ایمیل‌های معتبر به عنوان اسپم، باید حساسیت این فیلترها را به دقت تنظیم کرد.

روش استفاده:

1. تنظیم حساسیت SpamAssassin:
   • برای تنظیم حساسیت اسپم، می‌توانید امتیازدهی را کاهش دهید تا پیام‌های کمتری به عنوان اسپم شناخته شوند.
   • برای مثال، در فایل پیکربندی local.cf SpamAssassin، می‌توانید تنظیمات زیر را اعمال کنید:

   # تنظیم امتیاز اسپم برای جلوگیری از false positive
   score BODY_RULES 0.5
   score HEADER_RULES 0.5
   score SPAMHAUS 0.5
   

   مسیر فایل: /etc/mail/spamassassin/local.cf

2. استفاده از Whitelist:
   • آدرس‌های ایمیل و دامنه‌های معتبر را به لیست سفید (Whitelist) اضافه کنید تا فیلتر اسپم این ایمیل‌ها را به عنوان اسپم شناسایی نکند.

   # افزودن دامنه به Whitelist
   whitelist_from *@yourdomain.com
   

   مسیر فایل: /etc/mail/spamassassin/local.cf

---

2. استفاده از تکنولوژی‌های احراز هویت ایمیل

تکنولوژی‌هایی مانند SPF، DKIM و DMARC کمک می‌کنند تا ایمیل‌های معتبر به‌درستی شناسایی شوند. این استانداردها هویت فرستنده را تأیید می‌کنند و از ارسال ایمیل‌های جعلی یا اسپم جلوگیری می‌کنند. با تنظیم صحیح این تکنولوژی‌ها، می‌توان از False Positive جلوگیری کرد.

روش استفاده:

1. پیکربندی SPF:
   • بررسی کنید که رکوردهای SPF به درستی برای دامنه شما پیکربندی شده باشد. رکورد SPF به سرورهای دریافت‌کننده اجازه می‌دهد تا اعتبار فرستنده ایمیل را بررسی کنند.

   مثال رکورد SPF:

   yourdomain.com. IN TXT "v=spf1 ip4:192.168.1.0/24 -all"
   

2. پیکربندی DKIM:
   • DKIM امضای دیجیتال ایمیل‌ها را برای تأیید صحت فرستنده فراهم می‌کند. این امضاء توسط سرور دریافت‌کننده بررسی می‌شود و کمک می‌کند تا ایمیل‌های معتبر از اسپم‌ها متمایز شوند.
3. پیکربندی DMARC:
   • DMARC برای جلوگیری از جعل ایمیل‌ها استفاده می‌شود و به سرورهای دریافت‌کننده این امکان را می‌دهد که تعیین کنند آیا ایمیل به درستی احراز هویت شده است یا خیر.

---

3. استفاده از لیست سفید (Whitelist) و لیست سیاه (Blacklist)

برای جلوگیری از False Positive، می‌توانید از لیست سفید برای تأیید ایمیل‌های معتبر و از لیست سیاه برای مسدود کردن اسپم‌ها استفاده کنید. این کار از شناسایی اشتباه ایمیل‌های معتبر به عنوان اسپم جلوگیری می‌کند.

روش استفاده:

1. اضافه کردن آدرس‌های ایمیل معتبر به Whitelist:
   • به‌طور منظم آدرس‌ها و دامنه‌های معتبر را به لیست سفید اضافه کنید تا فیلتر اسپم این ایمیل‌ها را به عنوان اسپم شناسایی نکند.

   # افزودن آدرس ایمیل به Whitelist
   whitelist_from user@trusted-domain.com
   

2. تنظیم فیلترهای لیست سیاه:
   • با استفاده از ابزارهایی مانند SpamAssassin و RBLs، دامنه‌ها و IPهای مشکوک و اسپم را به لیست سیاه اضافه کنید.

   # اضافه کردن IP به Blacklist
   blacklist_from 203.0.113.25
   

---

4. آزمون‌های دستی و تست فیلترها

برای ارزیابی کارایی فیلترهای اسپم و جلوگیری از False Positive، می‌توانید به‌طور دستی ایمیل‌های معتبر و مشکوک را تست کنید. این کار به شما کمک می‌کند تا مطمئن شوید فیلترهای اسپم هیچ ایمیل معتبر را به اشتباه مسدود نمی‌کنند.

روش استفاده:

1. ایمیل‌هایی از منابع معتبر (مانند خدمات بانکی، شبکه‌های اجتماعی و ایمیل‌های شرکتی) ارسال کنید.
2. بررسی کنید که آیا این ایمیل‌ها به اشتباه به پوشه اسپم منتقل می‌شوند یا خیر.
3. اگر چنین مشکلی وجود دارد، تنظیمات فیلترهای اسپم را تنظیم کنید تا از مسدود شدن این ایمیل‌ها جلوگیری شود.

---

5. نظارت و گزارش‌گیری منظم

نظارت و گزارش‌گیری منظم از فیلترهای اسپم می‌تواند به شناسایی و رفع مشکلات False Positive کمک کند. گزارش‌هایی از ایمیل‌های مسدود شده و تحویل شده را بررسی کنید تا اطمینان حاصل کنید که هیچ ایمیل معتبر به اشتباه شناسایی نمی‌شود.

روش استفاده:

1. به گزارش‌های اسپم سرور ایمیل دسترسی پیدا کنید.
2. ایمیل‌های مسدود شده را بررسی کنید و مطمئن شوید که هیچ ایمیل معتبر در آن‌ها وجود ندارد.
3. در صورت وجود ایمیل‌های معتبر، تنظیمات فیلترهای اسپم را تغییر دهید.

---

جمع‌بندی

برای جلوگیری از False Positive و مسدود شدن ایمیل‌های معتبر، می‌بایست از تنظیمات دقیق فیلترهای اسپم، استفاده از تکنولوژی‌های احراز هویت ایمیل مانند SPF، DKIM و DMARC، و همچنین لیست‌های سفید و سیاه بهره برد. همچنین، نظارت و بررسی‌های مستمر، به همراه آزمون‌های دستی، می‌تواند به شما کمک کند تا از شناسایی اشتباه ایمیل‌های معتبر جلوگیری کنید و کارایی سیستم‌های Anti-Spam را به حداکثر برسانید.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 10. بهینه‌سازی تنظیمات ضد اسپم برای کاهش بار پردازشی سرور”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”استفاده از کشینگ و پردازش ایمیل‌های مشکوک در زمان‌های مشخص” subtitle=”توضیحات کامل”]یکی از روش‌های بهینه برای کاهش فشار بر سیستم‌های ایمیل و افزایش کارایی فیلترهای ضد اسپم، استفاده از کشینگ (Caching) و پردازش ایمیل‌های مشکوک در زمان‌های مشخص است. این روش باعث می‌شود که منابع سرور به‌صورت مؤثرتر استفاده شوند و در عین حال ایمیل‌های مشکوک به‌صورت بهینه‌تری مورد بررسی قرار گیرند. در این بخش، به نحوه استفاده از کشینگ و پردازش ایمیل‌ها در زمان‌های معین پرداخته می‌شود.

1. استفاده از کشینگ برای پردازش سریع‌تر ایمیل‌ها

کشینگ یک تکنیک است که برای ذخیره‌سازی موقت داده‌ها در حافظه سریع استفاده می‌شود. این تکنیک به سرورها این امکان را می‌دهد که داده‌ها را برای مدت کوتاهی ذخیره کرده و سپس آن‌ها را مجدداً از کش خوانده و از پردازش‌های تکراری جلوگیری کنند.

در سیستم‌های Anti-Spam، کشینگ می‌تواند برای ذخیره‌سازی اطلاعات مربوط به ایمیل‌های بررسی‌شده استفاده شود. این کار موجب کاهش بار سرور و تسریع در پردازش ایمیل‌های مشابه می‌شود.

روش استفاده:

1. فعال‌سازی کشینگ در SpamAssassin:
   • SpamAssassin از کش برای ذخیره اطلاعات مربوط به ایمیل‌های مشکوک استفاده می‌کند. می‌توانید کش را برای ذخیره‌سازی نتایج بررسی‌های اسپم پیکربندی کنید.

   برای فعال‌سازی کشینگ در SpamAssassin، فایل پیکربندی local.cf را ویرایش کنید و تنظیمات زیر را اضافه کنید:

   # فعال‌سازی کشینگ برای سرعت بخشیدن به پردازش ایمیل‌ها
   use_razor2 1
   use_dcc 1
   use_pyzor 1
   

   مسیر فایل: /etc/mail/spamassassin/local.cf

2. استفاده از Memcached برای ذخیره‌سازی کش:
   • یکی از راه‌حل‌های کشینگ در سطح سیستم ایمیل، استفاده از Memcached است. این سرویس می‌تواند به‌عنوان یک ذخیره‌ساز کش برای نتایج اسکن اسپم استفاده شود.

   برای استفاده از Memcached، ابتدا آن را نصب کنید:

   sudo apt-get install memcached
   

   سپس برای پیکربندی SpamAssassin جهت استفاده از Memcached، در فایل پیکربندی local.cf تنظیمات زیر را اضافه کنید:

   # فعال‌سازی Memcached برای کشینگ
   memcached_host 127.0.0.1
   memcached_port 11211
   

   مسیر فایل: /etc/mail/spamassassin/local.cf

---

2. پردازش ایمیل‌های مشکوک در زمان‌های مشخص

پردازش ایمیل‌های مشکوک در زمان‌های مشخص می‌تواند به کاهش بار سرور در ساعات پیک و افزایش کارایی سیستم کمک کند. این کار به‌ویژه برای سرورهایی که حجم بالایی از ایمیل‌ها را پردازش می‌کنند، مفید است. شما می‌توانید پردازش‌های ضد اسپم را به‌صورت زمان‌بندی‌شده انجام دهید تا ایمیل‌ها به صورت دوره‌ای بررسی شوند.

روش استفاده:

1. استفاده از Cron Jobs برای زمان‌بندی پردازش‌ها:
   • با استفاده از Cron Jobs می‌توانید پردازش‌های ایمیل‌های مشکوک را در ساعات خاصی از روز زمان‌بندی کنید. برای این کار، ابتدا یک اسکریپت برای بررسی و پردازش ایمیل‌های مشکوک بنویسید.

   به‌عنوان مثال، اسکریپت زیر را برای بررسی ایمیل‌های مشکوک و اعمال فیلترهای اسپم در زمان‌های مشخص تنظیم کنید:

   #!/bin/bash
   # اسکریپت برای بررسی ایمیل‌های مشکوک
   /usr/bin/spamassassin -r /var/spool/mail/inbox
   

   سپس برای زمان‌بندی این اسکریپت در Cron, فایل crontab را ویرایش کنید:

   crontab -e
   

   و زمان‌بندی زیر را اضافه کنید تا اسکریپت هر 2 ساعت یک‌بار اجرا شود:

   0 */2 * * * /path/to/spam_check_script.sh
   

   این کار باعث می‌شود که ایمیل‌ها در فواصل زمانی مشخص بررسی شوند.

2. استفاده از سیستم Queue برای پردازش‌های تاخیری:
   • در برخی مواقع، استفاده از سیستم‌های Queue مانند RabbitMQ یا Kafka می‌تواند به پردازش ایمیل‌های مشکوک در زمان‌های مشخص کمک کند. این سیستم‌ها می‌توانند ایمیل‌ها را در صف قرار داده و به ترتیب بررسی کنند.

   به‌عنوان مثال، شما می‌توانید ایمیل‌های مشکوک را در صف قرار داده و سپس پردازش‌های ضد اسپم را به‌صورت همزمان در زمان‌های معین انجام دهید.

---

3. بهینه‌سازی عملکرد با پردازش دسته‌ای ایمیل‌ها

پردازش دسته‌ای ایمیل‌ها، به‌ویژه برای سرورهای با حجم بالا، می‌تواند به‌طور قابل توجهی کارایی سیستم را افزایش دهد. به‌جای بررسی هر ایمیل به‌طور جداگانه، می‌توان ایمیل‌ها را دسته‌بندی و سپس پردازش کرد.

روش استفاده:

1. استفاده از ابزارهای پردازش دسته‌ای:
   • ابزارهایی مانند MailScanner و Amavisd-new می‌توانند به پردازش دسته‌ای ایمیل‌ها کمک کنند. این ابزارها می‌توانند ایمیل‌ها را به‌طور گروهی پردازش کرده و از منابع سرور به‌طور بهینه استفاده کنند.

   به‌عنوان مثال، برای نصب و پیکربندی MailScanner می‌توانید مراحل زیر را دنبال کنید:

   sudo apt-get install mailscanner
   

   سپس پیکربندی‌های مربوطه را در فایل پیکربندی /etc/MailScanner/MailScanner.conf اعمال کنید.

---

جمع‌بندی

استفاده از کشینگ و پردازش ایمیل‌های مشکوک در زمان‌های مشخص می‌تواند به‌طور قابل توجهی عملکرد سیستم‌های ضد اسپم را بهبود بخشیده و از منابع سرور به‌صورت مؤثر استفاده کند. با استفاده از تکنیک‌هایی مانند Memcached برای کشینگ و Cron Jobs برای زمان‌بندی پردازش‌ها، می‌توان به بهینه‌سازی سیستم ایمیل و کاهش بار سرور دست یافت. این روش‌ها به‌ویژه برای سرورهایی که حجم بالایی از ایمیل‌ها را پردازش می‌کنند، مفید و مؤثر هستند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بهینه‌سازی فرآیند اسکن ایمیل‌ها برای کاهش تأثیر روی عملکرد سرور” subtitle=”توضیحات کامل”]فرآیند اسکن ایمیل‌ها برای شناسایی اسپم و تهدیدات امنیتی می‌تواند تأثیر زیادی بر عملکرد سرور داشته باشد. در صورتی که این فرآیند به‌طور صحیح مدیریت نشود، ممکن است باعث کاهش کارایی سرور، تأخیر در ارسال و دریافت ایمیل‌ها، و مصرف بالای منابع سیستم شود. بنابراین، بهینه‌سازی این فرآیند برای کاهش تأثیر آن بر عملکرد سرور ضروری است.

در این بخش از آموزش های ارائه شده توسط فرازنتورک، به روش‌ها و تکنیک‌هایی برای بهینه‌سازی فرآیند اسکن ایمیل‌ها پرداخته می‌شود که می‌تواند موجب کاهش بار سرور و تسریع در پردازش ایمیل‌ها شود.

1. استفاده از فیلترهای اولیه برای کاهش حجم ایمیل‌های ورودی

یکی از روش‌های موثر برای کاهش بار سرور، استفاده از فیلترهای اولیه برای حذف ایمیل‌های ناخواسته پیش از ارسال آن‌ها به سرور ایمیل است. این کار باعث می‌شود که تعداد ایمیل‌های بررسی‌شده توسط سیستم ضد اسپم کاهش یابد و منابع سرور برای پردازش ایمیل‌های معتبر صرف شود.

روش استفاده:

1. استفاده از DNSBL (لیست‌های سیاه DNS): با استفاده از سرویس‌های DNSBL مانند Spamhaus و Barracuda می‌توانید ایمیل‌هایی که از آدرس‌های مشکوک و شناخته‌شده ارسال می‌شوند را در مراحل ابتدایی شناسایی و مسدود کنید.پیکربندی در Postfix: در فایل پیکربندی main.cf، تنظیمات زیر را برای فعال‌سازی DNSBL اضافه کنید:

   smtpd_recipient_restrictions = 
     reject_rbl_client zen.spamhaus.org,
     reject_rbl_client b.barracudacentral.org
   

   این کار باعث مسدودسازی ایمیل‌هایی که از آدرس‌های IP موجود در لیست‌های سیاه استفاده می‌کنند، خواهد شد.

2. استفاده از Greylisting: Greylisting یک تکنیک است که به‌طور موقت ایمیل‌های مشکوک را رد می‌کند و از فرستنده درخواست می‌کند که دوباره ایمیل را ارسال کند. این کار معمولاً ایمیل‌های اسپم که به‌طور خودکار ارسال می‌شوند را مسدود می‌کند، اما ایمیل‌های معتبر معمولاً دوباره ارسال می‌شوند.پیکربندی در Postfix: برای استفاده از Greylisting، می‌توانید از ابزار postgrey استفاده کنید.

   نصب postgrey:

   sudo apt-get install postgrey
   

   سپس، آن را با Postfix پیکربندی کنید:

   postconf -e 'smtpd_recipient_restrictions = check_policy_service unix:postgrey/socket'
   

---

2. استفاده از کشینگ برای کاهش زمان اسکن

کشینگ می‌تواند به‌طور قابل توجهی زمان لازم برای اسکن ایمیل‌ها را کاهش دهد. با کش کردن نتایج بررسی‌های اسپم، می‌توان از پردازش مجدد ایمیل‌هایی که قبلاً بررسی شده‌اند جلوگیری کرد و از منابع سرور به‌طور مؤثرتر استفاده کرد.

روش استفاده:

1. کشینگ در SpamAssassin: SpamAssassin یک ابزار محبوب برای بررسی اسپم است که می‌تواند نتایج بررسی‌های قبلی را کش کرده و از پردازش دوباره آن‌ها جلوگیری کند.برای فعال‌سازی کشینگ در SpamAssassin، فایل پیکربندی local.cf را ویرایش کرده و تنظیمات زیر را اضافه کنید:

   # فعال‌سازی کشینگ برای سرعت بخشیدن به پردازش ایمیل‌ها
   use_razor2 1
   use_dcc 1
   use_pyzor 1
   

   مسیر فایل: /etc/mail/spamassassin/local.cf

2. استفاده از Memcached برای کشینگ: اگر سرور شما به‌طور مداوم تحت فشار است، می‌توانید از Memcached برای ذخیره‌سازی نتایج بررسی‌های اسپم استفاده کنید.ابتدا Memcached را نصب کنید:

   sudo apt-get install memcached
   

   سپس، تنظیمات مربوط به استفاده از Memcached را در فایل پیکربندی local.cf به‌صورت زیر اضافه کنید:

   # فعال‌سازی Memcached برای کشینگ
   memcached_host 127.0.0.1
   memcached_port 11211
   

---

3. استفاده از پردازش‌های موازی و دسته‌ای

یکی دیگر از روش‌های بهینه‌سازی عملکرد، استفاده از پردازش‌های موازی و دسته‌ای است. به‌جای پردازش تک‌تک ایمیل‌ها به‌صورت جداگانه، می‌توان چندین ایمیل را در یک دسته قرار داده و پردازش کرد. این کار می‌تواند به‌طور چشمگیری زمان پردازش را کاهش دهد.

روش استفاده:

1. استفاده از MailScanner برای پردازش دسته‌ای ایمیل‌ها: MailScanner ابزاری است که می‌تواند به‌طور مؤثر ایمیل‌ها را به صورت دسته‌ای پردازش کند.برای نصب MailScanner از دستورات زیر استفاده کنید:

   sudo apt-get install mailscanner
   

   سپس، فایل پیکربندی /etc/MailScanner/MailScanner.conf را ویرایش کرده و تنظیمات مورد نظر را اعمال کنید.

2. پردازش موازی ایمیل‌ها با استفاده از Amavisd-new: Amavisd-new یک برنامه پیشرفته برای پردازش ایمیل‌ها است که می‌تواند پردازش‌های موازی را انجام دهد.برای نصب و پیکربندی Amavisd-new:

   sudo apt-get install amavisd-new
   

   سپس فایل پیکربندی /etc/amavisd/amavisd.conf را ویرایش کرده و تنظیمات موازی را اعمال کنید.

---

4. استفاده از ابزارهای شبیه‌سازی بار (Load Testing Tools)

قبل از اعمال هرگونه تغییر در پیکربندی، می‌توانید با استفاده از ابزارهای شبیه‌سازی بار مانند Apache JMeter یا Siege، عملکرد سیستم را تحت فشار بررسی کنید. این ابزارها به شما کمک می‌کنند تا اثرات تغییرات پیکربندی بر روی عملکرد سرور را بررسی کرده و مطمئن شوید که تغییرات به بهبود عملکرد منجر می‌شوند.

روش استفاده:

1. آزمایش بار با Apache JMeter: می‌توانید با استفاده از JMeter حجم زیادی از ایمیل‌های آزمایشی را ارسال کرده و تأثیر تغییرات پیکربندی را بر روی سرور بررسی کنید.نصب JMeter:

   sudo apt-get install jmeter
   

   سپس با استفاده از JMeter تست بار را انجام دهید و بررسی کنید که پردازش ایمیل‌ها چگونه تحت بار افزایش یافته قرار می‌گیرد.

---

جمع‌بندی

بهینه‌سازی فرآیند اسکن ایمیل‌ها برای کاهش تأثیر روی عملکرد سرور شامل تکنیک‌هایی مانند استفاده از فیلترهای اولیه (DNSBL و Greylisting)، کشینگ نتایج اسکن، پردازش دسته‌ای ایمیل‌ها و استفاده از پردازش‌های موازی است. همچنین، می‌توان از ابزارهای شبیه‌سازی بار برای بررسی تأثیر تغییرات پیکربندی بر روی عملکرد سرور استفاده کرد. این روش‌ها می‌توانند به کاهش بار سرور و تسریع در پردازش ایمیل‌ها کمک کنند و از منابع سیستم به‌صورت مؤثرتر استفاده نمایند.

 

 [/cdb_course_lesson][/cdb_course_lessons][cdb_course_lessons title=”بخش 8. نظارت و گزارش‌گیری”][cdb_course_lesson title=”فصل 1. معرفی بخش نظارت و گزارش‌گیری”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”اهمیت نظارت مداوم بر امنیت سرور” subtitle=”توضیحات کامل”]نظارت مداوم بر امنیت سرور یکی از اصول اساسی در حفظ سلامت و امنیت سیستم‌ها در دنیای دیجیتال امروزی است. این نظارت به صاحبان سیستم‌ها و مدیران شبکه این امکان را می‌دهد که مشکلات و تهدیدات امنیتی را پیش از آنکه به حملات جدی تبدیل شوند شناسایی کنند. از آنجا که تهدیدات امنیتی به سرعت تکامل می‌یابند، نظارت فعال و پیوسته برای شناسایی تهدیدات جدید، اصلاح آسیب‌پذیری‌ها و جلوگیری از دسترسی‌های غیرمجاز امری ضروری است.

در ادامه به مهم‌ترین دلایل اهمیت نظارت مداوم بر امنیت سرور پرداخته می‌شود:

شناسایی تهدیدات و حملات

یکی از اصلی‌ترین وظایف نظارت بر امنیت سرور شناسایی سریع حملات و تهدیدات است. از طریق نظارت مستمر، می‌توان فعالیت‌های مشکوک یا غیرعادی را که ممکن است نشان‌دهنده حملات سایبری باشند، شناسایی کرد. این حملات ممکن است شامل حملات DDoS، تلاش‌های دسترسی غیرمجاز یا اجرای بدافزار باشند. ابزارهای نظارتی همچون فایروال‌ها، سیستم‌های تشخیص نفوذ (IDS) و نرم‌افزارهای ضدویروس می‌توانند به شناسایی این تهدیدات کمک کنند.

---

پیشگیری از دسترسی‌های غیرمجاز

نظارت فعال بر روی دسترسی‌ها و احراز هویت کاربران این اطمینان را می‌دهد که تنها افرادی که مجوزهای لازم را دارند به سرور دسترسی پیدا کنند. در صورتی که تلاش‌های ورود غیرمجاز شناسایی شود، می‌توان اقدامات فوری مانند مسدود کردن آدرس‌های IP مخرب یا تغییر سیاست‌های دسترسی را اعمال کرد. همچنین، بررسی مداوم تلاش‌های ناموفق ورود به سیستم می‌تواند به شناسایی حملات Brute Force و جلوگیری از آن‌ها کمک کند.

---

شناسایی آسیب‌پذیری‌ها

نظارت بر امنیت سرور همچنین به شناسایی آسیب‌پذیری‌های سیستم و نرم‌افزارهای نصب شده کمک می‌کند. آسیب‌پذیری‌هایی که ممکن است به دلیل تنظیمات نادرست، نسخه‌های قدیمی نرم‌افزار یا اشتباهات پیکربندی ایجاد شوند، می‌توانند به مهاجمان فرصت نفوذ بدهند. از طریق به‌روزرسانی منظم و پچ کردن آسیب‌پذیری‌ها می‌توان این خطرات را کاهش داد.

---

بررسی عملکرد سرور

نظارت بر عملکرد سرور نه تنها به منظور شناسایی تهدیدات امنیتی بلکه برای اطمینان از عملکرد بهینه سرور نیز اهمیت دارد. به عنوان مثال، مصرف بیش از حد منابع، کاهش عملکرد یا خرابی‌های غیرمنتظره ممکن است به‌طور غیرمستقیم نشانه‌ای از حملات مخرب یا مشکلات امنیتی باشند. نظارت بر عملکرد سرور به مدیران این امکان را می‌دهد که به‌سرعت این مشکلات را شناسایی و حل کنند.

---

ارتقای قابلیت واکنش به تهدیدات

نظارت مداوم این امکان را فراهم می‌کند که در صورت وقوع حمله یا تهدید، سریعاً واکنش نشان داده و اقدامات لازم را انجام دهید. این شامل مسدود کردن ترافیک مشکوک، قطع دسترسی مهاجمان، استفاده از ابزارهای تشخیص و حذف بدافزارها و اطلاع‌رسانی به تیم‌های امنیتی یا کاربران می‌شود.

---

تنظیمات و پیکربندی‌های مرتبط با نظارت

برای انجام نظارت مؤثر بر امنیت سرور، می‌توان از ابزارهایی مانند Imunify360 برای مانیتورینگ تهدیدات استفاده کرد. این ابزار به طور خاص برای سرورهای وب طراحی شده است و می‌تواند تهدیدات مختلفی مانند حملات DDoS، بدافزار، حملات Brute Force و … را شناسایی کند.

تنظیمات اولیه برای فعال‌سازی نظارت

برای فعال‌سازی نظارت در Imunify360، لازم است که ابتدا این ابزار را نصب کرده و سپس تنظیمات اولیه را انجام دهید.

1. نصب Imunify360: برای نصب، دستورات زیر را اجرا کنید:

   curl -s https://repo.imunify360.com/install.sh | bash
   

   مسیر نصب:
   مسیر فایل نصب به طور پیش‌فرض در دایرکتوری /usr/local/imunify360/ قرار می‌گیرد.

2. پیکربندی نظارت بر امنیت: برای پیکربندی نظارت بر تهدیدات، باید تنظیمات ابزار Imunify360 را به‌روزرسانی کنید. این کار را می‌توان با دستورات زیر انجام داد:

   imunify360-agent configure
   

   مسیر فایل پیکربندی:
   فایل پیکربندی اصلی در مسیر /etc/imunify360/ قرار دارد.

3. فعال‌سازی گزارشات: برای دریافت گزارشات از حملات شناسایی شده توسط Imunify360، باید سیستم را به‌گونه‌ای پیکربندی کنید که گزارش‌ها به ایمیل مدیر سرور ارسال شود. تنظیمات مربوطه به‌طور مستقیم از طریق داشبورد Imunify360 قابل انجام است، اما می‌توانید از دستورات زیر برای پیکربندی ارسال ایمیل استفاده کنید:

   imunify360-agent configure --email-reports=true
   

   این دستور پیکربندی ایمیل‌ها را فعال می‌کند تا گزارش‌ها به صورت خودکار به آدرس ایمیل مورد نظر ارسال شوند.

---

جمع‌بندی

نظارت مداوم بر امنیت سرور یکی از اقدامات حیاتی برای محافظت از داده‌ها و سیستم‌ها در برابر تهدیدات و حملات سایبری است. با استفاده از ابزارهای تخصصی مانند Imunify360، می‌توان تهدیدات را شناسایی، مدیریت و پاسخ به آن‌ها را سریع‌تر انجام داد. این نظارت نه تنها در شناسایی حملات بلکه در بهینه‌سازی عملکرد سرور و پیشگیری از آسیب‌پذیری‌ها نیز نقش حیاتی دارد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”معرفی ابزارها و قابلیت‌های گزارش‌گیری در Immunify360″ subtitle=”توضیحات کامل”]Imunify360 یک ابزار جامع برای امنیت سرورهای وب است که به صورت پیشرفته به محافظت از سیستم‌ها در برابر تهدیدات مختلف از جمله بدافزارها، حملات DDoS، تلاش‌های نفوذ و سایر تهدیدات سایبری می‌پردازد. یکی از ویژگی‌های برجسته Imunify360 قابلیت گزارش‌گیری و تجزیه و تحلیل تهدیدات است که به مدیران سیستم این امکان را می‌دهد تا به‌راحتی روند امنیت سرور خود را پیگیری کنند و اقداماتی را برای مقابله با تهدیدات انجام دهند.

در این بخش از آموزش های ارائه شده توسط فرازنتورک، به معرفی ابزارها و قابلیت‌های گزارش‌گیری موجود در Imunify360 پرداخته می‌شود.

قابلیت‌های گزارش‌گیری در Immunify360

1. گزارش‌گیری از حملات سایبری Imunify360 با ارائه گزارشات دقیق از انواع حملات مانند حملات Brute Force، DDoS، نفوذهای احتمالی و دسترسی‌های غیرمجاز، به مدیران این امکان را می‌دهد تا به‌سرعت تهدیدات موجود را شناسایی و واکنش نشان دهند. این گزارش‌ها شامل جزئیات زمان وقوع حملات، منبع IP، نوع حمله و شدت آن هستند.
2. گزارش‌گیری از فعالیت‌های مشکوک این ابزار می‌تواند هرگونه فعالیت مشکوک که ممکن است نشان‌دهنده تلاش‌های نفوذ باشد را ثبت کرده و گزارشی مفصل از آن تولید کند. این فعالیت‌ها می‌توانند شامل تلاش‌های مکرر برای ورود به سیستم یا درخواست‌های مشکوک از سوی کاربران باشد.
3. گزارش‌گیری از وضعیت سلامت سرور علاوه بر گزارش‌های امنیتی، Imunify360 امکان گزارش‌گیری از وضعیت کلی سرور را نیز فراهم می‌آورد. این گزارش‌ها شامل اطلاعاتی درباره میزان مصرف منابع، وضعیت سرویس‌های مختلف، و گزارش‌هایی از عملکرد فایروال هستند.
4. گزارش‌گیری از شناسایی بدافزار یکی از ویژگی‌های مهم Imunify360 شناسایی و گزارش‌گیری از بدافزارهایی است که ممکن است به سرور نفوذ کرده باشند. این گزارش‌ها شامل نوع بدافزار، مکان آلوده در سرور و مراحل شناسایی آن هستند.
5. گزارش‌گیری از تلاش‌های دسترسی غیرمجاز (Brute Force) Imunify360 به‌طور ویژه برای شناسایی حملات Brute Force طراحی شده است. گزارش‌های این بخش شامل تعداد تلاش‌های ناموفق برای ورود به سیستم و IPهایی است که این تلاش‌ها را انجام داده‌اند.
6. گزارش‌گیری از وضعیت فایروال و امنیت شبکه فایروال‌ها یکی از اجزای کلیدی در امنیت سرور هستند. Imunify360 قادر است گزارش‌های مربوط به وضعیت فایروال را شامل ترافیک مسدودشده، تلاش‌های نفوذ و حتی منابع IP حمله‌کننده به صورت دقیق گزارش دهد.
7. گزارش‌گیری از تحلیل ترافیک DDoS این ابزار می‌تواند ترافیک غیرعادی یا مشکوک که احتمالاً ناشی از حملات DDoS است را شناسایی کرده و گزارشی از وضعیت ترافیک در شبکه تولید کند. مدیران می‌توانند بر اساس این گزارش‌ها اقداماتی برای جلوگیری از تأثیرات حملات DDoS انجام دهند.

---

ابزارهای گزارش‌گیری در Immunify360

1. داشبورد Imunify360 داشبورد اصلی Imunify360 یک ابزار گرافیکی قدرتمند است که به مدیران سرور این امکان را می‌دهد که گزارش‌ها و تحلیل‌های مختلف را مشاهده کنند. از طریق داشبورد، مدیران می‌توانند اطلاعات امنیتی مهمی مانند تلاش‌های نفوذ، فعالیت‌های مشکوک، وضعیت فایروال و اطلاعات دیگر را به صورت گرافیکی و بصری مشاهده کنند.مسیر داشبورد: داشبورد Imunify360 معمولاً از طریق URL اختصاصی در سرور در دسترس است:
   https://<server-ip>/imunify360
2. گزارش‌های ایمیل Imunify360 این قابلیت را دارد که گزارشات امنیتی را به صورت ایمیل برای مدیران سرور ارسال کند. این گزارش‌ها می‌توانند شامل هشدارها و جزئیات دقیق از تهدیدات و اقدامات امنیتی انجام‌شده باشند.برای فعال‌سازی گزارش‌های ایمیل، دستور زیر را وارد کنید:

   imunify360-agent configure --email-reports=true
   

   مسیر فایل پیکربندی:
   این تنظیمات در فایل پیکربندی اصلی Imunify360 در مسیر /etc/imunify360/ قرار دارد.

3. گزارشات CSV و PDF Imunify360 امکان خروجی‌گیری گزارش‌ها به فرمت‌های CSV و PDF را فراهم می‌کند. این امکان به مدیران این امکان را می‌دهد که گزارش‌های مربوط به امنیت سرور را به‌راحتی دانلود کرده و برای تجزیه و تحلیل‌های بیشتر از آن‌ها استفاده کنند.
4. گزارش‌های سیستم و امنیت از طریق CLI علاوه بر ابزارهای گرافیکی، Imunify360 امکان اجرای دستورات گزارش‌گیری از طریق خط فرمان (CLI) را نیز فراهم می‌کند. این دستورات می‌توانند به طور خودکار برای ارسال گزارش‌های خاص یا مشاهده وضعیت امنیتی فعلی سرور اجرا شوند.برای مشاهده گزارش وضعیت امنیتی، دستور زیر را اجرا کنید:

   imunify360-agent status
   

   این دستور گزارشی از وضعیت فعلی سیستم و تهدیدات شناسایی‌شده را نمایش می‌دهد.

5. گزارش‌گیری از لاگ‌های امنیتی Imunify360 لاگ‌های امنیتی را برای شناسایی تهدیدات در سرور ذخیره می‌کند. این لاگ‌ها می‌توانند شامل اطلاعاتی از فعالیت‌های مشکوک، حملات DDoS، تلاش‌های نفوذ و غیره باشند.مسیر لاگ‌ها:
   فایل‌های لاگ Imunify360 معمولاً در مسیر /var/log/imunify360/ قرار دارند.

---

جمع‌بندی

گزارش‌گیری در Imunify360 ابزاری قدرتمند برای نظارت و مدیریت امنیت سرور است. این ابزار با ارائه گزارشات جامع و دقیق از تهدیدات، حملات و مشکلات امنیتی، به مدیران سیستم این امکان را می‌دهد که به‌سرعت تهدیدات را شناسایی کنند و برای مقابله با آن‌ها اقدام کنند. استفاده از داشبورد گرافیکی، ایمیل‌های گزارش‌دهی، خروجی‌های CSV و PDF و ابزارهای خط فرمان به مدیران کمک می‌کند تا به‌راحتی امنیت سرورهای خود را مدیریت کرده و مشکلات را برطرف سازند.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 2. بررسی داشبورد امنیتی (Security Dashboard)”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه دسترسی به داشبورد امنیتی در cPanel، Plesk و DirectAdmin” subtitle=”توضیحات کامل”]داشبوردهای امنیتی در پنل‌های مدیریتی مانند cPanel، Plesk و DirectAdmin ابزارهایی برای نظارت و مدیریت امنیت سرورها و وب‌سایت‌ها ارائه می‌دهند. این داشبوردها به مدیران سرور این امکان را می‌دهند تا وضعیت امنیتی سرور را بررسی کرده، اقدامات پیشگیرانه انجام دهند و در صورت نیاز به تهدیدات پاسخ دهند. در این بخش، نحوه دسترسی به داشبوردهای امنیتی در هر یک از این کنترل پنل‌ها توضیح داده می‌شود.

دسترسی به داشبورد امنیتی در cPanel

cPanel یکی از رایج‌ترین پنل‌های مدیریت سرور است که ابزارهای مختلفی برای امنیت وب‌سایت‌ها و سرورها دارد. به‌طور خاص، بخش امنیتی cPanel به مدیران این امکان را می‌دهد که وضعیت امنیتی سرور را بررسی کرده و از امکاناتی مانند ModSecurity، Leech Protection، IP Deny Manager، و SSL/TLS Manager استفاده کنند.

1. ورود به cPanel: برای دسترسی به داشبورد امنیتی در cPanel، ابتدا وارد پنل cPanel شوید. معمولاً آدرس دسترسی به cPanel به صورت زیر است:

   https://<your-server-ip>:2083
   

2. دسترسی به بخش امنیتی: پس از ورود به cPanel، به بخش Security در نوار جانبی بروید. این بخش شامل ابزارهای مختلف امنیتی مانند:
   • SSH Access
   • SSL/TLS
   • ModSecurity
   • HotLink Protection
   • IP Blocker
   • Leech Protection

   برای دسترسی به ابزارهای امنیتی، روی هر یک از این گزینه‌ها کلیک کنید.

3. پیکربندی و مشاهده گزارشات امنیتی: از طریق بخش‌های امنیتی موجود، می‌توانید گزارش‌های امنیتی، تنظیمات فایروال، وضعیت SSL و سایر اطلاعات مربوط به امنیت را مشاهده کرده و تنظیمات لازم را اعمال کنید.

---

دسترسی به داشبورد امنیتی در Plesk

Plesk یک پنل مدیریت وب است که دارای امکانات امنیتی متنوعی است که به مدیران سرور کمک می‌کند تا وب‌سایت‌ها و سرورها را از تهدیدات محافظت کنند. این پنل شامل ابزارهایی مانند Fail2Ban، ModSecurity، SSL Certificates و Web Application Firewall (WAF) است.

1. ورود به Plesk: برای دسترسی به داشبورد امنیتی در Plesk، ابتدا باید وارد پنل Plesk شوید. آدرس دسترسی معمولاً به صورت زیر است:

   https://<your-server-ip>:8443
   

2. دسترسی به بخش امنیتی: پس از ورود به پنل Plesk، از نوار جانبی به بخش Tools & Settings بروید و سپس Security را انتخاب کنید. این بخش شامل ابزارهایی مانند:
   • Fail2Ban
   • Firewall
   • ModSecurity
   • SSL Certificates
   • Password Policy
3. پیکربندی و نظارت بر امنیت: در این بخش، می‌توانید تنظیمات مختلف امنیتی را اعمال کرده، قوانین فایروال را پیکربندی کنید و گزارشی از تهدیدات و تلاش‌های نفوذ مشاهده کنید. همچنین ابزار Fail2Ban به‌طور خودکار می‌تواند IPهای مشکوک را شناسایی و مسدود کند.

---

دسترسی به داشبورد امنیتی در DirectAdmin

DirectAdmin یکی دیگر از کنترل پنل‌های محبوب است که مدیران سرور می‌توانند از آن برای نظارت و مدیریت امنیت سرور خود استفاده کنند. این پنل امکانات امنیتی مانند IP Blocker، ModSecurity، SSL و Backup Manager را در اختیار مدیران قرار می‌دهد.

1. ورود به DirectAdmin: برای دسترسی به داشبورد امنیتی در DirectAdmin، وارد پنل DirectAdmin شوید. آدرس دسترسی معمولاً به صورت زیر است:

   https://<your-server-ip>:2222
   

2. دسترسی به بخش امنیتی: پس از ورود به DirectAdmin، از نوار اصلی به بخش Security بروید. این بخش شامل ابزارهای امنیتی مختلف است که شامل:
   • IP Blocker
   • SSL Certificates
   • ModSecurity
   • Backup Manager
   • File Manager (برای بررسی فایل‌های مشکوک)
3. پیکربندی و نظارت بر امنیت: در این بخش، می‌توانید ModSecurity را فعال کنید، آدرس‌های IP مشکوک را مسدود کنید و از SSL Certificates برای ایجاد ارتباطات امن استفاده کنید. همچنین، ابزار Backup Manager به شما امکان می‌دهد تا از داده‌های سرور خود نسخه پشتیبان بگیرید.

---

جمع‌بندی

در این بخش، نحوه دسترسی به داشبورد امنیتی در سه پنل مدیریت سرور محبوب cPanel، Plesk و DirectAdmin بررسی شد. هر یک از این پنل‌ها ابزارهای امنیتی ویژه‌ای را برای محافظت از سرور و وب‌سایت‌ها در برابر تهدیدات سایبری ارائه می‌دهند. با دسترسی به بخش‌های امنیتی هر یک از این پنل‌ها، مدیران سرور می‌توانند امنیت سرورهای خود را به‌طور مؤثری مدیریت و نظارت کنند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی اطلاعات کلی شامل تهدیدات اخیر، آمار حملات، وضعیت اسکن‌ها” subtitle=”توضیحات کامل”]نظارت بر امنیت سرور و وب‌سایت‌ها نیاز به بررسی مداوم تهدیدات و حملات بالقوه دارد. اطلاعات کلی در مورد تهدیدات اخیر، آمار حملات و وضعیت اسکن‌ها به مدیران سیستم کمک می‌کند تا تصمیمات مناسب برای تقویت امنیت سرور بگیرند. در این بخش، نحوه بررسی این اطلاعات در ابزارهای امنیتی مختلف (از جمله در cPanel، Plesk و DirectAdmin) و روش‌های دستیابی به این داده‌ها توضیح داده می‌شود.

بررسی تهدیدات اخیر

تهدیدات اخیر شامل هر گونه حمله یا فعالیت مشکوک است که در بازه زمانی مشخص بر روی سرور اتفاق افتاده است. بررسی این تهدیدات به مدیران سیستم این امکان را می‌دهد که در صورت بروز مشکل به‌سرعت واکنش نشان دهند. تهدیدات معمول شامل حملات DDoS، تلاش‌های نفوذ از طریق SSH، اسکن‌های آسیب‌پذیری، و حملات به وب‌سایت‌ها هستند.

1. در cPanel:
   • برای بررسی تهدیدات اخیر در cPanel، از ModSecurity و Raw Access Logs استفاده کنید. این ابزارها می‌توانند اطلاعات دقیقی در مورد حملات و تلاش‌های نفوذ اخیر ارائه دهند.
   • ModSecurity یک فایروال وب است که حملات و تهدیدات مختلف را شناسایی و مسدود می‌کند. برای مشاهده تهدیدات اخیر از آن می‌توانید به بخش Security در cPanel بروید و روی ModSecurity کلیک کنید.
   • همچنین، می‌توانید از بخش Metrics > Raw Access Logs برای مشاهده دسترسی‌های اخیر به سرور و شناسایی تلاش‌های مشکوک استفاده کنید.
2. در Plesk:
   • در Plesk، می‌توانید از ابزار Fail2Ban برای شناسایی تهدیدات اخیر استفاده کنید. این ابزار به‌طور خودکار تلاش‌های نفوذ از جمله حملات brute force را شناسایی کرده و مسدود می‌کند.
   • برای بررسی تهدیدات اخیر، به بخش Tools & Settings > Fail2Ban بروید و گزارش‌های مربوط به IPهای مسدود شده و تلاش‌های نفوذ را مشاهده کنید.
   • همچنین، در بخش Security می‌توانید آمار مربوط به حملات و تهدیدات اخیر را مشاهده کرده و تنظیمات فایروال را پیکربندی کنید.
3. در DirectAdmin:
   • در DirectAdmin، برای بررسی تهدیدات اخیر از IP Blocker و ModSecurity استفاده می‌شود. شما می‌توانید IPهایی که سعی در نفوذ به سرور دارند را شناسایی و مسدود کنید.
   • برای مشاهده تهدیدات اخیر، به بخش Security > ModSecurity بروید و گزارش‌های امنیتی را بررسی کنید.
   • همچنین، می‌توانید از File Manager برای بررسی فایل‌های مشکوک و تغییرات غیرمجاز استفاده کنید.

---

بررسی آمار حملات

آمار حملات به مدیران کمک می‌کند تا میزان تهدیدات و حملات وارد شده به سرور را بررسی کنند. این اطلاعات شامل تعداد حملات موفق و ناموفق، IPهای مشکوک، نوع حمله، و زمان دقیق وقوع حمله می‌باشد.

1. در cPanel:
   • آمار حملات می‌تواند از طریق بخش Security و ابزارهایی مانند ModSecurity و cPHulk Brute Force Protection مشاهده شود.
   • برای مشاهده آمار حملات در ModSecurity، به بخش Security > ModSecurity بروید و گزارش‌های مرتبط با حملات شناسایی شده را مشاهده کنید.
   • cPHulk به‌طور خاص برای نظارت بر حملات brute force طراحی شده است و آمار تلاش‌های ناموفق ورود به سیستم را نمایش می‌دهد.
2. در Plesk:
   • در Plesk، آمار حملات از طریق بخش Tools & Settings > Security قابل مشاهده است. این بخش اطلاعاتی در مورد تعداد حملات موفق و ناموفق، وضعیت فایروال و تلاش‌های نفوذ ارائه می‌دهد.
   • ابزار Fail2Ban به‌طور خودکار گزارش‌هایی از آمار حملات و IPهای مسدود شده ارائه می‌دهد. می‌توانید این گزارش‌ها را از بخش Fail2Ban مشاهده کنید.
3. در DirectAdmin:
   • در DirectAdmin، از بخش Security و ابزارهایی مانند ModSecurity و IP Blocker برای بررسی آمار حملات استفاده می‌شود.
   • گزارش‌ها شامل تعداد حملات و نوع حملات است که می‌توان آن‌ها را در ModSecurity مشاهده کرد.
   • همچنین، برای بررسی آمار حملات به وب‌سایت‌ها، می‌توانید از Raw Access Logs استفاده کنید.

---

بررسی وضعیت اسکن‌ها

اسکن‌ها یکی از ابزارهای اصلی برای شناسایی آسیب‌پذیری‌ها و تهدیدات موجود در سیستم هستند. وضعیت اسکن‌ها به مدیران این امکان را می‌دهد که مطمئن شوند سرور به‌طور منظم اسکن شده و آسیب‌پذیری‌ها شناسایی شده‌اند.

1. در cPanel:
   • cPanel ابزار ClamAV را برای اسکن فایل‌ها و پوشه‌ها به‌منظور شناسایی بدافزارها و ویروس‌ها فراهم می‌کند. برای بررسی وضعیت اسکن‌ها، به بخش Security > ClamAV بروید.
   • همچنین، از ابزار VirusScanner برای انجام اسکن‌های دوره‌ای بر روی سیستم استفاده می‌شود.
2. در Plesk:
   • در Plesk، اسکن‌های امنیتی از طریق ابزار Imunify360 قابل انجام است. این ابزار اسکن‌های منظم امنیتی را انجام می‌دهد و اطلاعاتی در مورد آسیب‌پذیری‌ها و بدافزارهای شناسایی شده ارائه می‌دهد.
   • برای بررسی وضعیت اسکن‌ها، به بخش Imunify360 در Plesk بروید و گزارش‌های مربوط به اسکن‌ها و آسیب‌پذیری‌ها را مشاهده کنید.
3. در DirectAdmin:
   • در DirectAdmin، اسکن‌ها معمولاً از طریق ابزارهای شخص ثالث مانند ClamAV یا Malwarebytes انجام می‌شود.
   • برای بررسی وضعیت اسکن‌ها، باید به بخش Security بروید و اسکن‌های انجام شده را بررسی کنید.

---

جمع‌بندی

در این بخش، نحوه بررسی اطلاعات کلی شامل تهدیدات اخیر، آمار حملات، و وضعیت اسکن‌ها در cPanel، Plesk و DirectAdmin توضیح داده شد. بررسی این اطلاعات به مدیران سرور کمک می‌کند تا امنیت سرور خود را مدیریت کرده و در صورت وقوع تهدیدات و حملات، به‌سرعت واکنش نشان دهند. استفاده از ابزارهای امنیتی موجود در هر یک از این پنل‌ها، به مدیران این امکان را می‌دهد که وضعیت امنیتی سرور را به‌طور مؤثری پیگیری و نظارت کنند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”مشاهده حملات مسدود شده و اقدامات انجام‌شده توسط WAF” subtitle=”توضیحات کامل”]Web Application Firewall (WAF) یکی از ابزارهای کلیدی در حفظ امنیت وب‌سایت‌ها و سرورها است که به‌طور خودکار تلاش‌های نفوذ و حملات احتمالی را شناسایی و مسدود می‌کند. نظارت بر حملات مسدود شده و اقدامات انجام‌شده توسط WAF به مدیران سرور این امکان را می‌دهد تا از وضعیت امنیتی سرور خود آگاه شوند و در صورت لزوم اقدامات اصلاحی را انجام دهند. در این بخش، نحوه مشاهده حملات مسدود شده و اقدامات انجام‌شده توسط WAF در cPanel، Plesk و DirectAdmin بررسی خواهد شد.

مشاهده حملات مسدود شده و اقدامات توسط WAF در cPanel

در cPanel، ابزار ModSecurity یکی از محبوب‌ترین ابزارهای WAF است که به‌طور مداوم ترافیک ورودی به سرور را بررسی کرده و حملات را شناسایی و مسدود می‌کند. این ابزار گزارش‌هایی دقیق از حملات مسدود شده و اقدامات انجام‌شده در هنگام شناسایی تهدیدات فراهم می‌آورد.

1. مشاهده حملات مسدود شده:
   • به‌منظور مشاهده حملات مسدود شده در cPanel، ابتدا وارد پنل cPanel شوید.
   • از بخش Security، گزینه ModSecurity را انتخاب کنید.
   • در این صفحه، می‌توانید گزارش‌هایی از حملات مسدود شده توسط ModSecurity مشاهده کنید. این گزارش‌ها شامل نوع حمله، IP مهاجم، زمان دقیق حمله و وضعیت مسدود شدن هستند.
2. مشاهده اقدامات انجام‌شده:
   • در گزارش‌های ModSecurity، شما می‌توانید اطلاعات دقیق‌تری از اقدامات انجام‌شده، مانند قوانین فایروال اعمال شده (Rule IDs)، مشاهده کنید.
   • برای مشاهده دقیق‌تر اقدامات انجام‌شده توسط ModSecurity، می‌توانید به Raw Access Logs بروید و از آنجا اطلاعات بیشتری در مورد IPهای مسدود شده و اقدامات فایروال مشاهده کنید.

---

مشاهده حملات مسدود شده و اقدامات توسط WAF در Plesk

در Plesk، ابزار Fail2Ban و Imunify360 برای شناسایی و مسدود کردن حملات از جمله حملات brute force و نفوذ به سیستم استفاده می‌شوند. این ابزارها به‌طور خودکار IPهای مشکوک را شناسایی کرده و اقدام به مسدودسازی آن‌ها می‌کنند.

1. مشاهده حملات مسدود شده:
   • وارد پنل Plesk شوید.
   • از بخش Tools & Settings، به Fail2Ban بروید.
   • در این بخش می‌توانید گزارش‌هایی از IPهایی که به دلیل حملات brute force یا سایر تهدیدات مسدود شده‌اند، مشاهده کنید. این گزارش‌ها شامل IP مهاجم، زمان دقیق حمله و تعداد تلاش‌های ناموفق برای ورود به سیستم است.
2. مشاهده اقدامات انجام‌شده:
   • در بخش Imunify360 در Plesk، می‌توانید گزارشی از اقدامات انجام‌شده توسط این ابزار، از جمله شناسایی و مسدودسازی حملات بدافزاری و نفوذ به وب‌سایت‌ها، مشاهده کنید.
   • Imunify360 همچنین گزارشی از firewall actions مانند مسدودسازی IPهای مهاجم و استفاده از قوانین فایروال ارائه می‌دهد.

---

مشاهده حملات مسدود شده و اقدامات توسط WAF در DirectAdmin

در DirectAdmin، ModSecurity یکی از ابزارهای اصلی برای شناسایی و مسدودسازی حملات و تهدیدات وب است. این ابزار به‌طور مؤثر ترافیک ورودی به سرور را مانیتور کرده و حملات را مسدود می‌کند.

1. مشاهده حملات مسدود شده:
   • وارد DirectAdmin شوید.
   • به بخش Security رفته و گزینه ModSecurity را انتخاب کنید.
   • در این بخش می‌توانید گزارشی از حملات مسدود شده توسط ModSecurity مشاهده کنید. این گزارش‌ها شامل اطلاعاتی مانند نوع حمله (SQL Injection، XSS، و غیره)، IPهای مهاجم، و زمان حمله هستند.
2. مشاهده اقدامات انجام‌شده:
   • اقدامات انجام‌شده توسط ModSecurity شامل مسدود کردن IPهای مهاجم و اعمال قوانین خاص فایروال است. این اقدامات در گزارش‌ها به‌طور واضح نشان داده می‌شوند.
   • همچنین، می‌توانید از Raw Access Logs برای مشاهده فعالیت‌های مشکوک و تلاش‌های نفوذ استفاده کنید.

---

جمع‌بندی

در این بخش، نحوه مشاهده حملات مسدود شده و اقدامات انجام‌شده توسط WAF در cPanel، Plesk و DirectAdmin توضیح داده شد. ابزارهای WAF مانند ModSecurity، Fail2Ban و Imunify360 به‌طور خودکار تهدیدات را شناسایی کرده و آن‌ها را مسدود می‌کنند. بررسی گزارش‌های این ابزارها به مدیران سیستم این امکان را می‌دهد که از وضعیت امنیتی سرور آگاه شوند و اقدامات اصلاحی یا پیشگیرانه لازم را انجام دهند.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 3. نحوه بررسی و تحلیل گزارش‌های امنیتی”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه مشاهده و مدیریت گزارشات در بخش Logs & Reports” subtitle=”توضیحات کامل”]در هر محیط مدیریت سرور، مشاهده و مدیریت گزارشات به‌ویژه گزارش‌های مربوط به امنیت، عملکرد، و ترافیک یکی از مهم‌ترین بخش‌ها برای حفظ سلامت و امنیت سرور است. در سیستم‌های مدیریت سرور مانند cPanel، Plesk و DirectAdmin، بخش‌های مختلفی برای مشاهده و مدیریت گزارشات وجود دارد که می‌توانند به مدیران کمک کنند تا تهدیدات، خطاها، و عملکرد سیستم را نظارت کنند.

در این بخش، نحوه مشاهده و مدیریت گزارشات در بخش Logs & Reports برای cPanel، Plesk و DirectAdmin بررسی خواهد شد.

مشاهده و مدیریت گزارشات در cPanel

در cPanel، بخش Logs و Reports ابزارهایی را برای مشاهده گزارشات امنیتی، دسترسی‌ها، و خطاها در اختیار مدیران قرار می‌دهد.

1. مشاهده گزارشات دسترسی:
   • وارد پنل cPanel شوید.
   • در بخش Metrics، گزینه Raw Access Logs را انتخاب کنید.
   • در این صفحه می‌توانید گزارشی از تمام دسترسی‌های وب‌سایت خود، از جمله IPهای بازدیدکنندگان و صفحات درخواست شده مشاهده کنید. این گزارشات به صورت فایل‌های فشرده (.gz) در دسترس هستند که می‌توانید آن‌ها را دانلود کرده و تحلیل کنید.
2. مشاهده گزارشات خطاها:
   • در cPanel، برای مشاهده گزارشات خطاها، گزینه Errors را از بخش Metrics انتخاب کنید.
   • در این صفحه، گزارشات خطاهای 404 و 500 و سایر خطاهای مربوط به وب‌سایت شما به نمایش در می‌آید. این گزارشات به شما کمک می‌کند تا مشکلات موجود در وب‌سایت را شناسایی کنید.
3. مشاهده گزارشات ModSecurity:
   • برای مشاهده گزارشات ModSecurity، به بخش Security رفته و گزینه ModSecurity را انتخاب کنید.
   • این بخش شامل گزارشاتی از حملات مسدود شده، قوانین اعمال شده، و سایر تهدیدات شناسایی شده توسط ModSecurity است.

---

مشاهده و مدیریت گزارشات در Plesk

در Plesk، ابزارهای مختلفی برای مشاهده و مدیریت گزارشات وجود دارد که به مدیران سرور کمک می‌کند تا مشکلات امنیتی و عملکردی را سریع‌تر شناسایی و رفع کنند.

1. مشاهده گزارشات دسترسی:
   • وارد پنل Plesk شوید.
   • از بخش Tools & Settings، گزینه Log Manager را انتخاب کنید.
   • در این بخش، می‌توانید گزارشات دسترسی به وب‌سایت، خطاهای سرور، و درخواست‌های ورودی را مشاهده کنید. این گزارشات شامل اطلاعات مربوط به IPهای بازدیدکننده، صفحات درخواست شده، و سایر جزئیات مربوط به دسترسی‌ها هستند.
2. مشاهده گزارشات Fail2Ban:
   • در Plesk، برای مشاهده گزارشات Fail2Ban (ابزاری برای جلوگیری از حملات brute-force)، به بخش Tools & Settings بروید و گزینه Fail2Ban را انتخاب کنید.
   • در این بخش، می‌توانید گزارشات مربوط به IPهای مسدود شده و تعداد تلاش‌های ناموفق ورود به سیستم را مشاهده کنید.
3. مشاهده گزارشات Imunify360:
   • در Plesk، برای مشاهده گزارشات مربوط به Imunify360، به بخش Security رفته و گزینه Imunify360 را انتخاب کنید.
   • این ابزار گزارشات مربوط به حملات بدافزاری، تهدیدات امنیتی، و سایر مشکلات امنیتی که توسط Imunify360 شناسایی شده است، نمایش می‌دهد.

---

مشاهده و مدیریت گزارشات در DirectAdmin

در DirectAdmin، بخش Logs و Reports به مدیران این امکان را می‌دهد که وضعیت امنیتی و عملکرد سیستم را با دقت نظارت کنند.

1. مشاهده گزارشات دسترسی:
   • وارد پنل DirectAdmin شوید.
   • از بخش Logs، گزینه Raw Access Logs را انتخاب کنید.
   • در این بخش، می‌توانید گزارشی از تمام دسترسی‌ها، از جمله IPهای بازدیدکننده و درخواست‌های وارد شده به وب‌سایت، مشاهده کنید.
2. مشاهده گزارشات خطاها:
   • برای مشاهده گزارشات خطاها در DirectAdmin، به بخش Logs رفته و گزینه Error Logs را انتخاب کنید.
   • این بخش شامل گزارشی از خطاهای 404، 500، و سایر خطاهای سرور است.
3. مشاهده گزارشات ModSecurity:
   • در DirectAdmin، برای مشاهده گزارشات ModSecurity، به بخش Security بروید و گزینه ModSecurity را انتخاب کنید.
   • در این بخش می‌توانید گزارشاتی از حملات مسدود شده توسط ModSecurity مشاهده کنید، از جمله IPهای مهاجم و قوانین فایروال اعمال شده.

---

جمع‌بندی

در این بخش، نحوه مشاهده و مدیریت گزارشات در بخش Logs & Reports در cPanel، Plesk و DirectAdmin توضیح داده شد. این ابزارها به مدیران سرور کمک می‌کنند تا به‌طور دقیق وضعیت امنیتی، دسترسی‌ها و عملکرد سیستم را نظارت کنند و در صورت نیاز، اقدامات اصلاحی را انجام دهند. با استفاده از این گزارشات، مدیران می‌توانند تهدیدات امنیتی را شناسایی و از بروز مشکلات پیشگیرانه جلوگیری کنند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تحلیل گزارش‌های فایروال (WAF) برای شناسایی حملات مسدود شده” subtitle=”توضیحات کامل”]فایروال وب‌اپلیکیشن (WAF) ابزار مهمی در مقابله با تهدیدات امنیتی است که به طور خاص برای شناسایی و مسدود کردن حملات هدفمند بر روی وب‌سایت‌ها و اپلیکیشن‌های تحت وب طراحی شده است. WAF معمولاً به صورت یک لایه محافظتی جلوی حملات مختلف از جمله SQL Injection، XSS (Cross-Site Scripting)، CSRF (Cross-Site Request Forgery) و حملات DDoS قرار می‌گیرد.

یکی از مهم‌ترین بخش‌های تحلیل و نظارت بر عملکرد WAF، بررسی گزارش‌های آن است. این گزارش‌ها می‌توانند به مدیران کمک کنند تا حملات مسدود شده و تهدیدات شناسایی‌شده را شفاف‌تر و سریع‌تر شناسایی کنند.

در این بخش، به نحوه تحلیل گزارش‌های WAF و شناسایی حملات مسدود شده پرداخته خواهد شد.

1. گزارش‌های WAF در cPanel

در cPanel، برای مشاهده و تحلیل گزارش‌های مربوط به WAF می‌توانید از بخش ModSecurity استفاده کنید. ModSecurity فایروالی است که در اکثر سرورهای cPanel نصب و فعال است و قادر به شناسایی و مسدود کردن حملات مختلف وب‌اپلیکیشن است.

1. وارد پنل cPanel شوید.
2. به بخش Security بروید و گزینه ModSecurity را انتخاب کنید.
3. در این صفحه، می‌توانید گزارشات مربوط به ModSecurity را مشاهده کنید. این گزارش‌ها شامل اطلاعات زیر خواهند بود:
   • IP آدرس مهاجم: آدرس‌هایی که سعی کرده‌اند به سرور دسترسی پیدا کنند.
   • قوانین فایروال فعال: قوانینی که برای مسدود کردن حملات اعمال شده‌اند.
   • کد وضعیت HTTP: نشان می‌دهد که آیا حمله مسدود شده یا نه.
   • نوع حمله: مانند SQL Injection، XSS، و غیره.

---

2. گزارش‌های WAF در Plesk

در Plesk، برای مشاهده و تحلیل گزارش‌های مربوط به WAF، از ابزار ModSecurity استفاده می‌شود.

1. وارد پنل Plesk شوید.
2. از بخش Tools & Settings، گزینه ModSecurity را انتخاب کنید.
3. در این بخش، شما می‌توانید گزارشات مربوط به حملات مسدود شده، قوانین فایروال و وضعیت هر قانون را مشاهده کنید.
   • IP آدرس مهاجم: اطلاعات مربوط به آدرس‌های IP که از آن‌ها حمله انجام شده است.
   • علت مسدود شدن: توضیحاتی در مورد اینکه کدام قانون WAF حمله را شناسایی کرده است.
   • گزارش‌های تشخیص حملات: جزئیاتی از تهدیدات شناسایی‌شده، مانند SQL Injection و XSS.

---

3. گزارش‌های WAF در DirectAdmin

در DirectAdmin نیز می‌توان از ModSecurity برای مشاهده و تحلیل حملات استفاده کرد. این ابزار کمک می‌کند تا شما بتوانید حملات مسدود شده توسط WAF را شناسایی کنید.

1. وارد پنل DirectAdmin شوید.
2. به بخش Security بروید و گزینه ModSecurity را انتخاب کنید.
3. در این صفحه، گزارشاتی از حملات مسدود شده نمایش داده خواهد شد که شامل موارد زیر است:
   • IP آدرس مهاجم: برای شناسایی منابع حملات.
   • نوع حمله: مانند SQL Injection یا XSS که توسط WAF شناسایی و مسدود شده است.
   • وضعیت مسدودسازی: اطلاعاتی در مورد اینکه آیا حمله موفقیت‌آمیز بوده است یا خیر.
   • قوانین فایروال فعال: مشخص می‌کند که کدام قانون باعث مسدود شدن حمله شده است.

---

4. بررسی جزئیات گزارشات

برای تحلیل دقیق‌تر و شناسایی حملات مسدود شده در WAF، به نکات زیر توجه داشته باشید:

1. تحلیل IP آدرس‌ها:
   • بررسی IPهایی که به طور مکرر مسدود شده‌اند می‌تواند نشان دهد که آیا حملات brute-force یا DDoS در حال انجام است.
   • اگر IP خاصی به طور مکرر در گزارشات ظاهر شود، می‌توان آن را به لیست مسدودشده اضافه کرد یا حتی از سرویس‌های fail2ban برای مسدود کردن آن به صورت خودکار استفاده کرد.
2. بررسی نوع حملات:
   • نوع حملات می‌تواند اطلاعات مهمی درباره تهدیدات امنیتی ارائه دهد. به‌عنوان مثال، اگر تعداد زیادی حملات SQL Injection شناسایی شده باشد، باید بررسی‌هایی در مورد کدنویسی امن و استفاده از prepared statements انجام شود.
   • حملات XSS می‌توانند نشان‌دهنده آسیب‌پذیری‌های امنیتی در ورودی‌های فرم‌ها باشند که باید اصلاح شوند.
3. بررسی قوانین فایروال:
   • با بررسی قوانینی که حملات را مسدود کرده‌اند، می‌توانید بهتر بفهمید که کدام قوانین بیشترین کارایی را داشته‌اند و آیا نیاز به بهبود یا تنظیم آن‌ها دارید.

---

جمع‌بندی

تحلیل گزارش‌های WAF ابزار قدرتمندی برای شناسایی حملات مسدود شده و مدیریت تهدیدات امنیتی است. با توجه به گزارشات ModSecurity در cPanel، Plesk و DirectAdmin، می‌توانید از جزئیات حملات مسدود شده، IPهای مهاجم، و قوانین فایروال استفاده کنید تا وضعیت امنیتی سرور را بهبود ببخشید. تحلیل این گزارشات به شما این امکان را می‌دهد که نقاط ضعف امنیتی را شناسایی کرده و اقدامات پیشگیرانه لازم را برای جلوگیری از حملات در آینده انجام دهید.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی گزارشات مربوط به اسکن بدافزار و شناسایی فایل‌های مخرب” subtitle=”توضیحات کامل”]در هر سرور یا سیستم میزبانی، یکی از تهدیدات اصلی امنیتی، وجود بدافزارها و فایل‌های مخرب است که می‌توانند به طور پنهانی به داده‌ها آسیب برسانند یا سیستم‌ها را مختل کنند. اسکن بدافزار یکی از مهم‌ترین ابزارها برای شناسایی و مسدود کردن این تهدیدات است. بسیاری از سیستم‌ها، از جمله Immunify360، ابزارهایی را برای اسکن فایل‌ها و شناسایی بدافزارها فراهم می‌آورند.

در این بخش از آموزش های ارائه شده توسط فرازنتورک، به نحوه بررسی گزارشات اسکن بدافزار و شناسایی فایل‌های مخرب پرداخته خواهد شد.

1. گزارشات اسکن بدافزار در cPanel

در cPanel، ابزارهایی مانند Immunify360 برای اسکن بدافزارها و شناسایی فایل‌های مخرب استفاده می‌شود. این ابزار به صورت خودکار فایل‌ها را اسکن کرده و در صورت شناسایی بدافزار، گزارشات مربوطه را ارائه می‌دهد.

1. وارد cPanel شوید.
2. به بخش Immunify360 بروید.
3. در پنل Immunify360، گزینه Security Reports را انتخاب کنید.
4. در این بخش، گزارشات مربوط به فایل‌های مشکوک و بدافزارهایی که شناسایی شده‌اند، نمایش داده می‌شود.
   • نوع بدافزار شناسایی‌شده: اطلاعات مربوط به نوع بدافزاری که شناسایی شده است (مانند Ransomware یا Trojan).
   • مسیر فایل‌ها: آدرس دقیق فایل‌هایی که مشکوک به بدافزار هستند.
   • تاریخ شناسایی: زمان شناسایی بدافزار.
   • اقدامات انجام‌شده: عملیات‌هایی که بر روی فایل‌های مشکوک انجام شده است، مانند مسدودسازی یا حذف.

---

2. گزارشات اسکن بدافزار در Plesk

در Plesk، ابزار Immunify360 نیز برای اسکن بدافزار استفاده می‌شود. این ابزار فایل‌ها را اسکن کرده و اطلاعات مفیدی را در مورد فایل‌های مخرب شناسایی شده ارائه می‌دهد.

1. وارد Plesk شوید.
2. از بخش Tools & Settings، به بخش Immunify360 بروید.
3. در این بخش، گزارشات اسکن بدافزار و فایل‌های مخرب قابل مشاهده است.
   • فایل‌های مشکوک: گزارشی از فایل‌هایی که به عنوان مخرب شناسایی شده‌اند.
   • نوع تهدید: توضیحاتی در مورد نوع بدافزار شناسایی‌شده.
   • اقدامات انجام‌شده: مانند آلارم‌ها یا حذف فایل‌های مخرب.

---

3. گزارشات اسکن بدافزار در DirectAdmin

در DirectAdmin، Immunify360 به عنوان ابزار اسکن بدافزار مورد استفاده قرار می‌گیرد و شما می‌توانید گزارشات مربوط به فایل‌های مخرب شناسایی شده را مشاهده کنید.

1. وارد DirectAdmin شوید.
2. به بخش Security بروید و Immunify360 را انتخاب کنید.
3. در این بخش، گزارشی از فایل‌های مخرب و بدافزارهای شناسایی شده به نمایش در می‌آید.
   • مسیر فایل: آدرس دقیق فایل‌های آلوده به بدافزار.
   • نوع بدافزار: نوع تهدید شناسایی شده، مانند Backdoor یا Spyware.
   • اقدامات انجام‌شده: گزارشی از اقدامات انجام‌شده بر روی فایل‌ها مانند حذف یا قرنطینه.

---

4. تحلیل گزارشات اسکن بدافزار

برای تحلیل دقیق‌تر گزارشات اسکن بدافزار، موارد زیر باید مورد توجه قرار گیرد:

1. شناسایی انواع بدافزارها:
   • در گزارشات، نوع بدافزار شناسایی شده بسیار مهم است. هر نوع بدافزار ممکن است اثرات متفاوتی بر روی سرور داشته باشد. به‌عنوان مثال، بدافزارهای Ransomware می‌توانند داده‌ها را رمزگذاری کرده و در ازای بازگرداندن آن‌ها درخواست پول کنند، در حالی که Spyware ممکن است به سرقت اطلاعات حساس کمک کند.
2. مسیر فایل‌ها:
   • بررسی مسیر فایل‌هایی که آلوده به بدافزار شده‌اند کمک می‌کند تا منابع آلوده را شناسایی کرده و آن‌ها را ایزوله یا حذف کنید. معمولاً فایل‌های آلوده در دایرکتوری‌هایی مانند /tmp، /var/www/ و یا دایرکتوری‌های غیرمنتظره قرار دارند.
3. اقدامات انجام‌شده:
   • گزارشات باید شامل اقدامات انجام‌شده باشند. اگر بدافزار شناسایی شده است، آیا فایل به طور خودکار حذف شده است یا به قرنطینه منتقل شده است؟ بررسی این اطلاعات به شما کمک می‌کند تا اطمینان حاصل کنید که اقدامات امنیتی به درستی انجام شده است.

---

5. تنظیمات پیشرفته اسکن بدافزار

در بیشتر ابزارهای اسکن بدافزار مانند Immunify360، می‌توانید اسکن‌های خودکار را تنظیم کنید تا فایل‌ها به طور منظم اسکن شوند. تنظیمات پیشرفته اسکن می‌تواند شامل موارد زیر باشد:

1. تنظیمات اسکن خودکار:
   • شما می‌توانید زمان‌بندی برای اسکن‌های خودکار تنظیم کنید تا از شناسایی به موقع بدافزارها اطمینان حاصل شود.
   • این تنظیمات معمولاً در بخش Scheduling ابزار Immunify360 موجود است.
2. پیکربندی هشدارها:
   • هشدارهایی برای مواقعی که بدافزار شناسایی می‌شود، تنظیم کنید تا فوراً از تهدیدات امنیتی مطلع شوید.

---

جمع‌بندی

بررسی گزارشات اسکن بدافزار و شناسایی فایل‌های مخرب ابزار مهمی برای حفظ امنیت سرور است. از طریق ابزارهایی مانند Immunify360 در cPanel، Plesk و DirectAdmin می‌توانید گزارشاتی دقیق از فایل‌های مشکوک و تهدیدات امنیتی دریافت کنید و اقدامات لازم برای حذف یا ایزوله کردن آن‌ها را انجام دهید. تحلیل صحیح این گزارشات به شما این امکان را می‌دهد که سیستم خود را از تهدیدات امنیتی محافظت کرده و از آسیب‌های بیشتر جلوگیری کنید.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”مدیریت گزارش‌های مربوط به دسترسی‌های غیرمجاز و تلاش‌های ناموفق ورود” subtitle=”توضیحات کامل”]دسترسی‌های غیرمجاز و تلاش‌های ناموفق ورود یکی از مهم‌ترین تهدیدات امنیتی برای هر سیستم و سرور هستند. این تلاش‌ها معمولاً توسط مهاجمان انجام می‌شوند تا با استفاده از تکنیک‌های مختلف به سیستم نفوذ کنند. به همین دلیل، بررسی و مدیریت گزارش‌های مربوط به این دسترسی‌ها و تلاش‌های ناموفق بسیار اهمیت دارد. در این بخش، نحوه مدیریت این گزارش‌ها در سیستم‌های مختلف به تفصیل بررسی خواهد شد.

1. گزارش‌های دسترسی غیرمجاز در cPanel

در cPanel، گزارش‌های مربوط به تلاش‌های ناموفق ورود و دسترسی‌های غیرمجاز معمولاً از طریق Immunify360 یا CSF (ConfigServer Security & Firewall) قابل دسترسی است. این ابزارها به شما این امکان را می‌دهند که گزارشی از تمام تلاش‌های ورود ناموفق به سیستم داشته باشید و همچنین در صورت شناسایی دسترسی‌های غیرمجاز، اقدامات لازم را انجام دهید.

1. وارد cPanel شوید.
2. به بخش Immunify360 بروید.
3. در قسمت Security Reports، گزارشی از تلاش‌های ناموفق ورود، آدرس‌های IP مخرب و تلاش‌های دسترسی غیرمجاز قابل مشاهده است.
4. در این گزارش‌ها، اطلاعاتی از جمله آدرس‌های IP، نام کاربری، و زمان تلاش‌های ناموفق ورود به نمایش در می‌آید.
5. برای مسدودسازی آدرس‌های IP مخرب، گزینه IP Block را انتخاب کرده و آدرس‌های IP مربوطه را به لیست سیاه اضافه کنید.

---

2. گزارش‌های دسترسی غیرمجاز در Plesk

در Plesk، شما می‌توانید گزارش‌های تلاش‌های ناموفق ورود را از طریق بخش‌های مختلف امنیتی مانند Immunify360 یا Fail2Ban مشاهده کنید. این ابزارها به شما کمک می‌کنند تا رفتارهای مشکوک و تلاش‌های غیرمجاز را شناسایی کنید.

1. وارد Plesk شوید.
2. از قسمت Tools & Settings به بخش Immunify360 بروید.
3. در بخش Security Reports، گزارشی از تلاش‌های ناموفق ورود، IPهای مخرب و تعداد دفعات تلاش برای ورود به سیستم مشاهده خواهید کرد.
4. در این گزارش‌ها، می‌توانید IPهایی که تلاش‌های ورود ناموفق زیادی داشته‌اند را شناسایی کرده و آن‌ها را مسدود کنید.

---

3. گزارش‌های دسترسی غیرمجاز در DirectAdmin

در DirectAdmin، ابزار Immunify360 و همچنین CSF برای مدیریت دسترسی‌های غیرمجاز و تلاش‌های ناموفق ورود استفاده می‌شود. این ابزارها به شما کمک می‌کنند تا تهدیدات امنیتی را شناسایی و مدیریت کنید.

1. وارد DirectAdmin شوید.
2. به بخش Security بروید.
3. در این بخش، گزارشی از تلاش‌های ناموفق ورود و دسترسی‌های غیرمجاز از طریق Immunify360 قابل مشاهده است.
4. گزارشی از IPهای مشکوک و دفعات تلاش ناموفق ورود به سیستم در اینجا نمایش داده می‌شود.
5. برای مسدودسازی IPهای مخرب، می‌توانید از CSF یا Immunify360 استفاده کنید تا آدرس‌های IP را به لیست سیاه اضافه کنید.

---

4. تحلیل گزارش‌ها و شناسایی تهدیدات

برای تحلیل دقیق گزارش‌های دسترسی غیرمجاز و تلاش‌های ناموفق ورود، نکات زیر باید مورد توجه قرار گیرد:

1. آدرس‌های IP مخرب:
   • تلاش‌های ناموفق ورود معمولاً از IPهایی که بارها و بارها تلاش کرده‌اند به سیستم دسترسی پیدا کنند، صورت می‌گیرد. بررسی این IPها و شناسایی الگوهای تکراری می‌تواند به شناسایی مهاجمان کمک کند.
   • بسیاری از ابزارهای امنیتی، مانند Fail2Ban، به طور خودکار IPهایی که تلاش‌های ناموفق زیادی داشته‌اند را مسدود می‌کنند.
2. الگوهای تلاش‌های ناموفق:
   • اگر تعداد تلاش‌های ناموفق برای ورود به سیستم زیاد باشد، احتمالاً یک حمله Brute Force در حال انجام است. در این صورت، باید اقدامات امنیتی نظیر تغییر پسوردها، محدود کردن تعداد تلاش‌های ورودی، و استفاده از تایید هویت دو مرحله‌ای (2FA) انجام شود.
3. زمان تلاش‌ها:
   • بررسی زمان تلاش‌های ورود نیز می‌تواند الگوهای مشکوکی را نشان دهد. برای مثال، اگر تلاش‌ها در ساعات غیر عادی شبانه‌روز انجام شوند، این می‌تواند نشانه‌ای از یک حمله باشد.

---

5. پیکربندی و مسدودسازی آدرس‌های IP مخرب

برای مسدودسازی IPهای مخرب، تنظیمات مختلفی در هر سیستم قابل انجام است. در ادامه نحوه انجام این کار را با استفاده از CLI (خط فرمان) و پیکربندی در cPanel، Plesk و DirectAdmin توضیح خواهیم داد.

cPanel (با استفاده از CSF)

برای مسدودسازی آدرس‌های IP مخرب از طریق CSF در cPanel، مراحل زیر را دنبال کنید:

1. وارد cPanel شوید.
2. به بخش CSF (ConfigServer Security & Firewall) بروید.
3. در قسمت Quick Deny، آدرس IP مورد نظر را وارد کرده و دکمه Deny را فشار دهید.

   csf -d <IP_ADDRESS>
   

   مسیر فایل:

   • فایل پیکربندی CSF: /etc/csf/csf.conf

Plesk (با استفاده از Fail2Ban)

برای مسدودسازی آدرس‌های IP در Plesk از Fail2Ban، مراحل زیر را انجام دهید:

1. وارد Plesk شوید.
2. به بخش Tools & Settings بروید.
3. از گزینه Fail2Ban، به لیست Jails بروید.
4. آدرس IP را که می‌خواهید مسدود کنید، وارد کرده و آن را به لیست سیاه اضافه کنید.

   fail2ban-client set <JAIL_NAME> banip <IP_ADDRESS>
   

   مسیر فایل:

   • فایل پیکربندی Fail2Ban: /etc/fail2ban/jail.conf

DirectAdmin (با استفاده از CSF)

برای مسدودسازی آدرس‌های IP در DirectAdmin از CSF، مراحل مشابه با cPanel را دنبال کنید:

1. وارد DirectAdmin شوید.
2. به بخش CSF بروید.
3. آدرس IP را وارد کرده و آن را مسدود کنید.

   csf -d <IP_ADDRESS>
   

   مسیر فایل:

   • فایل پیکربندی CSF: /etc/csf/csf.conf

---

جمع‌بندی

مدیریت گزارش‌های مربوط به دسترسی‌های غیرمجاز و تلاش‌های ناموفق ورود یکی از بخش‌های حیاتی امنیت سرور است. با استفاده از ابزارهایی مانند Immunify360، CSF، و Fail2Ban در cPanel، Plesk و DirectAdmin، می‌توانید تلاش‌های ناموفق ورود را شناسایی و اقدامات لازم را برای جلوگیری از دسترسی‌های غیرمجاز انجام دهید. این ابزارها به شما این امکان را می‌دهند که به طور فعال از تهدیدات امنیتی جلوگیری کرده و سیستم خود را در برابر حملات محافظت کنید.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 4. استخراج و مدیریت گزارشات لاگ‌ها (Logs)”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”مسیر ذخیره‌سازی فایل‌های لاگ در Immunify360″ subtitle=”توضیحات کامل”]در Immunify360، تمامی فعالیت‌ها و رویدادهای امنیتی سرور ثبت می‌شوند و در فایل‌های لاگ ذخیره می‌شوند. این فایل‌ها به مدیران سیستم کمک می‌کنند تا مشکلات امنیتی را شناسایی و آن‌ها را حل کنند. مسیر ذخیره‌سازی فایل‌های لاگ در Immunify360 به صورت پیش‌فرض در دایرکتوری‌های خاصی قرار می‌گیرند. در این بخش، به توضیح مسیرهای ذخیره‌سازی فایل‌های لاگ در Immunify360 پرداخته خواهد شد.

1. مسیر پیش‌فرض فایل‌های لاگ در Immunify360

فایل‌های لاگ مربوط به فعالیت‌های Immunify360 معمولاً در دایرکتوری /var/log/immunify360/ ذخیره می‌شوند. این فایل‌ها شامل گزارش‌هایی از جمله فعالیت‌های مسدود شده، تهدیدات شناسایی‌شده، و تلاش‌های ناموفق ورود می‌باشند.

مسیر ذخیره‌سازی لاگ‌ها:

/var/log/immunify360/

در این دایرکتوری، شما می‌توانید فایل‌های لاگ مختلفی را پیدا کنید، مانند:

• immunify360.log: شامل لاگ‌های عمومی از تمامی فعالیت‌های Immunify360 است.
• immunify360-malware.log: شامل لاگ‌های شناسایی شده از بدافزارها.
• immunify360-blocked.log: شامل لاگ‌هایی است که مربوط به IPهای مسدود شده و حملات جلوگیری‌شده می‌باشد.

---

2. نحوه مشاهده فایل‌های لاگ

برای مشاهده فایل‌های لاگ در Immunify360، می‌توانید از دستورات CLI استفاده کنید. در ادامه، نحوه مشاهده محتویات فایل‌های لاگ را توضیح می‌دهیم.

1. برای مشاهده لاگ اصلی Immunify360، دستور زیر را وارد کنید:

   cat /var/log/immunify360/immunify360.log
   

2. برای مشاهده لاگ‌های مربوط به بدافزارها:

   cat /var/log/immunify360/immunify360-malware.log
   

3. برای مشاهده لاگ‌های مربوط به IPهای مسدود شده و حملات:

   cat /var/log/immunify360/immunify360-blocked.log
   

---

3. پیکربندی مسیر ذخیره‌سازی فایل‌های لاگ

اگر نیاز به تغییر مسیر ذخیره‌سازی فایل‌های لاگ دارید، می‌توانید پیکربندی مربوطه را در فایل‌های پیکربندی Immunify360 انجام دهید. این فایل‌ها معمولاً در مسیر /etc/immunify360/ قرار دارند.

1. فایل پیکربندی اصلی Immunify360:مسیر:

   /etc/immunify360/immunify360.conf
   

2. برای تغییر مسیر لاگ‌ها، کافی است که پارامتر مربوط به log_file را در این فایل ویرایش کنید.مثال:

   log_file = "/path/to/your/custom/log/directory/immunify360.log"
   

3. بعد از انجام تغییرات، سرویس Immunify360 باید ریستارت شود تا تغییرات اعمال گردد:

   systemctl restart immunify360
   

---

4. نحوه نگهداری فایل‌های لاگ

برای جلوگیری از پر شدن فضای دیسک، بهتر است که تنظیمات مربوط به مدت زمان نگهداری فایل‌های لاگ را پیکربندی کنید. به طور معمول، این تنظیمات در فایل پیکربندی Immunify360 قرار دارند.

1. برای تنظیم مدت زمان نگهداری لاگ‌ها، به فایل پیکربندی Immunify360 در مسیر زیر بروید:

   /etc/immunify360/immunify360.conf
   

2. در این فایل، پارامتر log_retention را به دلخواه خود تنظیم کنید:مثال:

   log_retention = 30  # مدت زمان نگهداری لاگ‌ها به روز
   

3. بعد از اعمال تغییرات، سرویس Immunify360 را ریستارت کنید:

   systemctl restart immunify360
   

---

جمع‌بندی

مسیر ذخیره‌سازی فایل‌های لاگ در Immunify360 به طور پیش‌فرض در دایرکتوری /var/log/immunify360/ قرار دارد. این فایل‌ها شامل اطلاعات حیاتی در مورد فعالیت‌های امنیتی و تهدیدات شناسایی‌شده هستند. شما می‌توانید با استفاده از دستورات CLI محتویات این فایل‌ها را مشاهده کرده و در صورت نیاز، مسیر ذخیره‌سازی آن‌ها را تغییر دهید. همچنین، با پیکربندی مناسب می‌توانید مدت زمان نگهداری لاگ‌ها را تنظیم کنید تا از پر شدن فضای دیسک جلوگیری شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه دسترسی به لاگ‌های WAF، Malware Scanner و Brute Force Protection” subtitle=”توضیحات کامل”]در Immunify360، لاگ‌های مختلفی برای نظارت بر تهدیدات امنیتی و فعالیت‌های محافظتی وجود دارد. این لاگ‌ها شامل اطلاعات مربوط به WAF (Web Application Firewall)، Malware Scanner، و Brute Force Protection هستند. دسترسی به این لاگ‌ها برای شناسایی تهدیدات و اقدامات امنیتی ضروری است. در این بخش، نحوه دسترسی به این لاگ‌ها را بررسی خواهیم کرد.

1. لاگ‌های WAF (Web Application Firewall)

WAF وظیفه محافظت از سرور در برابر حملات وب را دارد و تمامی اقدامات مسدودسازی و شناسایی تهدیدات را در لاگ‌های خاصی ذخیره می‌کند.

مسیر ذخیره‌سازی لاگ‌های WAF:

• مسیر پیش‌فرض فایل‌های لاگ WAF در Immunify360:

  /var/log/immunify360/immunify360-waf.log
  

برای مشاهده لاگ‌های WAF، از دستور زیر استفاده کنید:

cat /var/log/immunify360/immunify360-waf.log

این فایل شامل اطلاعاتی مانند:

• حملات مسدود شده توسط WAF.
• اطلاعات مربوط به IPهایی که تلاش کرده‌اند تا به منابع وب حمله کنند.
• زمان و نوع حملات شناسایی شده.

---

2. لاگ‌های Malware Scanner

Malware Scanner مسئول شناسایی بدافزارها و فایل‌های مخرب در سرور است. لاگ‌های این ابزار شامل اطلاعات مربوط به شناسایی بدافزارها و اقدامات انجام شده برای پاکسازی آن‌ها می‌باشد.

مسیر ذخیره‌سازی لاگ‌های Malware Scanner:

• مسیر پیش‌فرض فایل‌های لاگ Malware Scanner:

  /var/log/immunify360/immunify360-malware.log
  

برای مشاهده لاگ‌های Malware Scanner، از دستور زیر استفاده کنید:

cat /var/log/immunify360/immunify360-malware.log

این فایل شامل موارد زیر است:

• بدافزارهای شناسایی شده.
• مسیر فایل‌های آلوده.
• اقداماتی که برای حذف یا قرنطینه فایل‌ها انجام شده است.

---

3. لاگ‌های Brute Force Protection

Brute Force Protection وظیفه شناسایی و جلوگیری از تلاش‌های ناموفق ورود به سیستم را دارد. این ابزار می‌تواند از طریق لاگ‌ها، تلاش‌های ورود ناموفق، و اقدامات مسدودسازی را ثبت کند.

مسیر ذخیره‌سازی لاگ‌های Brute Force Protection:

• مسیر پیش‌فرض فایل‌های لاگ Brute Force Protection:

  /var/log/immunify360/immunify360-bruteforce.log
  

برای مشاهده لاگ‌های Brute Force Protection، از دستور زیر استفاده کنید:

cat /var/log/immunify360/immunify360-bruteforce.log

این فایل شامل موارد زیر است:

• تلاش‌های ناموفق برای ورود به سرور.
• IPهایی که از آن‌ها تلاش‌های ورود ناموفق صورت گرفته است.
• زمان و تاریخ تلاش‌ها و اقدامات امنیتی مانند مسدودسازی IPهای مخرب.

---

4. پیکربندی مسیر ذخیره‌سازی فایل‌های لاگ

در صورت نیاز به تغییر مسیر ذخیره‌سازی لاگ‌ها، می‌توانید مسیرهای پیش‌فرض را در فایل پیکربندی Immunify360 ویرایش کنید. این فایل‌ها معمولاً در مسیر /etc/immunify360/ قرار دارند.

1. فایل پیکربندی اصلی: مسیر:

   /etc/immunify360/immunify360.conf
   

2. برای تغییر مسیر ذخیره‌سازی هر یک از لاگ‌ها، پارامترهای مربوطه را در فایل پیکربندی ویرایش کنید:مثال:

   waf_log_file = "/path/to/your/custom/waf.log"
   malware_log_file = "/path/to/your/custom/malware.log"
   bruteforce_log_file = "/path/to/your/custom/bruteforce.log"
   

3. پس از انجام تغییرات، برای اعمال پیکربندی‌های جدید، سرویس Immunify360 را ریستارت کنید:

   systemctl restart immunify360
   

---

5. نحوه نگهداری و مدیریت فایل‌های لاگ

برای مدیریت فایل‌های لاگ و جلوگیری از پر شدن فضای دیسک، بهتر است که تنظیمات مربوط به نگهداری و زمان‌بندی حذف لاگ‌ها را انجام دهید. این تنظیمات معمولاً در فایل پیکربندی Immunify360 قرار دارند.

1. برای تنظیم مدت زمان نگهداری لاگ‌ها، به فایل پیکربندی Immunify360 در مسیر زیر بروید:

   /etc/immunify360/immunify360.conf
   

2. در این فایل، پارامتر log_retention را به دلخواه خود تنظیم کنید:مثال:

   log_retention = 30  # مدت زمان نگهداری لاگ‌ها به روز
   

3. بعد از اعمال تغییرات، سرویس Immunify360 را ریستارت کنید:

   systemctl restart immunify360
   

---

جمع‌بندی

در Immunify360، لاگ‌های مربوط به WAF، Malware Scanner و Brute Force Protection در دایرکتوری /var/log/immunify360/ ذخیره می‌شوند. این لاگ‌ها حاوی اطلاعات حیاتی در مورد تهدیدات امنیتی، حملات مسدود شده، بدافزارها و تلاش‌های ناموفق ورود هستند. شما می‌توانید با استفاده از دستورات CLI به راحتی این لاگ‌ها را مشاهده کرده و در صورت نیاز، مسیر ذخیره‌سازی آن‌ها را تغییر دهید و تنظیمات نگهداری لاگ‌ها را مطابق با نیاز خود پیکربندی کنید.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”استخراج اطلاعات از لاگ‌ها برای تحلیل‌های پیشرفته با استفاده از دستورات خط فرمان” subtitle=”توضیحات کامل”]در فرآیند تحلیل تهدیدات امنیتی و حملات در سرور، استخراج اطلاعات مفید از لاگ‌ها بخش بسیار مهمی است. با استفاده از دستورات خط فرمان (CLI) می‌توان به سرعت داده‌های مورد نیاز را از لاگ‌ها استخراج کرده و تحلیل‌های پیشرفته انجام داد. در این بخش، روش‌های مختلف استخراج اطلاعات از لاگ‌ها برای تحلیل‌های پیشرفته با استفاده از ابزارهای رایج خط فرمان بررسی می‌شود.

1. جستجو و فیلتر لاگ‌ها با استفاده از grep

ابزار grep یکی از پرکاربردترین ابزارها برای جستجو و فیلتر کردن اطلاعات در فایل‌های لاگ است. با استفاده از grep می‌توانید اطلاعات خاص مانند IPهای مشکوک، نوع حملات، یا کلمات کلیدی دیگر را از لاگ‌ها استخراج کنید.

مثال 1: جستجوی حملات WAF بر اساس کلمه “block”

برای جستجوی تمام خط‌هایی که در آن‌ها حملاتی توسط WAF مسدود شده‌اند، می‌توانید از دستور زیر استفاده کنید:

grep "block" /var/log/immunify360/immunify360-waf.log

این دستور تمامی خطوطی که حاوی کلمه “block” هستند را نمایش می‌دهد، که معمولاً نشان‌دهنده حملات مسدود شده هستند.

مثال 2: جستجوی تلاش‌های ورود ناموفق در لاگ‌های Brute Force Protection

برای استخراج تلاش‌های ورود ناموفق از لاگ‌های Brute Force Protection، دستور زیر را اجرا کنید:

grep "failed" /var/log/immunify360/immunify360-bruteforce.log

این دستور تمام تلاش‌های ناموفق برای ورود را نمایش می‌دهد.

---

2. استفاده از awk برای پردازش و استخراج داده‌های خاص

ابزار awk برای پردازش و استخراج داده‌های خاص از فایل‌های متنی بسیار مفید است. این ابزار به شما این امکان را می‌دهد که ستون‌ها و بخش‌های خاصی از لاگ‌ها را جدا کرده و تنها اطلاعات مورد نیاز خود را مشاهده کنید.

مثال 1: استخراج آدرس‌های IP مسدود شده توسط WAF

اگر بخواهید تنها آدرس‌های IP که توسط WAF مسدود شده‌اند را استخراج کنید، می‌توانید از دستور زیر استفاده کنید:

awk '{print $1}' /var/log/immunify360/immunify360-waf.log | sort | uniq

این دستور تمامی آدرس‌های IP مسدود شده را از لاگ‌های WAF استخراج کرده، آن‌ها را مرتب کرده و تکراری‌ها را حذف می‌کند.

مثال 2: استخراج فایل‌های آلوده شناسایی شده توسط Malware Scanner

برای استخراج فایل‌های آلوده شناسایی شده توسط Malware Scanner، از دستور زیر استفاده کنید:

awk '{print $5}' /var/log/immunify360/immunify360-malware.log | sort | uniq

این دستور نام فایل‌های آلوده را از لاگ‌های Malware Scanner استخراج می‌کند و سپس آن‌ها را مرتب می‌کند.

---

3. استفاده از sed برای ویرایش و تبدیل داده‌ها

ابزار sed برای ویرایش و تغییر داده‌های متنی به صورت سریع و موثر کاربرد دارد. اگر بخواهید برخی از بخش‌های لاگ‌ها را تغییر دهید یا آن‌ها را در قالب خاصی استخراج کنید، از sed استفاده کنید.

مثال 1: حذف اطلاعات غیرضروری از لاگ‌ها

اگر بخواهید از لاگ‌ها فقط تاریخ و زمان را استخراج کنید، می‌توانید از دستور زیر استفاده کنید:

sed 's/^\([^ ]*\) \(.*\)/\1/' /var/log/immunify360/immunify360-waf.log

این دستور تنها بخش تاریخ و زمان را از لاگ‌ها جدا کرده و سایر بخش‌ها را حذف می‌کند.

مثال 2: جایگزینی IPهای خاص در لاگ‌ها

برای جایگزینی یک آدرس IP خاص با مقدار دیگری در لاگ‌ها، می‌توانید از دستور زیر استفاده کنید:

sed 's/192.168.1.1/NEW_IP_ADDRESS/g' /var/log/immunify360/immunify360-bruteforce.log

این دستور تمامی آدرس‌های IP 192.168.1.1 را با آدرس IP جدید جایگزین می‌کند.

---

4. استفاده از sort و uniq برای تحلیل الگوها

با استفاده از دستورات sort و uniq می‌توانید داده‌های تکراری را حذف کرده و الگوهای خاصی را شناسایی کنید.

مثال 1: شناسایی IPهای بیشترین تلاش ورود ناموفق

برای شناسایی آدرس‌های IP که بیشترین تعداد تلاش ورود ناموفق را دارند، از دستور زیر استفاده کنید:

awk '{print $1}' /var/log/immunify360/immunify360-bruteforce.log | sort | uniq -c | sort -nr | head -n 10

این دستور IPهایی که بیشترین تلاش ورود ناموفق را داشته‌اند به ترتیب نمایش می‌دهد.

مثال 2: شناسایی بیشترین فایل‌های آلوده شناسایی شده

برای شناسایی فایل‌هایی که بیشترین تعداد دفعات در گزارش‌های Malware Scanner شناسایی شده‌اند، دستور زیر را اجرا کنید:

awk '{print $5}' /var/log/immunify360/immunify360-malware.log | sort | uniq -c | sort -nr | head -n 10

این دستور 10 فایل آلوده پر تکرار را نمایش می‌دهد.

---

5. استفاده از logrotate برای مدیریت لاگ‌ها

برای مدیریت حجم زیاد لاگ‌ها و جلوگیری از پر شدن فضای دیسک، می‌توانید از ابزار logrotate استفاده کنید. با تنظیمات صحیح، می‌توانید مشخص کنید که پس از مدت زمان مشخص یا حجم خاصی از لاگ‌ها، فایل‌های لاگ چرخش پیدا کنند.

مسیر فایل پیکربندی logrotate:

• مسیر فایل پیکربندی:

  /etc/logrotate.d/immunify360
  

مثال 1: تنظیم نگهداری لاگ‌های WAF

برای تنظیم نگهداری فایل‌های لاگ WAF به مدت 30 روز و چرخش خودکار آن‌ها، دستور زیر را در فایل پیکربندی logrotate اضافه کنید:

/var/log/immunify360/immunify360-waf.log {
    daily
    rotate 30
    compress
    missingok
    notifempty
    create 0644 root root
}

---

جمع‌بندی

با استفاده از ابزارهای خط فرمان مانند grep، awk، sed و sort می‌توان اطلاعات مهمی از لاگ‌ها استخراج و تحلیل‌های پیشرفته انجام داد. این ابزارها به شما کمک می‌کنند تا به سرعت تهدیدات امنیتی را شناسایی کرده و به نتایج دقیق برسید. همچنین برای مدیریت حجم زیاد لاگ‌ها، می‌توانید از ابزارهایی مانند logrotate استفاده کنید تا فضای دیسک بهینه‌سازی شود.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 5. تنظیم ارسال گزارش‌ها به ایمیل مدیر سرور”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه تنظیم گزارشات خودکار برای ارسال به ایمیل مدیران در Immunify360″ subtitle=”توضیحات کامل”]یکی از امکانات کلیدی Immunify360، ارسال خودکار گزارش‌های امنیتی به مدیران سرور از طریق ایمیل است. این گزارش‌ها شامل اطلاعاتی در مورد فایل‌های آلوده، قرنطینه‌شده، فعالیت‌های مشکوک، لاگ‌های حملات و موارد دیگر هستند. تنظیم این ویژگی به مدیران کمک می‌کند تا بدون نیاز به ورود مداوم به پنل، از وضعیت امنیتی سیستم آگاه باشند.

در این بخش از آموزش های ارائه شده توسط فرازنتورک نحوه تنظیم ارسال خودکار گزارش‌ها به ایمیل، هم به‌صورت گرافیکی و هم به‌صورت کامندی و با تعیین مسیر فایل‌ها ارائه می‌شود.

---

1. تنظیم گزارش‌دهی از طریق رابط گرافیکی (UI)

1. وارد WHM یا cPanel شوید (با دسترسی root).
2. به منوی Immunify360 بروید.
3. از نوار کناری، وارد بخش Settings شوید.
4. به تب Notifications بروید.
5. گزینه Send Daily Reports را فعال کنید.
6. در بخش Email Recipients، آدرس ایمیل مدیران را وارد کنید.
   • چند آدرس را می‌توانید با کاما , از هم جدا کنید.
7. سطح گزارش‌دهی را انتخاب کنید:
   • Only threats
   • Threats + Cleaned files
   • Full report
8. تغییرات را ذخیره کنید.

---

2. تنظیم گزارش‌دهی از طریق خط فرمان (CLI)

مسیر فایل پیکربندی:

/etc/sysconfig/imunify360/email.conf

مراحل ویرایش فایل:

nano /etc/sysconfig/imunify360/email.conf

محتوای پیشنهادی فایل:

[general]
enabled = true
report_level = full

[recipients]
emails = admin@example.com,secops@example.com

توضیحات:

• enabled = true: فعال‌سازی ارسال ایمیل.
• report_level = full: نوع گزارش (مقدارهای ممکن: threats, cleaned, full)
• emails: آدرس یا آدرس‌های ایمیل دریافت‌کننده.

پس از ویرایش، فایل را ذخیره کرده و خارج شوید.

---

3. اعمال تغییرات و راه‌اندازی مجدد سرویس

پس از تغییر فایل پیکربندی، برای اعمال تنظیمات:

systemctl restart imunify360

یا اگر سرویس با imunify360-agent مدیریت می‌شود:

imunify360-agent restart

---

4. بررسی لاگ ارسال گزارش‌ها

برای اطمینان از ارسال موفق ایمیل‌ها، می‌توانید لاگ‌های مربوط به ایمیل‌ها را بررسی کنید:

tail -f /var/log/maillog

همچنین، لاگ‌های مربوط به Immunify360 را از این مسیر بررسی کنید:

tail -f /var/log/imunify360/console.log

---

جمع‌بندی

تنظیم گزارش‌های خودکار در Immunify360 یک بخش حیاتی برای حفظ امنیت سرور است. با ارسال منظم گزارش‌ها به ایمیل مدیران، بررسی سریع‌تر تهدیدات، جلوگیری از حملات مداوم و رسیدگی به فایل‌های مشکوک آسان‌تر خواهد شد. این کار هم از طریق رابط گرافیکی و هم از طریق ویرایش فایل‌های پیکربندی قابل انجام است و با نظارت لاگ‌ها می‌توان از صحت عملکرد آن اطمینان حاصل کرد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”پیکربندی ایمیل‌های اطلاع‌رسانی برای حملات، بدافزارها و هشدارهای امنیتی در Immunify360″ subtitle=”توضیحات کامل”]ارسال ایمیل‌های اطلاع‌رسانی هنگام بروز حملات، شناسایی بدافزارها، و رویدادهای امنیتی به مدیران سرور، یکی از مهم‌ترین قابلیت‌های Immunify360 است. این قابلیت به شما اجازه می‌دهد تا به‌صورت بلادرنگ از وضعیت امنیتی سیستم مطلع شوید و اقدامات لازم را انجام دهید. در این بخش نحوه پیکربندی ایمیل‌های اطلاع‌رسانی برای هشدارهای امنیتی را به‌صورت گرافیکی و کامندی با ذکر مسیر فایل‌ها بررسی می‌کنیم.

---

1. پیکربندی از طریق رابط گرافیکی (UI)

برای فعال‌سازی و تنظیم اعلان‌های ایمیلی:

1. وارد WHM یا پنل مدیریت سرور شوید.
2. از منوی سمت چپ گزینه Imunify360 را انتخاب کنید.
3. وارد بخش Settings شوید.
4. به تب Notifications بروید.
5. در این بخش، انواع رویدادهایی که می‌توانند اعلان ایمیلی ارسال کنند شامل موارد زیر هستند:
   • Malware detection
   • Brute-force attacks
   • Web attacks (WAF)
   • Proactive Defense triggers
   • File quarantine
   • Critical system events
6. برای هر مورد:
   • گزینه‌ی فعال‌سازی را روشن کنید (Enable).
   • آدرس ایمیل دریافت‌کننده را وارد نمایید (در بخش Email recipients).
   • سطح حساسیت را تنظیم کنید (Low, Medium, High).

نهایتاً تنظیمات را ذخیره کنید.

---

2. پیکربندی از طریق فایل تنظیمات CLI

مسیر فایل تنظیمات اعلان‌ها:

/etc/sysconfig/imunify360/email.conf

ویرایش فایل با ویرایشگر nano:

nano /etc/sysconfig/imunify360/email.conf

نمونه پیکربندی برای فعال‌سازی اعلان‌های مختلف:

[general]
enabled = true
report_level = full

[recipients]
emails = admin@example.com,security@example.com

[notifications]
malware = true
bruteforce = true
web_attacks = true
proactive_defense = true
quarantine = true
critical_events = true

توجه: هر بخش (malware, bruteforce, …) می‌تواند مقدار true یا false داشته باشد تا فعال یا غیرفعال شود.

پس از ویرایش فایل، با کلیدهای Ctrl + O و Enter آن را ذخیره کرده و با Ctrl + X از آن خارج شوید.

---

3. راه‌اندازی مجدد سرویس برای اعمال تنظیمات

برای اعمال تغییرات انجام‌شده در فایل پیکربندی:

systemctl restart imunify360

یا:

imunify360-agent restart

---

4. بررسی لاگ‌ها برای اطمینان از عملکرد

برای اطمینان از ارسال موفق ایمیل‌های اطلاع‌رسانی و لاگ کردن رویدادهای امنیتی:

tail -f /var/log/maillog

و برای لاگ‌های اختصاصی Immunify360:

tail -f /var/log/imunify360/console.log

---

جمع‌بندی

پیکربندی اعلان‌های ایمیلی در Immunify360 باعث می‌شود که مدیران سرور در لحظه از تهدیدات امنیتی مطلع شوند و بتوانند سریعاً اقدام مناسب انجام دهند. این اعلان‌ها شامل حملات brute-force، بدافزارها، فعالیت‌های مشکوک، تغییرات غیرمجاز در فایل‌ها و قرنطینه فایل‌های خطرناک است. تنظیمات این بخش هم از طریق پنل گرافیکی و هم با ویرایش مستقیم فایل پیکربندی انجام‌پذیر است و حتماً باید بعد از هر تغییری سرویس مجدداً راه‌اندازی شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”استفاده از تنظیمات پیشرفته برای ارسال گزارش‌ها به چندین گیرنده در Imunify360″ subtitle=”توضیحات کامل”]در سناریوهای سازمانی یا تیم‌های مدیریت سرور، ضروری است که گزارش‌های امنیتی و هشدارهای Imunify360 به چندین مدیر یا واحد مختلف ارسال شوند. این کار با تنظیمات پیشرفته‌ی بخش اعلان‌های ایمیلی قابل انجام است. در این قسمت، روش پیکربندی گرافیکی و کامندی برای ارسال گزارش‌ها به چندین گیرنده بررسی می‌شود.

---

1. پیکربندی گرافیکی (از طریق WHM یا پنل تحت وب)

1. وارد پنل WHM یا رابط گرافیکی سرور شوید.
2. از منوی سمت چپ Imunify360 را انتخاب کنید.
3. وارد Settings شوید.
4. تب Notifications را باز کنید.
5. در بخش Email Recipients می‌توانید چند ایمیل را با کاما (,) از هم جدا کنید.

مثال:

admin@example.com,security@example.com,devops@example.com

6. گزینه‌های مربوط به رویدادهایی که مایل هستید گزارش‌ها برای آن‌ها ارسال شوند (مانند malware detection، WAF alerts و…) را فعال کنید.
7. تنظیمات را ذخیره کنید تا اعمال شوند.

---

2. پیکربندی در سطح CLI (از طریق ویرایش فایل پیکربندی)

مسیر فایل پیکربندی:

/etc/sysconfig/imunify360/email.conf

ویرایش فایل با دستور زیر:

nano /etc/sysconfig/imunify360/email.conf

نمونه‌ای از پیکربندی پیشرفته برای چند گیرنده:

[general]
enabled = true
report_level = full

[recipients]
emails = admin@example.com,security@example.com,devops@example.com

[notifications]
malware = true
bruteforce = true
web_attacks = true
proactive_defense = true
quarantine = true
critical_events = true

در این پیکربندی:

• بخش [recipients] شامل تمام ایمیل‌های گیرنده است.
• ایمیل‌ها با کاما (,) جدا شده‌اند.
• برای هر نوع اعلان (مالور، حملات، قرنطینه و…) می‌توان مقدار true برای فعال‌سازی قرار داد.

پس از ویرایش، فایل را ذخیره کرده و از آن خارج شوید.

---

3. اعمال تنظیمات با راه‌اندازی مجدد سرویس

برای اعمال تغییرات انجام‌شده در فایل پیکربندی:

systemctl restart imunify360

یا در صورت استفاده از دستور مستقیم agent:

imunify360-agent restart

---

4. بررسی ارسال موفق ایمیل به چندین گیرنده

برای اطمینان از عملکرد صحیح ارسال ایمیل‌ها به چندین گیرنده، لاگ‌های سرویس mail را بررسی کنید:

tail -f /var/log/maillog

در این لاگ‌ها می‌توانید ببینید که ایمیل‌ها به چه آدرس‌هایی ارسال شده‌اند و آیا ارسال موفق بوده است یا نه.

---

جمع‌بندی

ارسال گزارش‌های امنیتی Imunify360 به چندین گیرنده، امنیت و پاسخ‌دهی سریع را در تیم‌های عملیاتی تضمین می‌کند. این قابلیت هم در رابط گرافیکی و هم در فایل پیکربندی CLI به‌صورت دقیق و قابل کنترل در دسترس است. با استفاده از ویرایش مستقیم فایل email.conf و تعیین چندین آدرس ایمیل، می‌توان کنترل دقیقی بر اعلان‌ها داشت. حتماً پس از تغییر، سرویس را ریستارت کنید و لاگ‌ها را برای صحت عملکرد بررسی نمایید.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 6. مدیریت گزارش‌های مربوط به فایروال (WAF Logs)”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی و تحلیل گزارش‌های حملات SQL Injection, XSS, CSRF در Imunify360″ subtitle=”توضیحات کامل”]Imunify360 به‌عنوان یک راهکار امنیتی جامع برای سرورهای لینوکسی، قابلیت شناسایی و گزارش‌دهی حملات رایج وب مانند SQL Injection، XSS (Cross-Site Scripting)، و CSRF (Cross-Site Request Forgery) را دارد. این بخش به بررسی نحوه مشاهده، تحلیل و مدیریت گزارش‌های این حملات در Imunify360 از طریق رابط گرافیکی و خط فرمان می‌پردازد.

---

مشاهده گزارش‌ها از طریق رابط گرافیکی (GUI)

1. ورود به WHM یا رابط گرافیکی Imunify360:
   • آدرس: https://your-server-ip:2087 برای WHM یا https://your-server-ip:8080 برای پلسک
2. از منوی سمت چپ، گزینه Imunify360 را انتخاب کنید.
3. به بخش Incidents یا WAF بروید.
4. در این بخش، لیست حملات مسدودشده را مشاهده می‌کنید.
5. فیلتر کردن حملات خاص:
   • از قسمت بالای جدول، می‌توانید با انتخاب نوع حمله (مثلاً SQLi یا XSS) فقط همان دسته از حملات را ببینید.

اطلاعاتی که در جدول مشاهده می‌کنید شامل موارد زیر است:

• تاریخ و زمان حمله
• آدرس IP مهاجم
• نوع حمله (SQLi, XSS, CSRF)
• وضعیت (Blocked, Mitigated)
• مسیر یا URL هدف

با کلیک بر روی هر گزارش، اطلاعات کامل‌تری از payload حمله و فایل/اسکریپتی که هدف قرار گرفته ارائه می‌شود.

---

مشاهده و بررسی گزارش‌ها از طریق خط فرمان

مسیر لاگ‌های حملات WAF:

/var/log/imunify360/console.log

برای مشاهده آخرین حملات:

tail -f /var/log/imunify360/console.log

برای جستجوی حملات SQL Injection:

grep "SQL" /var/log/imunify360/console.log

برای جستجوی حملات XSS:

grep "XSS" /var/log/imunify360/console.log

برای جستجوی حملات CSRF:

grep "CSRF" /var/log/imunify360/console.log

نمونه گزارش حمله SQLi در لاگ:

[2025-04-05 12:34:56] [WAF] [SQLi] [BLOCKED] IP: 192.168.1.10 URL: /index.php?id=1' OR '1'='1

---

تحلیل و بررسی گزارش‌ها

برای هر نوع حمله، موارد زیر را بررسی کنید:

5.1. SQL Injection:

• بررسی URLهای هدف: کدام endpointها در برابر تزریق SQL آسیب‌پذیرند.
• payload حمله را بررسی کنید: معمولاً با ' OR 1=1، UNION SELECT و … همراه است.
• اگر فایل PHP مشخص شده، کد آن را بازبینی و از queryهای آماده (prepared statements) استفاده کنید.

5.2. XSS:

• بررسی پارامترهایی که در خروجی بدون فیلتر نمایش داده شده‌اند.
• معمولاً در لاگ، وجود <script> یا onerror= نشانه حمله است.

5.3. CSRF:

• بررسی درخواست‌های POST یا GET بدون توکن‌های امنیتی (CSRF Token).
• تحلیل مسیر URL برای فرم‌هایی که آسیب‌پذیرند.

---

نمونه اقدامات اصلاحی برای مقابله با این حملات

استفاده از توابع ایمن در PHP برای SQL:

$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?");
$stmt->execute([$id]);

پاکسازی ورودی‌ها برای XSS:

$html = htmlspecialchars($_GET['input'], ENT_QUOTES, 'UTF-8');

پیاده‌سازی CSRF Token:

<input type="hidden" name="csrf_token" value="<?php echo $_SESSION['token']; ?>">

---

جمع‌بندی

بررسی و تحلیل دقیق گزارش‌های حملاتی مانند SQL Injection، XSS و CSRF در Imunify360 به شما کمک می‌کند نقاط آسیب‌پذیر اپلیکیشن خود را شناسایی کرده و پیش از بهره‌برداری مهاجمان آن‌ها را اصلاح کنید. استفاده از رابط گرافیکی و لاگ‌های CLI برای پایش حملات، امکان تحلیل دقیق payloadها، مسیرهای هدف و واکنش سریع را فراهم می‌سازد. همچنین، با اعمال اصلاحات کدنویسی سمت سرور، می‌توان امنیت را به‌طور چشمگیری افزایش داد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”مشاهده و مدیریت درخواست‌های مشکوک در فایروال وب (WAF) با استفاده از Imunify360″ subtitle=”توضیحات کامل”]فایروال برنامه‌های وب (WAF) نقش کلیدی در شناسایی و مسدودسازی درخواست‌های مشکوک به حملات سایبری مانند SQL Injection، XSS، CSRF و سایر تهدیدات دارد. Imunify360 به‌عنوان یک راهکار امنیتی پیشرفته برای سرورهای لینوکسی، یک لایه WAF قدرتمند را فراهم می‌کند که امکان مشاهده، مدیریت و پاسخ سریع به درخواست‌های مشکوک را می‌دهد.

---

مشاهده درخواست‌های مشکوک از طریق رابط گرافیکی (GUI)

مسیر دسترسی در WHM یا Plesk:

1. وارد رابط WHM یا Plesk شوید.
2. از منوی سمت چپ، گزینه Imunify360 را انتخاب کنید.
3. به تب WAF یا Incidents بروید.

اطلاعات موجود در جدول WAF:

• IP مهاجم: آدرس آی‌پی منبع درخواست
• URL هدف: مسیر فایل یا اسکریپتی که مورد حمله قرار گرفته
• نوع تهدید: مانند SQLi, XSS, RFI, LFI, Bot Access و غیره
• وضعیت: Blocked, Detected یا Ignored
• تاریخ و زمان: زمان دقیق ثبت درخواست مشکوک

با کلیک روی هر ردیف، اطلاعات کامل‌تری از جزئیات حمله و payload مورد استفاده نمایش داده می‌شود.

---

مشاهده درخواست‌های مشکوک از طریق خط فرمان

مسیر فایل لاگ WAF:

/var/log/imunify360/console.log

مشاهده زنده درخواست‌های مشکوک:

tail -f /var/log/imunify360/console.log

فیلتر کردن بر اساس نوع حمله (مثلاً SQLi):

grep "SQLi" /var/log/imunify360/console.log

فیلتر بر اساس IP خاص:

grep "192.168.1.10" /var/log/imunify360/console.log

---

مدیریت درخواست‌های مشکوک

1. مسدودسازی یا اضافه‌کردن IP به لیست سیاه (Blacklist)

رابط گرافیکی:

• از بخش WAF، روی آی‌پی کلیک کرده و گزینه Blacklist IP را انتخاب کنید.

از خط فرمان:

imunify360-agent blacklist add 192.168.1.10 --comment "Suspicious WAF requests"

2. اضافه‌کردن آی‌پی به لیست سفید (Whitelist) در صورت تشخیص اشتباه:

از خط فرمان:

imunify360-agent whitelist add 192.168.1.5 --comment "Trusted internal user"

3. پاک‌سازی لاگ‌ها در صورت حجم بالا:

> /var/log/imunify360/console.log

(توجه: قبل از پاک‌سازی حتماً لاگ‌ها را آرشیو کنید)

---

تنظیمات پیشرفته برای مدیریت خودکار

ویرایش پیکربندی تنظیمات WAF:

مسیر فایل پیکربندی ModSecurity برای تنظیمات WAF:

/etc/apache2/conf.d/modsec2.conf

برای فعال‌سازی Logging دقیق‌تر در ModSecurity:

SecAuditEngine RelevantOnly
SecAuditLogParts ABIFHZ
SecAuditLog /var/log/apache2/modsec_audit.log

پس از ویرایش، وب‌سرور را ریستارت کنید:

systemctl restart apache2

یا برای Nginx:

systemctl restart nginx

---

مثال عملی – شناسایی و بلاک‌کردن حمله XSS

مشاهده لاگ مشکوک:

grep "XSS" /var/log/imunify360/console.log

نمونه لاگ:

[2025-04-06 10:12:33] [WAF] [XSS] [BLOCKED] IP: 203.0.113.22 URL: /search.php?q=<script>alert(1)</script>

بلاک‌کردن آی‌پی مهاجم:

imunify360-agent blacklist add 203.0.113.22 --comment "Detected XSS attempt"

---

جمع‌بندی

مدیریت درخواست‌های مشکوک در فایروال وب از اهمیت زیادی برای حفظ امنیت وب‌سرور برخوردار است. با استفاده از ابزارهای موجود در Imunify360، هم از طریق رابط گرافیکی و هم خط فرمان، می‌توان حملات رایج را به‌سرعت شناسایی، تحلیل و پاسخ مناسب داد. همچنین با پیکربندی دقیق لاگ‌ها و قوانین، امکان ارتقاء سطح محافظت به‌صورت خودکار و هوشمند فراهم می‌شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیمات Whitelisting و Blacklisting برای آی‌پی‌های خاص در Imunify360″ subtitle=”توضیحات کامل”]برای کنترل دقیق دسترسی به سرور و محافظت در برابر رفتارهای مشکوک، Imunify360 امکان افزودن آی‌پی‌های خاص به لیست سفید (Whitelist) یا لیست سیاه (Blacklist) را فراهم می‌کند. این قابلیت به مدیران سرور اجازه می‌دهد تا دسترسی آی‌پی‌هایی که قابل‌اعتماد هستند را حفظ کرده و آی‌پی‌های مخرب را بلاک کنند.

---

تنظیمات Whitelisting از طریق رابط گرافیکی (GUI)

مسیر انجام تنظیمات در WHM یا Plesk:

1. ورود به WHM یا Plesk به‌عنوان مدیر
2. انتخاب گزینه Imunify360
3. رفتن به تب Firewall
4. انتخاب تب Whitelist
5. وارد کردن آی‌پی موردنظر و افزودن توضیح (Comment)
6. کلیک روی دکمه Add to Whitelist

---

تنظیمات Blacklisting از طریق رابط گرافیکی (GUI)

مسیر انجام تنظیمات:

1. از منوی Imunify360 وارد تب Blacklist شوید.
2. آی‌پی موردنظر را وارد کرده و در صورت نیاز توضیح اضافه کنید.
3. روی دکمه Add to Blacklist کلیک کنید.

---

انجام تنظیمات Whitelisting از طریق خط فرمان

دستور افزودن آی‌پی به لیست سفید:

imunify360-agent whitelist add 203.0.113.15 --comment "Trusted internal IP"

مسیر ذخیره اطلاعات لیست سفید:

/var/imunify360/files/whitelist/whitelist.db

نمایش لیست سفید:

imunify360-agent whitelist list

حذف آی‌پی از لیست سفید:

imunify360-agent whitelist delete 203.0.113.15

---

انجام تنظیمات Blacklisting از طریق خط فرمان

دستور افزودن آی‌پی به لیست سیاه:

imunify360-agent blacklist add 203.0.113.22 --comment "Detected malicious behavior"

مسیر فایل لیست سیاه:

/var/imunify360/files/blacklist/blacklist.db

نمایش لیست سیاه:

imunify360-agent blacklist list

حذف آی‌پی از لیست سیاه:

imunify360-agent blacklist delete 203.0.113.22

---

مثال عملی – افزودن و مدیریت چند آی‌پی

افزودن چند آی‌پی به لیست سیاه:

imunify360-agent blacklist add 203.0.113.100 --comment "Brute force attempt"
imunify360-agent blacklist add 198.51.100.200 --comment "SQLi attack source"

مشاهده خروجی خلاصه از لیست سیاه:

imunify360-agent blacklist list | head -n 10

حذف همه آی‌پی‌ها از لیست سفید (با دقت):

imunify360-agent whitelist list | awk '{print $1}' | xargs -I{} imunify360-agent whitelist delete {}

---

نکات امنیتی در مدیریت لیست‌ها

• هرگز آی‌پی‌های ناشناخته را بدون بررسی دقیق به لیست سفید اضافه نکنید.
• در صورت تردید، آی‌پی را ابتدا در لیست خاکستری (Gray List) بررسی و سپس تصمیم‌گیری کنید.
• از دستور whois یا geoiplookup برای بررسی مالکیت آی‌پی استفاده کنید.

---

جمع‌بندی

استفاده از قابلیت‌های Whitelist و Blacklist در Imunify360، یک راهکار مؤثر برای مدیریت دقیق دسترسی به سرور و افزایش امنیت آن است. از طریق رابط گرافیکی یا دستورات خط فرمان، می‌توان به‌آسانی آی‌پی‌های مشکوک را مسدود کرد یا آی‌پی‌های مطمئن را مجاز دانست. انجام دقیق این تنظیمات، نقش مهمی در پیشگیری از نفوذ، سوءاستفاده و حملات خودکار دارد.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 7. گزارش‌گیری از تهدیدات و حملات Brute Force”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی لاگ‌های مربوط به حملات Brute Force در سرورهای لینوکسی” subtitle=”توضیحات کامل”]یکی از مهم‌ترین روش‌های شناسایی فعالیت‌های مشکوک در سرور، بررسی لاگ‌های سیستم برای شناسایی حملات Brute Force است. این نوع حملات معمولاً تلاش می‌کنند با استفاده از لیست‌های رمز عبور و نام کاربری، به سیستم وارد شوند. در این بخش، نحوه مشاهده، فیلتر و تحلیل لاگ‌های مربوط به این حملات را به‌صورت گام‌به‌گام بیان می‌کنیم.

---

مسیر فایل‌های لاگ مرتبط با احراز هویت و دسترسی

لاگ‌های مرتبط با ورود کاربران و تلاش‌های ناموفق در اغلب توزیع‌های لینوکس در مسیرهای زیر قرار دارند:

/var/log/auth.log          # برای Debian, Ubuntu
/var/log/secure            # برای CentOS, RHEL, AlmaLinux, Rocky
/var/log/messages          # در برخی توزیع‌ها حاوی لاگ‌های عمومی‌تر

---

مشاهده تلاش‌های ناموفق برای ورود (Failed Logins)

برای توزیع‌های مبتنی بر Debian/Ubuntu:

grep "Failed password" /var/log/auth.log

برای توزیع‌های مبتنی بر RHEL/CentOS:

grep "Failed password" /var/log/secure

خروجی نمونه:

Apr 6 12:22:01 server sshd[2580]: Failed password for invalid user admin from 203.0.113.5 port 45522 ssh2

---

مشاهده آی‌پی‌هایی که بیشترین تلاش ورود ناموفق داشته‌اند

grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head

این دستور لیستی از آی‌پی‌ها را به همراه تعداد تلاش‌های ناموفق آن‌ها نمایش می‌دهد.

---

مشاهده تلاش‌های موفق پس از چند بار شکست

grep "Accepted password" /var/log/auth.log

در صورتی که پس از چند بار تلاش ناموفق، یک ورود موفق انجام شود، می‌تواند نشانه‌ی موفقیت Brute Force باشد.

---

بررسی تلاش برای ورود با کاربران نامعتبر (Invalid User)

grep "Invalid user" /var/log/auth.log

این دستور لیستی از نام‌های کاربری جعلی یا غیرفعال را که برای ورود استفاده شده‌اند، نمایش می‌دهد.

---

مانیتورینگ Real-Time لاگ‌ها برای حملات Brute Force

برای بررسی لاگ‌ها به‌صورت لحظه‌ای:

tail -f /var/log/auth.log | grep "Failed password"

این دستور به‌صورت بلادرنگ، تلاش‌های ناموفق ورود را نمایش می‌دهد.

---

استفاده از ابزار fail2ban برای کنترل و ثبت حملات Brute Force

Fail2Ban ابزار مفیدی برای بلاک کردن آی‌پی‌هایی است که چندین بار ورود ناموفق داشته‌اند. لاگ‌های آن در مسیر زیر ذخیره می‌شوند:

/var/log/fail2ban.log

برای بررسی آن:

less /var/log/fail2ban.log

و برای دیدن آی‌پی‌های بلاک‌شده:

fail2ban-client status sshd

---

تحلیل لاگ‌ها به‌صورت گرافیکی (در محیط‌هایی مانند Imunify360)

اگر از Imunify360 استفاده می‌کنید:

• وارد WHM یا Plesk شوید.
• از پنل Imunify360، وارد بخش Incidents یا Firewall شوید.
• گزارش‌های Brute Force را با آی‌پی، کشور مبدا، زمان و نوع حمله مشاهده کنید.

---

جمع‌بندی

بررسی دقیق لاگ‌های سیستم یکی از مؤثرترین راه‌ها برای شناسایی حملات Brute Force است. با استفاده از ابزارهایی مانند grep, awk, و fail2ban می‌توان الگوهای حمله را شناسایی و آی‌پی‌های مهاجم را مسدود کرد. همچنین، مانیتورینگ مستمر این لاگ‌ها از طریق ابزارهایی مثل Imunify360 یا fail2ban نقش مهمی در افزایش امنیت سرور دارد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”مشاهده تلاش‌های ناموفق برای ورود و مسدودسازی آی‌پی‌های مخرب در لینوکس” subtitle=”توضیحات کامل”]برای افزایش امنیت سرور و جلوگیری از نفوذ، یکی از اقدامات کلیدی بررسی تلاش‌های ناموفق ورود و مسدودسازی آی‌پی‌های مهاجم است. در این بخش به‌صورت جامع نحوه مشاهده، تحلیل و مسدودسازی آی‌پی‌هایی که رفتار مشکوک دارند را بررسی می‌کنیم.

---

مسیر فایل‌های لاگ ورود کاربران

در توزیع‌های مختلف لینوکس، لاگ‌های ورود معمولاً در مسیرهای زیر قرار دارند:

/var/log/auth.log          # در Debian, Ubuntu
/var/log/secure            # در CentOS, RHEL, AlmaLinux, Rocky

---

مشاهده تلاش‌های ناموفق برای ورود از طریق SSH

در Debian/Ubuntu:

grep "Failed password" /var/log/auth.log

در CentOS/RHEL:

grep "Failed password" /var/log/secure

خروجی نمونه:

Apr 6 11:12:05 server sshd[5421]: Failed password for invalid user root from 192.0.2.45 port 58145 ssh2

---

شناسایی آی‌پی‌هایی با بیشترین تلاش ورود ناموفق

برای یافتن آی‌پی‌هایی که بیشترین تعداد تلاش ناموفق را داشته‌اند:

grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head

خروجی نمونه:

35 203.0.113.5
27 198.51.100.14
21 192.0.2.45

---

مسدودسازی آی‌پی‌های مخرب به‌صورت دستی با استفاده از iptables

فایل پیکربندی: قوانین به‌صورت موقت هستند و در ریبوت بعدی حذف می‌شوند مگر با ابزارهایی مثل iptables-persistent ذخیره شوند.

iptables -A INPUT -s 203.0.113.5 -j DROP

برای مشاهده لیست قوانین:

iptables -L -n --line-numbers

برای حذف قانون خاص:

iptables -D INPUT 1

---

مسدودسازی آی‌پی‌های مشکوک با استفاده از fail2ban

مسیر تنظیمات:

/etc/fail2ban/jail.local

فعال‌سازی Jail برای SSH:

[sshd]
enabled = true
port    = ssh
filter  = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 3600

راه‌اندازی سرویس:

systemctl restart fail2ban

بررسی وضعیت:

fail2ban-client status sshd

---

استفاده از ابزار CSF (ConfigServer Security & Firewall) در سرورهای CPanel یا DirectAdmin

در صورتی که از پنل‌های میزبانی استفاده می‌کنید، ابزار CSF را می‌توانید به کار ببرید.

مشاهده لاگ تلاش‌های ناموفق:

tail -f /var/log/lfd.log

مسدودسازی آی‌پی:

csf -d 203.0.113.5

---

مشاهده لاگ به‌صورت بلادرنگ برای ورودهای ناموفق

tail -f /var/log/auth.log | grep "Failed password"

---

نمونه اسکریپت برای شناسایی و مسدودسازی خودکار آی‌پی‌هایی که بیش از 10 بار تلاش ورود داشته‌اند

#!/bin/bash
grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | \
sort | uniq -c | sort -nr | awk '$1 > 10 {print $2}' | \
while read ip; do
  iptables -A INPUT -s $ip -j DROP
  echo "$ip blocked for repeated SSH failures"
done

می‌توانید این اسکریپت را در فایل /usr/local/bin/block_brute.sh ذخیره کرده و زمان‌بندی اجرای آن را با cron تنظیم کنید.

---

جمع‌بندی

مشاهده تلاش‌های ناموفق ورود و تحلیل لاگ‌های امنیتی از اصلی‌ترین اقدامات پیشگیرانه در مدیریت سرورهاست. با استفاده از ابزارهایی مانند grep, iptables, fail2ban, یا CSF می‌توان آی‌پی‌های مشکوک را شناسایی و مسدود کرد. اجرای منظم این بررسی‌ها نقش مهمی در جلوگیری از نفوذ به سرور دارد و مانع از حملات Brute Force می‌شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تحلیل لاگ‌ها برای شناسایی الگوهای حمله در سرورهای لینوکسی” subtitle=”توضیحات کامل”]تحلیل لاگ‌های سیستم، یکی از مهم‌ترین اقدامات در زمینه امنیت سایبری است که با هدف شناسایی رفتارهای مشکوک، الگوهای حمله و جلوگیری از نفوذ انجام می‌شود. در این بخش، به بررسی جامع روش‌های تحلیل لاگ‌ها، فایل‌های کلیدی و ابزارهای مناسب برای شناسایی الگوهای حمله می‌پردازیم.

---

مسیرهای لاگ‌های کلیدی در لینوکس

نوع لاگ	مسیر فایل
ورود کاربران	/var/log/auth.log یا /var/log/secure
فعالیت‌های سیستمی	/var/log/syslog یا /var/log/messages
لاگ‌های سرویس SSH	/var/log/auth.log یا /var/log/secure
لاگ‌های وب‌سرور (Apache/Nginx)	/var/log/apache2/access.log، /var/log/apache2/error.log یا /var/log/nginx/access.log و /var/log/nginx/error.log
لاگ فایروال‌ها	بسته به فایروال، در /var/log/kern.log یا /var/log/ufw.log

---

بررسی لاگ‌های احراز هویت برای شناسایی حملات Brute Force

grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr

این دستور، تعداد تلاش‌های ناموفق برای ورود توسط هر IP را نمایش می‌دهد.

---

تشخیص حملات Dictionary یا Brute Force با تعداد زیاد یوزرنیم‌های اشتباه

grep "Invalid user" /var/log/auth.log | awk '{print $(NF)}' | sort | uniq -c | sort -nr

یافتن الگوهایی که تعداد زیادی از یوزرنیم‌های غیراستاندارد را تست می‌کنند، نشان‌دهنده حملات لغت‌نامه‌ای است.

---

بررسی لاگ‌های وب‌سرور برای شناسایی حملات XSS، SQLi و اسکن‌های مشکوک

مسیر فایل‌ها:

/var/log/apache2/access.log
/var/log/nginx/access.log

دستور تحلیل ساده حملات SQL Injection:

grep -Ei "union.*select|select.*from|drop\s+table|insert\s+into" /var/log/nginx/access.log

دستور تحلیل الگوهای حمله XSS:

grep -Ei "<script>|onerror=|alert\(|<iframe>" /var/log/nginx/access.log

---

شناسایی تعداد درخواست‌های مشکوک از یک IP (اسکن یا DoS)

awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head

این دستور مشخص می‌کند کدام IP تعداد زیادی درخواست به سرور ارسال کرده است.

---

استفاده از ابزارهای تحلیلی پیشرفته مانند GoAccess برای تحلیل Real-Time لاگ‌ها

نصب GoAccess (Debian/Ubuntu):

apt install goaccess

اجرای ابزار بر روی لاگ وب‌سرور:

goaccess /var/log/nginx/access.log -c

این ابزار گزارش‌های دقیق، نمودارهای گرافیکی و تحلیل‌های Real-Time ارائه می‌دهد.

---

استفاده از ابزار Logwatch برای دریافت خلاصه تحلیلی روزانه

نصب (Debian/Ubuntu):

apt install logwatch

اجرای تحلیل:

logwatch --detail high --range today --service all --mailto admin@example.com

---

ایجاد اسکریپت خودکار برای بررسی لاگ‌های مشکوک

فایل: /usr/local/bin/logscan.sh

#!/bin/bash
LOG=/var/log/auth.log
grep "Failed password" $LOG | \
awk '{print $(NF-3)}' | \
sort | \
uniq -c | \
sort -nr | \
awk '$1 > 10 {print $2}' > /tmp/suspect_ips.txt
while read ip; do
  echo "Suspicious IP detected: $ip"
done < /tmp/suspect_ips.txt

اجرا با cron:

crontab -e

افزودن خط زیر برای اجرای هر ساعت:

0 * * * * /usr/local/bin/logscan.sh >> /var/log/logscan.log

---

جمع‌بندی

تحلیل دقیق لاگ‌های سیستم به شما امکان می‌دهد تا حملات Brute Force، XSS، SQL Injection و سایر تهدیدات امنیتی را قبل از تبدیل شدن به نفوذ واقعی شناسایی کنید. استفاده از ابزارهای تحلیل خط فرمان، ابزارهای گرافیکی مانند GoAccess، و اسکریپت‌های سفارشی به امنیت سرور شما کمک قابل توجهی خواهد کرد. بررسی منظم لاگ‌ها باید بخشی از روتین‌های امنیتی سرور باشد.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 8. نحوه مدیریت و ذخیره گزارش‌ها برای بررسی‌های آینده”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیمات مربوط به مدت زمان نگهداری لاگ‌های امنیتی در لینوکس” subtitle=”توضیحات کامل”]یکی از مهم‌ترین اقدامات امنیتی در مدیریت سیستم‌عامل‌های لینوکس، تعیین مدت‌زمان نگهداری لاگ‌های امنیتی و لاگ‌های سیستمی است. اگر لاگ‌ها بیش از اندازه نگه‌داری شوند، علاوه بر افزایش حجم دیسک، ممکن است باعث کندی در بررسی و تحلیل آن‌ها شوند. در مقابل، اگر مدت‌زمان نگهداری بسیار کم باشد، ممکن است فرصت بررسی و تحلیل دقیق رخدادها از بین برود.

در این بخش، به‌صورت جامع، تنظیمات مربوط به نگهداری لاگ‌های امنیتی را با استفاده از ابزار logrotate و دیگر روش‌های تکمیلی بررسی می‌کنیم.

---

مسیر فایل‌های لاگ امنیتی در لینوکس

نوع لاگ	مسیر فایل
احراز هویت و دسترسی‌ها	/var/log/auth.log یا /var/log/secure
لاگ‌های فایروال	/var/log/kern.log یا /var/log/ufw.log
لاگ‌های fail2ban	/var/log/fail2ban.log
لاگ‌های امنیتی ایمیون‌فای360	/var/log/imunify360/
لاگ‌های وب‌سرور	/var/log/nginx/ و /var/log/apache2/

---

تنظیم زمان نگهداری لاگ‌ها با استفاده از logrotate

logrotate ابزار استاندارد لینوکس برای مدیریت حجم و زمان نگهداری لاگ‌ها است. فایل‌های پیکربندی آن معمولاً در مسیر زیر قرار دارند:

/etc/logrotate.conf
/etc/logrotate.d/

---

مثال: نگهداری لاگ‌های auth.log به مدت 14 روز

مسیر فایل پیکربندی:

/etc/logrotate.d/auth

محتوا:

/var/log/auth.log {
    daily
    rotate 14
    missingok
    notifempty
    compress
    delaycompress
    create 640 syslog adm
    postrotate
        /usr/lib/rsyslog/rsyslog-rotate
    endscript
}

توضیحات:

• daily: چرخش لاگ هر روز.
• rotate 14: نگهداری لاگ‌ها برای 14 روز (یعنی 14 فایل چرخش‌یافته).
• compress: فشرده‌سازی لاگ‌های قدیمی.
• create: تنظیم مجدد مجوز پس از چرخش.

---

تغییر مدت نگهداری لاگ‌های ایمیون‌فای360

ایمیون‌فای360 تنظیمات پیش‌فرضی برای نگهداری لاگ‌ها دارد. برای مدیریت نگهداری لاگ‌ها:

مسیر فایل پیکربندی:

/etc/sysconfig/imunify360/imunify360.config

تنظیم مدت‌زمان نگهداری لاگ‌ها (مثلاً 30 روز):

[logging]
log_retention_days=30

پس از ویرایش:

systemctl restart imunify360

---

بررسی وضعیت فعلی logrotate

برای بررسی زمان‌بندی اجرای logrotate:

cat /etc/cron.daily/logrotate

و برای اجرای دستی logrotate و تست پیکربندی:

logrotate -d /etc/logrotate.conf

---

پیکربندی نگهداری لاگ‌های امنیتی NGINX برای 7 روز

مسیر فایل پیکربندی:

/etc/logrotate.d/nginx

محتوا:

/var/log/nginx/*.log {
    daily
    rotate 7
    missingok
    notifempty
    compress
    delaycompress
    sharedscripts
    postrotate
        [ -f /var/run/nginx.pid ] && kill -USR1 `cat /var/run/nginx.pid`
    endscript
}

---

مدیریت و مانیتور حجم فایل‌های لاگ

برای شناسایی فایل‌هایی که بیشترین حجم را دارند:

du -ah /var/log | sort -rh | head -n 10

برای حذف فایل‌هایی قدیمی‌تر از 30 روز:

find /var/log -type f -mtime +30 -exec rm -f {} \;

---

جمع‌بندی

مدیریت مدت‌زمان نگهداری لاگ‌های امنیتی یکی از مهم‌ترین اقدامات در بهینه‌سازی فضای دیسک و امنیت سیستم است. استفاده از logrotate برای لاگ‌های سیستمی، config اختصاصی برای Imunify360، و اعمال سیاست‌های نگهداری برای سرویس‌هایی مانند NGINX و Apache تضمین می‌کند که اطلاعات موردنیاز در زمان درست در دسترس باشد و هم‌زمان منابع سرور بیش از حد اشغال نشوند. پیکربندی دقیق و منظم این تنظیمات، بخشی جدایی‌ناپذیر از مدیریت امنیت حرفه‌ای سرورها محسوب می‌شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه بکاپ‌گیری از گزارشات برای بررسی‌های بعدی” subtitle=”توضیحات کامل”]برای حفظ گزارشات و بررسی‌های بعدی، مهم است که به‌طور منظم از لاگ‌ها و گزارشات سیستم بکاپ‌گیری کنید. این کار به شما کمک می‌کند تا در صورت بروز مشکلات، بتوانید اطلاعات تاریخی را برای تحلیل و شناسایی الگوها و مشکلات سیستم بازیابی کنید.

1. استفاده از دستورات برای بکاپ‌گیری از گزارشات

بکاپ‌گیری از گزارشات معمولاً شامل کپی کردن فایل‌های لاگ به یک مکان امن یا حتی ارسال آن‌ها به یک سرور دیگر است. در اینجا یک نمونه از دستورات برای بکاپ‌گیری آورده شده است:

cp /var/log/auth.log /path/to/backup/auth.log.backup
cp /var/log/apache2/access.log /path/to/backup/apache_access.log.backup
cp /var/log/apache2/error.log /path/to/backup/apache_error.log.backup

در این دستور، فایل‌های لاگ به پوشه‌ای به نام backup در مسیر دلخواه کپی می‌شوند. شما می‌توانید پوشه مقصد را تغییر دهید تا به سرور یا دیسک خاصی هدایت کنید.

---

2. استفاده از Cron Jobs برای بکاپ‌گیری منظم

برای انجام بکاپ‌گیری به‌صورت منظم، می‌توانید از Cron Jobs استفاده کنید. یک Cron Job را می‌توان تنظیم کرد تا به‌طور خودکار گزارشات را در فواصل زمانی مشخص بکاپ‌گیری کند.

برای ویرایش کرون جاب، دستور زیر را وارد کنید:

crontab -e

سپس خط زیر را برای بکاپ‌گیری گزارشات هر شب در ساعت 2:00 صبح اضافه کنید:

0 2 * * * \
cp /var/log/auth.log /path/to/backup/auth.log.backup && \
cp /var/log/apache2/access.log \
/path/to/backup/apache_access.log.backup && \
cp /var/log/apache2/error.log \
/path/to/backup/apache_error.log.backup

این دستور به‌طور روزانه فایل‌های گزارش را در مسیر تعیین‌شده کپی می‌کند.

---

3. استفاده از ابزار rsync برای بکاپ‌های پیچیده‌تر

اگر بخواهید گزارشات را از یک سرور به سرور دیگر کپی کنید یا چندین فایل را هم‌زمان پشتیبان‌گیری کنید، ابزار rsync می‌تواند مفید باشد. برای بکاپ‌گیری از گزارشات به یک سرور دیگر، از دستور زیر استفاده کنید:

rsync -avz /var/log/ username@remote_server:/path/to/backup/

در این دستور، گزارشات موجود در /var/log/ به سرور مقصد با آدرس remote_server منتقل می‌شوند.

---

4. استفاده از بکاپ‌های خودکار با استفاده از Cloud Storage

برای ایمن‌سازی بیشتر و دسترسی راحت‌تر، می‌توانید گزارشات را به یک سرویس ذخیره‌سازی ابری مانند AWS S3، Google Cloud Storage یا Azure Blob Storage منتقل کنید.

برای مثال، با استفاده از AWS CLI می‌توانید فایل‌های لاگ را به S3 آپلود کنید:

aws s3 cp /var/log/auth.log s3://your-bucket-name/backups/auth.log.backup

---

5. بررسی و بازیابی گزارشات بکاپ‌گیری شده

در صورت نیاز به بررسی گزارشات بکاپ‌گیری شده، می‌توانید فایل‌های بکاپ را به سادگی بازیابی کنید:

cp /path/to/backup/auth.log.backup /var/log/auth.log

این دستور گزارش بکاپ‌گیری شده را به مسیر اصلی خود برمی‌گرداند تا به راحتی بتوانید آن را بررسی کنید.

---

جمع‌بندی

برای بکاپ‌گیری از گزارشات، استفاده از دستورات ساده مانند cp برای کپی کردن فایل‌ها و ابزارهایی مانند rsync یا AWS CLI برای بکاپ‌گیری از راه دور بسیار مفید است. همچنین، با استفاده از Cron Jobs می‌توانید این فرآیند را به‌طور خودکار و منظم تنظیم کنید.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”راهکارهای تحلیل داده‌ها با استفاده از ابزارهای مانیتورینگ خارجی” subtitle=”توضیحات کامل”]ابزارهای مانیتورینگ خارجی می‌توانند به شما کمک کنند تا وضعیت سیستم‌ها، شبکه‌ها، اپلیکیشن‌ها و سرورها را به‌طور مستمر بررسی کرده و اطلاعات دقیق و تجزیه و تحلیل‌های مفیدی را ارائه دهند. این ابزارها به شما این امکان را می‌دهند تا مشکلات را سریعاً شناسایی کنید و تصمیمات بهتری در زمینه بهینه‌سازی عملکرد و امنیت سیستم‌ها اتخاذ نمایید.

1. استفاده از ابزارهای تحلیل داده‌های لاگ

ابزارهایی مانند ELK Stack (Elasticsearch, Logstash, Kibana) و Splunk برای تحلیل و تجزیه و تحلیل داده‌های لاگ استفاده می‌شوند. این ابزارها به شما کمک می‌کنند تا لاگ‌ها را جمع‌آوری، فیلتر، جستجو، تجزیه و تحلیل و در نهایت به شکل داشبوردهای گرافیکی نمایش دهید.

• ELK Stack: مجموعه‌ای از ابزارهای Elasticsearch، Logstash و Kibana است که به شما امکان می‌دهد تا داده‌های لاگ را جمع‌آوری، پردازش، جستجو و تجزیه و تحلیل کنید. این ابزار به شما کمک می‌کند تا از داده‌های لاگ، بینش‌های دقیق‌تری بگیرید.
  • Elasticsearch برای جستجو و ایندکس کردن داده‌ها
  • Logstash برای جمع‌آوری و پردازش داده‌ها
  • Kibana برای نمایش و تجزیه و تحلیل داده‌ها به‌صورت گرافیکی

  برای پیکربندی ELK Stack و تجزیه و تحلیل داده‌ها از این ابزار، شما ابتدا باید داده‌ها را از سرورهای خود جمع‌آوری کنید و سپس با استفاده از Kibana داده‌ها را به‌صورت گرافیکی بررسی نمایید.

• Splunk: Splunk یکی دیگر از ابزارهای معروف است که می‌توانید از آن برای جمع‌آوری، پردازش و تحلیل داده‌های لاگ استفاده کنید. این ابزار به‌طور گسترده‌ای در سازمان‌ها برای بررسی و تجزیه و تحلیل رفتار سیستم‌ها و اپلیکیشن‌ها استفاده می‌شود.

---

2. استفاده از ابزارهای مانیتورینگ شبکه

برای تجزیه و تحلیل داده‌های شبکه، ابزارهایی مانند Nagios، Zabbix و Prometheus می‌توانند اطلاعات دقیق‌تری را در اختیار شما قرار دهند.

• Nagios: یکی از ابزارهای مانیتورینگ است که می‌توانید از آن برای مانیتورینگ شبکه، سرورها و اپلیکیشن‌ها استفاده کنید. این ابزار به شما امکان می‌دهد تا وضعیت سرویس‌ها و سرورها را از راه دور بررسی کنید و در صورت بروز مشکل، هشدار دریافت کنید.
• Zabbix: این ابزار همچنین برای مانیتورینگ شبکه و سرورها استفاده می‌شود و به شما اجازه می‌دهد تا از طریق داشبوردهای گرافیکی وضعیت سرویس‌ها، منابع و دیگر جنبه‌های سیستم را تحلیل کنید.
• Prometheus: Prometheus یک ابزار مانیتورینگ متن‌باز است که بیشتر برای نظارت بر عملکرد سیستم‌ها و سرویس‌های ابری و میکروسرویس‌ها طراحی شده است. این ابزار به شما کمک می‌کند تا داده‌های دقیق و بلادرنگ از منابع مختلف مانند سرورها، دیتابیس‌ها و اپلیکیشن‌ها جمع‌آوری کنید.

---

3. استفاده از ابزارهای مانیتورینگ اپلیکیشن

ابزارهایی مانند New Relic و AppDynamics به شما کمک می‌کنند تا عملکرد اپلیکیشن‌ها و سرویس‌های تحت وب خود را به‌طور دقیق‌تر تجزیه و تحلیل کنید.

• New Relic: این ابزار مانیتورینگ عملکرد اپلیکیشن است که می‌تواند اطلاعات دقیق و بلادرنگ از عملکرد برنامه‌ها، سرورها و دیتابیس‌ها فراهم کند. New Relic به شما امکان می‌دهد تا مشکلات عملکردی را شناسایی کرده و اقدامات اصلاحی انجام دهید.
• AppDynamics: این ابزار همچنین برای مانیتورینگ و تجزیه و تحلیل عملکرد اپلیکیشن‌ها استفاده می‌شود و به شما کمک می‌کند تا به‌طور جامع و دقیق مشکلات اپلیکیشن‌ها را شناسایی و برطرف کنید.

---

4. تحلیل داده‌های تجزیه و تحلیل ترافیک وب

ابزارهای تحلیل ترافیک وب مانند Google Analytics، Matomo و AWStats به شما کمک می‌کنند تا رفتار کاربران را تجزیه و تحلیل کرده و الگوهای ترافیک وب را شناسایی کنید.

• Google Analytics: این ابزار به‌طور گسترده‌ای برای تجزیه و تحلیل ترافیک وب و رفتار کاربران استفاده می‌شود. شما می‌توانید داده‌هایی مانند تعداد بازدیدکنندگان، منابع ترافیک، صفحات مشاهده‌شده و نرخ تبدیل را تجزیه و تحلیل کنید.
• Matomo: Matomo یک پلتفرم تحلیل ترافیک وب است که به‌طور خودکار اطلاعات مربوط به کاربران و رفتار آن‌ها را جمع‌آوری کرده و به شما امکان می‌دهد تا از داده‌های ترافیکی وب‌سایت خود به‌صورت جامع و قابل‌درک استفاده کنید.

---

5. استفاده از داشبوردها و گزارش‌ها

استفاده از داشبوردهای گرافیکی می‌تواند به شما در تحلیل داده‌ها و شناسایی الگوهای خاص کمک کند. ابزارهای مانند Grafana و Kibana می‌توانند به‌طور ویژه برای تجزیه و تحلیل داده‌ها و ایجاد گزارش‌های گرافیکی استفاده شوند.

• Grafana: این ابزار برای مانیتورینگ و تجزیه و تحلیل داده‌ها طراحی شده است و به شما این امکان را می‌دهد تا داشبوردهای گرافیکی را از داده‌های جمع‌آوری‌شده از سرورهای مختلف ایجاد کنید. Grafana با استفاده از منابع مختلف مانند Prometheus و Elasticsearch می‌تواند داده‌ها را به‌شکل بصری و قابل‌فهم نمایش دهد.
• Kibana: همانطور که قبلاً ذکر شد، Kibana به‌عنوان یکی از ابزارهای ELK Stack، برای نمایش و تجزیه و تحلیل داده‌ها به‌صورت گرافیکی استفاده می‌شود.

---

جمع‌بندی

ابزارهای مانیتورینگ خارجی مانند ELK Stack، Splunk، Nagios، Zabbix و Prometheus ابزارهای قدرتمندی برای تجزیه و تحلیل داده‌ها هستند. این ابزارها به شما کمک می‌کنند تا وضعیت سیستم‌ها، سرورها و اپلیکیشن‌ها را به‌طور دقیق نظارت کرده و مشکلات را پیش از تبدیل شدن به بحران شناسایی کنید. همچنین، استفاده از ابزارهای تحلیل ترافیک وب مانند Google Analytics و Matomo برای تجزیه و تحلیل رفتار کاربران و الگوهای ترافیک وب می‌تواند اطلاعات ارزشمندی در اختیار شما قرار دهد.[/cdb_course_lesson][cdb_course_lesson title=”فصل 9. اتصال Immunify360 به ابزارهای مانیتورینگ خارجی”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”ادغام با Prometheus، Grafana برای تحلیل بهتر گزارشات” subtitle=”توضیحات کامل”]یکی از مهم‌ترین نیازهای سیستم‌های مدرن، نظارت و تجزیه و تحلیل عملکرد است. Prometheus و Grafana ابزارهایی هستند که به‌طور گسترده برای این منظور در پروژه‌های مختلف استفاده می‌شوند. Prometheus برای جمع‌آوری و ذخیره‌سازی داده‌ها و Grafana برای تجزیه و تحلیل و نمایش گرافیکی این داده‌ها به‌کار می‌رود. در این بخش، به نحوه ادغام این دو ابزار برای تحلیل بهتر گزارشات پرداخته می‌شود.

1. معرفی Prometheus و Grafana

• Prometheus: این ابزار یک سیستم جمع‌آوری داده‌های نظارتی است که برای ذخیره‌سازی داده‌ها به‌صورت زمان‌بندی‌شده (time-series data) استفاده می‌شود. Prometheus به‌طور خاص برای نظارت بر سیستم‌های توزیع‌شده و میکروسرویس‌ها طراحی شده است. این ابزار قادر است داده‌های مختلفی مانند CPU، حافظه، ترافیک شبکه، وضعیت اپلیکیشن‌ها و بسیاری دیگر را جمع‌آوری کند.
• Grafana: این ابزار برای نمایش داده‌های ذخیره‌شده به‌صورت داشبوردهای گرافیکی و بصری استفاده می‌شود. Grafana می‌تواند داده‌های مختلف از منابع مختلف (مانند Prometheus) را دریافت کرده و آن‌ها را به‌صورت گراف‌ها، نمودارها و داشبوردهای قابل‌فهم نمایش دهد.

---

2. نحوه نصب Prometheus و Grafana

برای شروع، ابتدا باید Prometheus و Grafana را روی سرور خود نصب کنید.

• نصب Prometheus:
  1. دریافت Prometheus: ابتدا باید آخرین نسخه Prometheus را از وب‌سایت رسمی آن دانلود کنید:

     wget https://github.com/prometheus/prometheus/releases/download/v2.33.0/prometheus-2.33.0.linux-amd64.tar.gz
     

  2. فشرده‌سازی فایل و استخراج آن:

     tar -xvzf prometheus-2.33.0.linux-amd64.tar.gz
     

  3. انتقال به دایرکتوری Prometheus:

     cd prometheus-2.33.0.linux-amd64
     

  4. اجرای Prometheus:

     ./prometheus --config.file=prometheus.yml
     

• نصب Grafana:
  1. دریافت Grafana: برای نصب Grafana، ابتدا باید آخرین نسخه آن را از وب‌سایت رسمی آن دریافت کنید:

     wget https://dl.grafana.com/oss/release/grafana-8.5.0-1.x86_64.rpm
     

  2. نصب Grafana:

     sudo yum install grafana-8.5.0-1.x86_64.rpm
     

  3. شروع سرویس Grafana:

     sudo systemctl start grafana-server
     

  4. تنظیم سرویس Grafana برای شروع خودکار:

     sudo systemctl enable grafana-server
     

---

3. پیکربندی Prometheus برای جمع‌آوری داده‌ها

برای جمع‌آوری داده‌ها از سرورهای مختلف و سرویس‌های مختلف، باید فایل پیکربندی prometheus.yml را ویرایش کنید. در این فایل، می‌توانید سرورهایی که باید نظارت شوند را اضافه کنید.

یک مثال ساده از پیکربندی prometheus.yml:

global:
  scrape_interval: 15s

scrape_configs:
  - job_name: 'node'
    static_configs:
      - targets: ['localhost:9100', 'server2:9100']

در این پیکربندی، Prometheus هر ۱۵ ثانیه یک بار از سرورهای مشخص شده اطلاعات جمع‌آوری می‌کند.

---

4. اتصال Prometheus به Grafana

برای مشاهده داده‌های جمع‌آوری‌شده توسط Prometheus در Grafana، باید Grafana را به عنوان یک منبع داده (Data Source) به Prometheus متصل کنید.

1. ورود به Grafana: به‌طور پیش‌فرض، Grafana روی پورت 3000 اجرا می‌شود. پس وارد آدرس http://localhost:3000 شوید.
2. اضافه کردن Prometheus به عنوان Data Source:
   • در پنل کنترلی Grafana، به بخش Configuration بروید.
   • روی Data Sources کلیک کنید.
   • گزینه Add data source را انتخاب کرده و Prometheus را از لیست انتخاب کنید.
   • در بخش URL، آدرس Prometheus خود را وارد کنید، به‌طور پیش‌فرض http://localhost:9090 است.
   • بر روی Save & Test کلیک کنید تا اتصال برقرار شود.

---

5. ساخت داشبوردهای Grafana برای نمایش داده‌ها

حالا که Prometheus به Grafana متصل شده است، می‌توانید از داده‌های ذخیره‌شده برای ساخت داشبوردهای گرافیکی استفاده کنید.

1. ساخت داشبورد جدید:
   • در پنل اصلی Grafana، روی گزینه Create در سمت چپ و سپس Dashboard کلیک کنید.
   • سپس بر روی Add new panel کلیک کنید تا نمودار جدیدی بسازید.
   • در بخش Query، منبع داده را به Prometheus تغییر دهید و سپس متریک مورد نظر را جستجو کنید.
   • به‌عنوان مثال، برای نظارت بر استفاده از CPU، می‌توانید متریک node_cpu_seconds_total را جستجو کنید.
2. پیکربندی نمودار:
   • از گراف‌ها، نمودارها و جدول‌ها برای نمایش داده‌های Prometheus استفاده کنید.
   • می‌توانید از ویژگی‌های مختلف Grafana مانند Thresholds و Alerting برای تنظیم هشدارها و اعلام وضعیت‌ها استفاده کنید.

---

6. تنظیم هشدارها در Grafana

Grafana به شما این امکان را می‌دهد که برای داده‌های خاصی هشدار تنظیم کنید. به‌عنوان مثال، می‌توانید هشدارهایی برای استفاده بالای CPU، حافظه یا فضای دیسک تنظیم کنید.

1. تنظیم هشدار:
   • در بخش پنل گرافیکی Grafana، روی Alert کلیک کنید.
   • شرایط مورد نظر برای هشدار را وارد کنید، به‌عنوان مثال زمانی که CPU استفاده‌شده بیشتر از ۸۰٪ باشد.
   • سپس نوع هشدار (مانند ارسال ایمیل یا هشدار در Slack) را تنظیم کنید.

---

جمع‌بندی

ادغام Prometheus و Grafana به شما این امکان را می‌دهد که داده‌های جمع‌آوری‌شده از سیستم‌ها و سرویس‌های مختلف را به‌صورت گرافیکی و قابل‌فهم تجزیه و تحلیل کنید. با نصب، پیکربندی و اتصال این دو ابزار به یکدیگر، می‌توانید نظارت دقیق‌تری بر سیستم‌های خود داشته باشید و از هشدارها و گزارش‌های دقیق برای مدیریت و بهینه‌سازی بهتر استفاده کنید.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”استفاده از ELK Stack (Elasticsearch, Logstash, Kibana) برای پردازش لاگ‌ها” subtitle=”توضیحات کامل”]ELK Stack که از سه ابزار Elasticsearch، Logstash و Kibana تشکیل شده است، یک مجموعه قدرتمند برای جمع‌آوری، پردازش و تجزیه و تحلیل لاگ‌ها است. این ابزارها به شما کمک می‌کنند تا داده‌های لاگ سیستم‌ها و اپلیکیشن‌ها را به‌طور متمرکز جمع‌آوری، جستجو، تجزیه و تحلیل و بصری‌سازی کنید. در این بخش، به نحوه استفاده از ELK Stack برای پردازش و تحلیل لاگ‌ها پرداخته خواهد شد.

1. معرفی اجزای ELK Stack

• Elasticsearch: یک موتور جستجو و تجزیه و تحلیل توزیع‌شده است که برای ذخیره‌سازی و جستجوی مقادیر زیاد داده‌ها طراحی شده است. این ابزار به‌ویژه برای تجزیه و تحلیل داده‌های بزرگ (مانند لاگ‌ها) مناسب است.
• Logstash: یک ابزار برای جمع‌آوری، پردازش و انتقال داده‌ها است. Logstash قادر است لاگ‌های مختلف از منابع مختلف را جمع‌آوری کرده، آن‌ها را پردازش کرده و به Elasticsearch ارسال کند.
• Kibana: یک ابزار بصری‌سازی داده‌ها است که به شما این امکان را می‌دهد تا داده‌های ذخیره‌شده در Elasticsearch را به‌صورت گرافیکی و داشبوردهای مختلف مشاهده و تحلیل کنید.

---

2. نصب و پیکربندی ELK Stack

برای شروع کار با ELK Stack، باید هر سه ابزار را نصب و پیکربندی کنید. در اینجا، مراحل نصب و پیکربندی را به‌طور مفصل بررسی خواهیم کرد.

2.1 نصب Elasticsearch

1. دریافت و نصب Elasticsearch: برای نصب Elasticsearch، ابتدا باید پکیج مناسب را از وب‌سایت رسمی دریافت کنید:

   wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.3.0-linux-x86_64.tar.gz
   tar -xvzf elasticsearch-8.3.0-linux-x86_64.tar.gz
   cd elasticsearch-8.3.0
   

2. اجرای Elasticsearch: برای راه‌اندازی Elasticsearch از دستور زیر استفاده کنید:

   ./bin/elasticsearch
   

3. پیکربندی Elasticsearch: فایل پیکربندی اصلی Elasticsearch در مسیر config/elasticsearch.yml قرار دارد. شما می‌توانید تنظیمات مختلفی مانند پورت، حافظه و آدرس‌ها را در این فایل تغییر دهید.

2.2 نصب Logstash

1. دریافت و نصب Logstash: برای نصب Logstash، از دستور زیر استفاده کنید:

   wget https://artifacts.elastic.co/downloads/logstash/logstash-8.3.0-linux-x86_64.tar.gz
   tar -xvzf logstash-8.3.0-linux-x86_64.tar.gz
   cd logstash-8.3.0
   

2. پیکربندی Logstash: پیکربندی Logstash در فایل config/logstash.yml قرار دارد. علاوه بر این، برای هر ورودی، فیلتر و خروجی در Logstash، باید فایل‌های پیکربندی خاصی ایجاد کنید. به‌عنوان مثال، برای جمع‌آوری لاگ‌های Nginx، می‌توانید فایلی مانند زیر ایجاد کنید:

   input {
     file {
       path => "/var/log/nginx/access.log"
       start_position => "beginning"
     }
   }
   
   filter {
     grok {
       match => { "message" => "%{COMBINEDAPACHELOG}" }
     }
   }
   
   output {
     elasticsearch {
       hosts => ["http://localhost:9200"]
       index => "nginx-logs-%{+YYYY.MM.dd}"
     }
   }
   

3. اجرای Logstash: برای اجرای Logstash با پیکربندی خود، از دستور زیر استفاده کنید:

   bin/logstash -f /path/to/your/config.conf
   

2.3 نصب Kibana

1. دریافت و نصب Kibana: برای نصب Kibana، باید پکیج مناسب را از وب‌سایت رسمی دریافت کنید:

   wget https://artifacts.elastic.co/downloads/kibana/kibana-8.3.0-linux-x86_64.tar.gz
   tar -xvzf kibana-8.3.0-linux-x86_64.tar.gz
   cd kibana-8.3.0
   

2. پیکربندی Kibana: فایل پیکربندی Kibana در مسیر config/kibana.yml قرار دارد. در این فایل می‌توانید آدرس Elasticsearch را مشخص کنید:

   server.host: "0.0.0.0"
   elasticsearch.hosts: ["http://localhost:9200"]
   

3. اجرای Kibana: برای شروع Kibana از دستور زیر استفاده کنید:

   ./bin/kibana
   

---

3. ارسال لاگ‌ها به Elasticsearch با استفاده از Logstash

حالا که Elasticsearch و Logstash را نصب و پیکربندی کرده‌اید، می‌توانید لاگ‌ها را به Elasticsearch ارسال کنید تا برای تجزیه و تحلیل آماده شوند. Logstash این کار را با استفاده از فایل‌های پیکربندی انجام می‌دهد. به‌طور مثال، می‌توانید لاگ‌های Nginx را با استفاده از پیکربندی بالا به Elasticsearch ارسال کنید.

---

4. تجزیه و تحلیل لاگ‌ها با Kibana

پس از ارسال داده‌ها به Elasticsearch، می‌توانید از Kibana برای تجزیه و تحلیل و مشاهده داده‌ها استفاده کنید.

4.1 وارد کردن داده‌ها به Kibana

1. وارد رابط کاربری Kibana شوید، که به‌طور پیش‌فرض در آدرس http://localhost:5601 در دسترس است.
2. در بخش Management، گزینه Index Patterns را انتخاب کنید.
3. بر روی Create index pattern کلیک کنید.
4. نام ایندکس را وارد کنید (مثلاً nginx-logs-*).
5. برای فیلتر کردن داده‌ها از تاریخ، فیلد @timestamp را انتخاب کنید.

4.2 ساخت داشبوردهای تجزیه و تحلیل

پس از ایجاد ایندکس، می‌توانید از Kibana برای ساخت داشبوردها استفاده کنید. برای مثال، می‌توانید یک داشبورد برای مشاهده تعداد درخواست‌های HTTP، وضعیت کدهای HTTP و دیگر معیارهای مهم بسازید.

1. به بخش Dashboard بروید.
2. بر روی Create new dashboard کلیک کنید.
3. پنل‌هایی برای نمایش داده‌ها از ایندکس‌های مختلف اضافه کنید.
4. می‌توانید نمودارهای مختلفی مانند bar charts، pie charts یا line graphs ایجاد کنید.

---

5. تنظیم هشدارها در Kibana

Kibana به شما این امکان را می‌دهد که برای وضعیت‌های خاص هشدار ایجاد کنید. برای این کار، می‌توانید از بخش Alerting استفاده کنید.

1. به بخش Alerting بروید.
2. یک هشدار جدید ایجاد کنید.
3. شرایط هشدار را تنظیم کنید، مثلاً زمانی که تعداد درخواست‌های ۴۰۴ از یک آدرس IP خاص بیشتر از حد معینی شود.

---

جمع‌بندی

استفاده از ELK Stack برای پردازش و تجزیه و تحلیل لاگ‌ها به شما این امکان را می‌دهد که داده‌های لاگ سیستم‌ها و اپلیکیشن‌ها را به‌طور مؤثر جمع‌آوری، ذخیره، جستجو، تجزیه و تحلیل و بصری‌سازی کنید. با نصب و پیکربندی Elasticsearch، Logstash و Kibana، می‌توانید از داده‌های خود برای شناسایی الگوهای عملکردی، مشکلات و تهدیدات استفاده کنید و از هشدارها و داشبوردهای گرافیکی برای مدیریت سیستم‌ها بهره ببرید.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”ارسال گزارش‌ها به SIEM (Security Information and Event Management)” subtitle=”توضیحات کامل”]SIEM (مدیریت اطلاعات و رویدادهای امنیتی) یک فناوری است که برای جمع‌آوری، پردازش، تجزیه و تحلیل و ذخیره‌سازی داده‌های امنیتی از منابع مختلف استفاده می‌شود. هدف اصلی استفاده از SIEM، شناسایی تهدیدات امنیتی، پاسخ به آن‌ها و ایجاد یک تصویر جامع از وضعیت امنیتی شبکه است. ارسال گزارش‌ها به یک سیستم SIEM برای تجزیه و تحلیل دقیق‌تر و مدیریت امنیتی در محیط‌های پیچیده الزامی است. در این بخش به نحوه ارسال گزارش‌ها از ابزارهای مختلف مانند ELK Stack، Immunify360 یا دیگر منابع لاگ به سیستم‌های SIEM پرداخته خواهد شد.

1. معرفی سیستم‌های SIEM

SIEM به‌طور کلی از دو بخش اصلی تشکیل شده است:

• جمع‌آوری و پردازش داده‌ها: اطلاعات مختلفی از منابع مختلف مانند فایروال‌ها، IDS/IPS، سیستم‌های احراز هویت و دیگر سیستم‌ها جمع‌آوری می‌شود.
• تحلیل و گزارش‌دهی: این داده‌ها تجزیه و تحلیل شده و به شکل گزارش‌های مختلف برای شناسایی تهدیدات امنیتی به‌صورت بلادرنگ (Real-Time) یا به‌صورت تاریخ‌نگاری ارسال می‌شود.

---

2. روش‌های ارسال گزارش‌ها به SIEM

برای ارسال گزارش‌ها به سیستم SIEM، چندین روش مختلف وجود دارد که به‌طور معمول به دو صورت خط فرمان یا استفاده از API انجام می‌شود. در این بخش به ارسال گزارش‌ها از طریق ELK Stack و دیگر ابزارها مانند Immunify360 پرداخته خواهد شد.

---

3. ارسال گزارش‌ها از ELK Stack به SIEM

در صورتی که از ELK Stack برای جمع‌آوری و پردازش داده‌ها استفاده می‌کنید، می‌توانید گزارش‌های خود را به یک سیستم SIEM ارسال کنید. در اینجا نحوه انجام این کار توضیح داده خواهد شد.

3.1 پیکربندی Logstash برای ارسال گزارش‌ها به SIEM

Logstash می‌تواند داده‌ها را از منابع مختلف جمع‌آوری کند و آن‌ها را به یک SIEM ارسال کند. برای این کار باید در پیکربندی Logstash از output plugin مخصوص SIEM استفاده کنید. به‌عنوان مثال، اگر از Splunk به عنوان سیستم SIEM استفاده می‌کنید، می‌توانید از HTTP Event Collector (HEC) استفاده کنید.

مثال پیکربندی برای ارسال داده‌ها به Splunk از طریق Logstash:

input {
  file {
    path => "/var/log/nginx/access.log"
    start_position => "beginning"
  }
}

filter {
  grok {
    match => { "message" => "%{COMBINEDAPACHELOG}" }
  }
}

output {
  http {
    url => "https://<SPLUNK_HEC_URL>/services/collector"
    http_method => "post"
    headers => ["Authorization", "Splunk <SPLUNK_HEC_TOKEN>"]
    format => "json"
  }
}

در این پیکربندی:

• input: مشخص می‌کند که Logstash از کدام فایل‌ها (مثل access.log) داده‌ها را جمع‌آوری کند.
• filter: داده‌ها را از طریق الگوی grok تجزیه می‌کند.
• output: داده‌ها را به SIEM ارسال می‌کند. در اینجا از پروتکل HTTP برای ارسال داده‌ها به Splunk استفاده شده است.

3.2 ارسال داده‌ها به SIEM از طریق Syslog

یکی از متداول‌ترین روش‌ها برای ارسال گزارش‌ها به سیستم‌های SIEM استفاده از Syslog است. بسیاری از سیستم‌های SIEM از پروتکل Syslog برای جمع‌آوری داده‌ها پشتیبانی می‌کنند.

پیکربندی Logstash برای ارسال داده‌ها از طریق Syslog:

input {
  file {
    path => "/var/log/auth.log"
    start_position => "beginning"
  }
}

filter {
  grok {
    match => { "message" => "%{SYSLOGBASE}" }
  }
}

output {
  syslog {
    host => "siem_server_address"
    port => 514
    protocol => "udp"
  }
}

در این پیکربندی:

• input: داده‌ها از فایل auth.log جمع‌آوری می‌شوند.
• filter: داده‌ها با استفاده از الگوی SYSLOGBASE پردازش می‌شوند.
• output: داده‌ها از طریق Syslog به سرور SIEM ارسال می‌شوند.

---

4. ارسال گزارش‌ها از Immunify360 به SIEM

Immunify360 ابزاری است که برای شناسایی و پیشگیری از تهدیدات امنیتی طراحی شده است و به شما این امکان را می‌دهد که گزارش‌های مربوط به حملات و تهدیدات را به سیستم‌های SIEM ارسال کنید.

4.1 پیکربندی Immunify360 برای ارسال گزارش‌ها به SIEM

برای ارسال گزارش‌های امنیتی Immunify360 به یک سیستم SIEM، می‌توانید از ویژگی Syslog Integration استفاده کنید. برای این کار، باید آدرس IP سرور SIEM خود را در تنظیمات Immunify360 وارد کنید.

1. وارد Immunify360 Dashboard شوید.
2. به بخش Settings بروید.
3. در بخش Syslog، آدرس IP سرور SIEM و پورت آن را وارد کنید.
4. انتخاب کنید که چه نوع گزارش‌هایی به SIEM ارسال شوند (مانند گزارش‌های مربوط به حملات، تلاش‌های ورود غیرمجاز و غیره).

4.2 استفاده از API برای ارسال داده‌ها

در صورتی که سیستم SIEM از API پشتیبانی کند، می‌توانید از REST API برای ارسال داده‌ها به آن استفاده کنید. برای این کار، باید در Immunify360 داده‌ها را از طریق API استخراج کرده و به SIEM ارسال کنید.

curl -X POST "https://siem-server/api/endpoint" \
-H "Content-Type: application/json" \
-d '{"event_type":"attack","source_ip":"192.168.1.1","status":"blocked"}'

---

5. نظارت و بررسی گزارشات ارسال شده به SIEM

پس از ارسال گزارش‌ها به SIEM، می‌توانید از رابط کاربری سیستم SIEM برای نظارت و بررسی وضعیت تهدیدات استفاده کنید. سیستم SIEM این داده‌ها را تجزیه و تحلیل می‌کند و در صورت شناسایی تهدیدات، هشدارهایی ارسال خواهد کرد.

در بسیاری از سیستم‌های SIEM، مانند Splunk یا Graylog، می‌توانید داشبوردهایی برای تجزیه و تحلیل لاگ‌ها ایجاد کنید و به‌راحتی وضعیت تهدیدات را در زمان واقعی مشاهده کنید.

---

جمع‌بندی

ارسال گزارش‌ها به سیستم‌های SIEM یک گام اساسی در بهبود امنیت سیستم‌ها و شبکه‌ها است. با استفاده از ابزارهایی مانند Logstash، Immunify360 و استفاده از پروتکل‌هایی مانند Syslog یا API می‌توانید داده‌های امنیتی و لاگ‌ها را به سیستم‌های SIEM ارسال کنید تا آن‌ها بتوانند تهدیدات را شناسایی کرده و به‌طور بلادرنگ به آن‌ها واکنش نشان دهند. این فرآیند به شما این امکان را می‌دهد که به‌طور مؤثرتر و با دقت بیشتری از داده‌های امنیتی خود استفاده کنید و خطرات امنیتی را پیش از آنکه تبدیل به مشکلات بزرگ شوند شناسایی و مدیریت کنید.

 

 [/cdb_course_lesson][/cdb_course_lessons][cdb_course_lessons title=”بخش 9. مدیریت و نظارت بر دسترسی‌های کاربران”][cdb_course_lesson title=”فصل 1. تعریف و مفهوم دسترسی کاربران در Immunify360″][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی سطوح مختلف دسترسی در سرور” subtitle=”توضیحات کامل”]در هر سرور، کنترل دسترسی به منابع و اطلاعات به‌طور جدی در امنیت سیستم تاثیرگذار است. مدیریت دسترسی‌ها باعث می‌شود تا هر کاربر یا سرویس تنها به منابعی که برای انجام وظایف خود به آن نیاز دارند، دسترسی داشته باشد. این کار از تهدیدات احتمالی مانند حملات داخلی و نفوذ به سیستم جلوگیری می‌کند. در این بخش، به بررسی سطوح مختلف دسترسی در سرور، انواع مجوزها و نحوه مدیریت آن‌ها خواهیم پرداخت.

1. سطوح دسترسی در سیستم‌عامل‌های لینوکس و یونیکس

در سیستم‌عامل‌های لینوکس و یونیکس، دسترسی به منابع سیستم بر اساس سه سطح اصلی کنترل می‌شود: مالک (Owner)، گروه (Group) و دیگران (Others). این سطوح به همراه انواع مجوزها، برای محافظت از فایل‌ها و دایرکتوری‌ها طراحی شده‌اند.

مجوزهای فایل: در سیستم‌های لینوکس، هر فایل یا دایرکتوری سه نوع دسترسی دارد:

• خواندن (Read – r): اجازه می‌دهد محتویات فایل یا دایرکتوری مشاهده شود.
• نوشتن (Write – w): اجازه می‌دهد محتویات فایل یا دایرکتوری تغییر کنند.
• اجرای (Execute – x): اجازه می‌دهد فایل به عنوان یک برنامه اجرا شود.

برای مشاهده مجوزهای یک فایل یا دایرکتوری، از دستور ls -l استفاده می‌شود:

ls -l /path/to/file

خروجی این دستور به صورت زیر خواهد بود:

-rwxr-xr--

در اینجا:

• بخش اول (رایگان‌ها): نوع فایل را نشان می‌دهد.
• سه بخش بعدی مجوزهای مالک فایل (Owner) است.
• سه بخش بعدی مجوزهای گروه (Group) است.
• سه بخش بعدی مجوزهای دیگران (Others) است.

تغییر مجوزها: برای تغییر مجوزهای فایل‌ها، از دستور chmod استفاده می‌شود. به عنوان مثال:

• برای دادن مجوز خواندن، نوشتن و اجرای کامل به مالک فایل:

  chmod u+rwx /path/to/file
  

• برای حذف مجوز نوشتن از گروه:

  chmod g-w /path/to/file
  

---

2. سطوح دسترسی در سیستم‌عامل‌های ویندوز

در سیستم‌عامل ویندوز، سطوح دسترسی از طریق مجوزهای NTFS برای فایل‌ها و پوشه‌ها مدیریت می‌شود. در این سیستم‌عامل، کاربران به گروه‌ها یا افراد مختلف دسترسی‌های مختلفی دارند. این دسترسی‌ها معمولاً شامل موارد زیر هستند:

• Full Control: اجازه می‌دهد تا فرد تمام عملیات ممکن را انجام دهد، از جمله تغییر مجوزها.
• Modify: اجازه می‌دهد که فرد فایل را ویرایش کرده، آن را حذف کند، یا تغییرات در آن ایجاد کند.
• Read & Execute: اجازه می‌دهد فایل خوانده شده و اجرا شود.
• Read: فقط اجازه خواندن فایل را می‌دهد.
• Write: اجازه می‌دهد فایل نوشته شود.

برای مشاهده و تنظیم مجوزهای فایل‌ها در ویندوز، از منوی Properties > Security استفاده می‌شود.

---

3. سطوح دسترسی برای کاربران و گروه‌ها

در سیستم‌عامل‌های لینوکس، هر فایل دارای سه نوع دسترسی است: دسترسی برای مالک، دسترسی برای گروه و دسترسی برای سایر کاربران. کاربران در گروه‌ها قرار می‌گیرند و به این ترتیب می‌توانند دسترسی‌های مختلفی به منابع مختلف داشته باشند.

دستورات برای مدیریت دسترسی‌ها:

• برای تغییر مالک فایل (Owner):

  chown username:groupname /path/to/file
  

• برای تغییر گروه فایل:

  chgrp groupname /path/to/file
  

---

4. استفاده از sudo برای دسترسی‌های محدود به کاربران

در سیستم‌عامل‌های لینوکس، کاربران معمولاً دسترسی‌های محدودی دارند تا از انجام عملیات خطرناک جلوگیری شود. برای انجام برخی دستورات سیستم که نیاز به دسترسی‌های مدیریتی دارند، می‌توان از دستور sudo استفاده کرد.

دستورات مرتبط با sudo:

• برای اجرای دستور با دسترسی‌های مدیریتی:

  sudo command
  

• برای مشاهده فایل تنظیمات sudo و گروه‌های دسترسی:

  sudo visudo
  

---

5. دسترسی‌های شبکه و فایروال

بخشی از مدیریت دسترسی‌ها، تنظیمات فایروال و محدودیت‌های دسترسی از طریق شبکه است. در سرورهایی که خدمات شبکه‌ای ارائه می‌دهند (مانند وب‌سرورها یا پایگاه‌های داده)، می‌توان از ابزارهایی مانند iptables (در لینوکس) برای محدود کردن دسترسی‌ها استفاده کرد.

مثال: محدود کردن دسترسی به یک سرویس خاص با استفاده از iptables:

برای محدود کردن دسترسی به یک پورت خاص (مثلاً پورت 80 برای وب) فقط از یک آدرس IP خاص، دستور زیر را اجرا کنید:

iptables -A INPUT -p tcp --dport 80 -s 192.168.1.100 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

این دستور دسترسی به پورت 80 را تنها به آدرس IP 192.168.1.100 می‌دهد و سایر دسترسی‌ها را مسدود می‌کند.

---

6. سطوح دسترسی در سیستم‌های مدیریت هاستینگ

در سیستم‌های مدیریت هاستینگ مانند cPanel، Plesk، و DirectAdmin، دسترسی‌ها معمولاً به دو سطح تقسیم می‌شوند:

• مدیر سیستم (Admin): که بیشترین دسترسی‌ها را دارد و می‌تواند همه تنظیمات را مدیریت کند.
• کاربران معمولی: که دسترسی‌های محدود به بخش‌های خاص از سیستم دارند.

در این سیستم‌ها می‌توان دسترسی‌های مختلفی برای کاربر ایجاد کرده و مدیریت کرد، مانند ایجاد و حذف حساب‌های ایمیل، تنظیمات دامنه، دسترسی به فایل‌ها و پایگاه‌های داده.

---

جمع‌بندی

مدیریت سطوح دسترسی در سرور، بخش حیاتی از حفظ امنیت سیستم است. با استفاده از ابزارهای مناسب مانند chmod، chown، sudo، و iptables می‌توان دسترسی به فایل‌ها، منابع و خدمات سیستم را محدود کرد. در سیستم‌های هاستینگ نیز، استفاده از پنل‌های مدیریتی مانند cPanel و Plesk امکان مدیریت دقیق دسترسی‌ها را فراهم می‌آورد. این اقدامات باعث می‌شود که تنها کاربران مجاز به انجام عملیات خاصی دسترسی داشته باشند و خطر نفوذ به حداقل برسد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تفاوت بین دسترسی مدیر، کاربر عادی و نقش‌های سفارشی” subtitle=”توضیحات کامل”]در سیستم‌های مدیریت سرور، به‌ویژه در سیستم‌عامل‌ها و نرم‌افزارهای مدیریت هاستینگ مانند cPanel، Plesk، و DirectAdmin، تفاوت‌های واضحی بین سطوح دسترسی مختلف وجود دارد. این سطوح دسترسی به کاربران این امکان را می‌دهند که بتوانند کنترل دقیقی بر منابع سیستم و اطلاعات خود داشته باشند. در این بخش، به بررسی تفاوت‌های میان دسترسی مدیر (Admin)، کاربر عادی (Normal User) و نقش‌های سفارشی (Custom Roles) می‌پردازیم.

1. دسترسی مدیر (Admin)

دسترسی مدیر یا ادمین، بالاترین سطح دسترسی در هر سیستم است. مدیر قادر است تمام منابع و تنظیمات سیستم را مشاهده، تغییر و مدیریت کند. از جمله وظایف و امکاناتی که یک مدیر سرور دارد، می‌توان به موارد زیر اشاره کرد:

• دسترسی به تمامی تنظیمات سیستم: مدیر می‌تواند به تمام بخش‌ها و تنظیمات سرور دسترسی داشته باشد، از جمله ایجاد و حذف حساب‌های کاربری، تنظیمات سیستم، پیکربندی شبکه، و مدیریت نرم‌افزارها.
• مدیریت کاربران: مدیر می‌تواند حساب‌های کاربری ایجاد یا حذف کند، دسترسی‌ها را مدیریت کرده و گروه‌های مختلف را تعیین کند.
• نصب و پیکربندی نرم‌افزارها: مدیر می‌تواند نرم‌افزارهای جدید نصب کرده یا نرم‌افزارهای موجود را به‌روزرسانی و پیکربندی کند.
• مدیریت امنیت سیستم: مدیر می‌تواند تنظیمات فایروال، امنیت شبکه و دیگر تنظیمات امنیتی را مدیریت کند.
• دسترسی به همه گزارش‌ها و لاگ‌ها: مدیر دسترسی کامل به گزارش‌ها، لاگ‌ها، و اطلاعات سیستم از جمله حملات مسدود شده و وضعیت عملکرد سیستم دارد.

دستورات مربوط به دسترسی مدیر در لینوکس:

مدیر سرور می‌تواند به راحتی با استفاده از دستور sudo به تمامی دستورات سیستم دسترسی داشته باشد. به عنوان مثال:

sudo apt-get update
sudo systemctl restart apache2

این دستورات به‌طور کامل به مدیر سرور این امکان را می‌دهد که منابع سیستم را مدیریت کند.

---

2. دسترسی کاربر عادی (Normal User)

کاربر عادی در سیستم دسترسی‌های محدودتری نسبت به مدیر دارد و فقط قادر به انجام عملیات خاص خود است. این دسترسی‌ها معمولاً به نیازهای روزمره کاربران مربوط می‌شوند و می‌توانند شامل موارد زیر باشند:

• دسترسی محدود به فایل‌ها و دایرکتوری‌ها: کاربر عادی می‌تواند تنها به فایل‌ها و دایرکتوری‌هایی که مالک آن‌ها است، دسترسی داشته باشد. برای دسترسی به فایل‌های دیگر کاربران، به مجوز خاص نیاز دارد.
• اجرای برنامه‌های خاص: کاربر عادی تنها می‌تواند برنامه‌ها و دستورات خاصی را که برای او مجاز هستند، اجرا کند.
• دسترسی به منابع محدود: معمولاً کاربر عادی به منابعی مانند پایگاه‌های داده، ایمیل‌ها یا وب‌سایت‌ها محدود است و نمی‌تواند تنظیمات سرور یا نرم‌افزارهای اصلی سیستم را تغییر دهد.
• عدم دسترسی به گزارش‌ها و لاگ‌ها: معمولاً کاربر عادی نمی‌تواند به گزارش‌ها، لاگ‌ها یا هرگونه اطلاعات حساس سرور دسترسی پیدا کند.

دستورات مربوط به دسترسی کاربر عادی در لینوکس:

کاربر عادی می‌تواند دستورات معمولی را اجرا کند، اما برای دستورات مدیریتی باید از sudo استفاده کند که نیاز به تایید دسترسی مدیر دارد:

ls /home/username
cat /home/username/file.txt

این دستورات تنها برای مشاهده و دسترسی به فایل‌های مربوط به کاربر عادی مجاز هستند.

---

3. نقش‌های سفارشی (Custom Roles)

نقش‌های سفارشی به مدیران این امکان را می‌دهند که دسترسی‌های مختلف را به‌صورت دقیق و بر اساس نیازها و وظایف مشخص به کاربران تخصیص دهند. این نقش‌ها می‌توانند برای تعیین دقیق میزان دسترسی هر کاربر به منابع مختلف سیستم مورد استفاده قرار گیرند. معمولاً در سیستم‌های مدیریت هاستینگ مانند cPanel و Plesk، می‌توان نقش‌های مختلفی برای کاربران تعریف کرد.

ویژگی‌های نقش‌های سفارشی:

• سفارشی‌سازی دقیق دسترسی‌ها: می‌توان مشخص کرد که هر کاربر به چه قسمت‌هایی از سیستم دسترسی داشته باشد و به کدام منابع اجازه دسترسی داده شود.
• ایجاد گروه‌های کاربری: با استفاده از نقش‌های سفارشی می‌توان گروه‌هایی از کاربران با وظایف مشابه ایجاد کرد و دسترسی‌های خاص برای آن‌ها تعیین کرد.
• انعطاف‌پذیری بالا: نقش‌های سفارشی می‌توانند شامل ترکیبی از دسترسی‌های مختلف باشند، از جمله دسترسی به ایمیل‌ها، پایگاه‌های داده، وب‌سایت‌ها، و تنظیمات مختلف سرور.

نمونه‌ای از نقش‌های سفارشی در cPanel یا Plesk:

• مدیر سرور: دارای دسترسی کامل به تمامی بخش‌ها و تنظیمات سیستم.
• مدیر دامنه: دسترسی به تنظیمات مربوط به دامنه‌ها و وب‌سایت‌ها.
• مدیر ایمیل: دسترسی محدود به بخش‌های ایمیل و حساب‌های کاربری ایمیل.
• کاربر محدود: دسترسی فقط به داده‌ها و سرویس‌های خاص خود.

در Plesk یا cPanel، می‌توانید نقش‌های سفارشی ایجاد کنید و برای هر نقش دسترسی‌های خاصی را تعیین نمایید.

---

جمع‌بندی

مدیریت دسترسی‌ها و نقش‌ها در سیستم‌ها و سرورهای هاستینگ امری ضروری برای حفظ امنیت و کارایی سیستم است. تفاوت‌های اصلی بین دسترسی‌های مدیر، کاربر عادی و نقش‌های سفارشی در تعیین میزان دسترسی و نحوه تعامل کاربران با سیستم‌های مختلف است. مدیر سیستم بیشترین دسترسی‌ها را دارد و می‌تواند تمام تنظیمات و منابع سرور را کنترل کند، در حالی که کاربر عادی به منابع محدودتری دسترسی دارد و نمی‌تواند تنظیمات سیستم را تغییر دهد. نقش‌های سفارشی به مدیران این امکان را می‌دهند که دسترسی‌های مختلف را بر اساس نیاز کاربران تعیین کنند و امنیت سرور را تقویت کنند.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 2. ایجاد و مدیریت کاربران در Immunify360″][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”اضافه کردن کاربران جدید” subtitle=”توضیحات کامل”]در هر سیستم مدیریت هاستینگ یا سرور، توانایی اضافه کردن کاربران جدید بخش مهمی از مدیریت سرور و کنترل دسترسی‌ها است. بسته به نوع سیستم (مثلاً cPanel، Plesk، DirectAdmin یا سیستم‌های لینوکسی)، روش‌ها و مراحل مختلفی برای اضافه کردن کاربر جدید وجود دارد. در این بخش، به روش‌های مختلف برای اضافه کردن کاربران جدید در محیط‌های مختلف پرداخته می‌شود.

1. اضافه کردن کاربر در cPanel

در cPanel، مدیر سرور می‌تواند حساب‌های کاربری جدید برای وب‌سایت‌ها، ایمیل‌ها، و دیتابیس‌ها ایجاد کند. این کار معمولاً از طریق رابط گرافیکی انجام می‌شود.

مراحل اضافه کردن کاربر جدید در cPanel:

1. وارد cPanel شوید.
2. در بخش “Account Functions” بر روی “Create a New Account” کلیک کنید.
3. اطلاعات لازم مانند:
   • Domain: نام دامنه برای کاربر جدید.
   • Username: نام کاربری.
   • Password: رمز عبور.
   • Email: آدرس ایمیل کاربر.
4. تنظیمات مربوط به منابع (مانند فضای دیسک، ترافیک و…) را مشخص کنید.
5. بر روی “Create” کلیک کنید تا حساب کاربری جدید ایجاد شود.

دستورات CLI برای ایجاد کاربر در cPanel:

اگر بخواهید این عملیات را از طریق خط فرمان انجام دهید، می‌توانید از دستورات زیر استفاده کنید:

/usr/local/cpanel/scripts/createacct username domain.com password

این دستور یک حساب جدید با نام کاربری username و دامنه domain.com و رمز عبور password ایجاد می‌کند.

---

2. اضافه کردن کاربر در Plesk

در Plesk، کاربران جدید می‌توانند به راحتی از طریق پنل مدیریت یا CLI ایجاد شوند. همچنین می‌توانیم کاربرانی با نقش‌های مختلف (مانند کاربر، مدیر، یا نماینده) ایجاد کنیم.

مراحل اضافه کردن کاربر جدید در Plesk:

1. وارد Plesk شوید.
2. به بخش “Users” بروید.
3. بر روی “Add User” کلیک کنید.
4. اطلاعات کاربر جدید مانند نام کاربری، رمز عبور، ایمیل و نقش‌ها را وارد کنید.
5. برای دسترسی به منابع مختلف (وب‌سایت، ایمیل، دیتابیس) تنظیمات را انجام دهید.
6. بر روی “OK” کلیک کنید تا کاربر جدید ایجاد شود.

دستورات CLI برای اضافه کردن کاربر در Plesk:

در Plesk می‌توانید از دستور plesk bin برای ایجاد کاربران جدید از طریق خط فرمان استفاده کنید:

plesk bin user --create username -passwd password -email user@example.com

این دستور یک کاربر جدید با نام username، رمز عبور password و ایمیل user@example.com ایجاد می‌کند.

---

3. اضافه کردن کاربر در DirectAdmin

در DirectAdmin نیز می‌توان کاربران جدیدی ایجاد کرد که معمولاً برای دسترسی به فضای میزبانی و پیکربندی وب‌سایت‌ها استفاده می‌شوند.

مراحل اضافه کردن کاربر جدید در DirectAdmin:

1. وارد DirectAdmin شوید.
2. در بخش “Account Manager” بر روی “Create a New Account” کلیک کنید.
3. اطلاعات کاربری شامل نام کاربری، رمز عبور، دامنه، ایمیل و منابع (فضای دیسک، ترافیک) را وارد کنید.
4. پس از وارد کردن اطلاعات، بر روی “Create” کلیک کنید تا حساب جدید ایجاد شود.

دستورات CLI برای ایجاد کاربر در DirectAdmin:

برای اضافه کردن کاربر جدید در DirectAdmin از طریق CLI، می‌توانید از دستور زیر استفاده کنید:

/usr/local/directadmin/scripts/create_account.sh username password domain.com

این دستور یک حساب جدید با نام کاربری username و دامنه domain.com و رمز عبور password ایجاد می‌کند.

---

4. اضافه کردن کاربر در سیستم‌های لینوکسی (دستورات CLI)

در سیستم‌های لینوکسی نیز می‌توان از خط فرمان برای اضافه کردن کاربران جدید استفاده کرد. این روش به‌ویژه برای مدیران سیستم‌هایی که از رابط گرافیکی استفاده نمی‌کنند، بسیار مفید است.

دستورات CLI برای اضافه کردن کاربر در لینوکس:

1. برای ایجاد یک کاربر جدید در لینوکس از دستور useradd استفاده می‌شود:

sudo useradd username

2. پس از ایجاد کاربر، برای تنظیم رمز عبور می‌توانید از دستور passwd استفاده کنید:

sudo passwd username

این دستور از شما درخواست می‌کند که رمز عبور جدید را وارد کنید.

3. اگر بخواهید برای کاربر جدید دایرکتوری خانگی خاصی تعیین کنید، می‌توانید از دستور زیر استفاده کنید:

sudo useradd -m -d /home/customdir username

این دستور کاربر جدید را با نام username و دایرکتوری خانگی /home/customdir ایجاد می‌کند.

---

جمع‌بندی

اضافه کردن کاربران جدید در سیستم‌های مختلف، چه از طریق رابط گرافیکی و چه از طریق خط فرمان، بخش مهمی از مدیریت سرور است. در این بخش، نحوه ایجاد کاربران جدید در cPanel، Plesk، DirectAdmin و سیستم‌های لینوکسی بررسی شد. برای هر سیستم، دستورالعمل‌های لازم به‌صورت گرافیکی و CLI آورده شده است. این اطلاعات به مدیران سیستم کمک می‌کند تا بتوانند به‌راحتی کاربران جدید را با دسترسی‌های مشخص ایجاد کنند و سرور خود را به‌طور مؤثر مدیریت کنند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تخصیص مجوزهای مناسب به کاربران” subtitle=”توضیحات کامل”]در هر سیستم مدیریت سرور یا هاستینگ، تخصیص مجوزهای مناسب به کاربران بخش حیاتی از مدیریت امنیت است. مجوزها تعیین می‌کنند که کاربران به چه منابعی دسترسی دارند و چه نوع عملیاتی را می‌توانند انجام دهند. این مجوزها می‌توانند از طریق رابط گرافیکی یا خط فرمان تنظیم شوند و به‌طور معمول شامل مجوزهای خواندن، نوشتن، و اجرای فایل‌ها و دسترسی به منابع خاص مانند وب‌سایت‌ها، ایمیل‌ها و پایگاه‌های داده هستند.

در این بخش، نحوه تخصیص مجوزهای مختلف به کاربران در محیط‌های مختلف مدیریت سرور مانند cPanel، Plesk، DirectAdmin و سیستم‌های لینوکسی بررسی خواهد شد.

1. تخصیص مجوزها در cPanel

در cPanel، مجوزهای مختلف به‌صورت پیش‌فرض برای هر حساب کاربری تعریف می‌شوند، اما شما می‌توانید این مجوزها را برای هر حساب به‌صورت دلخواه تنظیم کنید.

مراحل تخصیص مجوزها به کاربران در cPanel:

1. وارد cPanel شوید.
2. به بخش “User Manager” بروید.
3. بر روی “Add User” یا “Edit User” کلیک کنید.
4. برای هر کاربر، مجوزهای مختلف مانند دسترسی به ایمیل، پایگاه داده، فضای ذخیره‌سازی و… را تعیین کنید.
5. پس از انتخاب مجوزهای مناسب، بر روی “Save” کلیک کنید.

دستورات CLI برای تخصیص مجوزها در cPanel:

برای تنظیم مجوزهای دسترسی در cPanel از طریق CLI، می‌توانید از دستور whmapi1 استفاده کنید:

whmapi1 set_user_permissions user=username feature=feature_name access=read_write

در این دستور، username نام کاربر، feature_name نام ویژگی (مثل ایمیل یا پایگاه داده) و access نوع دسترسی (خواندن، نوشتن، یا اجرای عملیات) است.

---

2. تخصیص مجوزها در Plesk

در Plesk، به‌طور مشابه، شما می‌توانید مجوزهای مختلف را به کاربران برای دسترسی به منابع مختلف مانند وب‌سایت‌ها، ایمیل‌ها و پایگاه‌های داده اختصاص دهید.

مراحل تخصیص مجوزها به کاربران در Plesk:

1. وارد Plesk شوید.
2. به بخش “Users” بروید.
3. بر روی نام کاربر مورد نظر کلیک کنید.
4. از بخش “Permissions” مجوزهای مختلف برای دسترسی به ویژگی‌ها و منابع مانند وب‌سایت‌ها، ایمیل‌ها، FTP و… را تنظیم کنید.
5. بر روی “Save” کلیک کنید تا تغییرات ذخیره شود.

دستورات CLI برای تخصیص مجوزها در Plesk:

در Plesk، می‌توانید از دستور plesk bin برای تنظیم مجوزهای کاربر استفاده کنید. به عنوان مثال:

plesk bin user --update username -permissions "website" -access "read_write"

این دستور به کاربر username دسترسی به ویژگی website با مجوز “خواندن و نوشتن” می‌دهد.

---

3. تخصیص مجوزها در DirectAdmin

در DirectAdmin، می‌توانید مجوزها را برای هر کاربر یا نماینده به‌طور مستقل تنظیم کنید.

مراحل تخصیص مجوزها به کاربران در DirectAdmin:

1. وارد DirectAdmin شوید.
2. به بخش “Account Manager” بروید و کاربر مورد نظر را انتخاب کنید.
3. در قسمت “Permissions” می‌توانید مجوزهای مختلف را برای کاربر، از جمله دسترسی به ایمیل، FTP، پایگاه داده و سایر منابع اختصاص دهید.
4. بر روی “Save” کلیک کنید تا تغییرات اعمال شود.

دستورات CLI برای تخصیص مجوزها در DirectAdmin:

برای تخصیص مجوز به کاربر در DirectAdmin از دستور زیر استفاده می‌شود:

/usr/local/directadmin/scripts/modify_user.sh username permission=value

برای مثال، برای تنظیم دسترسی به وب‌سایت برای کاربر username می‌توانید از این دستور استفاده کنید:

/usr/local/directadmin/scripts/modify_user.sh username permission=website_read_write

---

4. تخصیص مجوزها در سیستم‌های لینوکسی (دستورات CLI)

در سیستم‌های لینوکسی، مجوزها با استفاده از دستورات chmod و chown به فایل‌ها و دایرکتوری‌ها تخصیص داده می‌شود. این مجوزها می‌توانند شامل دسترسی به خواندن، نوشتن و اجرای فایل‌ها و دایرکتوری‌ها باشند.

دستورات CLI برای تخصیص مجوزها در لینوکس:

1. تغییر مجوزهای دسترسی با chmod:

برای تنظیم مجوزهای دسترسی به یک فایل یا دایرکتوری، از دستور chmod استفاده می‌شود:

chmod 755 /path/to/file

در این دستور:

• 7 به کاربر مالک فایل دسترسی کامل (خواندن، نوشتن، و اجرا) می‌دهد.
• 5 به گروه و دیگران فقط دسترسی به خواندن و اجرا می‌دهد.

2. تغییر مالکیت فایل‌ها و دایرکتوری‌ها با chown:

برای تغییر مالکیت یک فایل یا دایرکتوری، از دستور chown استفاده می‌شود:

chown username:groupname /path/to/file

این دستور مالکیت فایل را به کاربر username و گروه groupname تغییر می‌دهد.

---

جمع‌بندی

تخصیص مجوزهای مناسب به کاربران بخش کلیدی از مدیریت سرور است که در هر سیستم مدیریت هاستینگ یا سرور باید به‌طور دقیق انجام شود. در این بخش، روش‌های مختلف تخصیص مجوزها در cPanel، Plesk، DirectAdmin و سیستم‌های لینوکسی با استفاده از رابط گرافیکی و دستورات CLI بررسی شد. این اطلاعات به مدیران سرور کمک می‌کند تا دسترسی‌ها را به‌صورت مؤثر و ایمن مدیریت کنند و از امنیت سیستم‌های خود اطمینان حاصل کنند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”ویرایش، غیرفعال‌سازی و حذف کاربران” subtitle=”توضیحات کامل”]مدیریت کاربران یکی از جنبه‌های مهم در مدیریت سرور است، زیرا برای حفظ امنیت و کارایی سیستم، ضروری است که دسترسی‌های هر کاربر به منابع به‌دقت تنظیم و به‌روزرسانی شوند. این فرایند شامل ویرایش اطلاعات کاربر، غیرفعال‌سازی دسترسی‌ها و حذف کاربران می‌شود. در این بخش، روش‌های مختلف ویرایش، غیرفعال‌سازی و حذف کاربران در محیط‌های مختلف مانند cPanel، Plesk، DirectAdmin و سیستم‌های لینوکسی با استفاده از دستورات CLI توضیح داده خواهد شد.

1. ویرایش کاربران در cPanel

در cPanel، شما می‌توانید اطلاعات کاربران را ویرایش کرده و به‌راحتی دسترسی‌ها و مجوزهای آن‌ها را به‌روز کنید.

مراحل ویرایش کاربران در cPanel:

1. وارد cPanel شوید.
2. به بخش “User Manager” بروید.
3. کاربری که می‌خواهید ویرایش کنید را انتخاب کنید.
4. در صفحه مربوطه، شما می‌توانید اطلاعات کاربر، مجوزها، دسترسی‌ها و ویژگی‌های مختلف را ویرایش کنید.
5. پس از انجام تغییرات، بر روی “Save” کلیک کنید.

دستورات CLI برای ویرایش کاربران در cPanel:

در cPanel، برای ویرایش اطلاعات کاربران می‌توانید از دستور whmapi1 استفاده کنید. برای مثال:

whmapi1 edit_user username=new_username email=new_email

در این دستور، username نام کاربر، new_username نام جدید و new_email آدرس ایمیل جدید است.

---

2. غیرفعال‌سازی کاربران در Plesk

در Plesk، شما می‌توانید کاربران را غیرفعال کرده و دسترسی‌های آن‌ها را قطع کنید تا از دسترسی غیرمجاز جلوگیری شود.

مراحل غیرفعال‌سازی کاربران در Plesk:

1. وارد Plesk شوید.
2. به بخش “Users” بروید.
3. کاربر مورد نظر را انتخاب کنید.
4. در قسمت “Account Status” گزینه “Disabled” را انتخاب کنید تا دسترسی کاربر غیرفعال شود.
5. بر روی “Save” کلیک کنید.

دستورات CLI برای غیرفعال‌سازی کاربران در Plesk:

برای غیرفعال کردن کاربر در Plesk از دستور زیر استفاده کنید:

plesk bin user --disable username

در این دستور، username نام کاربری است که می‌خواهید غیرفعال شود.

---

3. حذف کاربران در DirectAdmin

در DirectAdmin، شما می‌توانید کاربران را حذف کنید تا دیگر دسترسی به سیستم نداشته باشند. این کار معمولاً زمانی انجام می‌شود که کاربر دیگر به منابع سیستم نیاز ندارد یا دیگر با سازمان همکاری نمی‌کند.

مراحل حذف کاربران در DirectAdmin:

1. وارد DirectAdmin شوید.
2. به بخش “Account Manager” بروید.
3. کاربر مورد نظر را انتخاب کنید.
4. در قسمت مدیریت حساب، گزینه “Delete Account” را انتخاب کنید.
5. بر روی “Confirm” کلیک کنید تا حساب کاربر حذف شود.

دستورات CLI برای حذف کاربران در DirectAdmin:

برای حذف حساب کاربری در DirectAdmin از دستور زیر استفاده می‌شود:

/usr/local/directadmin/scripts/delete_user.sh username

در این دستور، username نام کاربری است که می‌خواهید حذف کنید.

---

4. ویرایش، غیرفعال‌سازی و حذف کاربران در سیستم‌های لینوکسی (دستورات CLI)

در سیستم‌های لینوکسی، می‌توان با استفاده از دستورات مختلف کاربران را ویرایش، غیرفعال کرده یا حذف نمود.

1. ویرایش کاربران با usermod:

برای ویرایش اطلاعات کاربران، مانند تغییر نام کاربری، آدرس ایمیل و گروه‌ها، می‌توانید از دستور usermod استفاده کنید:

usermod -l new_username old_username

این دستور نام کاربری old_username را به new_username تغییر می‌دهد.

2. غیرفعال‌سازی کاربران با usermod:

برای غیرفعال‌سازی یک کاربر، می‌توانید از دستور usermod به همراه گزینه -L برای قفل کردن حساب کاربری استفاده کنید:

usermod -L username

این دستور دسترسی به حساب کاربری username را قفل می‌کند.

3. حذف کاربران با userdel:

برای حذف یک کاربر در سیستم لینوکسی می‌توانید از دستور userdel استفاده کنید:

userdel username

اگر می‌خواهید علاوه بر حذف کاربر، دایرکتوری‌های خانگی و فایل‌های مربوط به آن را هم حذف کنید، می‌توانید از گزینه -r استفاده کنید:

userdel -r username

---

جمع‌بندی

در این بخش، نحوه ویرایش، غیرفعال‌سازی و حذف کاربران در سیستم‌های مختلف cPanel، Plesk، DirectAdmin و سیستم‌های لینوکسی توضیح داده شد. این فرآیندها به مدیران سرور کمک می‌کنند تا دسترسی کاربران را به‌طور مؤثر و ایمن مدیریت کنند. با استفاده از ابزارهای گرافیکی یا دستورات خط فرمان، می‌توانید به راحتی اطلاعات کاربران را ویرایش کرده، آن‌ها را غیرفعال یا حذف کنید تا از امنیت سرور اطمینان حاصل شود.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 3. پیکربندی و تنظیمات امنیتی برای کاربران”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیم سیاست‌های رمز عبور (حداقل طول، پیچیدگی، تغییرات دوره‌ای)” subtitle=”توضیحات کامل”]تنظیم سیاست‌های رمز عبور یکی از مراحل حیاتی در تضمین امنیت سرورها و سیستم‌ها است. رمزهای عبور ضعیف یا غیرقابل‌قبول می‌توانند آسیب‌پذیری‌های امنیتی جدی ایجاد کنند. بنابراین، پیاده‌سازی سیاست‌های رمز عبور قوی برای جلوگیری از حملات رایج مانند حملات بروت‌فورس، سعی و خطا، و دسترسی‌های غیرمجاز بسیار ضروری است. این سیاست‌ها باید شامل مواردی چون حداقل طول رمز عبور، پیچیدگی آن و تغییرات دوره‌ای باشند.

در این بخش، نحوه تنظیم سیاست‌های رمز عبور در محیط‌های مختلف نظیر cPanel، Plesk، DirectAdmin و سیستم‌های لینوکسی با استفاده از دستورات CLI توضیح داده خواهد شد.

1. تنظیم سیاست‌های رمز عبور در cPanel

در cPanel، شما می‌توانید تنظیمات مربوط به سیاست‌های رمز عبور را از طریق WHM (Web Host Manager) پیکربندی کنید.

مراحل تنظیم سیاست‌های رمز عبور در cPanel:

1. وارد WHM شوید.
2. به بخش “Security Center” بروید.
3. گزینه “Password Strength Configuration” را انتخاب کنید.
4. در این بخش، می‌توانید سیاست‌های مربوط به طول حداقل رمز عبور، پیچیدگی (استفاده از کاراکترهای خاص، اعداد، حروف بزرگ و کوچک) و دیگر تنظیمات را تغییر دهید.
5. پس از انجام تغییرات، گزینه “Save” را کلیک کنید.

تنظیمات CLI برای پیکربندی سیاست‌های رمز عبور در cPanel:

برای تنظیم سیاست‌های رمز عبور از دستور whmapi1 می‌توانید استفاده کنید:

whmapi1 passwd_strength_configuration minlength=8 minstrength=75

در این دستور:

• minlength=8: حداقل طول رمز عبور را به 8 کاراکتر تنظیم می‌کند.
• minstrength=75: حداقل پیچیدگی رمز عبور را تعیین می‌کند که 75 درصد باید از حروف بزرگ، کوچک، اعداد و کاراکترهای خاص تشکیل شده باشد.

---

2. تنظیم سیاست‌های رمز عبور در Plesk

در Plesk، می‌توانید سیاست‌های رمز عبور را از طریق رابط کاربری یا دستورات CLI تنظیم کنید.

مراحل تنظیم سیاست‌های رمز عبور در Plesk:

1. وارد Plesk شوید.
2. به بخش “Tools & Settings” بروید.
3. در بخش “Security”, گزینه “Password Policy” را انتخاب کنید.
4. در این صفحه، می‌توانید سیاست‌های رمز عبور را تنظیم کنید، از جمله حداقل طول، پیچیدگی و تاریخ انقضا.
5. پس از تنظیم، گزینه “Save” را کلیک کنید.

دستورات CLI برای تنظیم سیاست‌های رمز عبور در Plesk:

برای تنظیم سیاست‌های رمز عبور در Plesk، می‌توانید از دستور زیر استفاده کنید:

plesk bin password_policy --min-length 8 --min-strength 3 --expire-days 90

در این دستور:

• --min-length 8: حداقل طول رمز عبور 8 کاراکتر تنظیم می‌شود.
• --min-strength 3: حداقل پیچیدگی رمز عبور بر اساس معیار Plesk که شامل حروف کوچک، بزرگ، اعداد و نمادها می‌شود.
• --expire-days 90: رمز عبور پس از 90 روز منقضی می‌شود.

---

3. تنظیم سیاست‌های رمز عبور در DirectAdmin

در DirectAdmin، تنظیمات سیاست‌های رمز عبور معمولاً از طریق فایل‌های پیکربندی و از طریق دستورات CLI قابل انجام است.

مراحل تنظیم سیاست‌های رمز عبور در DirectAdmin:

1. وارد DirectAdmin شوید.
2. به بخش “Admin Tools” بروید.
3. گزینه “Password Strength Configuration” را انتخاب کنید.
4. در این بخش، می‌توانید تنظیمات مربوط به طول و پیچیدگی رمز عبور را پیکربندی کنید.

دستورات CLI برای تنظیم سیاست‌های رمز عبور در DirectAdmin:

برای تنظیم سیاست‌های رمز عبور در DirectAdmin، باید فایل پیکربندی زیر را ویرایش کنید:

مسیر فایل پیکربندی:
/usr/local/directadmin/conf/directadmin.conf

در این فایل، مقادیر زیر را تنظیم کنید:

passwd_min_length=8
passwd_complexity=2
passwd_max_age=90

در این تنظیمات:

• passwd_min_length=8: حداقل طول رمز عبور را 8 کاراکتر تنظیم می‌کند.
• passwd_complexity=2: پیچیدگی رمز عبور را تنظیم می‌کند (مقدار 2 برای ترکیب حروف بزرگ، کوچک، اعداد و نمادها).
• passwd_max_age=90: مدت زمان اعتبار رمز عبور را 90 روز تعیین می‌کند.

---

4. تنظیم سیاست‌های رمز عبور در سیستم‌های لینوکسی (دستورات CLI)

در سیستم‌های لینوکسی، شما می‌توانید از فایل‌های پیکربندی PAM (Pluggable Authentication Module) برای اعمال سیاست‌های رمز عبور استفاده کنید.

مراحل تنظیم سیاست‌های رمز عبور در سیستم‌های لینوکسی:

1. برای تنظیم حداقل طول رمز عبور و پیچیدگی آن، فایل /etc/pam.d/common-password را ویرایش کنید.

برای باز کردن این فایل از دستور زیر استفاده کنید:

nano /etc/pam.d/common-password

2. به‌روزرسانی تنظیمات password requisite pam_pwquality.so را انجام دهید. برای مثال:

password requisite pam_pwquality.so retry=3 minlen=8 minclass=4

در این تنظیمات:

• minlen=8: حداقل طول رمز عبور را 8 کاراکتر تعیین می‌کند.
• minclass=4: پیچیدگی رمز عبور را تعیین می‌کند (شامل حروف کوچک، بزرگ، اعداد و نمادها).

3. برای تنظیم انقضای دوره‌ای رمز عبور، فایل /etc/login.defs را ویرایش کنید.

برای باز کردن این فایل از دستور زیر استفاده کنید:

nano /etc/login.defs

در این فایل، گزینه‌های زیر را به‌روزرسانی کنید:

PASS_MAX_DAYS   90
PASS_MIN_DAYS   0
PASS_MIN_LEN    8

در این تنظیمات:

• PASS_MAX_DAYS 90: مدت زمان انقضای رمز عبور را 90 روز تعیین می‌کند.
• PASS_MIN_LEN 8: حداقل طول رمز عبور را 8 کاراکتر تعیین می‌کند.

---

جمع‌بندی

تنظیم سیاست‌های رمز عبور صحیح برای حفظ امنیت سرور ضروری است. این سیاست‌ها شامل حداقل طول رمز عبور، پیچیدگی آن و تغییرات دوره‌ای می‌شود. در این بخش، نحوه تنظیم این سیاست‌ها در محیط‌های مختلف cPanel، Plesk، DirectAdmin و سیستم‌های لینوکسی شرح داده شد. با پیاده‌سازی این سیاست‌ها، می‌توانید از امنیت بهتر سیستم‌های خود اطمینان حاصل کرده و از حملات مختلف جلوگیری کنید.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”فعال‌سازی قفل خودکار حساب بعد از چند تلاش ناموفق” subtitle=”توضیحات کامل”]فعال‌سازی قفل خودکار حساب پس از چند تلاش ناموفق ورود به سیستم یکی از روش‌های اساسی در مقابله با حملات بروت‌فورس (Brute Force) و افزایش امنیت سیستم‌ها است. این قابلیت به طور خاص برای جلوگیری از دسترسی‌های غیرمجاز و محافظت از حساب‌های کاربری طراحی شده است. در این بخش، نحوه فعال‌سازی قفل خودکار حساب بعد از چند تلاش ناموفق در سیستم‌های مختلف مانند cPanel، Plesk، DirectAdmin و لینوکس با استفاده از دستورات CLI توضیح داده خواهد شد.

1. فعال‌سازی قفل خودکار در cPanel

در cPanel، این قابلیت به‌طور پیش‌فرض از طریق نرم‌افزار cPHulk فعال شده است. cPHulk یک ابزار برای محافظت از حساب‌های کاربری در برابر حملات بروت‌فورس است که شامل قفل کردن حساب‌ها پس از تعدادی تلاش ناموفق می‌شود.

مراحل فعال‌سازی قفل خودکار در cPanel:

1. وارد WHM شوید.
2. به بخش “Security Center” بروید.
3. گزینه “cPHulk Brute Force Protection” را انتخاب کنید.
4. در این صفحه، می‌توانید تنظیمات مربوط به تعداد تلاش‌های ناموفق مجاز و مدت زمان قفل کردن حساب را تنظیم کنید.
5. گزینه‌های “Enable cPHulk Brute Force Protection” را فعال کنید.
6. تعداد تلاش‌های مجاز و مدت زمان قفل کردن را تنظیم کنید و گزینه “Save” را بزنید.

دستورات CLI برای تنظیم قفل خودکار در cPanel:

برای تنظیم قفل خودکار حساب‌ها پس از تلاش‌های ناموفق، از دستورات زیر استفاده کنید:

whmapi1 set_cphulk_limits maxfail=5 blocktime=3600

در این دستور:

• maxfail=5: تعداد تلاش‌های ناموفق مجاز را به 5 تنظیم می‌کند.
• blocktime=3600: مدت زمان قفل شدن حساب را 3600 ثانیه (یک ساعت) تعیین می‌کند.

---

2. فعال‌سازی قفل خودکار در Plesk

در Plesk، می‌توانید قابلیت قفل کردن حساب‌ها پس از تعداد تلاش ناموفق را از طریق “Fail2Ban” فعال کنید. Fail2Ban ابزاری است که به طور خودکار تلاش‌های ناموفق ورود را شناسایی کرده و آن‌ها را مسدود می‌کند.

مراحل فعال‌سازی قفل خودکار در Plesk:

1. وارد Plesk شوید.
2. به بخش “Tools & Settings” بروید.
3. گزینه “Fail2Ban” را انتخاب کنید.
4. در این صفحه، می‌توانید تنظیمات مربوط به تعداد تلاش‌های ناموفق و مدت زمان مسدودسازی را تنظیم کنید.
5. تنظیمات خود را ذخیره کنید.

دستورات CLI برای تنظیم قفل خودکار در Plesk:

برای پیکربندی Fail2Ban و فعال‌سازی قفل خودکار حساب‌ها پس از چند تلاش ناموفق، دستور زیر را وارد کنید:

plesk bin fail2ban --set-parameter max-retries 5 --set-parameter bantime 3600

در این دستور:

• max-retries 5: تعداد تلاش‌های ناموفق مجاز را به 5 تنظیم می‌کند.
• bantime 3600: مدت زمان مسدودسازی IP را 3600 ثانیه (یک ساعت) تعیین می‌کند.

---

3. فعال‌سازی قفل خودکار در DirectAdmin

در DirectAdmin، برای فعال‌سازی قفل خودکار حساب پس از چند تلاش ناموفق، باید تنظیمات در فایل پیکربندی مربوطه انجام شود.

مراحل فعال‌سازی قفل خودکار در DirectAdmin:

1. وارد DirectAdmin شوید.
2. به بخش “Admin Tools” بروید.
3. گزینه “Password Strength Configuration” یا “Brute Force Protection” را انتخاب کنید.
4. تعداد تلاش‌های ناموفق و مدت زمان قفل کردن حساب را تنظیم کنید.
5. گزینه “Save” را کلیک کنید.

دستورات CLI برای تنظیم قفل خودکار در DirectAdmin:

برای فعال‌سازی قفل خودکار در DirectAdmin، می‌توانید فایل پیکربندی زیر را ویرایش کنید:

مسیر فایل پیکربندی:
/usr/local/directadmin/conf/directadmin.conf

برای ویرایش این فایل از دستور زیر استفاده کنید:

nano /usr/local/directadmin/conf/directadmin.conf

در این فایل، مقادیر زیر را اضافه یا ویرایش کنید:

brute_force_limit=5
brute_force_time=3600

در این تنظیمات:

• brute_force_limit=5: تعداد تلاش‌های ناموفق مجاز را به 5 تنظیم می‌کند.
• brute_force_time=3600: مدت زمان قفل شدن حساب را 3600 ثانیه (یک ساعت) تعیین می‌کند.

---

4. فعال‌سازی قفل خودکار در سیستم‌های لینوکسی (دستورات CLI)

در سیستم‌های لینوکسی، می‌توان از ابزار fail2ban برای فعال‌سازی قفل خودکار حساب‌ها پس از تلاش‌های ناموفق استفاده کرد. Fail2Ban به‌طور خودکار حملات بروت‌فورس را شناسایی کرده و اقدام به مسدودسازی IP‌های مشکوک می‌کند.

مراحل فعال‌سازی قفل خودکار در لینوکس:

1. برای نصب Fail2Ban از دستور زیر استفاده کنید:

sudo apt-get install fail2ban

2. سپس فایل پیکربندی Fail2Ban را ویرایش کنید:

sudo nano /etc/fail2ban/jail.conf

3. در این فایل، پارامترهای زیر را برای فعال‌سازی قفل خودکار پس از چند تلاش ناموفق و مدت زمان مسدودسازی تنظیم کنید:

[sshd]
enabled = true
maxretry = 5
bantime = 3600
findtime = 600

در این تنظیمات:

• maxretry = 5: تعداد تلاش‌های ناموفق مجاز را به 5 تنظیم می‌کند.
• bantime = 3600: مدت زمان مسدودسازی IP را 3600 ثانیه (یک ساعت) تعیین می‌کند.
• findtime = 600: مدت زمان جستجو برای شناسایی تلاش‌های ناموفق را 600 ثانیه (10 دقیقه) تعیین می‌کند.

4. پس از انجام تنظیمات، Fail2Ban را راه‌اندازی یا بازنشانی کنید:

sudo systemctl restart fail2ban

---

جمع‌بندی

فعال‌سازی قفل خودکار حساب‌ها پس از چند تلاش ناموفق ورود، به‌طور قابل‌توجهی می‌تواند از سرور شما در برابر حملات بروت‌فورس و دسترسی‌های غیرمجاز محافظت کند. در این بخش، نحوه فعال‌سازی این قابلیت در محیط‌های مختلف مانند cPanel، Plesk، DirectAdmin و سیستم‌های لینوکسی با استفاده از Fail2Ban و دستورات CLI شرح داده شد. با اعمال این تنظیمات، امنیت سرور شما به طرز قابل‌توجهی افزایش خواهد یافت.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 4. مدیریت نقش‌ها و تعیین مجوزهای دسترسی”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”معرفی سطوح دسترسی مختلف (Admin، User، Viewer و…)” subtitle=”توضیحات کامل”]در سیستم‌های مدیریت سرور و نرم‌افزارهای مختلف، سطوح دسترسی مختلفی برای کاربران تعریف می‌شود تا هر کدام از آن‌ها فقط به بخش‌هایی از سیستم که به آن‌ها نیاز دارند، دسترسی داشته باشند. این سطوح دسترسی به شما این امکان را می‌دهند که کنترل دقیقی روی آنچه که هر کاربر می‌تواند مشاهده و انجام دهد، داشته باشید. در این بخش، به معرفی مهم‌ترین سطوح دسترسی مانند Admin، User و Viewer و تفاوت‌های آن‌ها خواهیم پرداخت.

1. Admin (مدیر)

مدیر (Admin) بالاترین سطح دسترسی را در سیستم دارد و می‌تواند همه بخش‌ها و منابع سیستم را مشاهده، ویرایش، و حذف کند. افراد با دسترسی به سطح مدیر معمولاً وظایف کلیدی مانند پیکربندی سیستم، نصب نرم‌افزارها، مدیریت کاربران، و نظارت بر عملکرد سرور را انجام می‌دهند.

ویژگی‌های دسترسی Admin:

• دسترسی کامل به تمام بخش‌ها و تنظیمات سیستم.
• توانایی مدیریت و اضافه کردن کاربران جدید.
• توانایی ویرایش، حذف، و پیکربندی تنظیمات سیستم.
• دسترسی به تمام گزارش‌ها و لاگ‌ها.
• توانایی تنظیم سیاست‌های امنیتی مانند دسترسی به داده‌ها و مجوزها.
• امکان ایجاد و مدیریت سطوح دسترسی مختلف برای دیگر کاربران.

نمونه‌ای از دستورات CLI برای کاربر Admin: برای ایجاد کاربر جدید با سطح دسترسی Admin در سیستم لینوکس:

sudo useradd -m -G sudo admin_user

در این دستور:

• -m: کاربر را با دایرکتوری خانه ایجاد می‌کند.
• -G sudo: کاربر را به گروه sudo (مدیر) اضافه می‌کند.

---

2. User (کاربر)

کاربر (User) سطح دسترسی کمتری نسبت به مدیر دارد. افراد با دسترسی کاربر تنها می‌توانند به بخش‌هایی که برای وظایف خود نیاز دارند دسترسی پیدا کنند. آن‌ها معمولاً به منابع خاص یا سرویس‌هایی که برای انجام کار خود به آن‌ها نیاز دارند دسترسی دارند، اما نمی‌توانند به تنظیمات سیستم یا سایر منابع حساس دسترسی داشته باشند.

ویژگی‌های دسترسی User:

• دسترسی محدود به تنظیمات و پیکربندی‌ها.
• توانایی مشاهده و ویرایش اطلاعات مرتبط با خود (مانند تنظیمات حساب کاربری).
• دسترسی به منابعی که به آن‌ها مجوز داده شده است.
• عدم توانایی در تغییر تنظیمات سیستم یا افزودن/حذف کاربران.

نمونه‌ای از دستورات CLI برای کاربر User: برای ایجاد کاربر جدید با سطح دسترسی User در سیستم لینوکس:

sudo useradd -m user_name

در این دستور:

• -m: کاربر را با دایرکتوری خانه ایجاد می‌کند.
• کاربر در گروه sudo یا گروه‌های خاص دیگری قرار نمی‌گیرد.

---

3. Viewer (مشاهده‌کننده)

مشاهده‌کننده (Viewer) تنها سطح دسترسی‌ای است که بیشترین محدودیت را دارد. افراد با این سطح دسترسی فقط می‌توانند اطلاعات را مشاهده کنند و از آن‌ها استفاده کنند، اما قادر به ویرایش، حذف یا تغییر هرگونه تنظیماتی نخواهند بود. این سطح برای کاربرانی که نیاز به مشاهده گزارش‌ها یا اطلاعات سیستم دارند، اما نیاز به انجام هیچ‌گونه تغییر یا عملیاتی ندارند، مفید است.

ویژگی‌های دسترسی Viewer:

• توانایی مشاهده داده‌ها، گزارش‌ها و تنظیمات بدون امکان تغییر آن‌ها.
• عدم دسترسی به تنظیمات و پیکربندی‌های سیستمی.
• قابلیت مشاهده وضعیت سیستم، فایل‌ها، و سایر منابع قابل مشاهده بدون اجازه به ویرایش یا تغییر آن‌ها.

نمونه‌ای از دستورات CLI برای کاربر Viewer: برای ایجاد کاربر جدید با سطح دسترسی Viewer در سیستم لینوکس:

sudo useradd -m viewer_user

برای اعمال دسترسی‌های محدودتر، می‌توان از ابزارهایی مانند chmod و chown برای تنظیم مجوزها استفاده کرد. به عنوان مثال، برای دادن دسترسی فقط به خواندن به یک فایل خاص:

sudo chmod 444 /path/to/file

---

4. نقش‌های سفارشی (Custom Roles)

در برخی سیستم‌ها و نرم‌افزارها، می‌توان نقش‌های سفارشی ایجاد کرد که سطح دسترسی خاصی را بر اساس نیازهای مشخص تعیین می‌کنند. این نقش‌ها می‌توانند ترکیبی از مجوزهای مختلف باشند که به کاربران اجازه می‌دهند دسترسی دقیق‌تری به منابع مختلف سیستم داشته باشند.

ویژگی‌های دسترسی نقش‌های سفارشی:

• تنظیم دسترسی‌ها بر اساس نیاز و عملکردهای خاص کاربر.
• ایجاد ترکیبی از دسترسی‌ها برای مدیریت دقیق‌تر منابع.
• توانایی به اشتراک گذاری منابع خاص بین گروه‌های مختلف کاربران.

برای ایجاد نقش‌های سفارشی در سیستم‌های مختلف، معمولاً از پیکربندی‌های دقیق در فایل‌های تنظیمات یا از رابط‌های گرافیکی استفاده می‌شود.

---

جمع‌بندی

سطوح دسترسی مختلف به شما این امکان را می‌دهند که کنترل دقیقی روی منابع سیستم خود داشته باشید. دسترسی‌های Admin، User، و Viewer برای نیازهای مختلف طراحی شده‌اند و هر کدام از آن‌ها اجازه می‌دهند تا کاربران به اندازه نیاز خود به بخش‌های مختلف سیستم دسترسی پیدا کنند. همچنین، با استفاده از نقش‌های سفارشی، می‌توان دسترسی‌های دقیق‌تری را برای گروه‌های مختلف کاربران تعیین کرد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”نحوه ایجاد و مدیریت نقش‌های سفارشی” subtitle=”توضیحات کامل”]نقش‌های سفارشی در سیستم‌های مدیریت دسترسی به کاربران این امکان را می‌دهند که بتوانید دسترسی‌های دقیق و مخصوصی را به کاربران اختصاص دهید. این نقش‌ها معمولاً به سازمان‌ها کمک می‌کنند تا کارایی و امنیت بیشتری را در مدیریت منابع خود پیاده‌سازی کنند. در این بخش، به بررسی نحوه ایجاد و مدیریت نقش‌های سفارشی در سیستم‌های مختلف و روش‌های مرتبط با آن‌ها خواهیم پرداخت.

1. ایجاد نقش‌های سفارشی

برای ایجاد نقش‌های سفارشی، باید تعیین کنید که کاربر یا گروهی از کاربران باید به چه منابعی دسترسی داشته باشند و چه اقداماتی را مجاز خواهند بود. این نقش‌ها معمولاً شامل مجموعه‌ای از مجوزهای مختلف هستند که به کاربر این امکان را می‌دهند که فقط به منابع خاص و محدود دسترسی داشته باشد.

در بسیاری از سیستم‌ها، شما می‌توانید نقش‌های سفارشی را از طریق رابط کاربری گرافیکی (GUI) یا از طریق خط فرمان (CLI) ایجاد کنید.

ایجاد نقش سفارشی از طریق رابط کاربری (GUI)

در بسیاری از سیستم‌ها و نرم‌افزارها، گزینه‌ای برای ایجاد نقش‌های سفارشی وجود دارد که می‌توانید به راحتی با استفاده از آن‌ها نقش‌های دلخواه خود را ایجاد کنید. این فرآیند معمولاً شامل مراحل زیر است:

1. وارد سیستم مدیریت دسترسی شوید.
2. به بخش “نقش‌ها” یا “Permissions” بروید.
3. گزینه‌ای برای “ایجاد نقش جدید” (Create New Role) یا “نقش سفارشی” (Custom Role) انتخاب کنید.
4. نام و توضیحاتی برای نقش جدید وارد کنید.
5. مجوزهای مختلف را انتخاب کنید که کاربر با این نقش می‌تواند به آن‌ها دسترسی داشته باشد.
6. نقش جدید را ذخیره کنید.

ایجاد نقش سفارشی از طریق خط فرمان (CLI)

در برخی سیستم‌های لینوکسی یا مدیریت سرورهایی مانند cPanel، Plesk یا DirectAdmin، می‌توانید از دستورالعمل‌های خط فرمان برای ایجاد نقش‌های سفارشی استفاده کنید. به عنوان مثال، در سیستم‌های مبتنی بر لینوکس برای ایجاد یک گروه جدید که به عنوان نقش سفارشی عمل کند، می‌توانید از دستورات زیر استفاده کنید:

sudo groupadd custom_role

در اینجا، custom_role نام نقشی است که به تازگی ایجاد کرده‌ایم. حالا می‌توانید دسترسی‌های مربوط به این نقش را با استفاده از ابزارهای مختلف مدیریت دسترسی تنظیم کنید.

---

2. تخصیص مجوزها به نقش‌های سفارشی

بعد از ایجاد نقش‌های سفارشی، مرحله بعدی تخصیص مجوزها به آن‌ها است. شما باید تصمیم بگیرید که هر نقش به چه منابعی دسترسی داشته باشد و چه اقداماتی را می‌تواند انجام دهد.

تخصیص مجوزها از طریق رابط کاربری (GUI)

1. وارد بخش “مدیریت نقش‌ها” یا “Permissions” شوید.
2. نقشی که ایجاد کرده‌اید را انتخاب کنید.
3. دسترسی‌های مختلف مانند خواندن، نوشتن، حذف و اجرا را برای هر بخش از سیستم تنظیم کنید.
4. تغییرات را ذخیره کنید.

تخصیص مجوزها از طریق خط فرمان (CLI)

برای تخصیص مجوزها به نقش‌ها از طریق خط فرمان، می‌توانید از دستوراتی مانند chmod، chown و usermod برای تغییر دسترسی‌ها استفاده کنید. به عنوان مثال، برای تخصیص دسترسی‌های خواندن و نوشتن به یک پوشه خاص برای یک نقش خاص می‌توانید از دستورات زیر استفاده کنید:

sudo chown :custom_role /path/to/directory
sudo chmod 770 /path/to/directory

در این دستور:

• chown :custom_role به این معناست که مالکیت پوشه به گروه custom_role تعلق می‌گیرد.
• chmod 770 به این معناست که اعضای گروه custom_role اجازه خواندن، نوشتن و اجرای فایل‌ها را دارند.

---

3. مدیریت و ویرایش نقش‌های سفارشی

بعد از ایجاد و تخصیص مجوزها به نقش‌های سفارشی، ممکن است نیاز به ویرایش آن‌ها داشته باشید تا مطابق با تغییرات نیازهای سازمان یا سیستم عمل کنند. شما می‌توانید این تغییرات را از طریق رابط کاربری یا خط فرمان اعمال کنید.

ویرایش نقش‌ها از طریق رابط کاربری (GUI)

1. به بخش “مدیریت نقش‌ها” یا “Permissions” بروید.
2. نقش مورد نظر را انتخاب کنید.
3. تغییرات لازم مانند تغییر نام، افزودن یا حذف مجوزها را اعمال کنید.
4. تغییرات را ذخیره کنید.

ویرایش نقش‌ها از طریق خط فرمان (CLI)

در بسیاری از سیستم‌ها، می‌توانید با استفاده از دستوراتی مانند usermod یا groupmod نقش‌ها را ویرایش کنید. به عنوان مثال، برای تغییر گروه یک کاربر در لینوکس:

sudo usermod -a -G custom_role user_name

در این دستور:

• -a -G custom_role به کاربر user_name دسترسی به گروه custom_role را اضافه می‌کند.

---

4. حذف نقش‌های سفارشی

اگر نقش سفارشی دیگری دیگر مورد نیاز نباشد یا دیگر استفاده نشود، می‌توانید آن را حذف کنید. در سیستم‌هایی که از رابط کاربری استفاده می‌کنند، معمولاً گزینه‌ای برای حذف نقش‌ها وجود دارد.

حذف نقش‌ها از طریق رابط کاربری (GUI)

1. به بخش “مدیریت نقش‌ها” بروید.
2. نقش مورد نظر را انتخاب کنید.
3. گزینه “حذف” یا “Delete” را انتخاب کنید.
4. حذف نقش را تأیید کنید.

حذف نقش‌ها از طریق خط فرمان (CLI)

برای حذف یک نقش از سیستم، می‌توانید از دستوراتی مانند groupdel برای حذف گروه‌ها یا نقش‌ها استفاده کنید:

sudo groupdel custom_role

این دستور نقش یا گروه custom_role را از سیستم حذف می‌کند.

---

جمع‌بندی

ایجاد و مدیریت نقش‌های سفارشی به شما این امکان را می‌دهد که کنترل دقیقی روی دسترسی‌های کاربران در سیستم خود داشته باشید. از طریق ابزارهای مختلف گرافیکی و خط فرمان می‌توانید نقش‌ها را ایجاد کرده، مجوزهای مختلف را به آن‌ها اختصاص داده و در صورت نیاز آن‌ها را ویرایش یا حذف کنید. این فرآیند کمک می‌کند تا امنیت سیستم را افزایش داده و از اشتباهات انسانی جلوگیری کنید.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 5. فعال‌سازی و پیکربندی احراز هویت دو مرحله‌ای (2FA)”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”اهمیت استفاده از 2FA در امنیت کاربران” subtitle=”توضیحات کامل”]در دنیای دیجیتال امروز، تهدیدات امنیتی متنوعی وجود دارد که ممکن است به اطلاعات حساس کاربران و سیستم‌ها آسیب بزند. یکی از روش‌های مؤثر برای تقویت امنیت حساب‌های کاربری و جلوگیری از دسترسی غیرمجاز به اطلاعات، استفاده از احراز هویت دو عاملی (2FA) است. این روش با افزودن یک لایه امنیتی اضافی به فرایند ورود به سیستم‌ها، اطمینان حاصل می‌کند که حتی در صورت به خطر افتادن یکی از عوامل احراز هویت، دسترسی به حساب کاربری بدون مجوز غیرممکن خواهد بود.

1. تعریف 2FA (احراز هویت دو عاملی)

2FA یا Two-Factor Authentication به فرآیند احراز هویت کاربر با استفاده از دو عامل متفاوت اشاره دارد. این دو عامل به طور معمول شامل چیزی است که کاربر می‌داند (مانند رمز عبور) و چیزی است که کاربر دارد (مانند یک دستگاه موبایل برای دریافت کد تایید) یا چیزی که کاربر است (مانند اثر انگشت یا اسکن چهره).

---

2. مزایای استفاده از 2FA

افزایش امنیت حساب‌های کاربری

استفاده از 2FA به طور چشمگیری امنیت حساب‌های کاربری را افزایش می‌دهد. حتی اگر هکری موفق به دزدیدن رمز عبور کاربر شود، برای دسترسی به حساب کاربری نیاز به عامل دوم (مثلاً کد تایید ارسال‌شده به تلفن همراه کاربر) دارد. این باعث می‌شود که حملات brute-force یا حملات فیشینگ به شدت بی‌اثر شوند.

کاهش خطر دسترسی غیرمجاز به داده‌ها

داده‌ها و اطلاعات حساس سازمان‌ها و افراد باید محافظت شوند. 2FA از این داده‌ها با اضافه کردن لایه امنیتی اضافی محافظت می‌کند. به این ترتیب، حتی در صورت به خطر افتادن رمز عبور، بدون کد تایید دوم، هیچ‌کس قادر به دسترسی به داده‌ها نخواهد بود.

مقابله با حملات فیشینگ

در حملات فیشینگ، هکرها تلاش می‌کنند تا رمز عبور کاربران را از طریق سایت‌های جعلی یا ایمیل‌های فریبنده سرقت کنند. با فعال بودن 2FA، حتی اگر رمز عبور کاربر فاش شود، هکرها بدون دسترسی به کد تایید دوم (که معمولاً به یک دستگاه شخصی ارسال می‌شود) نمی‌توانند به حساب دسترسی پیدا کنند.

موافقت با استانداردهای امنیتی

در بسیاری از بخش‌ها و صنایع، مانند بانکداری آنلاین، خدمات مالی، و همچنین سرویس‌های ابری، پیاده‌سازی 2FA به عنوان یک استاندارد امنیتی برای محافظت از حساب‌ها ضروری است. استفاده از 2FA در این محیط‌ها نه تنها به امنیت کمک می‌کند، بلکه می‌تواند از جریمه‌های قانونی ناشی از نقص امنیتی جلوگیری کند.

---

3. روش‌های مختلف 2FA

کدهای ارسال‌شده از طریق پیامک یا ایمیل

یکی از ساده‌ترین روش‌های 2FA ارسال کد تایید به تلفن همراه یا ایمیل کاربر است. این کد معمولاً یکبار مصرف است و فقط برای مدت زمان کوتاهی معتبر است. این روش بسیار رایج است و توسط اکثر سیستم‌ها و پلتفرم‌ها پشتیبانی می‌شود.

دستگاه‌های فیزیکی (مانند توکن‌های سخت‌افزاری)

در این روش، کاربر باید یک دستگاه فیزیکی (مانند توکن سخت‌افزاری) را به کامپیوتر یا گوشی خود متصل کند. این توکن‌ها معمولاً کدهایی را تولید می‌کنند که فقط برای مدت کوتاهی معتبر هستند. یکی از معروف‌ترین مثال‌ها، توکن‌های تولید کد از جمله Google Authenticator و Authy است.

بیومتریک (اثر انگشت، تشخیص چهره)

بیومتریک به عنوان یک روش دوم احراز هویت در حال رشد است که می‌تواند به جای استفاده از کد یا رمز عبور، ویژگی‌های بیولوژیکی فرد (مانند اثر انگشت یا اسکن چهره) را برای تایید هویت او استفاده کند. این روش به ویژه در دستگاه‌های موبایل و برخی سیستم‌های جدید محبوب است.

احراز هویت با استفاده از اپلیکیشن‌های Authenticator

اپلیکیشن‌هایی مانند Google Authenticator، Microsoft Authenticator یا Authy، کدهای تصادفی را تولید می‌کنند که به طور دوره‌ای تغییر می‌کنند. این کدها معمولاً در گوشی موبایل ذخیره شده و به عنوان عامل دوم در فرآیند ورود به حساب کاربری استفاده می‌شوند.

---

4. چگونه 2FA به امنیت کمک می‌کند؟

کاهش ریسک دسترسی به حساب‌ها

2FA از طریق اطمینان از اینکه دسترسی به حساب تنها با داشتن دو عامل مجاز است، احتمال دسترسی غیرمجاز به حساب‌ها را به میزان زیادی کاهش می‌دهد. حتی اگر یک هکر به رمز عبور دست یابد، برای ورود به حساب نیاز به عامل دوم (که معمولاً فقط در دست کاربر است) خواهد داشت.

تقویت دفاع در برابر حملات سایبری

حملات سایبری مانند حملات brute-force و credential stuffing معمولاً بر روی سرقت یا حدس رمز عبور تمرکز دارند. با استفاده از 2FA، حتی در صورت کشف رمز عبور، حملات موفقیت‌آمیز بسیار کمتر خواهند بود.

---

5. چالش‌های استفاده از 2FA

نیاز به دسترسی به دستگاه دوم

برای فعال‌سازی 2FA، کاربر باید به دستگاه دوم (موبایل یا توکن فیزیکی) دسترسی داشته باشد. این موضوع می‌تواند مشکل‌ساز باشد، به خصوص اگر کاربر دستگاه دوم را گم کند یا دسترسی به آن نداشته باشد.

محتمل بودن مشکلات در سیستم‌های قدیمی

در سیستم‌هایی که از 2FA پشتیبانی نمی‌کنند یا به خوبی پیکربندی نشده‌اند، ممکن است مشکلاتی در استفاده از این فناوری پیش آید. علاوه بر این، گاهی اوقات برخی سیستم‌ها ممکن است به دلیل نقص در پیکربندی، تجربه کاربری مناسبی ارائه ندهند.

---

جمع‌بندی

استفاده از احراز هویت دو عاملی (2FA) یک راه‌حل بسیار مؤثر برای تقویت امنیت حساب‌های کاربری است. با استفاده از 2FA، حتی در صورت فاش شدن رمز عبور، هیچ فرد غیرمجاز نمی‌تواند به حساب کاربری دسترسی پیدا کند. این روش امنیتی از تهدیدات مختلف از جمله فیشینگ، حملات brute-force و دسترسی غیرمجاز جلوگیری می‌کند. با وجود چالش‌هایی مانند نیاز به دستگاه دوم، مزایای استفاده از 2FA در بهبود امنیت شبکه و اطلاعات بسیار زیاد است و به عنوان یک استاندارد امنیتی برای بسیاری از سیستم‌ها و پلتفرم‌ها توصیه می‌شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”روش‌های مختلف برای فعال‌سازی 2FA (Google Authenticator، SMS، ایمیل)” subtitle=”توضیحات کامل”]احراز هویت دو مرحله‌ای (2FA) یکی از بهترین روش‌ها برای افزایش امنیت حساب‌ها و سرورها است. با استفاده از 2FA، حتی اگر فردی رمز عبور شما را بداند، بدون در اختیار داشتن عامل دوم (مثل یک کد تایید اضافی) نمی‌تواند وارد حساب شما شود. در این بخش، روش‌های مختلف برای فعال‌سازی 2FA با استفاده از Google Authenticator، SMS و ایمیل بررسی می‌شود.

1. فعال‌سازی 2FA با استفاده از Google Authenticator

Google Authenticator یکی از رایج‌ترین اپلیکیشن‌ها برای احراز هویت دو مرحله‌ای است. این اپلیکیشن کدهای یکبار مصرف را به‌طور خودکار تولید می‌کند که برای ورود به حساب‌های مختلف به آن‌ها نیاز دارید.

مراحل فعال‌سازی 2FA با Google Authenticator:

1. وارد cPanel یا پلتفرم مدیریت سرور خود شوید.
2. به بخش Security یا Two-Factor Authentication بروید.
3. گزینه Enable Two-Factor Authentication را انتخاب کنید.
4. QR Code ظاهر می‌شود. آن را با اپلیکیشن Google Authenticator اسکن کنید.
   • برای اسکن QR Code، اپلیکیشن Google Authenticator را باز کنید و گزینه “Scan a QR Code” را انتخاب کنید.
5. پس از اسکن QR Code، کدهای یکبار مصرف به‌طور خودکار در اپلیکیشن ایجاد می‌شوند.
6. یکی از کدهای تولید شده را وارد کنید تا فرآیند فعال‌سازی تکمیل شود.

مسیر فایل‌ها و کدها:

برای تنظیمات Google Authenticator در cPanel، فایل‌های مربوط به 2FA در مسیر زیر ذخیره می‌شوند:

/usr/local/cpanel/whostmgr/docroot/

---

2. فعال‌سازی 2FA با استفاده از SMS

احراز هویت دو مرحله‌ای از طریق SMS یکی دیگر از روش‌های معمول برای فعال‌سازی 2FA است. در این روش، پس از وارد کردن رمز عبور، یک کد تایید به شماره موبایل ثبت‌شده شما ارسال می‌شود که باید آن را وارد کنید.

مراحل فعال‌سازی 2FA با استفاده از SMS:

1. وارد cPanel یا پلتفرم مدیریت سرور خود شوید.
2. به بخش Security یا Two-Factor Authentication بروید.
3. گزینه Enable Two-Factor Authentication را انتخاب کنید.
4. در این بخش، گزینه SMS Authentication را انتخاب کنید.
5. شماره موبایل خود را وارد کرده و گزینه تایید را بزنید.
6. یک کد تایید به شماره موبایل شما ارسال می‌شود.
7. کد تایید را وارد کرده تا 2FA با استفاده از SMS فعال شود.

مسیر فایل‌ها و کدها:

برای پیکربندی 2FA از طریق SMS، فایل‌های مربوطه در این مسیر قرار دارند:

/etc/cpanel/

3. فعال‌سازی 2FA با استفاده از ایمیل

روش دیگری برای فعال‌سازی 2FA استفاده از ایمیل است. در این روش، به‌جای استفاده از اپلیکیشن یا SMS، کد تایید به ایمیل شما ارسال می‌شود.

مراحل فعال‌سازی 2FA با استفاده از ایمیل:

1. وارد cPanel یا پلتفرم مدیریت سرور خود شوید.
2. به بخش Security یا Two-Factor Authentication بروید.
3. گزینه Enable Two-Factor Authentication را انتخاب کنید.
4. گزینه Email Authentication را انتخاب کنید.
5. ایمیل مربوطه به آدرس ثبت‌شده ارسال می‌شود.
6. کد تایید را از ایمیل خود دریافت کرده و در قسمت مربوطه وارد کنید تا 2FA فعال شود.

مسیر فایل‌ها و کدها:

پیکربندی مربوط به 2FA از طریق ایمیل در مسیرهای زیر قرار دارد:

/etc/exim/

---

4. چالش‌ها و نکات مهم در فعال‌سازی 2FA

• پشتیبان‌گیری از کدهای 2FA: در صورتی که اپلیکیشن یا دستگاهی که کدهای 2FA را تولید می‌کند گم شود، حتماً از کدهای پشتیبان یا روش‌های بازیابی (مثل ایمیل یا SMS) استفاده کنید.
• دقت در انتخاب روش: بسته به نیاز و حساسیت سیستم، می‌توان روش مناسب را برای فعال‌سازی 2FA انتخاب کرد. برای سرورهای حساس‌تر یا حساب‌های مهم‌تر، استفاده از اپلیکیشن‌های تولید کد مثل Google Authenticator توصیه می‌شود.
• بازبینی تنظیمات: به‌طور منظم تنظیمات 2FA خود را بررسی کنید و در صورت لزوم آن‌ها را به‌روز کنید.

---

جمع‌بندی

فعال‌سازی 2FA یکی از بهترین روش‌ها برای تقویت امنیت حساب‌ها است. استفاده از Google Authenticator، SMS یا ایمیل هرکدام مزایا و معایب خود را دارند. بسته به نیاز امنیتی سیستم، انتخاب روش مناسب برای فعال‌سازی 2FA می‌تواند تفاوت زیادی در امنیت کلی سیستم ایجاد کند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی و مدیریت کاربران دارای 2FA” subtitle=”توضیحات کامل”]احراز هویت دو مرحله‌ای (2FA) یکی از مهم‌ترین روش‌ها برای افزایش امنیت سیستم‌ها و حساب‌ها است. زمانی که 2FA فعال می‌شود، علاوه بر وارد کردن رمز عبور، کاربر باید یک عامل دوم برای تایید هویت خود فراهم کند. در این بخش، نحوه بررسی و مدیریت کاربران دارای 2FA و تنظیمات مربوط به آن در پلتفرم‌های مختلف بررسی خواهد شد.

1. بررسی وضعیت 2FA کاربران

برای مدیریت کاربران دارای 2FA، ابتدا باید وضعیت 2FA را بررسی کرد. این کار به مدیر سیستم این امکان را می‌دهد که بفهمد کدام کاربران احراز هویت دو مرحله‌ای را فعال کرده‌اند و آیا همه کاربران به درستی از این ویژگی استفاده می‌کنند یا خیر.

مراحل بررسی وضعیت 2FA کاربران:

1. وارد پنل مدیریتی (مانند cPanel، Plesk یا DirectAdmin) شوید.
2. به بخش Security یا Two-Factor Authentication بروید.
3. در این بخش، لیستی از کاربران فعال در سیستم نمایش داده می‌شود.
4. برای هر کاربر، وضعیت 2FA نمایش داده خواهد شد. این ممکن است شامل گزینه‌هایی مانند:
   • فعال: کاربر 2FA را فعال کرده است.
   • غیرفعال: کاربر 2FA را غیرفعال کرده است.
   • عدم پیکربندی: کاربر هنوز 2FA را پیکربندی نکرده است.
5. در صورت نیاز، می‌توان وضعیت هر کاربر را تغییر داد.

مسیر فایل‌ها و کدها:

در cPanel، اطلاعات مربوط به 2FA کاربران در مسیر زیر ذخیره می‌شود:

/usr/local/cpanel/whostmgr/docroot/

---

2. مدیریت کاربران با 2FA فعال

مدیر سیستم می‌تواند کاربران با 2FA فعال را بررسی و تنظیمات آن‌ها را مدیریت کند. این شامل انجام تغییرات در پیکربندی یا حذف دسترسی 2FA برای برخی کاربران است.

مراحل مدیریت کاربران با 2FA فعال:

1. وارد پنل مدیریتی خود شوید.
2. به بخش Two-Factor Authentication بروید.
3. در لیست کاربران، کاربری را که نیاز به مدیریت دارد، انتخاب کنید.
4. گزینه‌های مختلف برای مدیریت وضعیت 2FA عبارتند از:
   • غیرفعال کردن 2FA: در صورتی که بخواهید 2FA را برای کاربر خاصی غیرفعال کنید، می‌توانید این گزینه را انتخاب کنید.
   • تنظیمات مجدد 2FA: در صورتی که کاربر نیاز به تنظیم مجدد 2FA داشته باشد، می‌توانید به او اجازه دهید که فرآیند پیکربندی را دوباره انجام دهد.
   • حذف 2FA: اگر بخواهید 2FA را برای یک کاربر به طور کامل حذف کنید، گزینه حذف را انتخاب کنید.

مسیر فایل‌ها و کدها:

برای مدیریت تنظیمات 2FA کاربران در cPanel، تغییرات معمولاً در فایل‌های زیر ذخیره می‌شوند:

/var/cpanel/users/

---

3. راه‌اندازی مجدد یا حذف 2FA برای کاربران

گاهی اوقات کاربران ممکن است نیاز به راه‌اندازی مجدد یا حذف 2FA داشته باشند. این کار می‌تواند در مواقعی که کاربر دستگاه خود را گم کرده یا مشکلی در ورود به حساب خود دارد مفید باشد.

مراحل راه‌اندازی مجدد 2FA برای کاربر:

1. وارد پنل مدیریتی خود شوید.
2. به بخش Two-Factor Authentication بروید.
3. کاربر مورد نظر را انتخاب کرده و گزینه Reset 2FA را انتخاب کنید.
4. پس از این کار، کاربر می‌تواند فرآیند 2FA را دوباره از ابتدا انجام دهد.

مسیر فایل‌ها و کدها:

برای راه‌اندازی مجدد 2FA، تغییرات در مسیر زیر انجام می‌شود:

/etc/cpanel/

---

4. ایجاد گزارشات و آمار کاربران دارای 2FA

مدیران سیستم می‌توانند گزارشی از کاربران دارای 2FA ایجاد کرده و وضعیت امنیتی حساب‌ها را بررسی کنند. این کار به مدیران کمک می‌کند تا ببینند که چه تعداد از کاربران از 2FA استفاده می‌کنند و همچنین به شناسایی مشکلات احتمالی کمک می‌کند.

مراحل ایجاد گزارشات:

1. وارد پنل مدیریتی خود شوید.
2. به بخش Security یا Two-Factor Authentication بروید.
3. در این بخش، گزینه Generate Report را انتخاب کنید.
4. گزارشی شامل وضعیت 2FA کاربران (فعال، غیرفعال، عدم پیکربندی) ایجاد خواهد شد.

مسیر فایل‌ها و کدها:

گزارش‌های 2FA در مسیرهای زیر ذخیره می‌شوند:

/var/log/

---

جمع‌بندی

بررسی و مدیریت کاربران دارای 2FA از جمله اقداماتی است که باید به طور منظم انجام شود تا امنیت سیستم بهبود یابد. با پیگیری وضعیت 2FA کاربران، مدیران می‌توانند از فعال بودن این ویژگی بر روی تمامی حساب‌ها اطمینان حاصل کرده و در صورت نیاز به راه‌اندازی مجدد یا حذف 2FA، اقدامات لازم را انجام دهند. همچنین ایجاد گزارشات و آمار از کاربران دارای 2FA می‌تواند به مدیران کمک کند تا روند امنیتی سیستم را بهتر پیگیری کنند.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 6. نظارت بر فعالیت‌های کاربران و ثبت گزارشات امنیتی”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی لاگ‌های ورود و خروج کاربران” subtitle=”توضیحات کامل”]یکی از بخش‌های حیاتی در مدیریت سیستم‌های سروری، نظارت بر ورود و خروج کاربران است. بررسی دقیق این لاگ‌ها می‌تواند به مدیران سیستم کمک کند تا رفتارهای غیرمجاز، حملات امنیتی و ناهماهنگی‌های سیستم را شناسایی کنند. در این بخش، به بررسی نحوه مشاهده و تجزیه و تحلیل لاگ‌های ورود و خروج کاربران پرداخته خواهد شد.

1. اهمیت بررسی لاگ‌های ورود و خروج کاربران

بررسی لاگ‌های ورود و خروج کاربران به مدیران کمک می‌کند تا موارد زیر را شناسایی کنند:

• ورودهای مشکوک: ورودهای ناخواسته یا غیرمجاز به سرور.
• تلاش‌های متعدد ناموفق: که ممکن است نشان‌دهنده حملات بروت فورس (Brute Force) باشد.
• فعالیت‌های غیرمعمول: مانند ورود در ساعات غیرمنتظره یا از آدرس‌های IP مشکوک.
• خروج‌های غیرمنتظره: که ممکن است نشان‌دهنده فعالیت‌های ناخواسته یا خرابی در سیستم باشد.

---

2. لاگ‌های ورود و خروج در سیستم‌های مختلف

در سیستم لینوکس/یونیکس:

در سیستم‌های مبتنی بر لینوکس یا یونیکس، لاگ‌های ورود و خروج معمولاً در فایل‌هایی با نام‌های خاص ذخیره می‌شوند. این فایل‌ها شامل اطلاعات مهمی مانند زمان، آدرس IP، نام کاربری، و وضعیت ورود هستند.

• /var/log/auth.log: این فایل لاگ برای ذخیره‌سازی تمام اطلاعات مربوط به ورود و خروج کاربران و همچنین تایید هویت استفاده می‌شود.
• /var/log/secure: مشابه فایل auth.log است و شامل اطلاعات مربوط به اقدامات امنیتی است.

محتوای لاگ‌های ورود و خروج:

لاگ‌های ورود معمولاً شامل اطلاعاتی به شرح زیر هستند:

Apr  7 12:15:02 server_name sshd[12345]: Accepted password for username from 192.168.1.1 port 22 ssh2
Apr  7 12:17:45 server_name sshd[12345]: Failed password for username from 192.168.1.1 port 22 ssh2

در اینجا، اطلاعات نشان‌دهنده نوع اقدام (مثلاً وارد شدن با موفقیت یا تلاش ناموفق برای ورود) و آدرس IP منبع است.

دستورات خط فرمان برای مشاهده لاگ‌ها:

برای مشاهده لاگ‌های ورود و خروج در سرور لینوکس، می‌توان از دستورات زیر استفاده کرد:

1. مشاهده لاگ‌های ورود موفق:

   sudo grep 'Accepted' /var/log/auth.log
   

2. مشاهده لاگ‌های تلاش‌های ناموفق:

   sudo grep 'Failed' /var/log/auth.log
   

3. مشاهده لاگ‌های مربوط به تمام تلاش‌های ورود (شامل موفق و ناموفق):

   sudo grep 'sshd' /var/log/auth.log
   

مسیر فایل‌ها:

• /var/log/auth.log
• /var/log/secure

---

3. لاگ‌های ورود و خروج در cPanel

در cPanel، لاگ‌های ورود و خروج کاربران در مسیر خاصی ذخیره می‌شوند و اطلاعات مهمی را در اختیار مدیر سیستم قرار می‌دهند.

• /usr/local/cpanel/logs/login_log: این فایل لاگ شامل تمام تلاش‌های ورود به پنل cPanel است.
• /usr/local/cpanel/logs/error_log: اطلاعات مربوط به مشکلات و خطاهای ورود و خروج در این فایل ذخیره می‌شود.

دستورات برای مشاهده لاگ‌ها در cPanel:

1. مشاهده تمام تلاش‌های ورود به cPanel:

   cat /usr/local/cpanel/logs/login_log
   

2. مشاهده تلاش‌های ناموفق برای ورود به cPanel:

   grep 'failed' /usr/local/cpanel/logs/login_log
   

3. مشاهده لاگ‌های مربوط به خطاهای ورود:

   cat /usr/local/cpanel/logs/error_log
   

مسیر فایل‌ها:

• /usr/local/cpanel/logs/login_log
• /usr/local/cpanel/logs/error_log

---

4. نحوه تجزیه و تحلیل لاگ‌های ورود و خروج

برای تجزیه و تحلیل لاگ‌ها، باید به چند نکته توجه کرد:

• آدرس IP: بررسی آدرس‌های IP می‌تواند به شناسایی منابع مشکوک کمک کند.
• زمان ورود: ورودهای نامتعارف در ساعات غیرمنتظره می‌تواند نشانه‌ای از حملات باشد.
• نوع ورود: اگر تلاش‌های متعدد برای ورود ناموفق وجود دارد، ممکن است نشان‌دهنده یک حمله بروت فورس باشد.

ابزارهای تجزیه و تحلیل لاگ‌ها:

• Fail2ban: این ابزار می‌تواند برای شناسایی تلاش‌های بروت فورس و مسدود کردن IPهای مشکوک استفاده شود.
• Logwatch: این ابزار گزارش‌های جامع از لاگ‌ها ایجاد می‌کند و می‌تواند به مدیران در تحلیل حملات کمک کند.

جمع‌بندی

بررسی دقیق لاگ‌های ورود و خروج کاربران بخش حیاتی از مدیریت امنیتی سیستم است. با استفاده از دستورات خط فرمان و ابزارهای تجزیه و تحلیل، مدیران سیستم می‌توانند تلاش‌های غیرمجاز ورود به سیستم را شناسایی کرده و اقدامات مناسب امنیتی را برای جلوگیری از تهدیدات انجام دهند. همچنین، نظارت بر لاگ‌ها در پلتفرم‌های مختلف مانند cPanel و لینوکس به مدیران این امکان را می‌دهد تا به صورت مؤثرتر سیستم را مدیریت کنند.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”شناسایی رفتارهای مشکوک و اقدامات غیرمجاز” subtitle=”توضیحات کامل”]شناسایی رفتارهای مشکوک و اقدامات غیرمجاز از اصول حیاتی در امنیت سیستم‌ها و شبکه‌ها است. این فرایند نه‌تنها به شناسایی حملات و تهدیدات کمک می‌کند بلکه به محافظت از منابع، داده‌ها و کاربران در برابر تهدیدات خارجی و داخلی نیز می‌پردازد. در این بخش، به روش‌های مختلف شناسایی رفتارهای مشکوک و اقدامات غیرمجاز و ابزارهای مورد استفاده در این زمینه خواهیم پرداخت.

1. شناسایی رفتارهای مشکوک

1.1. تجزیه و تحلیل الگوهای رفتار کاربران

یکی از روش‌های اولیه شناسایی رفتارهای مشکوک، تجزیه و تحلیل الگوهای رفتار کاربران است. با نظارت بر فعالیت‌های کاربران و مقایسه آن‌ها با رفتارهای عادی، می‌توان رفتارهای غیرعادی و مشکوک را شناسایی کرد. این فعالیت‌ها ممکن است شامل تلاش‌های متعدد برای ورود ناموفق به سیستم، درخواست‌های غیرمعمول یا فعالیت‌های مشکوک در زمان‌های خاص باشد.

راه‌حل‌ها:

• استفاده از ابزارهای مانیتورینگ مانند Imunify360 یا Fail2Ban برای نظارت بر فعالیت‌های ورود به سیستم.
• تنظیم هشدارهای مربوط به ورود ناموفق به تعداد زیاد که نشان‌دهنده تلاش‌های غیرمجاز ورود است.
• استفاده از ابزارهای تحلیل رفتار کاربر (UBA) برای شناسایی الگوهای غیرعادی در فعالیت‌های کاربران.

برای مثال، در Fail2Ban، می‌توانید به‌صورت زیر اقدام به تنظیم هشدارهای مربوط به تلاش‌های ناموفق ورود کنید:

sudo fail2ban-client status sshd

1.2. بررسی لاگ‌ها و تحلیل آن‌ها

تحلیل لاگ‌های سرور، یکی دیگر از روش‌های شناسایی رفتارهای مشکوک است. لاگ‌های سرور حاوی اطلاعات مهمی از جمله تلاش‌های ورود ناموفق، تغییرات در فایل‌ها، و استفاده از دستورات حساس هستند که می‌توانند رفتارهای مشکوک را شناسایی کنند.

راه‌حل‌ها:

• بررسی لاگ‌های سیستم: به طور منظم لاگ‌های مختلف مانند auth.log، syslog یا secure.log را برای شناسایی تلاش‌های غیرمجاز بررسی کنید.
• استفاده از ابزارهای تحلیل لاگ مانند Logwatch یا Splunk برای شناسایی روندهای غیرعادی.

به عنوان مثال، برای بررسی لاگ‌های ورود و شناسایی تلاش‌های ناموفق می‌توانید دستور زیر را اجرا کنید:

grep "Failed password" /var/log/auth.log

1.3. تحلیل ترافیک شبکه

تجزیه و تحلیل ترافیک شبکه برای شناسایی رفتارهای مشکوک مانند حملات DDoS یا دسترسی غیرمجاز به منابع شبکه ضروری است. ابزارهایی مانند Wireshark یا Tcpdump می‌توانند در شناسایی ترافیک غیرعادی کمک کنند.

راه‌حل‌ها:

• نظارت بر ترافیک شبکه: از ابزارهایی مانند Tcpdump یا Wireshark برای شناسایی ترافیک غیرعادی استفاده کنید.
• اعمال محدودیت‌های فایروال: از فایروال برای مسدود کردن IPهای مشکوک و جلوگیری از ترافیک غیرمجاز استفاده کنید.

برای تحلیل ترافیک شبکه با Tcpdump، از دستور زیر استفاده کنید:

sudo tcpdump -i eth0 -nn

---

2. شناسایی اقدامات غیرمجاز

2.1. نظارت بر تغییرات در فایل‌ها و دایرکتوری‌ها

یکی از روش‌های مؤثر برای شناسایی اقدامات غیرمجاز، نظارت بر تغییرات در فایل‌ها و دایرکتوری‌های حساس است. تغییرات غیرمجاز ممکن است شامل حذف یا ویرایش فایل‌های سیستمی و حساس باشد که می‌تواند به نفوذ یا تخریب سیستم منجر شود.

راه‌حل‌ها:

• استفاده از ابزارهای نظارت بر فایل‌ها مانند AIDE (Advanced Intrusion Detection Environment) برای شناسایی تغییرات در فایل‌ها و دایرکتوری‌ها.
• تنظیم هشدارها برای تغییرات غیرمجاز در فایل‌های حساس سیستم.

برای نصب و پیکربندی AIDE برای نظارت بر تغییرات فایل‌ها می‌توانید از دستور زیر استفاده کنید:

sudo apt-get install aide
sudo aideinit

2.2. نظارت بر دسترسی‌های غیرمجاز به پایگاه‌داده

دسترسی غیرمجاز به پایگاه‌داده می‌تواند منجر به افشای اطلاعات حساس شود. برای شناسایی این‌گونه اقدامات غیرمجاز، لازم است که دسترسی‌ها و تغییرات در پایگاه‌داده به دقت نظارت شوند.

راه‌حل‌ها:

• نظارت بر لاگ‌های پایگاه‌داده: از لاگ‌های پایگاه‌داده مانند MySQL یا PostgreSQL برای شناسایی دسترسی‌های غیرمجاز استفاده کنید.
• استفاده از ابزارهای احراز هویت چندعاملی (2FA): برای حفاظت از پایگاه‌داده، از 2FA در هنگام ورود به سیستم استفاده کنید.

برای نظارت بر دسترسی‌ها در MySQL، از دستور زیر می‌توانید استفاده کنید:

grep "Access denied" /var/log/mysql/error.log

2.3. شناسایی تلاش‌های نفوذ

نفوذ به سرور یا سیستم می‌تواند از طریق روش‌هایی مانند تلاش‌های brute force یا استفاده از آسیب‌پذیری‌های شناخته‌شده صورت گیرد. شناسایی این تلاش‌ها با استفاده از ابزارهای مخصوص می‌تواند به پیشگیری از نفوذ کمک کند.

راه‌حل‌ها:

• استفاده از ابزارهای تشخیص نفوذ (IDS): ابزارهایی مانند Snort یا Suricata می‌توانند برای شناسایی تلاش‌های نفوذ به کار روند.
• تنظیم هشدارهای فایروال: برای شناسایی و مسدود کردن تلاش‌های نفوذ، فایروال باید به‌طور مؤثر پیکربندی شود.

برای نظارت بر حملات brute force با استفاده از Fail2Ban، دستور زیر را اجرا کنید:

sudo fail2ban-client status sshd

---

3. اقدامات پیشگیرانه

3.1. اعمال سیاست‌های امنیتی مستمر

برای پیشگیری از حملات و اقدامات غیرمجاز، باید سیاست‌های امنیتی مستمری اعمال شود. این سیاست‌ها باید شامل محدودیت‌های دسترسی، استفاده از رمزهای عبور پیچیده و به‌روزرسانی منظم سیستم‌ها باشد.

3.2. آموزش کاربران

آموزش کاربران در زمینه شناسایی رفتارهای مشکوک و اقدامات غیرمجاز می‌تواند به کاهش حملات و تهدیدات داخلی کمک کند.

3.3. نظارت و به‌روزرسانی منظم

برای جلوگیری از حملات جدید و شناخته‌شده، نظارت مداوم و به‌روزرسانی منظم سیستم‌ها و نرم‌افزارها ضروری است.

---

جمع‌بندی

شناسایی رفتارهای مشکوک و اقدامات غیرمجاز از جمله جنبه‌های حیاتی در امنیت سیستم‌ها است. با استفاده از ابزارهای مناسب برای تجزیه و تحلیل لاگ‌ها، نظارت بر رفتار کاربران، و شناسایی الگوهای غیرعادی، می‌توان تهدیدات احتمالی را شناسایی کرده و از آن‌ها جلوگیری کرد. همچنین، با اعمال سیاست‌های امنیتی مستمر و آموزش کاربران می‌توان از بروز حملات و نفوذها جلوگیری کرد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”دریافت اعلان‌ها در صورت وقوع رویدادهای غیرعادی” subtitle=”توضیحات کامل”]دریافت اعلان‌ها در صورت وقوع رویدادهای غیرعادی یک بخش ضروری از هر سیستم امنیتی است. این قابلیت به مدیران سیستم و تیم‌های امنیتی کمک می‌کند تا سریعاً از تهدیدات یا حملات احتمالی آگاه شوند و بتوانند اقدام فوری انجام دهند. رویدادهای غیرعادی می‌توانند شامل تلاش‌های ناموفق ورود، حملات DDoS، تغییرات مشکوک در فایل‌ها، و دسترسی‌های غیرمجاز باشند. در این بخش، به نحوه پیکربندی اعلان‌ها و ابزارهایی که می‌توانند برای دریافت این نوع رویدادها استفاده شوند، پرداخته می‌شود.

1. پیکربندی اعلان‌ها در Immunify360

Immunify360 یک ابزار امنیتی جامع است که اعلان‌های مربوط به حملات، تلاش‌های نفوذ و تهدیدات را به‌صورت خودکار ارسال می‌کند. پیکربندی درست این اعلان‌ها می‌تواند مدیران سیستم را از وضعیت امنیتی سرورها آگاه کرده و به آن‌ها کمک کند تا در زمان مناسب واکنش نشان دهند.

1.1. تنظیم اعلان‌های ایمیلی

در Immunify360 می‌توانید اعلان‌های مختلف را برای انواع رویدادهای غیرعادی پیکربندی کنید. این اعلان‌ها معمولاً از طریق ایمیل ارسال می‌شوند.

برای تنظیم اعلان‌های ایمیلی در Immunify360، مراحل زیر را دنبال کنید:

1. وارد داشبورد Immunify360 شوید.
2. به بخش Security Settings بروید.
3. در بخش Notifications, گزینه Email Notifications را فعال کنید.
4. آدرس ایمیلی که می‌خواهید اعلان‌ها به آن ارسال شوند را وارد کنید.
5. نوع رویدادهایی که می‌خواهید اعلان دریافت کنید را انتخاب کنید (مثل حملات WAF، شناسایی بدافزار، تلاش‌های ورود غیرمجاز).
6. تغییرات را ذخیره کنید.

دستورالعمل CLI برای پیکربندی اعلان‌ها:

immunify360 notification --enable email \
--email your-email@example.com \
--events "login_failure, \
malware_detected, \
brute_force"

1.2. تنظیم اعلان‌های Slack یا Webhook

برای اطمینان از اطلاع‌رسانی سریع‌تر، شما می‌توانید اعلان‌ها را از طریق Slack یا Webhook به تیم‌های امنیتی ارسال کنید. این اعلان‌ها به‌طور مستقیم در کانال‌های خاص ارسال می‌شوند.

1. به داشبورد Immunify360 بروید.
2. در بخش Notifications, گزینه Slack/Webhook را انتخاب کنید.
3. Webhook URL یا آدرس Slack را وارد کنید.
4. نوع رویدادهایی که می‌خواهید اعلان دریافت کنید را انتخاب کنید.
5. تغییرات را ذخیره کنید.

---

2. دریافت اعلان‌ها در سیستم‌های cPanel، Plesk و DirectAdmin

در هر یک از این پنل‌های مدیریت سرور، قابلیت پیکربندی اعلان‌ها برای رویدادهای غیرعادی وجود دارد. این قابلیت‌ها کمک می‌کند تا از تغییرات غیرمجاز، حملات احتمالی یا هر نوع فعالیت مشکوک دیگر مطلع شوید.

2.1. پیکربندی اعلان‌ها در cPanel

1. وارد WHM شوید.
2. به بخش Security Center بروید.
3. گزینه Notification Settings را انتخاب کنید.
4. آدرس ایمیلی که می‌خواهید اعلان‌ها به آن ارسال شود را وارد کنید.
5. نوع رویدادهایی که می‌خواهید اطلاعیه دریافت کنید را انتخاب کنید (مثل تلاش‌های ورود ناموفق، هشدارهای فایروال).
6. تغییرات را ذخیره کنید.

دستورالعمل CLI برای پیکربندی اعلان‌ها در cPanel:

whmapi1 set_notify_alerts enabled=1 email=your-email@example.com

2.2. پیکربندی اعلان‌ها در Plesk

در Plesk, می‌توانید اعلان‌ها را برای رویدادهای مختلف مانند حملات، تلاش‌های ناموفق ورود، و تغییرات در فایل‌ها تنظیم کنید.

1. وارد Plesk شوید.
2. به بخش Tools & Settings بروید.
3. روی Notification Settings کلیک کنید.
4. آدرس ایمیل را برای دریافت اعلان‌ها وارد کنید.
5. نوع رویدادهایی که می‌خواهید اعلان دریافت کنید را مشخص کنید.
6. تغییرات را ذخیره کنید.

دستورالعمل CLI برای پیکربندی اعلان‌ها در Plesk:

plesk bin notification --enable --email your-email@example.com

2.3. پیکربندی اعلان‌ها در DirectAdmin

در DirectAdmin, امکان تنظیم اعلان‌های ایمیلی برای رویدادهای مختلف سیستم وجود دارد.

1. وارد DirectAdmin شوید.
2. به بخش Administrator Settings بروید.
3. در قسمت Notification Settings, گزینه Enable Email Notifications را فعال کنید.
4. آدرس ایمیل را وارد کرده و رویدادهای مورد نظر را برای دریافت اعلان انتخاب کنید.
5. تغییرات را ذخیره کنید.

---

3. تنظیم اعلان‌های سیستم‌عامل

در کنار ابزارهای مدیریت سرور، سیستم‌عامل خود نیز قابلیت ارسال اعلان‌ها در صورت وقوع رویدادهای غیرعادی را دارد. برای مثال، در لینوکس می‌توان از Syslog یا Auditd برای نظارت و ارسال اعلان‌ها استفاده کرد.

3.1. پیکربندی اعلان‌های Syslog

برای ارسال اعلان‌ها با استفاده از Syslog، ابتدا باید فایل‌های پیکربندی را ویرایش کنید تا به‌محض وقوع رویداد خاص، اعلان ارسال شود.

1. فایل /etc/rsyslog.conf را ویرایش کنید.
2. برای ارسال اعلان به ایمیل، باید از mail یا sendmail استفاده کنید.

دستورالعمل پیکربندی اعلان‌های Syslog:

*.*    /usr/bin/mail -s "Syslog Alert" your-email@example.com

3.2. پیکربندی اعلان‌های Auditd

برای ارسال اعلان‌های مربوط به لاگ‌های امنیتی، می‌توانید از Auditd استفاده کنید. این ابزار قادر است تا گزارش‌های مربوط به ورود غیرمجاز، تغییرات در فایل‌های حساس، و دسترسی به سیستم‌ها را جمع‌آوری کند و اعلان‌ها را ارسال کند.

1. فایل /etc/audit/audit.rules را ویرایش کنید.
2. برای تنظیم اعلان‌ها از دستور زیر استفاده کنید:

-a always,exit -F arch=b64 -S execve -k suspicious

---

جمع‌بندی

دریافت اعلان‌ها در صورت وقوع رویدادهای غیرعادی یکی از بخش‌های حیاتی در امنیت سیستم‌ها و شبکه‌ها است. این اعلان‌ها می‌توانند به مدیران کمک کنند تا سریعاً از تهدیدات آگاه شوند و اقدامات پیشگیرانه انجام دهند. برای تنظیم این اعلان‌ها، می‌توان از ابزارهای مختلف مانند Immunify360، سیستم‌های مدیریت سرور (cPanel، Plesk، DirectAdmin)، و ابزارهای داخلی سیستم‌عامل مانند Syslog و Auditd استفاده کرد. پیکربندی درست اعلان‌ها می‌تواند به بهبود امنیت و کاهش زمان پاسخ به تهدیدات کمک کند.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 7. کنترل دسترسی از طریق آدرس‌های IP و لیست‌های مجاز و ممنوعه”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”محدود کردن دسترسی به Imunify360 بر اساس IP” subtitle=”توضیحات کامل”]برای افزایش امنیت محیط مدیریتی و رابط گرافیکی Imunify360، یکی از بهترین راهکارها، محدودسازی دسترسی به آن تنها از طریق IPهای خاص (مانند IP مدیر یا شبکه داخلی) است. این اقدام می‌تواند از دسترسی غیرمجاز به داشبورد و دستکاری تنظیمات امنیتی جلوگیری کند.

روش اول: استفاده از فایروال CSF برای محدودسازی دسترسی به پورت Imunify360

در اکثر سرورهایی که از cPanel یا DirectAdmin استفاده می‌کنند، فایروال CSF نصب شده است. با استفاده از آن می‌توان پورت Imunify360 را فقط برای IP خاص باز گذاشت.

مرحله 1: یافتن پورت Imunify360

به‌طور پیش‌فرض Imunify360 از همان پورت پنل کنترل (مثلاً پورت 2087 در cPanel) استفاده می‌کند. اما برای شناسایی دقیق، با استفاده از دستور زیر می‌توانید لیست پورت‌های باز را مشاهده کنید:

netstat -tulnp | grep imunify

مرحله 2: محدودسازی دسترسی با CSF

مسیر فایل تنظیمات CSF:

/etc/csf/csf.allow
/etc/csf/csf.deny
/etc/csf/csf.conf

افزودن IP مجاز به لیست سفید (csf.allow):

echo "192.168.1.100 # Admin IP" >> /etc/csf/csf.allow

محدودسازی سایر دسترسی‌ها از طریق پورت Imunify360:

در فایل csf.conf پورت مربوط به Imunify360 را یافته و به پورت‌های قابل‌محدودسازی اضافه کنید. مثلاً:

TCP_IN = "22,80,443,2087"

سپس پورت 2087 را از دسترس سایر IPها خارج کرده و تنها IP مجاز را در csf.allow نگه دارید.

بارگذاری مجدد فایروال:

csf -r

---

روش دوم: محدودسازی دسترسی از طریق فایل پیکربندی وب‌سرور

در صورتی که پنل مدیریتی از طریق Nginx یا Apache در دسترس است، می‌توان با استفاده از قوانین allow و deny در وب‌سرور، IP مجاز را تعریف کرد.

برای Nginx (مثال):

مسیر فایل پیکربندی Nginx:

/etc/nginx/conf.d/imunify360.conf

افزودن محدودیت IP:

location /imunify360/ {
    allow 192.168.1.100;
    deny all;
    proxy_pass http://localhost:8080;
}

سپس:

systemctl reload nginx

برای Apache:

مسیر فایل تنظیمات:

/etc/httpd/conf.d/imunify360.conf

محدودسازی IP:

<Location /imunify360/>
    Order Deny,Allow
    Deny from all
    Allow from 192.168.1.100
</Location>

سپس:

systemctl reload httpd

---

روش سوم: استفاده از قابلیت IP Access Control در WHM (ویژه کاربران cPanel)

در WHM می‌توانید به‌صورت گرافیکی دسترسی به پورت 2087 را فقط برای IP خاص باز بگذارید.

مسیر گرافیکی:

WHM > Host Access Control

افزودن قانون:

• Service: cpaneld یا imunify360
• Access List: 192.168.1.100
• Action: allow

سپس یک قانون دیگر با مقدار ALL در بخش Access List و Action = deny قرار دهید.

---

جمع‌بندی

محدودسازی دسترسی به Imunify360 بر اساس IP، یک لایه امنیتی بسیار مؤثر است که می‌تواند از دسترسی غیرمجاز به رابط امنیتی سرور جلوگیری کند. این محدودیت را می‌توان هم از طریق فایروال (CSF)، هم وب‌سرور (Apache/Nginx)، و هم پنل مدیریتی (WHM) پیاده‌سازی کرد. در تمام موارد، باید دقت شود که تنها IPهای معتبر و امن در لیست دسترسی باقی بمانند تا ضمن حفظ امنیت، مانعی برای مدیران اصلی ایجاد نشود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”تنظیم لیست‌های سفید (Whitelist) و سیاه (Blacklist) در Imunify360″ subtitle=”توضیحات کامل”]یکی از ابزارهای حیاتی در Imunify360 برای مدیریت دقیق امنیت، قابلیت ایجاد و مدیریت لیست‌های سفید و سیاه است. این لیست‌ها نقش بسیار مهمی در کنترل دسترسی، جلوگیری از حملات و جلوگیری از بلاک شدن IPهای معتبر دارند.

در این بخش از آموزش های ارائه شده توسط فرازنتورک، به‌صورت جامع و کاربردی، نحوه تنظیم این لیست‌ها را از طریق واسط گرافیکی و خط فرمان بررسی خواهیم کرد.

مسیر دسترسی گرافیکی به لیست‌ها در Imunify360

مراحل در داشبورد گرافیکی cPanel / DirectAdmin / Plesk:

1. ورود به پنل مدیریتی (WHM، Plesk یا DirectAdmin)
2. رفتن به بخش Imunify360
3. انتخاب گزینه Blacklist یا Whitelist از منوی کناری
4. مشاهده، افزودن یا حذف IPها به لیست‌ها

در این صفحه می‌توانید:

• لیست IPهای مسدودشده را ببینید
• IP خاصی را به لیست سفید اضافه کنید تا دیگر مسدود نشود
• IP خاصی را به لیست سیاه اضافه کنید تا بلافاصله دسترسی آن قطع شود

---

تنظیم لیست‌ها از طریق خط فرمان

Imunify360 ابزار CLI قدرتمندی برای مدیریت لیست‌های سفید و سیاه ارائه می‌دهد.

مسیر فایل‌های مربوط به لیست‌ها:

/var/imunify360/files/

مشاهده لیست سفید:

imunify360-agent whitelist list

افزودن IP به لیست سفید:

imunify360-agent whitelist add 192.168.1.100 --comment "Trusted Admin IP"

حذف IP از لیست سفید:

imunify360-agent whitelist delete 192.168.1.100

مشاهده لیست سیاه:

imunify360-agent blacklist list

افزودن IP به لیست سیاه:

imunify360-agent blacklist add 203.0.113.50 --comment "Malicious Scanner"

حذف IP از لیست سیاه:

imunify360-agent blacklist delete 203.0.113.50

---

تنظیم خودکار IPهای مشکوک در لیست سیاه

Imunify360 به‌صورت پیش‌فرض می‌تواند IPهایی که رفتار مخرب دارند را بعد از چند بار حمله خودکار بلاک کند. این ویژگی از طریق تنظیمات WAF و Brute Force فعال است. با این حال، می‌توان قوانین را سفارشی کرد.

برای مشاهده تنظیمات امنیت پویا:

imunify360-agent config show

برای مثال، تنظیم مقدار BLOCK_THRESHOLD برای افزایش حساسیت:

imunify360-agent config update '{"ABUSE_DETECTION": {"BLOCK_THRESHOLD": 5}}'

---

افزودن دامنه یا کشور به لیست سیاه

برای بلاک کردن کل IPهای یک کشور (مثلاً RU برای روسیه):

imunify360-agent geo blacklist add RU --comment "Block RU due to attacks"

برای بلاک کردن دامنه‌ای خاص:

imunify360-agent blacklist add domain.example.com

---

جمع‌بندی

تنظیم لیست‌های سفید و سیاه در Imunify360 یکی از راهکارهای بسیار مؤثر برای کنترل دقیق امنیت سرور است. با این قابلیت، می‌توان:

• از بلاک شدن اشتباهی کاربران معتبر جلوگیری کرد.
• IPهای مخرب را فوراً مسدود کرد.
• امنیت را با اعمال سیاست‌های IP و GeoIP مدیریت نمود.

این عملیات از طریق رابط گرافیکی و همچنین به‌صورت کامندی انجام‌پذیر است و فایل‌های مربوط به آن در مسیر /var/imunify360/files/ قرار دارند. برای محیط‌هایی با ترافیک بالا یا حساس، پیشنهاد می‌شود مدیریت این لیست‌ها به‌صورت منظم و دقیق انجام گیرد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”پیکربندی محدودیت‌های جغرافیایی برای ورود کاربران” subtitle=”توضیحات کامل”]یکی از راهکارهای مؤثر در افزایش امنیت سرور، جلوگیری از دسترسی‌های ناخواسته از کشورهای خاص است. این قابلیت در Imunify360 با استفاده از Geo Blocking یا GeoIP Filtering پیاده‌سازی می‌شود و به شما اجازه می‌دهد تنها به کشورهای مشخص اجازه ورود بدهید یا کشورهای خاصی را به‌طور کامل بلاک کنید.

در این بخش، نحوه فعال‌سازی و پیکربندی محدودیت‌های جغرافیایی از طریق واسط گرافیکی و دستورات خط فرمان، همراه با مسیر فایل‌های مربوطه ارائه می‌گردد.

فعال‌سازی محدودیت جغرافیایی از طریق واسط گرافیکی (cPanel، DirectAdmin، Plesk)

1. وارد کنترل‌پنل سرور شوید (WHM، Plesk، یا DirectAdmin)
2. از منوی اصلی وارد بخش Imunify360 شوید
3. از منوی کناری، گزینه Settings را انتخاب کنید
4. وارد تب General شوید
5. به قسمت Country Blocking بروید
6. در این بخش می‌توانید:
   • کشورهایی را که مجاز به دسترسی هستند مشخص کنید (Allow list)
   • کشورهایی را که باید مسدود شوند اضافه کنید (Block list)
   • مشخص کنید که این مسدودسازی شامل کدام سرویس‌ها باشد (مثل SSH، HTTP، SMTP و غیره)

پس از اعمال تنظیمات، تغییرات ذخیره شده و بلافاصله اجرا می‌شوند.

---

پیکربندی محدودیت جغرافیایی از طریق خط فرمان

مسیر فایل تنظیمات اصلی Imunify360:

/etc/sysconfig/imunify360/imunify360.config

مشاهده لیست فعلی کشورهای بلاک‌شده:

imunify360-agent geo blacklist list

افزودن یک کشور به لیست بلاک:

imunify360-agent geo blacklist add CN --comment "Block access from China"

حذف یک کشور از لیست بلاک:

imunify360-agent geo blacklist delete CN

اضافه کردن چند کشور همزمان:

imunify360-agent geo blacklist add IR,PK,RU --comment "Block multiple countries"

مشاهده لیست کشورهای مجاز (Whitelist):

imunify360-agent geo whitelist list

افزودن کشور به لیست مجاز:

imunify360-agent geo whitelist add DE --comment "Trusted traffic from Germany"

---

تست عملکرد Geo Blocking

برای اطمینان از عملکرد صحیح GeoIP، می‌توانید از فایل لاگ مربوط به Geo Blocking استفاده کنید:

مسیر فایل لاگ GeoIP:

/var/log/imunify360/geo.log

برای بررسی IPهایی که بلاک شده‌اند:

cat /var/log/imunify360/geo.log | grep "Blocked"

---

توصیه‌های امنیتی برای GeoIP

1. محدودسازی سرویس‌های حساس:

می‌توانید محدودیت‌ها را فقط روی سرویس‌هایی مثل SSH یا SMTP اعمال کنید:

imunify360-agent geo blacklist add CN --services ssh,smtp --comment "Limit critical services"

2. فعال‌سازی بلاک خودکار کشورها پس از حملات مکرر:

در صورت شناسایی حملات مداوم از کشورهای خاص، می‌توانید با تنظیمات dynamic blacklist این روند را خودکار کنید.

---

جمع‌بندی

اعمال محدودیت جغرافیایی در Imunify360 از مؤثرترین روش‌های مقابله با حملات خارجی است. این قابلیت با استفاده از ابزار GeoIP Filtering قابل اجراست و هم از طریق داشبورد گرافیکی و هم CLI قابل پیکربندی است. تمام تنظیمات مربوط به GeoIP در فایل زیر قابل مشاهده و ویرایش است:

/etc/sysconfig/imunify360/imunify360.config

با بهره‌گیری از این ابزار، می‌توانید کنترل دقیق‌تری بر دسترسی‌ها داشته و امنیت سیستم را در برابر حملات خارجی تقویت نمایید.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 8. مدیریت نشست‌های کاربران و بستن نشست‌های فعال”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”مشاهده نشست‌های فعال و تاریخچه ورود در Imunify360″ subtitle=”توضیحات کامل”]Imunify360 این امکان را فراهم می‌کند تا نشست‌های فعال کاربران، تاریخچه ورود به سیستم، IPهای منبع و نوع احراز هویت بررسی شوند. این قابلیت نقش مهمی در نظارت امنیتی و شناسایی فعالیت‌های مشکوک دارد. مشاهده نشست‌ها و ورودها هم از طریق واسط گرافیکی و هم خط فرمان امکان‌پذیر است.

مشاهده نشست‌های فعال از طریق واسط گرافیکی (cPanel، DirectAdmin، Plesk)

1. وارد کنترل‌پنل مدیریتی سرور شوید (WHM / Plesk / DirectAdmin)
2. وارد بخش Imunify360 شوید
3. در منوی کناری روی Users یا Security Events کلیک کنید
4. در بخش Active Sessions می‌توانید موارد زیر را مشاهده کنید:
   • نام کاربری
   • IP منبع
   • زمان ورود
   • موقعیت جغرافیایی کاربر
   • روش ورود (SSH، FTP، HTTP، Panel login و…)

همچنین در بخش Login History یا Events, تاریخچه ورود به همراه موفق یا ناموفق بودن آن‌ها ثبت شده است.

---

مشاهده نشست‌ها و تاریخچه ورود از طریق خط فرمان

مسیر فایل لاگ نشست‌های کاربران و تاریخچه ورود:

/var/log/secure

در سیستم‌هایی مانند Ubuntu ممکن است از فایل زیر استفاده شود:

/var/log/auth.log

مشاهده نشست‌های فعال:

who

یا:

w

مشاهده آخرین ورود کاربران:

last

بررسی ورودهای مشکوک یا ناموفق:

grep "Failed password" /var/log/secure

یا در Ubuntu:

grep "Failed password" /var/log/auth.log

مشاهده لیست آخرین IPهای متصل:

last -i

---

بررسی نشست‌ها از طریق ابزار Imunify360 CLI

مشاهده نشست‌های فعال:

imunify360-agent sessions list

مشاهده جزئیات نشست خاص:

imunify360-agent sessions info --session-id <SESSION_ID>

---

نمونه خروجی برای بررسی نشست‌ها

imunify360-agent sessions list

ID            IP             User   Login Time         Status
---------------------------------------------------------------
ab1234...     192.168.1.10   root   2025-04-07 10:22   active
bc3456...     192.168.1.15   admin  2025-04-07 09:47   idle

---

جمع‌بندی

مشاهده نشست‌های فعال و تاریخچه ورود در Imunify360 ابزاری مهم برای پایش امنیتی سرور است. اطلاعات این نشست‌ها از طریق رابط گرافیکی و CLI در دسترس هستند و لاگ‌ها در مسیرهای امنیتی مانند /var/log/secure ذخیره می‌شوند. با بررسی دقیق این اطلاعات، می‌توان فعالیت‌های مشکوک را به‌موقع شناسایی و کنترل کرد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بستن نشست‌های مشکوک یا غیرمجاز در Imunify360″ subtitle=”توضیحات کامل”]نظارت فعال بر نشست‌های جاری (Active Sessions) در سرور، به مدیر سیستم امکان می‌دهد تا نشست‌های مشکوک یا غیرمجاز را شناسایی و فوراً خاتمه دهد. Imunify360 و ابزارهای سیستمی لینوکس امکان پایان‌دادن به چنین نشست‌هایی را از طریق رابط گرافیکی یا خط فرمان فراهم می‌کنند.

بستن نشست‌های مشکوک از طریق واسط گرافیکی در cPanel / Plesk / DirectAdmin

1. وارد کنترل‌پنل مدیریتی (WHM، Plesk یا DirectAdmin) شوید.
2. به بخش Imunify360 بروید.
3. در منوی کناری، وارد بخش Users یا Security Events شوید.
4. در لیست نشست‌های فعال، کاربر مشکوک یا غیرمجاز را انتخاب کرده و روی گزینه‌ای مانند Terminate, Kill, یا End Session کلیک کنید.
5. در صورت نیاز، IP مربوطه را به لیست سیاه (Blacklist) اضافه کنید تا مجدد نتواند متصل شود.

---

مسیر فایل‌های مرتبط با نشست‌ها

/var/run/utmp         # نمایش نشست‌های فعال
/var/log/wtmp         # تاریخچه ورود کاربران
/var/log/secure       # لاگ‌های مربوط به احراز هویت

---

بستن نشست‌ها از طریق دستورات خط فرمان در لینوکس

مرحله اول: شناسایی نشست‌های فعال

w

یا:

who -u

نمونه خروجی:

root     pts/0        192.168.1.10     10:45   .       2345
user1    pts/1        203.0.113.42     10:12   old     2378

در ستون آخر (PID)، شناسه پردازش مربوط به نشست نمایش داده شده است.

مرحله دوم: خاتمه دادن به نشست

با استفاده از PID، نشست مورد نظر را خاتمه دهید:

kill -9 <PID>

مثال:

kill -9 2378

---

بستن نشست از طریق Imunify360 CLI

ابتدا لیست نشست‌ها را مشاهده کنید:

imunify360-agent sessions list

سپس با استفاده از session-id، نشست را خاتمه دهید:

imunify360-agent sessions terminate --session-id <SESSION_ID>

مثال:

imunify360-agent sessions terminate --session-id abcd1234efgh5678

---

اقدام تکمیلی: مسدودسازی IP پس از شناسایی نشست مشکوک

برای جلوگیری از تکرار ورود از همان IP، می‌توانید آن را بلاک کنید:

imunify360-agent ban ip --ip 203.0.113.42 --reason "Unauthorized access"

---

جمع‌بندی

بستن نشست‌های مشکوک یا غیرمجاز باید با دقت و در سریع‌ترین زمان ممکن انجام شود. مدیر سرور می‌تواند با استفاده از واسط گرافیکی یا CLI نشست‌های مشکوک را شناسایی کرده و با ابزارهایی مانند kill, imunify360-agent sessions terminate یا لیست سیاه، دسترسی غیرمجاز را پایان دهد. این عمل یک گام حیاتی در افزایش امنیت و کنترل سطح دسترسی به سرور محسوب می‌شود.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 9. ادغام و هماهنگی مدیریت دسترسی Immunify360 با سایر ابزارها”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”اتصال به سیستم‌های احراز هویت مانند LDAP و Active Directory در Imunify360″ subtitle=”توضیحات کامل”]اتصال Imunify360 به سیستم‌های احراز هویت مرکزی مانند LDAP و Active Directory، امکان مدیریت متمرکز کاربران و اعمال سیاست‌های امنیتی یکپارچه را فراهم می‌کند. این کار به‌ویژه در محیط‌های سازمانی یا سرورهای با چندین مدیر اهمیت دارد.

پیش‌نیازها برای اتصال به LDAP / AD

• نصب و راه‌اندازی سرور LDAP یا Active Directory
• دسترسی به اطلاعات اتصال (hostname، base DN، bind user، bind password)
• فعال بودن پورت‌های مورد نیاز (معمولاً 389 برای LDAP، 636 برای LDAPS، 88 و 445 برای AD)
• فعال بودن بسته‌های sssd، realmd، authconfig یا ldap-utils (بسته به توزیع لینوکس)

---

مسیر فایل‌های تنظیمات احراز هویت

/etc/sssd/sssd.conf
/etc/ldap.conf
/etc/nsswitch.conf
/etc/pam.d/system-auth

---

پیکربندی اتصال به LDAP از طریق خط فرمان

1. نصب ابزارهای مورد نیاز

yum install sssd realmd oddjob oddjob-mkhomedir adcli samba-common-tools -y

یا برای Ubuntu/Debian:

apt install sssd realmd ldap-utils libnss-ldap libpam-ldap -y

2. کشف دامنه LDAP یا AD

realm discover example.local

3. اتصال به دامنه

realm join --user=adminuser example.local

در این مرحله از شما پسورد کاربر دامین خواسته می‌شود.

4. فعال‌سازی home directory برای کاربران LDAP

authconfig --enablemkhomedir --update

5. تست اتصال

برای تست اتصال:

getent passwd ldapuser

اگر اطلاعات کاربر نمایش داده شد، اتصال برقرار است.

---

نمونه فایل تنظیمات sssd

# مسیر: /etc/sssd/sssd.conf

[sssd]
services = nss, pam
domains = example.local

[domain/example.local]
id_provider = ad
auth_provider = ad
access_provider = ad
override_homedir = /home/%u
default_shell = /bin/bash

پس از ایجاد یا تغییر این فایل:

chmod 600 /etc/sssd/sssd.conf
systemctl restart sssd

---

اتصال کاربران LDAP/AD به Imunify360

پس از اتصال سرور به LDAP/AD، کاربران با احراز هویت مرکزی می‌توانند از طریق پنل‌های مدیریتی مانند WHM/cPanel یا CLI وارد شوند و نقش امنیتی مناسب در Imunify360 برای آن‌ها تنظیم گردد.

در حال حاضر Imunify360 به صورت مستقیم از طریق رابط گرافیکی تنظیمات LDAP ندارد، اما با پیاده‌سازی SSSD یا realmd، کاربران مرکزی روی سطح سیستم قابل تعریف و احراز هویت هستند، و سپس دسترسی آن‌ها به Imunify360 نیز ممکن خواهد شد.

---

مدیریت کاربران از طریق کنترل‌پنل پس از اتصال

• در WHM یا DirectAdmin، کاربران LDAP پس از لاگین موفق قابل مشاهده خواهند بود.
• در Imunify360، می‌توان برای این کاربران نقش‌های خاص تعریف کرد یا دسترسی آن‌ها را محدود کرد.

---

جمع‌بندی

اتصال Imunify360 به LDAP یا Active Directory از طریق راهکارهایی مانند sssd یا realmd قابل انجام است و نیازمند تنظیمات دقیق در فایل‌های سیستمی می‌باشد. این اتصال امکان مدیریت متمرکز کاربران، سیاست‌های امنیتی، و پیاده‌سازی 2FA یا لاگ‌گیری یکپارچه را فراهم می‌کند و نقش مهمی در افزایش امنیت سازمانی دارد. تمام پیکربندی‌ها باید طبق استانداردهای امنیتی و با کنترل دقیق سطح دسترسی‌ها انجام شود.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”همگام‌سازی دسترسی‌ها با cPanel، Plesk و DirectAdmin در Imunify360″ subtitle=”توضیحات کامل”]یکی از مزایای اصلی Imunify360، توانایی یکپارچه‌سازی با کنترل‌پنل‌های معروف هاستینگ مانند cPanel، Plesk و DirectAdmin است. این یکپارچگی به مدیر سرور این امکان را می‌دهد که سطوح دسترسی کاربران، مجوزها و نقش‌های امنیتی را به‌صورت هم‌زمان و هماهنگ با ساختار کنترل‌پنل تنظیم کند.

هدف از همگام‌سازی دسترسی‌ها

• تطابق نقش‌ها بین کاربران سیستم و کاربران Imunify360
• مدیریت متمرکز دسترسی‌ها در پنل‌های مختلف
• استفاده از قابلیت‌های امنیتی مانند 2FA، IP restriction و لاگ‌گیری برای کاربران کنترل‌پنل

---

نحوه همگام‌سازی در cPanel

مسیر ماژول امنیتی:

WHM > Plugins > Imunify360

در این بخش، کاربر root می‌تواند:

• دسترسی کاربران هاست به ابزارهای Imunify360 را فعال یا غیرفعال کند.
• محدودیت IP و نقش امنیتی برای کاربران ایجاد نماید.

پیکربندی نقش‌ها برای کاربران:

/usr/share/imunify360/scripts/assign_user_role.py \
    --user=username --role=viewer

مسیر فایل دسترسی و نقش کاربران:

/var/imunify360/access/users.json

در این فایل می‌توان کاربران تعریف‌شده و نقش اختصاص‌یافته آن‌ها را مشاهده و ویرایش کرد.

---

همگام‌سازی در Plesk

مسیر دسترسی گرافیکی:

Plesk Panel > Extensions > Imunify360 > Users

در این قسمت می‌توان:

• نقش کاربران را به‌صورت Admin، Viewer یا Custom تعریف کرد.
• فعال‌سازی 2FA برای کاربران Plesk را انجام داد.
• کاربران دامنه‌های خاص را از دسترسی به امکانات امنیتی منع کرد.

فعال‌سازی از CLI برای کاربران خاص:

plesk bin user --update USERNAME -passwd "SecurePass123"

سپس برای اختصاص نقش:

/usr/share/imunify360/scripts/assign_user_role.py \
    --user=USERNAME --role=viewer

---

همگام‌سازی در DirectAdmin

در DirectAdmin، با نصب Imunify360، دسترسی کاربران نیز به‌صورت خودکار درون پنل اضافه می‌شود.

مسیر پنل گرافیکی:

DirectAdmin > Extra Features > Imunify360

مدیریت نقش‌ها:

/usr/share/imunify360/scripts/assign_user_role.py \
    --user=adminusername --role=admin

مشاهده دسترسی‌ها:

cat /var/imunify360/access/users.json

در این فایل ساختار کلی شبیه به زیر است:

{
  "adminusername": {
    "role": "admin",
    "2fa_enabled": true
  },
  "reseller1": {
    "role": "viewer"
  }
}

---

اعمال خودکار نقش‌ها برای کاربران جدید

برای فعال‌سازی نقش پیش‌فرض برای هر کاربر جدید:

touch /etc/imunify360/auto_assign_roles.conf

سپس فایل را با ساختار زیر پیکربندی کنید:

[defaults]
default_role = viewer

---

هماهنگی با 2FA و محدودیت IP

پس از همگام‌سازی کاربران با کنترل‌پنل، می‌توان:

• 2FA را فقط برای گروه خاصی از کاربران فعال کرد.
• تنها کاربران با IPهای خاص را مجاز دانست.
• نشست‌های فعال کاربران را مانیتور و مسدود کرد.

---

جمع‌بندی

همگام‌سازی دسترسی‌ها میان Imunify360 و کنترل‌پنل‌های معروف مانند cPanel، Plesk و DirectAdmin باعث تسهیل مدیریت امنیت کاربران می‌شود. با تنظیم دقیق نقش‌ها، اعمال سیاست‌های ورود، و فعال‌سازی ویژگی‌هایی مانند 2FA و محدودیت IP، امنیت محیط هاستینگ به شکل قابل توجهی افزایش می‌یابد. تمام این تنظیمات از طریق رابط‌های گرافیکی و اسکریپت‌های CLI قابل اجرا و مدیریت هستند و در مسیرهای مشخص قابل پیکربندی و بررسی می‌باشند.

 

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 10. روش‌های رفع مشکلات رایج در مدیریت کاربران و دسترسی‌ها”][/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”حل مشکلات ورود کاربران و بازیابی دسترسی” subtitle=”توضیحات کامل”]یکی از چالش‌های رایج در مدیریت سیستم‌ها، مشکلات مربوط به ورود کاربران و بازیابی دسترسی است. این مشکلات می‌تواند به دلیل اشتباهات در وارد کردن اطلاعات ورود، محدودیت‌های دسترسی، تنظیمات امنیتی یا حتی مشکلات فنی در خود سیستم باشد. در این بخش، به بررسی روش‌های مختلف حل این مشکلات و بازیابی دسترسی خواهیم پرداخت.

1. بررسی مشکلات رایج ورود

مشکلات ورود کاربران ممکن است ناشی از عوامل مختلفی باشد. در اینجا، به مهم‌ترین دلایل اشاره می‌کنیم:

1.1. اشتباهات در وارد کردن اطلاعات

یکی از رایج‌ترین دلایل مشکلات ورود، وارد کردن نادرست نام کاربری یا رمز عبور است. برای حل این مشکل می‌توان از روش‌های زیر استفاده کرد:

• بررسی و اطمینان از درست بودن نام کاربری و رمز عبور.
• استفاده از قابلیت Reset Password یا بازنشانی رمز عبور برای اطمینان از درست بودن آن.

1.2. محدودیت‌های IP

گاهی ممکن است به دلیل محدودیت‌های IP که در سیستم اعمال شده، ورود کاربران از آدرس‌های خاص مسدود شود. برای رفع این مشکل:

• بررسی محدودیت‌های IP Access Control.
• اطمینان از این‌که آدرس IP کاربر در لیست سفید قرار دارد.

1.3. محدودیت‌های دسترسی

اگر به‌عنوان مدیر، دسترسی‌هایی برای برخی کاربران تعریف کرده‌اید که مانع از ورود آن‌ها می‌شود، می‌توانید دسترسی‌های مربوطه را بررسی و ویرایش کنید. برای این منظور:

• بررسی فایل‌های users.json یا access.log برای مشاهده دسترسی‌های تخصیص‌یافته.
• اطمینان از این‌که دسترسی به منابع مورد نیاز برای کاربر فراهم شده است.

1.4. فعال‌سازی 2FA

اگر 2FA فعال شده باشد و کاربر نتواند از آن استفاده کند (مثلاً اپلیکیشن احراز هویت یا شماره تلفن در دسترس نباشد)، ورود به حساب کاربری غیرممکن می‌شود. برای رفع این مشکل:

• بررسی تنظیمات Two-Factor Authentication.
• در صورت نیاز، غیرفعال کردن موقت 2FA از طریق دستورات زیر:

/usr/share/imunify360/scripts/disable_2fa.py --user=username

این دستور 2FA را برای کاربر مورد نظر غیرفعال می‌کند.

---

2. بازیابی دسترسی کاربران

برای بازیابی دسترسی به حساب‌های کاربری، راه‌های مختلفی وجود دارد که در ادامه به آن‌ها می‌پردازیم:

2.1. بازیابی رمز عبور

در صورتی که کاربر رمز عبور خود را فراموش کرده باشد، می‌توان از قابلیت Reset Password برای بازیابی دسترسی استفاده کرد. روش‌های مختلفی برای انجام این کار وجود دارد:

• از طریق پنل مدیریتی (cPanel، Plesk، DirectAdmin)
• استفاده از دستورات خط فرمان برای تنظیم مجدد رمز عبور کاربر:

plesk bin user --update USERNAME -passwd "newPassword123"

این دستور رمز عبور جدیدی را برای کاربر تعیین می‌کند.

2.2. تغییر نقش کاربری

گاهی ممکن است که کاربر دسترسی به منابع خاصی را نداشته باشد یا نقش او به اشتباه تنظیم شده باشد. برای تغییر نقش کاربری، از دستور زیر استفاده می‌شود:

/usr/share/imunify360/scripts/assign_user_role.py --user=username --role=admin

این دستور نقش کاربر را به admin تغییر می‌دهد.

2.3. بازیابی دسترسی از طریق ایمیل

در صورتی که سیستم ایمیل برای بازیابی رمز عبور تنظیم شده باشد، کاربران می‌توانند از طریق ایمیل خود رمز عبور جدید دریافت کنند. برای این منظور باید پیکربندی‌های ایمیل در سرور بررسی شود.

2.4. بازنشانی وضعیت قفل حساب

اگر حساب کاربری به دلیل تلاش‌های ناموفق ورود قفل شده باشد، باید حساب را بازنشانی کرد. برای این کار از دستور زیر استفاده کنید:

/usr/share/imunify360/scripts/reset_account_lock.py --user=username

این دستور قفل حساب کاربر را باز می‌کند و امکان ورود مجدد را فراهم می‌آورد.

---

3. پیکربندی پیشگیرانه برای جلوگیری از مشکلات ورود

برای جلوگیری از بروز مشکلات مشابه در آینده، می‌توان چندین اقدام پیشگیرانه انجام داد:

3.1. پیکربندی 2FA

با فعال کردن Two-Factor Authentication (2FA) برای تمامی کاربران، امنیت ورود به سیستم افزایش می‌یابد. این کار از ورود غیرمجاز حتی در صورت سرقت رمز عبور جلوگیری می‌کند.

3.2. پیکربندی محدودیت‌های IP

محدود کردن دسترسی به سرور از طریق آدرس‌های IP خاص می‌تواند از ورود غیرمجاز کاربران جلوگیری کند. این محدودیت‌ها می‌توانند از طریق فایل‌های پیکربندی مربوط به فایروال اعمال شوند.

3.3. بررسی لاگ‌ها و گزارش‌ها

برای شناسایی هرگونه تلاش غیرمجاز برای ورود به سیستم، باید لاگ‌های مربوطه را بررسی کرد. ابزارهایی مانند Imunify360 این امکان را به شما می‌دهند که لاگ‌ها را برای شناسایی تلاش‌های ناموفق ورود و اقداماتی که در پاسخ به آن‌ها انجام شده، تحلیل کنید.

---

جمع‌بندی

حل مشکلات ورود و بازیابی دسترسی یکی از جنبه‌های حیاتی مدیریت امنیت سیستم است. با استفاده از ابزارهای مختلف مانند بازنشانی رمز عبور، تغییر نقش کاربری، غیرفعال‌سازی موقت 2FA و بررسی محدودیت‌های دسترسی، می‌توان به‌راحتی دسترسی کاربران را بازیابی کرد. همچنین، با استفاده از پیکربندی‌های پیشگیرانه مانند 2FA، محدودیت‌های IP و بررسی مداوم لاگ‌ها، می‌توان از بروز مشکلات مشابه در آینده جلوگیری کرد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”رفع مشکلات احراز هویت دو مرحله‌ای (2FA)” subtitle=”توضیحات کامل”]احراز هویت دو مرحله‌ای (2FA) یکی از مؤثرترین روش‌ها برای افزایش امنیت در فرآیند ورود به سیستم‌ها و سرویس‌های مختلف است. با این حال، در برخی موارد ممکن است کاربران با مشکلاتی در استفاده از 2FA مواجه شوند. این مشکلات می‌توانند به دلایل مختلفی از جمله پیکربندی نادرست، مشکلات در ابزار احراز هویت یا از دست دادن دسترسی به دستگاه‌های 2FA باشد. در این بخش، به بررسی روش‌های رفع مشکلات 2FA پرداخته‌ایم.

1. مشکلات رایج 2FA و راه‌حل‌ها

1.1. عدم دسترسی به کد 2FA (Google Authenticator یا Authy)

یکی از رایج‌ترین مشکلات در سیستم‌های 2FA، عدم دسترسی به کدهای تولیدشده توسط اپلیکیشن‌های احراز هویت مانند Google Authenticator یا Authy است. این مشکل می‌تواند به دلایل مختلفی مانند تغییر دستگاه یا حذف اپلیکیشن بوجود آید.

راه‌حل‌ها:

• بازیابی از طریق ایمیل یا SMS: بسیاری از سیستم‌ها از روش‌های جایگزین مانند ارسال کد از طریق ایمیل یا پیامک (SMS) برای احراز هویت استفاده می‌کنند. بررسی تنظیمات 2FA برای فعال‌سازی این گزینه می‌تواند به حل مشکل کمک کند.
• پیکربندی مجدد 2FA: اگر دستگاهی که اپلیکیشن احراز هویت روی آن نصب شده تغییر کرده یا دسترسی به آن مشکل است، باید 2FA را مجدداً پیکربندی کنید.

برای غیرفعال کردن 2FA از طریق خط فرمان، می‌توان از دستور زیر استفاده کرد:

/usr/share/imunify360/scripts/disable_2fa.py --user=username

این دستور 2FA را برای کاربر مشخص شده غیرفعال می‌کند.

1.2. کدهای 2FA منقضی شده یا اشتباه

کدهای احراز هویت دو مرحله‌ای معمولاً دارای عمر کوتاه (معمولاً ۳۰ ثانیه) هستند و پس از گذشت این مدت زمان، منقضی می‌شوند. این مشکل ممکن است زمانی پیش بیاید که کاربر کد را دیر وارد کند یا زمان سرور و دستگاه کاربر هماهنگ نباشد.

راه‌حل‌ها:

• همگام‌سازی زمان: اطمینان حاصل کنید که ساعت سیستم دستگاهی که اپلیکیشن 2FA روی آن نصب شده، دقیق و همگام با ساعت سرور است.
• تولید مجدد کد: در صورت منقضی شدن کد، اپلیکیشن 2FA باید کد جدیدی تولید کند. این فرآیند خودکار است، بنابراین کاربر فقط باید منتظر کد جدید باشد.

1.3. فراموشی دستگاه احراز هویت

در برخی موارد، کاربر ممکن است دسترسی به دستگاهی که برای احراز هویت 2FA استفاده می‌شود را از دست بدهد (برای مثال، گوشی موبایل گم شود یا خراب شود).

راه‌حل‌ها:

• استفاده از گزینه‌های پشتیبان: بسیاری از سیستم‌ها هنگام فعال‌سازی 2FA، گزینه‌ای برای دریافت کد پشتیبان (Backup Codes) فراهم می‌کنند که می‌توان از آن‌ها برای بازیابی دسترسی استفاده کرد.
• غیرفعال کردن 2FA از راه دور: اگر دسترسی به دستگاه 2FA از دست رفته باشد، ممکن است نیاز به غیرفعال کردن موقت 2FA و پیکربندی مجدد آن باشد. دستور زیر برای غیرفعال‌سازی 2FA برای یک کاربر خاص استفاده می‌شود:

/usr/share/imunify360/scripts/disable_2fa.py --user=username

پس از آن، می‌توان 2FA را مجدداً تنظیم کرد.

1.4. مشکلات در اسکن QR Code

گاهی اوقات کاربر ممکن است نتواند QR Code مربوط به 2FA را به درستی اسکن کند. این مشکل معمولاً به دلیل نور محیط، کیفیت دوربین یا نمایش نادرست کد QR است.

راه‌حل‌ها:

• چک کردن کیفیت کد QR: اطمینان حاصل کنید که کد QR به وضوح نمایش داده شده و اسکن به درستی انجام می‌شود.
• استفاده از روش دستی: در صورتی که اسکن کد QR مشکل دارد، بسیاری از سیستم‌ها امکان وارد کردن دستی کلید مشترک (Shared Secret) را فراهم می‌کنند. این گزینه می‌تواند به عنوان جایگزین استفاده شود.

1.5. مشکل در همگام‌سازی با دستگاه جدید

اگر کاربر قصد انتقال اپلیکیشن 2FA از یک دستگاه به دستگاه دیگر را داشته باشد، این ممکن است منجر به مشکلاتی در همگام‌سازی کلیدهای 2FA شود.

راه‌حل‌ها:

• همگام‌سازی دستی: بسیاری از سیستم‌ها از روش‌های دستی برای انتقال کلیدهای 2FA بین دستگاه‌ها پشتیبانی می‌کنند.
• استفاده از کلید بازیابی (Recovery Key): در صورتی که از قبل کلید بازیابی تهیه شده باشد، می‌توان از آن برای فعال‌سازی مجدد 2FA استفاده کرد.

---

2. جلوگیری از مشکلات 2FA

برای جلوگیری از بروز مشکلات مشابه در آینده، می‌توان اقدامات پیشگیرانه‌ای انجام داد:

2.1. پیکربندی مجدد تنظیمات 2FA

اگر تنظیمات 2FA به درستی پیکربندی نشده باشند، ممکن است مشکلاتی برای کاربر ایجاد شود. پیکربندی دقیق و صحیح 2FA و اطلاع‌رسانی به کاربران در خصوص نحوه استفاده از آن می‌تواند از بروز مشکلات جلوگیری کند.

2.2. استفاده از اپلیکیشن‌های معتبر برای 2FA

استفاده از اپلیکیشن‌های معتبر و به‌روز مانند Google Authenticator، Authy یا Microsoft Authenticator برای احراز هویت دو مرحله‌ای توصیه می‌شود.

2.3. پشتیبان‌گیری از کدهای بازیابی

همیشه پیشنهاد می‌شود که کاربران کدهای پشتیبان یا کلید بازیابی را ذخیره کنند تا در صورت بروز مشکل، بتوانند از آن‌ها برای بازیابی دسترسی استفاده کنند.

---

جمع‌بندی

رفع مشکلات احراز هویت دو مرحله‌ای (2FA) نیازمند توجه به جزئیات مختلفی است. این مشکلات ممکن است ناشی از اشتباهات در اسکن کد QR، مشکلات در همگام‌سازی زمان، از دست دادن دستگاه احراز هویت، یا فراموشی رمز عبور و کد 2FA باشد. استفاده از روش‌های بازیابی مانند کدهای پشتیبان و بازنشانی تنظیمات 2FA می‌تواند به رفع این مشکلات کمک کند. همچنین، با پیکربندی دقیق و استفاده از اپلیکیشن‌های معتبر می‌توان از بروز مشکلات در آینده جلوگیری کرد.

 

 [/cdb_course_lesson][cdb_course_lesson icon=”fa fa-solid fa-circle-down” badge=”lecture” title=”بررسی و حل مشکلات مربوط به نقش‌های سفارشی” subtitle=”توضیحات کامل”]نقش‌های سفارشی یکی از ویژگی‌های قدرتمند در سیستم‌های مدیریت دسترسی هستند که به مدیران این امکان را می‌دهند تا دسترسی‌ها و مجوزهای مختلف را بر اساس نیازهای خاص تنظیم کنند. با این حال، گاهی اوقات مشکلاتی در پیکربندی یا استفاده از نقش‌های سفارشی به وجود می‌آید که می‌تواند منجر به مسائل امنیتی یا کارکرد نادرست سیستم شود. در این بخش از آموزش های ارائه شده توسط فرازنتورک، به بررسی مشکلات رایج در ارتباط با نقش‌های سفارشی و راه‌حل‌های آنها خواهیم پرداخت.

1. مشکلات رایج در استفاده از نقش‌های سفارشی

1.1. دسترسی‌های غیرمجاز یا ناکافی

یکی از مشکلات رایج در استفاده از نقش‌های سفارشی، اعطای دسترسی‌های غیرمجاز یا ناکافی به کاربران است. این مشکل معمولاً زمانی رخ می‌دهد که پیکربندی نقش‌ها به درستی انجام نشده باشد، یا هنگام تخصیص مجوزها، اشتباهی رخ داده باشد.

راه‌حل‌ها:

• بررسی مجوزهای نقش‌ها: برای رفع این مشکل، ابتدا باید مجوزهای اختصاص داده‌شده به نقش‌های سفارشی را بررسی کرده و مطمئن شوید که هیچ دسترسی غیرمجاز به کاربران داده نشده است. این کار را می‌توان با استفاده از دستورات خط فرمان یا رابط کاربری مدیریتی انجام داد.به عنوان مثال، اگر از Imunify360 استفاده می‌کنید، برای بررسی و اصلاح مجوزهای یک نقش سفارشی می‌توانید از دستور زیر استفاده کنید:

  /usr/share/imunify360/scripts/manage_roles.py --check-role permissions --role=custom_role_name
  

• تنظیم دقیق مجوزها: پس از بررسی دسترسی‌ها، مطمئن شوید که فقط به کاربران مجاز اجازه دسترسی داده شود و سایر دسترسی‌ها مسدود شوند. برای این منظور، باید مجوزهای مناسب را به نقش‌های سفارشی اعمال کنید.

1.2. مشکلات در اعمال تغییرات در نقش‌های سفارشی

گاهی اوقات تغییرات اعمال‌شده در نقش‌های سفارشی به درستی ذخیره نمی‌شوند یا در سیستم اعمال نمی‌شوند. این مشکل می‌تواند به دلیل خرابی در سیستم یا تنظیمات نادرست در سرور باشد.

راه‌حل‌ها:

• بازبینی فایل‌های پیکربندی: برای بررسی این مشکل، باید فایل‌های پیکربندی مربوط به نقش‌ها را در سیستم خود بازبینی کنید. برای مثال، در سیستم‌های مبتنی بر لینوکس، پیکربندی نقش‌ها معمولاً در فایل‌هایی مانند roles.conf ذخیره می‌شود.مسیر فایل پیکربندی در سیستم‌هایی مانند Imunify360 ممکن است به صورت زیر باشد:

  /etc/imunify360/roles.conf
  

  شما می‌توانید با استفاده از ویرایشگرهایی مانند nano یا vim این فایل‌ها را ویرایش کنید:

  sudo nano /etc/imunify360/roles.conf
  

• اعمال تغییرات به صورت دستی: پس از بررسی فایل‌های پیکربندی، تغییرات مورد نیاز را به صورت دستی اعمال کنید و اطمینان حاصل کنید که تغییرات ذخیره شده‌اند.

1.3. مشکلات در تخصیص نقش به کاربران

یکی دیگر از مشکلات رایج این است که نقش‌های سفارشی به درستی به کاربران تخصیص نمی‌یابند. این مشکل ممکن است به دلیل خطا در سیستم یا تنظیمات نادرست باشد.

راه‌حل‌ها:

• اطمینان از تخصیص درست نقش‌ها: ابتدا باید بررسی کنید که آیا نقش‌های سفارشی به درستی به کاربران تخصیص یافته‌اند یا خیر. این کار را می‌توان با استفاده از دستور زیر انجام داد:

  /usr/share/imunify360/scripts/manage_roles.py --assign-role --user=username --role=custom_role_name
  

• حذف و اختصاص مجدد نقش‌ها: اگر مشکلی در تخصیص نقش‌ها وجود دارد، می‌توانید نقش را از کاربر حذف کرده و مجدداً به کاربر تخصیص دهید:

  /usr/share/imunify360/scripts/manage_roles.py --remove-role --user=username --role=custom_role_name
  

  پس از آن، نقش را مجدداً تخصیص دهید.

1.4. مشکلات ناشی از تداخل نقش‌ها

گاهی اوقات ممکن است دو یا چند نقش به یک کاربر تخصیص داده شوند که این می‌تواند منجر به تداخل و مشکلات در عملکرد سیستم شود. در این صورت، کاربران ممکن است دسترسی‌های تداخل‌آمیز و متناقض دریافت کنند.

راه‌حل‌ها:

• بازنگری در تخصیص نقش‌ها: باید اطمینان حاصل کنید که به هر کاربر تنها یک نقش یا مجموعه‌ای از نقش‌ها که با یکدیگر تداخل نداشته باشند، اختصاص داده شده است.
• حذف نقش‌های اضافی: اگر نقش‌های اضافی تخصیص داده شده‌اند، باید آن‌ها را حذف کرده و تنها نقش‌های مورد نیاز را اعمال کنید. برای این کار از دستور زیر استفاده کنید:

  /usr/share/imunify360/scripts/manage_roles.py --remove-role --user=username --role=extra_role_name
  

---

2. پیشگیری از مشکلات در آینده

2.1. مستندسازی نقش‌ها و مجوزها

برای جلوگیری از بروز مشکلات مشابه در آینده، باید مستندات دقیقی از نقش‌های سفارشی و مجوزهای مربوط به هر یک ایجاد شود. این مستندات باید شامل اطلاعاتی از قبیل نام نقش، مجوزهای اختصاص‌یافته، و کاربران تخصیص داده‌شده باشد.

2.2. استفاده از نقش‌های استاندارد

در صورتی که مشکلات نقش‌های سفارشی به صورت مکرر رخ می‌دهد، می‌توان از نقش‌های استاندارد و از پیش تعریف‌شده برای تخصیص دسترسی‌ها استفاده کرد. در صورتی که نیاز به نقش‌های سفارشی باشد، باید دقت بیشتری در پیکربندی آن‌ها به خرج داد.

2.3. نظارت و بازبینی دوره‌ای نقش‌ها

نظارت منظم بر نقش‌های تخصیص‌یافته و بررسی آن‌ها از نظر صحت و کارکرد صحیح، می‌تواند از بروز مشکلات در آینده جلوگیری کند.

---

جمع‌بندی

مشکلات در استفاده از نقش‌های سفارشی می‌تواند به دلیل اشتباهات در تخصیص مجوزها، عدم اعمال تغییرات یا مشکلات ناشی از تداخل نقش‌ها بوجود آید. برای حل این مشکلات، باید به دقت مجوزهای نقش‌ها را بررسی کرده و مطمئن شوید که هیچ دسترسی غیرمجاز یا ناکافی اعطا نشده است. همچنین، مستندسازی نقش‌ها و استفاده از نقش‌های استاندارد می‌تواند از بروز مشکلات مشابه در آینده جلوگیری کند.

 

 [/cdb_course_lesson][/cdb_course_lessons][cdb_course_lessons title=”پاسخ به سوالات فنی کاربران”][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”free” title=”پشتیبانی دائمی و در لحظه” subtitle=”توضیحات کامل”]ما در این دوره تمام تلاش خود را کرده‌ایم تا محتوایی جامع و کاربردی ارائه دهیم که شما را برای ورود به دنیای حرفه‌ای آماده کند. اما اگر در طول دوره یا پس از آن با سوالات فنی، چالش‌ها یا حتی مشکلاتی در اجرای مطالب آموزشی مواجه شدید، نگران نباشید!

1. پرسش‌های شما، بخش مهمی از دوره است:
   هر سوال یا مشکلی که مطرح کنید، با دقت بررسی شده و پاسخ کامل و کاربردی برای آن ارائه می‌شود. علاوه بر این، سوالات و پاسخ‌های شما به دوره اضافه خواهند شد تا برای سایر کاربران نیز مفید باشد.
2. پشتیبانی دائمی و در لحظه:
   تیم ما همواره آماده پاسخگویی به سوالات شماست. هدف ما این است که شما با خیالی آسوده بتوانید مهارت‌های خود را به کار بگیرید و پروژه‌های واقعی را با اعتماد به نفس کامل انجام دهید.
3. آپدیت دائمی دوره:
   این دوره به طور مداوم به‌روزرسانی می‌شود تا همگام با نیازهای جدید و سوالات کاربران تکمیل‌تر و بهتر گردد. هر نکته جدید یا مشکل رایج، در نسخه‌های بعدی دوره قرار خواهد گرفت.

حرف آخر

با ما همراه باشید تا نه تنها به مشکلات شما پاسخ دهیم، بلکه در مسیر یادگیری و پیشرفت حرفه‌ای، شما را پشتیبانی کنیم. هدف ما این است که شما به یک متخصص حرفه‌ای و قابل‌اعتماد تبدیل شوید و بتوانید با اطمینان پروژه‌های واقعی را بپذیرید و انجام دهید.

📩 اگر سوالی دارید یا به مشکلی برخوردید، همین حالا مطرح کنید!
ما در کوتاه‌ترین زمان ممکن پاسخ شما را ارائه خواهیم داد. 🙌[/cdb_course_lesson][/cdb_course_lessons]