هاست لاراول

آموزش کانفیگ فایروال با UFW در اوبونتو 18.04فایروال به درستی کانفیگ شده یکی از مهمترین جنبه های امنیت سیستم است. به طور پیش فرض، اوبونتو با یک ابزار پیکربندی فایروال به نام UFW (Uncomplicated Firewall) همراه است. UFW یک سرپناهی کاربر پسند برای مدیریت قوانین فایروال iptables است و هدف اصلی آن این است که iptables را مدیریت کنید و یا به راحتی آن را مدیریت کنید. پیش نیازها قبل از شروع این آموزش، مطمئن شوید که شما با یک حساب کاربری با امتیازات sudo یا با کاربر ریشه وارد سرور خود می شوید. بهترین روش این است که دستورات اداری را به عنوان یک کاربر sudo به جای ریشه اجرا کنید. اگر شما یک کاربر sudo در سیستم اوبونتو ندارید، می توانید با دنبال کردن این دستورالعمل ها را ایجاد کنید . UFW را نصب کنید فایروال غیر عادی باید به طور پیش فرض در اوبونتو 18.04 نصب شود، اما اگر آن را در سیستم شما نصب نکنید، می توانید بسته را با تایپ کردن نصب کنید: sudo apt install ufw وضعیت UFW را بررسی کنید پس از اتمام نصب، می توانید وضعیت UFW را با دستور زیر بررسی کنید: sudo ufw status verbose UFW به طور پیش فرض غیر فعال است. اگر پیش از این هرگز UFW را فعال نکردید، خروجی مانند این خواهد بود: Status: inactive اگر UFW فعال باشد، خروجی شبیه به موارد زیر خواهد بود:آموزش کانفیگ فایروال با UFW در اوبونتو 18.04سیاست های پیش فرض UFW به طور پیش فرض، UFW همه اتصالات ورودی را مسدود کرده و تمام اتصالات خروجی را اجازه می دهد. این بدان معنی است که هر کسی که در تلاش برای دسترسی به سرور شما قادر به اتصال نیست، مگر آنکه به طور خاص پورت را باز کنید، در حالی که تمام برنامه های کاربردی و خدماتی که در سرور شما اجرا می شوند، قادر به دسترسی به دنیای خارج خواهند بود. خط مشی های پیش فرض در /etc/default/ufw تعریف شده است و می تواند با استفاده از دستور sudo ufw default <policy> <chain> . سیاست های فایروال پایه ای برای ایجاد مفاهیم دقیق تر و قوانین تعریف شده توسط کاربر است. در اکثر موارد، سیاست های اولیه UFW پیش فرض یک نقطه شروع خوب است. پروفایل برنامه هنگام نصب یک بسته با دستور apt ، یک پرونده کاربردی به دایرکتوری /etc/ufw/applications.d . مشخصات سرویس را توصیف می کند و شامل تنظیمات UFW می شود. شما می توانید تمام پرونده های کاربردی موجود در سرور خود را با تایپ کردن لیست کنید: sudo ufw app list بسته به بسته های نصب شده بر روی سیستم شما خروجی شبیه به موارد زیر خواهد بود: Available applications: Dovecot IMAP Dovecot POP3 Dovecot Secure IMAP Dovecot Secure POP3 Nginx Full Nginx HTTP Nginx HTTPS OpenSSH Postfix Postfix SMTPS Postfix Submission برای پیدا کردن اطلاعات بیشتر در مورد مشخصات خاص و قوانین شامل، از دستور زیر استفاده کنید: sudo ufw app info 'Nginx Full' Profile: Nginx Full Title: Web Server (Nginx, HTTP + HTTPS) Description: Small, but very powerful and efficient web server Ports: 80,443/tcp همانطور که می بینید از خروجی بالای نمای Nginx Full پورت 80 و 443 باز می شود. اجازه اتصال SSH قبل از اینکه فایروال UFW را فعال کنیم، باید یک قاعده را که به اتصال SSH های ورودی اجازه می دهد اضافه کنیم. اگر شما از یک مکان از راه دور به سرور خود وصل شده اید، تقریبا همیشه این کار را انجام می دهید و قبل از اینکه به طور صریح اجازه اتصال SSH های ورودی را فعال کنید، فایروال UFW را فعال کنید، دیگر نمی توانید به سرور اوبونتو متصل شوید. برای پیکربندی فایروال UFW برای اجازه دادن به اتصالات SSH ورودی، دستور زیر را تایپ کنید: sudo ufw allow ssh Rules updated Rules updated (v6) اگر پورت SSH را به پورت دیگری تغییر داده این، آن را در فایروال باز کنید. برای مثال، اگر پورت SSH شما 4422 است، می توانید از دستور زیر برای اتصال به آن پورت استفاده کنید: sudo ufw allow 4422/tcp UFW را فعال کنید اکنون که فایروال UFW شما پیکربندی شده است تا اتصالات SSH ورودی را فعال کند، می توانیم آن را با تایپ کردن فعال کنیم: sudo ufw enable Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup شما هشدار می دهید که فعال کردن فایروال ممکن است اتصالات ssh موجود را مختل کند، فقط y تایپ کرده و Enter بزنید. اتصالات را در سایر پورت ها مجاز می سازد بسته به برنامه هایی که در سرور شما اجرا می شوند و نیازهای خاص شما نیز باید دسترسی ورودی به برخی از پورت های دیگر را مجاز کنید. در زیر چند نمونه از نحوه دسترسی به برخی از خدمات رایج را به شما نشان خواهیم داد: پورت 80 - HTTP را باز کنید اتصالات HTTP با دستور زیر امکان پذیر است: sudo ufw allow http به جای http شما می توانید از شماره پورت استفاده کنید، 80: sudo ufw allow 80/tcp یا شما می توانید از مشخصات برنامه، در این مورد، 'Nginx HTTP' استفاده کنید: sudo ufw allow 'Nginx HTTP' پورت 443 - HTTPS را باز کنید اتصالات HTTP با دستور زیر امکان پذیر است: sudo ufw allow https برای به دست آوردن همان به جای پروفایل https شما می توانید از شماره پورت، 443 : sudo ufw allow 443/tcp یا شما می توانید از پروفایل برنامه، 'Nginx HTTPS' استفاده کنید: sudo ufw allow 'Nginx HTTPS' پورت 8080 را باز کنید اگر تامکت یا هر برنامه دیگری را اجرا می کنید که از پورت 8080 استفاده میکند از دستور زیر استفاده کنید: sudo ufw allow 8080/tcp اجازه رنج پورت به جای دسترسی به پورت های مجاز UFW اجازه می دهد ما اجازه دسترسی به رنج های پورت را داشته باشیم. هنگامی که اجازه می دهد رنج های پورت با UFW، شما باید پروتکل را مشخص کنید، یا tcp یا udp . برای مثال، اگر شما می خواهید پورت ها را از 7100 به 7200 در هر دو tcp و udp بگذارید، دستور زیر را اجرا کنید: sudo ufw allow 7100:7200/tcp sudo ufw allow 7100:7200/udp درصورتی که با انجام این مراحل مشکل دارید، با خرید سرورمجازی از وان سرور، کلیه این خدمات را برای شما به صورت رایگان انجام می دهیم. اجازه دادن به آدرس های خاص IP برای اجازه دادن به دسترسی در تمام پورت ها از دستگاه خانگی خود با آدرس IP 64.63.62.61، بعد از آدرس IP که می خواهید به لیست سفید مشخص کنید، مشخص کنید: sudo ufw allow from 64.63.62.61 اجازه دادن به IP های خاص در پورت خاص برای اجازه دادن به دسترسی به یک پورت خاص، می توان پورت 22 را از دستگاه کار خود با آدرس IP 64.63.62.61 استفاده کرد، to any port که شماره پورت آن است استفاده می شود: sudo ufw allow from 64.63.62.61 to any port 22 اجازه دادن به زیر شبکه ها فرمان برای اجازه اتصال به زیر شبکه از آدرس های IP همانند استفاده از یک آدرس IP واحد است، تنها تفاوت این است که شما باید mask netmask را مشخص کنید. به عنوان مثال، اگر می خواهید اجازه دسترسی به آدرس های IP را از 192.168.1.1 به 192.168.1.254 را به پورت 3360 ( MySQL ) بدهید، می توانید از این دستور استفاده کنید: sudo ufw allow from 192.168.1.0/24 to any port 3306 اتصال به یک رابط شبکه اختصاصی اجازه دهید برای اجازه دادن به دسترسی در یک پورت خاص، می توان گفت که پورت 3360 تنها به رابط شبکه خاص eth2 ، پس باید مشخص کنید allow in on و نام واسط شبکه مشخص کنید: sudo ufw allow in on eth2 to any port 3306 رد ارتباطات خط مشی پیش فرض برای تمام اتصالات ورودی تنظیم شده است که deny و اگر شما آن را تغییر نداده اید، UFW تمام اتصال های ورودی را مسدود می کند مگر اینکه به طور خاص اتصال را باز کنید. بگذارید بگوییم شما پورت 80 و 443 را باز کردید و سرور شما از شبکه 23.24.25.0/24 تحت حمله است. برای رد کردن تمام اتصالات از 23.24.25.0/24 می توانید از دستور زیر استفاده کنید: sudo ufw deny from 23.24.25.0/24 اگر فقط می خواهید دسترسی به پورت های 80 و 443 از 23.24.25.0/24 کنید، می توانید از دستور زیر استفاده کنید: sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443 نوشتن قوانین انکار همان چیزی است که نوشتن اجازه می دهد قوانین، شما فقط باید جایگزین allow با deny . قوانین UFW را حذف کنید دو روش مختلف برای حذف قوانین UFW وجود دارد، با شماره قانون و با مشخص کردن قاعده واقعی. حذف قوانین UFW با تعداد حقیقی آسان تر است، مخصوصا اگر شما UFW جدید هستید. برای حذف یک قاعده با قاعده اول ابتدا باید عدد حقیقی را که می خواهید حذف کنید، پیدا کنید، می توانید این کار را با دستور زیر انجام دهید: sudo ufw status numbered Status: active To Action From -- ------ ---- [ 1] 22/tcp ALLOW IN Anywhere [ 2] 80/tcp ALLOW IN Anywhere [ 3] 8080/tcp ALLOW IN Anywhere برای حذف قانون شماره 3، قانون اجازه اتصال به پورت 8080 را از دستور زیر استفاده می کند: sudo ufw delete 2 روش دوم این است که یک حقیقت را با مشخص کردن قاعده واقعی حذف کنید، مثلا اگر یک قانون برای باز کردن پورت 8069 کردید، می توانید آن را با: sudo ufw delete allow 8069 غیرفعال UFW اگر به هر دلیلی می خواهید UFW را متوقف کنید و تمامی قوانینی را که می توانید استفاده کنید غیرفعال کنید: sudo ufw disable بعدا اگر میخواهید مجدد UTF را فعال کنید و تمام قوانین را فعال کنید، فقط تایپ کنید: sudo ufw enable تنظیم مجدد UFW تنظیم مجدد UFW UFW را غیرفعال می کند و تمامی قوانین فعال را حذف می کند. این کار مفید است اگر شما می خواهید تمام تغییرات خود را لغو کنید و تازه شروع کنید. برای بازنشانی UFW به سادگی در فرمان زیر تایپ کنید: sudo ufw reset نتیجه شما یاد گرفته اید که چگونه فایروال UFW را بر روی سرور اوبونتو 18.04 نصب و پیکربندی کنید. اطمینان حاصل کنید که تمام اتصالات ورودی که برای عملکرد مناسب سیستم شما لازم است و تمام اتصلات غیرضروری را محدود کنید. همچنین درصورت نیاز به غیر فعال کردن فایروال در اوبنتو 18.04 مقاله ما را مطالعه کنید.

چهارشنبه, 01 اسفند 1397

آموزش نصب Postman در اوبونتو 20.04 UbuntuPostman یک پلتفرم توسعه API است که به شما کمک می کند تا API های خود را در هر مرحله از توسعه ، از طراحی و آزمایش ، تا انتشار اسناد و نظارت های API مدیریت کنید. Postman به عنوان افزونه مرورگر Chrome شروع به کار کرد و به سرعت یکی از ابزارهای کاربردی API که توسط توسعه دهندگان در سراسر جهان استفاده می شود ، به سرعت تبدیل شد. Postman به عنوان یک برنامه (ساخته شده بر روی Electron) برای همه سیستم عاملهای اصلی از جمله macOS ، Linux و Windows در دسترس است. در این مقاله آموزش نصب Postman در اوبونتو 20.04 Ubuntu را به شما آموزش داده ایم.آموزش نصب Postmanساده ترین راه نصب Postman در Ubuntu 18.04 با استفاده از سیستم پکیجینگ snappy است. Snaps بسته های نرم افزاری مخصوص به خود است که شامل تمام وابستگی های باینری است که برای اجرای برنامه مورد نیاز است. بسته های اسنپ را می توان از طریق خط فرمان یا از طریق برنامه نرم افزار اوبونتو نصب کرد.بسته Postman snap توسط توسعه دهندگان Postman توزیع و نگهداری می شود.برای نصب Postman snap ، ترمینال خود را باز کنید ( Ctrl+Alt+T) و دستور زیر را به عنوان کاربر با امتیازات sudo اجرا کنید :sudo snap install postmanبسته به سرعت اتصال شما ، بارگیری ممکن است مدتی طول بکشد. با موفقیت ، خروجی زیر نمایش داده می شود:postman 7.30.1 from Postman, Inc. (postman-inc✓) installedبه روزرسانی و امن سازی بسته های اسنپ آسان است. هر زمان که نسخه جدیدی منتشر شد ، بسته Postman به صورت خودکار در پس زمینه به روز می شود.از طرف دیگر می توانید Postman را با استفاده از مرکز نرم افزار اوبونتو نصب کنید. به سادگی Postman را جستجو کنید و روی نصب کلیک کنید.استفاده از Postmanدر نوار Activities search عبارت "Postman" را تایپ کرده و بر روی آیکون کلیک کنید تا برنامه راه اندازی شود.هنگامی که برای اولین بار Postman را شروع می کنید ، پنجره ای مانند زیر ظاهر می شود که از شما می خواهد وارد شوید یا یک حساب کاربری جدید ایجاد کنید:ایجاد یک حساب کاربری به شما امکان می دهد تا کارهای خود را در محیط های کاری سازماندهی کنید ، نسخه پشتیبان تهیه کنید و داده های خود را در چندین دستگاه همگام سازی کنید. اگر نمی خواهید وارد شوید ، روی "Skip signing" کلیک کنید و مستقیماً به برنامه بروید.برای نشان دادن نحوه کار Postman ، یک درخواست Get ساده را به online REST API ارسال خواهیم کردو یک پاسخ JSON حاوی لیست کاربران دریافت می کنیم.یک برگه جدید را باز کنید ، https://jsonplaceholder.typicode.com/usersوارد کنید، نوع درخواست را GET بگذارید و دکمه ارسال را کلیک کنید. در صورت موفقیت ، پاسخ یک JSON object را که شامل تعداد کاربران است ، برمی گرداند.نتیجهما به شما آموزش نصب Postman در اوبونتو 20.04 Ubuntu را توضیح دادیم. اکنون می توانید ابزار جدید API خود را کشف کرده و شروع به کار روی پروژه های خود کنید. برای دیدن آموزش های این نرم افزار به مرکز آموزش postman مراجعه فرماید.

پنج‌شنبه, 23 مرداد 1399

Iptables چیست؟Iptable یک فایروال داخلی لینوکس است که در آن شروطی دارد تحت عنوان رول ها (rules) . که عبور و مرور ترافیک یا پکت ها با توجه به این رول ها مجاز است. این فایروال ترافیک ورودی و خروجی را کنترل می کند و آن را طبق قوانین مشخص فیلتر می کند.دیتا های ورودی و خروجی به صورت بسته یا پکت انتقال می یابد. لینوکس رابط یا اینترفیسی برای فیلتر کردن این بسته ها فراهم می کند. در اینجا ، Iptables وارد جریان می شود ، که یک ابزار خط فرمان برای تنظیم و پیکربندی فایروال است. Iptables دارای جدول هایی برای فیلتر کردن پکت ها است. این جداول حاوی چندین زنجیره یا chain هستند که حاوی رول هایی برای تنظیم رول ها هستند.رول ها و اهداف در iptablesرول ها تعریف می کند که اگر بسته با هر رول مشخصی مطابقت داشته باشد ، چه باید کرد. اگر رول مطابقت داشته باشد ، هدفی را تعریف می کند که می تواند زنجیره یا chain دیگری باشد یا مقادیر خاص ذکر شده در زیر:ACCEPT : این بدان معناست که پکت اجازه عبور از فایروال را دارد.DROP: این بدان معناست که پکت اجازه عبور از فایروال را ندارد.RETURN: این بدان معناست که از رول فعلی صرف نظر کرده و دوباره به chain ای که از آن فراخوانده شده است بپرد.5 جدول داخلی در Iptabales وجود دارد که عبارت اند از filter و nat و mangle و raw و security. که در این آموزش ما فقط بر روی جدول داخلی filter تمرکز میکنیم.جدول filterجدول فیلتر برای فیلتر عادی ترافیک براساس قوانین تعریف شده توسط کاربر استفاده می شود. این جدول برای انجام مسدود کردن و فیلتر کردن بسته های نرم افزاری روزمره بسیار مفید است. جدول فیلتر دارای سه چین است:INPUT: این چین برای کنترل ترافیک / پکت های ورودی به سرور استفاده می شود.FORWARD: این chain برای فیلتر کردن بسته هایی است که به سرور وارد می شوند اما قرار است در جای دیگری ارسال شوند استفاده میشود.OUTPUT: از این chain برای فیلتر کردن پکت هایی که قرار است از سرور خارج شود مورد استفاده قرار میگیرد.در زیر تصویر مربوط به chain جدول فیلتر آمده است.کار با دستورات Iptablesراه اندازیبا استفاده از دستور Iptables نسخه ی آن را بررسی میکنیم:iptables --versionبرای نمونه ما فرض میکنیم که Iptables نصب نیست. با استفاده از دستورات زیر آن را نصب میکنیم:sudo apt-get updatesudo apt-get install iptablesبرای نمایش جدول filter که درواقع جدول پیشفرض Iptables است از دستور زیر استفاده میکنیم:sudo iptables -L این خروجی زیر را نشان می دهد که اساساً یک جدول فیلتر خالی است:Chain INPUT (policy ACCEPT)target prot opt source destination Chain FORWARD (policy ACCEPT)target prot opt source destination Chain OUTPUT (policy ACCEPT)target prot opt source destination در اینجا ، INPUT ، OUTPUT و FORWARD زنجیره یا چین هایی هستند که شامل قوانین پیکربندی فایروال هستند. هر فایروال یک خط مشی پیش فرض دارد که به عنوان (policy ACCEPT) ذکر شده است. خط مشی پیش فرض برای یک chain ، هدف پیش فرض آن دسته از پکت ها را که با هیچ قاعده آن چین مطابقت ندارند مشخص می کند. برای مثال: خط مشی پیش فرض برای chain ، ورودی ACCEPT است ، به این معنی که هر بسته ورودی توسط فایروال پذیرفته می شود.در صورتی که می خواهید فقط از خط مشی پیش فرض جداول بدانید ، می توان از دستور زیر استفاده کرد:sudo ifconfig [ -S/--list-rules ]در صورتی که بخواهیم خط مشی پیشفرض (default policy) جدول را تغییر بدهیم از دستور زیر استفاده میکنیم:sudo iptables -P <chain> <target>در اینجا ، برای مثال ، اگر سیاست پیش فرض چین INPUT را با استفاده از دستور sudo iptables -P INPUT DROP به DROP تغییر دهیم ، هیچ کس نمی تواند با ما ارتباط برقرار کند زیرا همه بسته های داده توسط فایروال حذف می شوند.تغییر دادن رول ها در Iptablesبرای اضافه کردن یک قانون خاص در داخل هر chain ای. ابتدا دستور را پوشش خواهیم داد ، و سپس برخی از موارد برای همان مورد استفاده می شود.sudo iptables [ -A|-S ] <chain> -t <table> -p <protocol> -s<source ip> -d<destination-ip> --sport <source-port> --dport<destination-port> -j<target> -i<input-interface> -o<output-interface>در دستور بالا ، از چندین flag استفاده شد. هر یک از آنها و در صورت نیاز به آنها توضیح خواهیم داد.-A: برای ضمیمه یک قانون در انتهای جدول استفاده می شود-S: برای درج رول در موقعیت مشخص شده در جدول استفاده می شود. اگر موقعیت مشخص نشده باشد ، این رول را به بالاترین موقعیت اضافه می کند.-t: برای دادن نام جدول استفاده می شود. به طور پیش فرض ، این جدول فیلتر است.-p: برای تعیین پروتکل استفاده می شود. می تواند tcp ، udp ، icmp یا همه باشد.-s: برای مشخص کردن منبعی از پکت ها استفاده می شود. عمدتا برای استفاده از یک قانون در چین INPUT برای هر آدرس IP خاص استفاده می شود.-d: برای تعیین مقصد تحویل پکت ها استفاده می شود. عمدتا برای استفاده از یک قانون در چین OUTPUT برای آدرس IP خاص مقصد استفاده می شود.--sport & --dport: اگر این قاعده روی پروتکل tcp اعمال شود ، از این دستور به ترتیب برای مشخص کردن پورت مبدا و مقصد استفاده می شود.-j: برای مشخص کردن هدف مورد استفاده در قانون منطبق استفاده می شود. می تواند ACCEPT ، REJECT ، DROP و غیره باشد.-i: رابط ورودی (Input-interface) - برای مشخص کردن نام واینترفیسی که از طریق آن پکت ای دریافت می شود ، استفاده می شود.-j: رابط خروجی (Output-interface) - برای مشخص کردن نام اینترفیسیی که از طریق آن بسته ای ارسال می شود ، استفاده می شود.اضافه کردن رول در Iptablesبرای مسدود کردن یک وب سایت خاص ، مثلا فیس بوک ، به طوری که از سرور شما نمی توان به آن دسترسی داشته باشد.sudo iptables -I INPUT -t filter -s www.facebook.com -j DROPبرای مسدود کردن هر پکت از آدرس IP در اینترنت ، فرض کنید 192.168.0.107sudo iptables -I INPUT -t filter -s 192.168.0.107 -j DROPبرای مسدود کردن آدرس لوپ بک ، یعنی localhost 127.0.0.1sudo iptables -A INPUT -i lo -j DROPبرای غیرفعال کردن هر پورت از سرور ، فرض کنید نمی خواهید به کسی اجازه دهید ssh را روی سیستم شما انجام دهد ، پس باید پورت 22 را مسدود کنید ، این کار به صورت زیر انجام می دهیم:sudo iptables -A INPUT -t filter -p tcp --dport 22 -j DROPما همچنین می توانیم هدف را روی ALLOW یا DROP بسته های داده از پورت های دیگر تنظیم کنیم ، مانند اینکه برای مسدود کردن http و https ، باید پورت منبع 80 و 443 را مسدود کنیم:sudo iptables -A INPUT -t filter -p tcp --sport 80 -j DROPsudo iptables -A INPUT -t filter -p tcp --sport 443 -j DROPحذف رول ها در Iptablesبرای حذف یک قانون خاص توسط شماره خط آن:sudo iptables -D <chain> <line-number>برای حذف تمامی رول ها در یک chain خاص :sudo iptables -F <chain>برای حذف همه رول ها یا قوانین از iptables :sudo iptables -F/--flushاکنون ، برای دریافت خروجی هر دستوری با اطلاعات بیشتر ، می توانید آن را در حالت دراز نویس یا verbose mode اجرا کنید:sudo iptables -L -vجمع بندیدر این آموزش که اولین سری از آموزش های فایروال است ما به بررسی مقدماتی Iptables پرداختیم. در آموزش های بعدی به طور مفصل به بحث فایروال خواهیم پرداخت.

چهارشنبه, 05 آذر 1399