https://virgool.io/feed/@aechabok کارشناس ارشد نرم‌افزار، برنامه نویس خوشحال، مدیر سرورهای لینوکس پایه، عاشق نوآوری و چالش fa 2026-04-15 02:52:11 https://files.virgool.io/upload/users/25322/avatar/FZ49qh.jpeg?height=120&width=120 https://virgool.io/@aechabok https://virgool.io/@aechabok/%D8%AA%D8%AC%D8%B1%D8%A8%D9%87-%D9%87%D8%A7%DB%8C-%D8%B4%D8%AE%D8%B5%DB%8C-%D8%A8%D8%B1%D8%A7%DB%8C-%D8%AF%D8%B1%DB%8C%D8%A7%D9%81%D8%AA-%D9%85%D8%AC%D9%88%D8%B2-%D9%85%DA%A9%D9%86%D8%A7-%DB%B4-juop3lwh4c5z اول سلام، دوم ممنون بابت پیگیریها، لایکها و نظرات خوبتون در لینکدین و ویرگول، سوم عذر تقصیر بابت غیبت طولانی مدتم. بخش سوم (پیگیری تغییرات فایلها Audit)یکی از ابزارهای مرسوم برای پیگیری تغییرات بر روی فایل ها در سیستم عامل لینوکس، مانند تغییر محتوا، حذف یا اضافه کردن یک فایل از یا به یک مسیر خاص و موارد اینچنینی رو با ابزار audit در لینوکس و ویندوز رهگیری و ثبت میکنند. برای مثال فرض کنید می خواهید پیگیری کنید چه افرادی فایل etc/passwd/ را توسط چه ابزار (مانند tail, head, nano یا vi) در چه زمان و تاریخی خوانده اند. توسط ابزار audit و تعریف یک رول بر روی فایل مربوطه اطلاعات فوق ثبت می شوند. audit دارای یک فرایند پس زمینه به نام auditd است که تمامی کنترل های لازم را انجام می دهد. همچنین شامل دو فایل auditd.conf که فایل پیکربندی تنظیمات فرایند پس زمینه auditd و فایل audit.rules که مربوط به تعریف رول‌هایی است که در زمان راه اندازی خوانده و بارگذاری می شوند. اگر ابزار audit روی سیستم عامل شما نصب نیست، می‌توانید توسط دستورهای زیر به ترتیب در توزیع های مبتنی بر ردهت و توزیع های مبتنی بر دبیان اقدام به نصب این ابزار کنید.yum install auditapt-get install auditبعد از نصب و فعال کردن سرویس، باید رولهای مدنظر خودتون را تعریف کنید. برای انجام این مورد به صورت دستی با تغییر دادن فایل audit.rules و یا با استفاده از دستور auditctl این کار قابل انجام خواهد بود. برای مثال دستور زیر با استفاده از auditctl یک رول بر روی فایل etc/passwd/ تعریف می کند. auditctl -w /etc/passwd -k passwd -p raسوئیچ w- برای معرفی مسیر کامل فایل مدنظرتون و سوئیچ k- برای تعریف یک فیلتر که یک رشته منحصر به فرد برای شناختن رول مدنظرتون خواهد بود تعریف می کند. توسط این رشته منحصر به فرد، یک رول خاص را از میان چندین رول برای گرفتن اطلاعاتی از آن توسط دستور ausearch استفاده می کنیم. جلوی سوئیچ p- بر اساس نیاز شما یکی از مقدارهای زیر قرار می‌گیرد.مقدار r یا read: هر وقت فایل خوانده شد نام و گروه اصلی کاربر و زمان و تاریخ و دستوری که با آن فایل را خوانده ثبت می کند.مقدار w یا write: هر وقت بر روی فایل نوشته شد (تغییر کرد) نام و گروه اصلی کاربر و زمان و تاریخ و دستوری که با آن بر روی فایل نوشته است را ثبت می کند.مقدار a یا attribute: هر وقت یکی از خصوصیت های فایل تغییر کرد نام و گروه اصلی کاربر تغییر دهنده خصوصیت فایل و زمان و تاریخ تغییر خصوصیت ثبت می کند.مقدار x یا execute: هر وقت فایلی اجرا شد (مانند اجرای یک اسکریپت) نام و گروه کاربر اجرا کننده و زمان و تاریخ اجرا را ثبت می کند.یادتون باشه پس از هر تغییر روی رولهای فایل audit.rules حتما باید سرویس auditd را restart کنید. برای انجام این کار هم میتونید از هرکدوم از دستورات زیر که خواستید استفاده کنید./etc/init.d/auditd restartservice auditd restartخب تا اینجا مفهوم audit رو کامل فهمیدیم، روش تنظیم audit را یاد گرفتیم و راه اندازی مجدد سرویسش را هم انجام دادیم. حالا بریم سراغ اینکه برای مکنا لازمه ما چه بخشهایی از سیستم را audit کنیم.اصولا مکنا بر اساس آخرین نسخه کتابهای CIS اقدام به کنترل audit برنامه ها و فایلهاتون میکنه ولی اگر بخوام به طور خلاصه بهتون یک لیست مختصر بدم تا سرعت کارتون در انجام این روند بالاتر بره میتونم به موارد زیر اشاره کنم:فایل مربوط به اطلاعات کاربران و گروههای سیستمکلیه فایلهای مربوط به داکر، تنظیمات، کانتینرها، سکرت کدها، و داکر کامپوزهاکلیه فایل تنظیمات دیتابیسهای mysql یا pgsqlکلیه تنظیمات grub و بوت سیستم عاملکلیه فایلهای تنظیمات auditکلیه فایلهای تنظیمات شبکه، هاست، sudoer و ....نکته مهم ۱: مسیرهایی که به audit اضافه میکنید را حتما چک کنید که روی سیستم وجود داشته باشند، به عنوان تجربه خودم یکی از مسیرهای مخصوص داکر رو بر اساس کتاب CIS به audit اضافه کردم در حالی که اون فایل روی سیستم عامل سرور من موجود نبود و همین عامل باعث شده بود تا audit نتونه اون فایل رو پیدا بکنه و دچار مشکل بشه، جالب اینجا بود که سرویس audit با خطا مواجه نشده بود و داشت کارش رو بدرستی انجام میداد اما بر اساس دستور زیر:grep modules /etc/audit/audit.rulesکه برای تست رولهای audit استفاده میشه موقع تست این بخش توسط مکنا هیچ خروجی نگرفتیم و کارشناس مکنا نتیجه گرفت که سرویس audit ما روی داکر فعال نیست و باعث به تاخیر افتادن تایید اون بخش از روند بررسی مکنا شد. پس حتما و حتما مسیرهایی که به رولهای audit اضافه میکنید رو بررسی کنید تا دچار این مشکل نشوید.نکته مهم ۲: برای اضافه کردن رولهایی مورد نظر خودتون حتما اونها را به صورت گروه بندی شده در فایلهای مجزا در مسیر زیر /etc/audit/auditd.d/اضافه کنید. خود auditd به صورت اتوماتیک بعد از راه اندازی مجدد، تجمیع تمام تنظیمات اعمال شده در مسیر فوق را به فایل audit.rules اضافه میکند و اگر فایلی در مسیر بالا نداشته باشید و یا تنظیمات خودتون رو به صورت دستی در فایل audit.rules وارد کرده باشید به صورت کامل پاک میکنه و به حالت پیش فرض برمی‌گردونه، پس یادتون باشه حتما و حتما رولهای خودتون را به صورت مرتب (برای راحتی خودتون در جستجو) و حل این روند تصمیم گیری audit بعد از هر راه اندازی مجدد در مسیر ذکر شده در بالا ذخیره کنید. خب برای بخش پیگیری تغییرات فایلها فکر میکنم تا همین حد توضیحات کافی باشه و مسیر رو براتون مشخص کرده باشه، طبق معمول اگر کمکی خواستید میتونید به لینکدینم مراجعه کنید.برای مطلب بعدی به ابزار apparmor خواهم پرداخت پس تا بعد ? امیر اعزازی امیر اعزازی Wed, 03 Aug 2022 03:22:26 +0430 https://virgool.io/@aechabok/%D8%AA%D8%AC%D8%B1%D8%A8%D9%87-%D9%87%D8%A7%DB%8C-%D8%B4%D8%AE%D8%B5%DB%8C-%D8%A8%D8%B1%D8%A7%DB%8C-%D8%AF%D8%B1%DB%8C%D8%A7%D9%81%D8%AA-%D9%85%D8%AC%D9%88%D8%B2-%D9%85%DA%A9%D9%86%D8%A7-%DB%B3-ziulph5jkfj5 چون داریم به جاهای امنیتی میرسیم و توجه و دقت زیادی لازم دارید، تعارفات معمول رو میزاریم کنار ?پس فقط سلامبخش دوم (کنترل های امنیتی CIS)حملات امنیت سایبری به سرعت در حال افزایش و تحول هستند بطوریکه امروزه پیشگیری و دفاع در برابر آنها دشوارتر از همیشه شده است. بنابراین ممکن است این سوال برای شما پیش بیاد که شما برای شناسایی، خنثی کردن و نظارت بر تهدیدات خارجی و داخلی برای جلوگیری از نقض امنیت برنامه هاتون، برای تسهیل دریافت خدمات از مکنا باید چه روندی رو طی کنید؟خب پیشنهاد کارشناسان مکنا استفاده از کنترلهای امنیتی ۲۰ گانه CIS برای افزایش امنیت سرورهای برنامه‌هاتون خواهد بود و پیشنهاد من اگر لینوکس کار میکنید اضافه کردن کنترلهای امنیتی مثل رمزهای عبور زمانی بر روی اتصال ssh، جلوگیری از ddos، جلوگیری از روتینگ روی iptable و .... هست که بمرور در ادامه این پستها توضیح خواهم داد.خب حالا ببینیم کنترلهای امنیتی CIS دقیقا چیه، توصیه های CIS رو باید از کجا پیدا کرد و چطوری روی سرورها اعمالشون کرد.کنترل های امنیتی حیاتی 20 گانه موسوم به CIS CSC 20 که توسط موسسه CIS یا Center for Internet Security‌ منتشر شده اند، به عنوان بهترین دستورالعمل های اجرایی در تأمین امنیت سایبری شناخته می شوند. لازم به ذکر است، این پروژه در سال 2008 به دنبال بروز آسیب های شدید امنیتی در سازمان های دفاعی امریکا کلید خورد و در ابتدا موسسه SANS اقدام به تهیه این دستورالعمل ها کرده بود. با توجه به اینکه توصیه‌ها و کنترل های CIS بر اساس حملات واقعی تنظیم شده‌اند، پیروی و اعمال تنظیماتش بر روی سرورهاتون یک چارچوب امنیتی مؤثر برای برنامه‌های شما ایجاد میکنند.برای پیداکردن آخرین ورژن توصیه های امنیتی CIS لازمه که به این سایت مراجعه کنید و با ثبت درخواست و آدرس پست الکترونیک خودتون، لیست اخرین و بروزترین CIS ها را به صورت یک مجموعه فایل Pdf دریافت کنید. اگر علاقه دارید این فایلهارو به صورت چاپ شده در اختیار داشته باشید، در صورتیکه خارج از ایران هستید از سایت آمازون و درصورتی که داخل ایران هستید از طریق کانال تلگرام اسکای‌بوک میتونید کتابهای چاپ شده این مجموعه امنیتی رو سفارش بدید.مجموعه راهنماهای CIS کاملا کاربردی تهیه شده یعنی شما خیلی راحت میتونید توصیه‌ها رو بخونید، مقادیر امنیتی پیشفرض سیستم رو ببینید، مقدارها و تنظیماتی که باید بازنویسی بشوند رو یاد بگیرید و اعمالشون کنید. اگر مثل من حوصله خوندن داشته باشید توصیه میکنم برای هر مبحثی که دارید روش کار میکنید چه سیستم عامل باشه یا دیتابیسهایی مثل Oracle، MySql و یا داکر توصیه‌ها، راهنماها و دستورات رو کامل بخونید، اگرم فقط میخواید سیستمتون امن بشه و حوصله خوندن ندارید میتونید از روی فایل Pdf دستورات کنترلی رو کپی کنید، اجرا کنید و خروجی دستورات رو با مقادیر امنیتی چک کنید و در صورت مغایرت اونهارو اصلاح کنید. یکی از مواردی که بعد از خواندن مجموعه کتابهای CIS نظرتون رو جلب خواهد کرد توجه ویژه به Auditing هست. حالا اینکه audit چیه و چکار میکنه و توی مکنا چه مواردی رو باید audit کنیم باشه برای پست بعدی امیر اعزازی امیر اعزازی Mon, 11 Jul 2022 22:00:30 +0430 https://virgool.io/Rocket/%D8%B3%D8%AF%DB%8C-%D8%A8%D9%87-%D9%86%D8%A7%D9%85-%D9%85%D8%AC%D9%88%D8%B2-%D9%85%DA%A9%D9%86%D8%A7-%DB%B2-jpcfhilzyzq6 چون داریم به جاهای فنی و خوبش میرسیم، تعارفات معمول رو میزاریم کنار ? پس فقط سلاماگر دارید مطالب با عنوان مکنا رو میخونید و از ابتدا با ما همراه نبودید میتونید پست اولم رو از اینجا مشاهده کنید.برای اینکه مطالب مرتب و دسته بندی شده باشه بخش به بخش مطالب رو جلو میبریم.بخش اول (زیرساخت):زیرساخت یکی از اساسی ترین مواردی هست که برای مکنا باید روی آن سرمایه گذاری کنید. تا لحظه نوشتن این پست شرکتهای خدمات ابری مثل ابر آروان بابت روند ارایه خدمات و سرویسهایی امنیتی ابری خودشون نمیتونن انتخاب مناسبی از طرف شما برای دریافت خدمات و مجوز مکنا باشند. اینجا اصلا بحث قوّتها یا ضعفهای سرویسهای ابری مثل آروان، زس، زمین، .... مطرح نیست ضمن اینکه ما تمام تلاشمون رو برای پیاده سازی ساختار مورد نظر خودمون روی آروان انجام دادیم اما پیاده سازی زیرساخت روی سرور اختصاصی منطقی‌تر و از نظر هزینه به صرفه‌تر به نظر میرسید.در روند تهیه زیرساخت حتما باید به این نکته توجه داشته باشید که تهیه حداقل یک فایروال سخت افزاری غیر بومی مثل Fortigate یا PfSense و یا فایروالهای بومی مثل APK (امن پردازان کویر) یا DSGate (نوژن رایانه پارس) و یا هر مورد دیگه ای که بتونه نیازهای شمارو برطرف بکنه جزو ضروریات روند دریافت مجوز مکنا حساب می‌شود. یکی از مواردی که سرویسهای ابری نمیتونن بهتون کمک کنند دقیقا همین مورد هست، البته دستتون در انتخاب فایروال سخت افزاری یکم بستست چون بستگی به خدمات دهنده سرور اختصاصیتون داره که با چه فایروالی کار میکنند، ولی انتخاب فایروال سخت افزاری قطعا مهمترین بخش انتخاب زیرساخت خواهد بود.موقع انتخاب سرور اختصاصی باید به یک سری موارد حتما دقت کنید. اگر قراره از مجازی ساز استفاده بکنید و همه ماشینهارو روی یک سرور بیارید بالا در صورتیکه سیستم عامل انتخابی سرورهاتون از مجموعه سرورهای لینوکسی هست انتخاب یک هارد مجزا برای راه اندازی ریپازیتوری لوکال برای سرورها و ماشینهای مجازی انتخاب مناسب و کم هزینه‌ای خواهد بود. انتخاب حجم این هارد بستگی به حجم ریپازیتوری نسخه‌ای از لینوکس داره که روی سرورهاتون دارید استفاده می‌کنید. (من چون موقع راه اندازی سرویسها با دو نسخه از سیستم عامل Ubuntu ورژن ۲۰ و ۲۲ کار می‌کردم برای اولی حداقل ۲۰۰ گیگابایت و برای دومی حداقل ۳۰۰ گیگابایت برای ریپازیتوریم احتیاج داشتم. نوع این هارد چون زیاد استفاده نمیشه و سرعت و امنیت حفظ اطلاعات برامون زیاد مهم نبود هارد sas 10k و بدون raid برامون کافی بود.)در انتخاب هارد اصلی اگر سرعت و امنیت حفظ اطلاعات براتون مهمه بهتون هاردهای ssd و nvme و انتخاب raid شماره 1 و یا اگر اطمینان بیشتری لازم دارید و هزینه براتون مهم نیست انتخاب هارد بیشتر و raid شماره ۳ یا بالاتر رو بهتون پیشنهاد میدم. ظرفیت هارد هم بستگی به پیشبینی خودتون برای حجم ماشینهایی که انتخاب میکنید خواهد داشت. (ترجیحا اگر خدماتی که میخواید بدید خیلی مهمه و تحمل قطعی موقت برای افزایش زیرساخت هزینه زیادی بهتون تحمیل میکنه انتخابتون باید آینده نگرانه باشه)برای انتخاب سیستم عامل سرور اصلیتون که قراره ماشینهای مجازیتون رو سرویس‌ دهی بکنه هم انتخابهای زیادی خواهید داشت، از مجموعه ویندوزی سیستم عامل سرور ۲۰۱۹ یا ۲۰۲۲ به همراه مجازی ساز Hyper-v و از مجموعه لینوکسی هم میتونم بهتون Vmware Esxi و Proxmax رو پیشنهاد بدم. با توجه به علاقه ای که به لینوکس دارم و هرچی دستم بازتر باشه تو هرکاری خوشحالتر خواهم بود، مشخصه که خودم به شخصه میرفتم سمت Proxmax اما چون باز برای بروزرسانیش باید ریپازیتوری جدا و هارد جدا و هزینه و دردسر بیشتری رو متقبل میشدم مجموعه Esxi نسخه 6.7 رو انتخاب و نصب کردیم.خب برای بخش زیرساخت فکر میکنم تا همین حد توضیحات کافی باشه و مسیر رو براتون مشخص کرده باشه، طبق معمول اگر کمکی خواستید میتونید به لینکدینم مراجعه کنید. تا بعد ? امیر اعزازی امیر اعزازی Sat, 25 Jun 2022 22:33:55 +0430 https://virgool.io/@aechabok/%D8%B3%D8%AF%DB%8C-%D8%A8%D9%87-%D9%86%D8%A7%D9%85-%D9%85%D8%AC%D9%88%D8%B2-%D9%85%DA%A9%D9%86%D8%A7-%DB%B1-iujjzrf4w15c اول سلام و بعد سلام و سپس سلامبا هر نَفَس ارادت و با هر نفس سلامباید سلام کرد و جواب سلام شدبر هرکسی که هست از این هیچ‌کس سلامو اما بعد ... خب اول بریم چندتا موضوع رو مشخص کنیم، مکنا کجاست، مجوز مکنا چیه و اصلا چرا باید مجوز گرفت؟کوتاه سخن آنکه به مرکز نظارت بر امنیت اطلاعات بازار سرمایه "مکنا" میگن.داستان مکنا اینه که سازمان بورس اوراق بهادار تهران از سال ۱۳۹۵ با گسترش بازار سرمایه برای نظارت و ارتقاء امنیت در زیرساختها و سامانه‌های فناوری اطلاعات بازار سرمایه و حفاظت از اطلاعات سرمایه‌گذاران در برابر تهدیدات امنیتی مرکز مکنا رو پایه گذاری کرد. بعد سرپرست مکنا و کارشناسهای محترمشون برای بهبود خدمات و ارتقاء موارد بالا آمدن و یک سند نوشتن برای حفظ امنیت بازار سرمایه و یک سری ابلاغیه‌ها، توصیه‌ها و الزاماتی رو برای حفظ سرمایه مردم تعیین کردند.حالا از اونجا که کشور ما در حال رشد و توسعه هست و کلی جوان نخبه دانشگاهی و غیر دانشگاهی با کلی ایده های ناب و نوآوری های جدید در زمینه فین تک (بکاربردن تکنولوژی برای کارآمد کردن خدمات مالی) داره و کلی استارتاپ در زمینه مالی و سرمایه گذاری داریم، برای استفاده از خدمات بورس اوراق بهادار و ایجاد روشهای نوآورانه برای سرمایه گذاری لازمه که حتما الزامات امنیتی بازار سرمایه یا همون مکنا رو پاس کنند تا بتونن ضمن اینکه خطری برای امنیت سرمایه مردم ایجاد نمیکنند خدمات جدیدی هم برای کسب درآمد بیشتر برای مردم داشته باشند.حالا شرکت یا استارتاپی که بتونه از جلسات برگذار شده با مکنا و تستهای امنیتی، چیدمان سرورها و شبکه، وضعیت تجاری سازی محصول یا نرم افزارش سربلند بیرون بیاد میتونه با دریافت این مجوز با API (رابطهای برنامه نویسی) سازمان بورس اوراق بهادار کار کنه.حالا چرا من این بحث رو مطرح کردم و قراره چه اتفاقی در ادامه پستهای با عنوان "تجربه های شخصی برای دریافت مجوز مکنا" بیافته، به طور خلاصه باید بگم من به عنوان یک مهندس کامپیوتر در زمینه تخصصی خودم (برنامه نویس وب و مدیر سرورهای لینوکسی) این امتیاز رو داشتم که با دوتا تیم خوب نرم افزاری در تهران به عنوان پشتیبان سرورهای لینوکس همکاری داشته باشم و بخشی از پروژه های نرم افزاری این تیمها برای دریافت مجوز مکنا باشم. برای همین قراره اینجا طی چند پست دنباله دار تجربه های خودم در زمینه پیاده سازی چیدمان سرورها، شبکه و لایه های امنیتی که باید برای مجوز مکنا طی کنید رو باهاتون به اشتراک بگذارم.از چیزی نترسید و همیشه یک تجربه جدید رو شجاعانه شروع کنید، اگر راهنمایی یا سوالی داشتید روی لینکدینم بهم پیام بدید، تا بعد ? امیر اعزازی امیر اعزازی Wed, 22 Jun 2022 02:07:43 +0430