نوشته های mr

لینوکس امن نیست!

__mr__ — Sat, 29 Apr 2023 04:11:39 +0330

سلام رفقا.امیدوارم که حالتون خوب باشه.چند وقت پیش یکی از دوستام یه کلیپ بامزه برام فرستاد درباره‌ی طرفدارای متعصب لینوکس که توش می‌گفت «‌فلانی بیا لینوکس نصب کن. لینوکس خیلی امنه. ویروسی نمیشه و... »به نظرم اومد بهونه‌ی خوبی می‌تونه باشه که اولا یه پستی درباره‌اش بنویسم تا این قضیه رو یکم شفاف سازی کنیم و دوما بعد مدت ها نوشتن توی ویرگول رو ادامه بدم. :)می‌تونم به جرئت بگم کسایی که عنوان این پست رو می‌خونن و از امنیت سر در میارن، یا با زیر و بم لینوکس آشنا هستن درک می‌کنن که چرا لینوکس امن نیست.بیایید با جمله‌ی « لینوکس ویروسی نمیشه » شروع کنیم. آیا لینوکس ویروسی نمیشه؟ چرا، میشه. خوب هم میشه! مگه همین اندرویدی که رو گوشیا نصبه لینوکس نیست؟ هر سال میلیون ها بدافزار اندرویدی نصب میشه و گوشی کاربرا رو آلوده می‌کنه (جدا از بحث جالبه بدونید اکثر این آمارا مربوط به کاربرای ایرانی میشه! آمار کامل رو می‌تونید از اینجا ببینید).ما می‌تونیم با اطمینان بگیم که لینوکس در برابر ویروس ها نسبت به بقیه‌ی سیستم عامل مقاوم تره؛ بخاطر یه سری مکانیزم ها مثل سطح دسترسی ها حتی اگه سیستم لینوکسی‌تون به ویروس آلوده بشه بعیده که فایلای حیاتی سیستم‌تون خراب بشه و در کل برای سیستم مشکلی پیش بیاد. در بدترین حالت فقط فایلای یوزرتون دچار مشکل میشن.اما دلیلی که باعث میشه آمار قربانی های حمله های ویروسی به سیستم های لینوکسی خیلی کمتر از سیستم عامل های دیگه باشه (که در نتیجه‌اش بگن « لینوکس ویروسی نمیشه ») برمیگرده به کم بودن تعداد کاربرای لینوکسی. :)تعداد کاربرایی که از لینوکس برای محیط دسکتاپ‌شون استفاده میکنن خیلی کمتر از کاربرای سیستم عامل های دیگه‌اس. درسته که لینوکس روی اکثر سرورای دنیا ران میشه. ولی طبیعت ویروس های کامپیوتری اینطوریه که برای انجام دادن کارای مخرب‌شون نیاز دارن که اجرا (execute) بشن. درست مثل یه ویروس واقعی که خارج از بدن یه موجود زنده فعالیتی نداره. این اتفاق روی سرورا (که یه برنامه‌ی ناشناس اجرا بشه) به ندرت اتفاق نمیفته. ولی مطمئنم بار ها دیدین که کاربرا برنامه های دسکتاپ یا موبایل ناشناس یا ماد شده نصب میکنن که احتمال ویروسی بودنشون به شدت بالاس.خب تا اینجا این گزاره‌ی « لینوکس ویروسی نمیشه » رو رد کردیم. اما لینوکس فقط بخاطر این قضیه نا امنه؟ خب نه! گفتیم لینوکس بخاطر این می‌تونه به ویروس آلوده بشه چون یه کاربر لینوکسی همونقدر راحت می‌تونه یه ویروس رو روی سیستمش اجرا کنه که یه کاربر غیر لینوکسی می‌تونه.توی همه‌ی سیستم ها که یه سری مکانیزم امنیتی رو پیاده سازی میکنن، عامل های انسانی ضعف امنیتی محسوب میشن. حتی اگه تمام مکانیزم های امنیتی‌تون غیر قابل نفوذ باشن همچنان عامل های انسانی می‌تونن مشکل ساز بشن. با یه مثال بخوام بگم، منی که لینوکس دارم دلیل نمیشه کسی نتونه روم حمله‌ی phishing انجام بده. :)بیشترین حمله های سایبری فقط بخاطر سهل انگاری یا عدم آگاهی کاربرا اتفاق میفته. درسته که لینوکس بخاطر اون مکانیزم هایی که قبل تر گفتیم در مقابل خیلی چیزا مقاومه. ولی فقط کافیه رمز root رو جلوی یه غریبه بزنید؛ یا یه پکیج ناشناس رو سیستم نصب کنید؛ یا حواستون به اطلاعات سیستم‌تون نباشه (پورت های شبکه، استفاده‌ی cpu، ...)؛ اون موقعه که لینوکس‌تون دیگه واقعا امن نیست. :)البته از دلایل دیگه ای هم که لینوکس رو نا امن می‌کنه میشه به باگ های امنیتی که هر چند وقت یه بار تو کرنل لینوکس پیدا میشن اشاره کرد. ولی به لطف جامعه‌ی اوپن سورس و نرم افزار آزاد این جور باگ ها معمولا به سرعت برطرف میشن. در نتیجه اونقدر چیز بزرگی نیست. فقط یادتون باشه نسخه‌های stable کرنل رو روی سیستم‌تون داشته باشید. :)در کل به نظرم بهتره جمله‌ی « لینوکس امنه » رو به جمله‌ی « اگه به لینوکس وارد باشی و حواست رو جمع کنی، لینوکس امنه » تصحیح کنیم. چون اگه لینوکس صد در صد امن بود، شغلایی مثل System administrator اصلا به وجود نمیومدن.جمع بندی و تمام!اگه تا اینجای پست رو خوندید و انتظار داشتید که دلیل نا امن بودن لینوکس یه موضوع فنی و خفن مثل باور اورفلو و بک‌دور و این چیزا باشه ببخشید که ناامیدتون کردم. ولی دلیل ناامن بودن لینوکس همینقدر ساده‌اس. :)عامل انسانی بزرگترین مشکل امنیته. اونقدر بزرگه که حتی لینوکس هم در مقابلش امن نیست. سر همین موضوع هیچکس نمیتونه یه سیستم صد در صد غیر قابل نفوذ طراحی کنه. ما فقط می‌تونیم لایه های امنیتی سیستم‌مون رو قوی تر و بهتر کنیم که راه نفوذ بهش سخت تر بشه.از عبارت های قوی برای رمز یوزر ها استفاده کنید؛ login ها و logout های سیستم‌تون رو چک کنید؛ حواستون به Access level ها توی فایل ها و دایرکتوری ها باشه؛ پورت های شبکه رو چک کنید که مورد مشکوکی توشون نباشه. حواستون به process های سیستم‌تون باشه؛ از یوزر root تا جایی که می‌تونید استفاده نکنید؛ در کل سیستم‌تون رو مانیتور کنید.چندتا لینک مفید برای مطالعه‌ی بیشتر:https://ubuntu.com/blog/is-linux-securehttps://www.kaspersky.com/blog/the-human-factor-in-it-security/خب امیدوارم که با این پست حال کرده باشید. لایک و کامنت هم یادتون نره. شاد و خندون باشید. :)

مانیتورینگ در لینوکس

__mr__ — Tue, 12 Jan 2021 00:56:50 +0330

سلام رفقا ?امیدوارم حال‌تون خوب باشه ?بدون شک یکی از کارایی که هر ادمین لینوکسی باید بلد باشه system monitoring هستش. یعنی اینکه شما بتونید روی یک سیستم لینوکسی وضعیت استفاده ی سیستم از منابع مختلف (مثل cpu, ram, I/O,...) رو بررسی و تحلیل کنید.منم چند وقته چندتا ابزار خفن برای اینکار پیدا کردم و به نظرم اومد که معرفی اینا میتونه بهونه ی مناسبی واسه نوشتن یه مقاله باشه ?اول با ابزار های بیسیک شروع میکنیم، ولی قبل از اون اینم بگم که ابزار های مانیتورینگ واسه لینوکس خیلی زیاد پیدا میشه ولی اینجا من میخوام روی چندتا از این ابزار ها که تو محیط CLI میشه ازشون استفاده کرد حرف بزنم. پس بریم که داشته باشیم...psکامند ps برمیگرده به زمان unix! از پایه ترین و قدیمی ترین ابزار های مانیتورینگ هستش و از هر ادمین لینوکسی هم انتظار میره که بلد باشه وضعیت تسک های روی سیستم رو با ps چک کنه.mr@Legion:~$ ps PID TTY TIME CMD 7640 pts/1 00:00:00 bash 7717 pts/1 00:00:00 psکامند ps آپشن های مختلفی داره که هر کدوم‌شون کار خاصی انجام میدن. اگه بدون هیچ آرگومانی دستور ps رو وارد کنید‌ (مثال بالا) تسک هایی که توی shell فعلی تون دارن اجرا میشن رو بهتون نشون میده.معروف ترین آپشن های ps اینا هستن که تمام تسک های در حال اجرا رو تو خروجی چاپ میکنن:$ ps -el$ ps -auxآپشن el با فرمت استاندارد یونیکس خروجی رو چاپ میکنه ولی aux با فرمت BSD خروجی رو چاپ میکنه.توصیه میکنم آپشن های کامند ps رو از man page اش بخونید.کامند pstree مشابه ps عمل میکنه فقط خروجی رو به صورت یک نمودار درختی چاپ میکنه.topیکی دیگه از قدیمی ترین ابزار های مانیتورینگ لینوکس دستور top هستش. با استفاده از دستور top شما میتونید به صورت تعاملی تسک های سیستم رو بررسی کنید و اونا رو مدیریت کنید.محیط topکامند top اطلاعات مفیدی در مورد وضعیت سیستم بهتون میده. به طور مثال تو عکس بالا میتونیم وضعیت cpu، وضعیت حافظه ram، وضعیت حافظه swap، تعداد کل تسک ها و خیلی چیزای دیگه رو ببینیم. با کامند top حتی میتونیم به صورت تعاملی یک سیگنال KILL یا TERM یا هر سیگنالی به تسک ها بفرستیم و اونا رو متوقف و یا kill کنیم.در کل کارای زیادی میشه با کامند top انجام داد. ولی بعضی از این کارا نیاز به دسترسی root داره.lsofکسایی که با لینوکس آشنا هستن این مفهوم رو خوب درک میکنن که « تو لینوکس هر چیزی یا یه فایله، یا یه تسک (process) »فایل ها میتونن یه تکست فایل معمولی باشن یا میتونن دایرکتوری، نتورک سوکت، بلاک دیوایس و... باشن.کامند lsof لیست فایل هایی که در حال حاضر باز هستن رو بهتون نشون میده.# lsof COMMAND PID TID TASKCMD USER FD TYPE DEVICE SIZE/OFF NODE NAME systemd 1 root cwd DIR 8,3 4096 2 / systemd 1 root rtd DIR 8,3 4096 2 / systemd 1 root txt REG 8,3 1620224 917813 /usr/lib/systemd/systemd systemd 1 root mem REG 8,3 1369352 919687 /usr/lib/x86_64-linux-gnu/libm-2.31.so systemd 1 root mem REG 8,3 178528 919871 /usr/lib/x86_64-linux-gnu/libudev.so.1.6.17 systemd 1 root mem REG 8,3 1575112 927089 /usr/lib/x86_64-linux-gnu/libunistring.so.2.1.0 systemd 1 root mem REG 8,3 137584 926312 /usr/lib/x86_64-linux-gnu/libgpg-error.so.0.28.0 systemd 1 root mem REG 8,3 67912 918134 /usr/lib/x86_64-linux-gnu/libjson-c.so.4.0.0 systemd 1 root mem REG 8,3 34872 925845 /usr/lib/x86_64-linux-gnu/libargon2.so.1 ...یکی از کاربرد های lsof آپشن -i هستش که لیست سوکت های نتورک رو بهتون نشون میده. باهاش میتونید پورت های باز و برنامه ای که از اون پورت استفاده میکنه رو ببینید.خروجی کامند lsof -idu, dfاین دوتا کامند برای مانیتورینگ disk usage استفاده میشن. با استفاده از df میتونید میزان استفاده از فضای فایل سیستم تون رو ببینید و du میزان حجم اشغال شده روی فایل سیستم رو بهتون میگه. (در واقع du تمام فایل های فایل سیستم رو میگرده و مقدار حجم اشغال شده توسط این فایل ها رو بهتون میگه)خروجی کامند dfاینا ابزار های بیسیکی بودن که تقریبا تو هر سیستم لینوکسی پیدا میشن. کامند های زیر هم واسه کارهای مختلف تو مانیتورینگ استفاده میشن.free: مقدار حافظه ی آزاد و اشغال شده ی رم رو نشون میدهiotop: وضعیت I/O رو به صورت تعاملی مثل کامند top نشون میدهnetstat: تقریبا هر اطلاعاتی در مورد وضعیت نتورک سیستم رو بهتون نشون میدهvmstat: وضعیت حافظه ی مجازی سیستم رو نشون میدهtcpdump: ترافیک ورودی شبکه تون رو آنالیز میکنهالان میخوایم بریم سراغ ابزار هایی که کار مانیتورینگ رو تا حدودی راحت تر کردن و کمی هم بهش رنگ و لعاب دادن تا قشنگ تر به نظر برسه. این ابزار ها مثل یه پکیج از کامند هایی بودن که تا الان دیدیم. قبل از اون اینو بگم که به نظر من بهتره به عنوان یک ادمین لینوکس بیشتر بلد باشید با کامند های بیسیک لینوکس کار کنید. (این چیزیه که من درباره اش خوندم، و به نظرم حرف درستیه)htopبعد از کامند top شاید معروف ترین ابزار واسه مانیتورینگ سیستم به صورت تعاملی کامند htop باشه. htop یه محیطی شبیه top در اختیارتون قرار میده که از طریق اون میتونید اطلاعاتی در مورد سیستم تون (مثل میزان مصرف cpu، میزان مصرف ram و swap، لیست تسک ها و...) رو ببینید. تقریبا رو همه ی توزیع های لینوکس هم ران میشه. محیط htopbpytopابزار bpytop هم مثل htop و top یه ابزار دیگه واسه ریسورس مانیتورینگ تو سیستم عامل هایی مثل لینوکس، BSD، مک او اس و... استفاده میشه و با زبان پایتون نوشته شده که امکانات زیادی رو در اختیارتون قرار میده.نکته ای که در مورد bpytop بهتره بدونید اینه که نسخه ی قبلی این برنامه اسمش bashtop بود، ولی توسعه دهنده هاش توصیه میکنن از bpytop استفاده کنید.محیط bpytopglancesیکی دیگر از محبوب ترین ابزار های مانیتورینگ در لینوکس ابزار glances است. این برنامه هم مثل bpytop با پایتون نوشته شده. با استفاده از glances شما میتونید یه وب سرور راه اندازی کنید و از طریق یه وب بروزر سیستم تون رو مانیتور کنید. این یعنی شما میتونید حتی از طریق گوشی هم سیستم تون رو مانیتور کنید.محیط glances در ترمینالمحیط glances روی وب بروزر گوشیبازم میگم؛ ابزار های مونیتورینگ لینوکس خیلی زیادن. چه تو محیط CLI و چه محیط GUI. مهم تر از ابزاری که نصب میکنید اینه که بتونید اطلاعاتی که این برنامه ها بهتون میدن رو تحلیل و بررسی کنید و بر اساس تحلیل تون تصمیم بگیرید.لینک گیت هاب htopلینک گیت هاب bpytopلینک گیت هاب glancesلینک گیت هاب خودم :)خب امیدوارم که این مقاله براتون مفید بوده باشه. ?اگه سوالی یا نظری داشتید بهم بگید. اگه کمکی از دستم بر بیاد خوشحال میشم بتونم کاری بکنم.و...شاد و خندون باشید. ?

راه اندازی MySql روی جنگو

__mr__ — Fri, 18 Dec 2020 14:49:43 +0330

سلام رفقا ?امیدوارم حال‌تون خوب باشه ?عنوان مقاله داره همه چیز رو میگه! میخوایم MySql رو روی جنگو نصب کنیم. در واقع میخوایم ارور هایی که موقع نصب MySql رو جنگو ممکنه اتفاق بیفته رو بررسی کنیم و درست شون کنیم. پس بریم که داشته باشیم...شما زمانی که یک پروژه ی جنگو رو استارت میزنید به طور پیشفرض از Sqlite برای ذخیره‌ی دیتا استفاده میکنه. اما اگه بخواید از MySql یا هر دیتابیس دیگه ای استفاده کنید یه کارایی باید انجام بدید.واسه ی نصب بقیه ی دیتابیس ها میتونید داکیومنت جنگو رو چک کنید. ولی تو این مقاله من میخوام درباره ی نصب MySql حرف بزنم.به طور معمول زمانی که بخواید تو جنگو MySql رو جایگزین Sqlite کنید باید قسمت DATABASES فایل settings.py رو به این شکل تغییر بدین:DATABASES = { 'default': { 'ENGINE': 'django.db.backends.mysql', 'NAME': '', 'USER': '', 'PASSWORD': '', 'HOST': 'localhost', 'PORT': '3306', } }طبیعتاً از قبل باید MySql رو نصب کرده باشید و یک یوزر و پسورد و دیتابیس داخلش درست کرده باشین.‌ (استفاده از یوزر root توصیه نمیشود ?)اگه به همین شکل سرور رو ران کنید احتمالا به یه ارور طولانی میخورید که تهش اینو نوشته:django.core.exceptions.ImproperlyConfigured: Error loading MySQLdb module. Did you install mysqlclient?جنگو به یه جور کلاینت (یا دقیق تر بخوام بگم یه DB API driver) نیاز داره تا بتونه با دیتابیس MySql ارتباط داشته باشه. چیزی که خود ارور گفته اینه که mysqlclient رو نصب کنید.خب الان دوتا انتخاب داریم،‌ نصب خود mysqlclient که توسط داکیومنت جنگو هم پیشنهاد شده؛ یا نصب PyMySql.نصب mysqlclientواسه نصب mysqlclient کامند زیر رو توی ترمینال بزنید:$ pip3 install mysqlclientکه احتمالا بعدش همچین اروری میبینید: ERROR: Command errored out with exit status 1: command: /bin/python3 -c 'import sys, setuptools, tokenize; sys.argv[0] = '"'"'/tmp/pip-install-hxa4odvx/mysqlclient/setup.py'"'"'; __file__='"'"'/tmp/pip-install-hxa4odvx/mysqlclient/setup.py'"'"';f=getattr(tokenize, '"'"'open'"'"', open)(__file__);code=f.read().replace('"'"'\r\n'"'"', '"'"'\n'"'"');f.close();exec(compile(code, __file__, '"'"'exec'"'"'))' egg_info --egg-base /tmp/pip-install-hxa4odvx/mysqlclient/pip-egg-info cwd: /tmp/pip-install-hxa4odvx/mysqlclient/ Complete output (12 lines): /bin/sh: 1: mysql_config: not found /bin/sh: 1: mariadb_config: not found /bin/sh: 1: mysql_config: not found Traceback (most recent call last): File "", line 1, in File "/tmp/pip-install-hxa4odvx/mysqlclient/setup.py", line 15, in metadata, options = get_config() File "/tmp/pip-install-hxa4odvx/mysqlclient/setup_posix.py", line 65, in get_config libs = mysql_config("libs") File "/tmp/pip-install-hxa4odvx/mysqlclient/setup_posix.py", line 31, in mysql_config raise OSError("{} not found".format(_mysql_config_path)) OSError: mysql_config not found ---------------------------------------- ERROR: Command errored out with exit status 1: python setup.py egg_info Check the logs for full command output.خط ۱۶ رو یه بار دیگه ببینید: OS Errorیه سری پیش نیاز برای نصب mysqlclient روی سیستم عامل های مختلف باید نصب شه. بر اساس سیستم عاملی که رو سیستم تون دارید دستورات زیر رو وارد کنید:sudo apt-get install python-dev default-libmysqlclient-dev # Debian / Ubuntusudo yum install python-devel mysql-devel # Red Hat / CentOSحالا دوباره دستور نصب mysqlclient رو امتحان کنید. الان جنگو میتونه با دیتابیس مون ارتباط برقرار کنه.نصب PyMySqlروش دوم نصب PyMySql هستش که دوستان برنامه نویس میگن ظاهرا ناسازگاره (incompatible)ولی خب من از PyMySql استفاده میکنم و تا حالا به مشکلی نخوردم.به هر حال... واسه نصب PyMySql کافیه کامند زیر رو وارد کنید:$ pip3 install pymysqlبعد از اینکه PyMySql نصب شد باید تو فایل init__.py__ که کنار فایل settings.py قرار داره این کد رو اضافه کنید:import pymysql pymysql.install_as_MySQLdb()الان نصب PyMySql تمومه. فقط موقع ران سرور دوتا ارور ممکنه بده. اگه mysqlclient رو نصب کرده باشید و نسخه اش به جنگو نخوره ارور میده. واسه اینکه جلوی این ارور رو بگیرید میتونید mysqlclient رو حذف کنید یا اگه نمیخواید حذفش کنید باید برید تو فایل های جنگو به آدرسenv/lib/python3.5/site_packages/django/db/backends/mysql/base.pyو این قسمت کد رو پیدا کنید:version = Database.version_info if version < (1, 3, 13): raise ImproperlyConfigured('mysqlclient 1.3.13 or newer is required; yo u have %s.' % Database.__version__)قسمت raise رو کامنت کنید و به ادامه اش یه pass اضافه کنید.یه ارور دیگه هم ممکنه باز از فایل های جنگو بگیرید: query = query.decode(errors='replace') AttributeError: 'str' object has no attribute 'decode'برای اینکه جلوی این ارور رو هم بگیرید باید برید تو فایلenv/lib/python3.8/site-packages/django/db/backends/mysql/operations.pyو این قسمت کد رو پیدا کنید:if query is not None: query = query.decode(errors='replace') return queryقسمت query رو کامنت کنید و به پایینش یه pass اضافه کنید.و تمام... ?خب امیدوارم تو نصبش به مشکل نخورید. اگر هم به مشکل خوردید تو قسمت نظرات بهم بگید. اگه کمکی از دستم بر بیاد خوشحال میشم بتونم کاری بکنم.شاد و خندون باشید. ?

نوشته های __mr__

لینوکس امن نیست!

مانیتورینگ در لینوکس

راه اندازی MySql روی جنگو

نوشته های mr