هاست ارزان NVMe آلمان
هاست ارزان لینوکسی cpanel واقع در کشور آلمان با استفاده از سخت افزارهای قدرتمند با هارد نسل جدید NVMe ( بیست برابر پر سرعت تر از هارد sata) آماده میزبانی کاربران گرامی وان سرور میباشد.
مزایای هاست ارزان NVMe آلمان:
هاست ارزان و پرسرعت NVMe وان سرور با کنترل پنل سی پنل و وب سرور لایت اسپید ( LiteSpeed ) با مشخصات سخت افزار قوی و هارد NVMe (ان وی ام ای) میباشد. این هارد بیش از ۲۰ برابر سریعتر از هاردهای Sata3 و درعمل بیش از ۵برابر سریعتر از هاردهای SSD میباشد.در هارد NVME ارتباط هارد با برد سرور به صورت مستقیم بوده و از کابل واسط (همچون کابل sata و.. ) استفاده نمیشود و به صورت مستقیم روی برد نصب میشود که درکنار داشتن تکنولوژی جدید سرعت بالای خواندن و نوشتن ، پل ارتباطی هارد با سرور بسیار سریعتر شده است.
پلن های هاست ارزان NVMe آلمان
مشخصات | Free-Host | Hnvm-2 | Hnvm-3 | Hnvm-4 | Hnvm-5 | Hnvm-6 |
---|---|---|---|---|---|---|
Storage/فضا | 100MB | 500MB | 1000MB | 2000MB | 3000MB | 4000MB |
BW/ترافیک | 1GB | نامحدود | نامحدود | نامحدود | نامحدود | نامحدود |
RAM/رم | 256MB | 2G | 2G | 2G | 2G | 2G |
Disk/نوع هارد | NVMe Disk | NVMe Disk | NVMe Disk | NVMe Disk | NVMe Disk | NVMe Disk |
Core/هسته | 1v Core | 1v Core | 1v Core | 1v Core | 1v Core | 1v Core |
Addon/parket | 1 | نامحدود | نامحدود | نامحدود | نامحدود | نامحدود |
OS/سیستم عامل | CloudLinux | CloudLinux | CloudLinux | CloudLinux | CloudLinux | CloudLinux |
Panel/کنترل پنل | Cpanel | Cpanel | Cpanel | Cpanel | Cpanel | Cpanel |
WebServer/وب سرور | LiteSpeed | LiteSpeed | LiteSpeed | LiteSpeed | LiteSpeed | LiteSpeed |
UpTime/آپتایم | 99.99% | 99.99% | 99.99% | 99.99% | 99.99% | 99.99% |
PHP Version | 7.1 تا 8.2 | 7.1 تا 8.2 | 7.1 تا 8.2 | 7.1 تا 8.2 | 7.1 تا 8.2 | 7.1 تا 8.2 |
Aliases/ساب دامنه | نامحدود | نامحدود | نامحدود | نامحدود | نامحدود | نامحدود |
FTP-Mysql و ... | 1 | نامحدود | نامحدود | نامحدود | نامحدود | نامحدود |
SSL رایگان | ||||||
تغییر ورژن PHP | ||||||
پشتیبانی لاراول | ||||||
پشتیبانی پایتون | ||||||
زمان تحویل | آنی | آنی | آنی | آنی | آنی | آنی |
انتقال رایگان | ||||||
بک آپ هفتگی | ||||||
پشتیبانی | ||||||
ماهیانه/تومان | ---- | ---- | ---- | ---- | ---- | ---- |
سه ماهه/ تومان | ---- | ---- | ---- | ---- | ---- | ---- |
شش ماهه/تومان | ---- | ---- | ---- | ---- | 434,850 | 466,050 |
سالیانه/تومان | ---- | 447,200 | 559,000 | 670,800 | 783,250 | 840,450 |
سفارش | سفارش | سفارش | سفارش | سفارش | سفارش |
پلــن مورد نظرتـــان را نیــافتید؟!
همین حالا پلن انتخابی یا کانفیگ اختصاصیتان را درخواست کنیدپشتیبانی 24/7
وان سرور با تیمی قدرتمند پشتیبانی 24 ساعته در هفت روز هفته را برای کاربران گرامی وان سرور تدارک دیده تا در هر زمان افتخار خدمت رسانی داشته باشد. پشتیبانی از طریق تیکت و تماس.
آپتایم 99.99%
سرورهای وان سرور از معتبرترین دیتاسنترهای جهان که دارای تضمین آپ تایم 99.99% میباشند، تیم وان سرور به صورت 24 ساعته در حال مانیتورینگ سرورها هستند تا در صورت وجود هرگونه اختلال و مشکل سریعا پیگیر حل مشکل باشند.
بک آپ گیری خودکار
با بک آپ گیری خودکار هاستینگ وان سرور، دیگر نگران بک آپ سایتتون نباشید، آرشیو های بک آپ به راحتی در کنترل پنلتان قابل دانلود و بازیابی میباشد
هارد NVMe
پرسرعت ترین هارد تا لحظه حال از نوع ssd Nvme میباشد که با اختلاف زیادی از رقبای نوع دیگر هاردها انتقال دیتا دارد، انتقال دیتا با سرعت تقریبا 8GB/s تجربه کاربری بهتری را در مجازی ها به نمایش میگذارد.
ترافیک نامحدود
ترافیک این نوع سرور از وان سرور به صورت نامحدود بوده و هیچ محدودیت ترافیک و پهنای باندی اعمال نشده.
وب سرور LiteSpeed
استفاده از وب سرور قدرتمند لایت اسپید (LiteSpeed) امکان پردازش سریعتر با امکانات بیشتر از جمله قابلیت کش لایت اسپید را برای شما فراهم میکند.
سوالات متداول
برخی از سوالاتی که ممکن است در ابتدا داشته باشیدثبت سفارشات هاست در وان سرور آنی است. به محض پرداخت مشخصات برای شما ایمیل خواهد شد.
بله! در صورتی که هاست شما با کنترل پنل cpanel بوده به صورت رایگان از سمت تیم وان سرور امکان انتقال وجود دارد. به این منظور از طریق پنل کاربری بخش ارسال تیکت پشتیبانی اقدام به ارسال تیکت کنید تا همکاران بررسی و انتقال هاستتون رو انجام بدن.
ارتقا در هر زمان تاریخ سررسید با وجود منابع سخت افزاری مقدور است، تنزل سرویس نیز فقط در زمان تمدید سرویس میسر خواهد بود.
این هارد بیش از ۲۰ برابر سریعتر از هاردهای Sata3 و درعمل بیش از ۵برابر سریعتر از هاردهای SSD میباشد.به همین دلیل که ارتباط هاستینگ با هارد کاملا مستقیم است این حجم تبادلات در هارد NVMe بسیار بالاتر رفته که باعث کاهش شدید تاخیر زمانی پاسخ ( Load Avg ) شده.
بله، این قابلیت در تمامی هاستهای وان سرور مقدور است. همچنین اگر نیاز به ssl اختصاصی داشتید هم از ( بخش فروش ssl سایت ) میتوانید سفارش ثبت کنید.
اگر جواب سوالتان را نیافتید، میتوانید از لینک زیر در بخش تماس با ما از طریق پلهای ارتباطی با ما در ارتباط باشید.
نظرات مشتریان
برخی از نظرات مشتریان وان سرورعلیرضا
“ از سرور مجازی فرانسه استفاده میکنم. تا قبل از آشنایی با وان سرور مشکلات زیادی داشتم، شرکت ها پاسخگو نبودن، خدمات ضعیف بود. اما از وقتی سرویس هامو به وان سرور انتقال دادم هم از نظر سرعت هم از نظر خدمات رضایت کامل دارم. موفق باشید ”
امین
“ از سرورمجازی گرین آلمان استفاده میکنم. کیفیت عالی، قیمت عالی، پشتیبانی عالی ”
کاظم
“ از سرور مجازی استفاده میکنم. نسبت به سرویس های سایر سرویس دهندگانی که تست کرده ام، از کیفیت مطلوبی برخوردار بوده و پشتیبانی نیز همیشه پاسخگوست. ”
نجمه
“ از سرور هاشون راضی هستم خیلی عالی هست. پشتبانی چه از طریق تماس تلفنی و چه از طریق پنل عالی هست پاسخگویی سریع و خیلی عالی. ”
محمد
“ از سرور مجازی، هاست و دامنه استفاده میکنم. کیفیت سرور مجازی عالی، خدمات پس از فروش و پشتیبانی عالی، مخصوصا خدمات کانفیگ و مشاورهاتون. اوایل فک نمیکردم تا این حد ازتون راضی باشم (به دلیل نحوه اشناییم باشما)اما الان توی هر سایت یا انجمنی که میرمو کسی رو میبینم که از سرویس خودش یا سرویس دهندش ناله ای داره به شما معرفی میکنم. اونا هم واقعا راضی بودن. واقعا ادم با معامله با شما احساس گول خوردن یا گمراهی نمیکنه و واقعا افرادی به شفافی شما رو تو این زمینه کم داریم. ”
امیر
“ وان سرور را اگر بخواهم در یک کلمه توصیف کنم " بی نظیر " ، هم سرویس خوب ، هم قیمت مناسب و از همه مهم تر پشتیبانی عالی که در کمترین زمان با روی خوش همیشه پاسخگو هستید ، من از شرکت های دیگه هم سرور مجازی دارم و یک سرویس با یک مشخصات و از یک دیتا سنتر هم از شما داشتم و هم از یک شرکت معتبر دیگه که سرویس شما با اختلاف زیاد برنده بود و وقتی تیکت بهشون میزدم و میگفتم هیچ پاسخ درستی هم نمیتونستند بدهند ، امیدوارم همیشه این روحیه و پشتکاری که دارید و نتیجه آن رضایت مشتریانی مثل من هست که با خیال راحت و افتخار به دیگران معرفی کردم و میکنم را حفظ کنید. ”
جزیره آموزشی
برخی از پستهای آموزشی پیشنهادیآموزش Lynis
آموزش LynisLynis یک ابزار امنیتی متن باز است. هدف آن رسیدگی ، بررسی و سخت گیری بر سیستم های مبتنی بر لینوکس و یونیکس است. این ابزار با انجام بسیاری از بررسی های کنترل امنیتی سیستم را اسکن می کند. به عنوان مثال می توان به جستجوی نرم افزارهای نصب شده و تعیین مشکلات احتمالی در تنظیمات آن ها اشاره کرد. در این مقاله به بررسی و آموزش Lynis می پردازیم.بسیاری از تست ها بخشی از دستورالعمل ها و استانداردهای مشترک امنیتی هستند که شامل تست های امنیتی اضافی هستند. پس از اسکن ، گزارشی با تمام یافته های کشف شده نمایش داده می شود. برای ارائه راهنمایی های اولیه ، پیوندی با کنترل Lynis مرتبط به اشتراک گذاشته می شود.Lynis یکی از معتبرترین ابزار حسابرسی خودکار برای مدیریت پچ نرم افزار ، اسکن بدافزار و شناسایی آسیب پذیری در سیستم های مبتنی بر Unix / Linux است. این ابزار برای مدیران شبکه و سیستم ، متخصصان امنیت و آزمایش کننده های نفوذ مفید است.استفاده کنندگان از Lynisمتخصصان امنیتی ، آزمایشگران نفوذ ، بازرسان سیستم ، مدیران سیستم / شبکه ، مهندسان امنیت.سازگاری LynisLynis با بسیاری از سیستم عامل ها سازگار است ، از جمله:AIXArch LinuxBackTrack LinuxCentOSDebian, DragonFlyBSDFedora Core, FreeBSDGentooHPUXKali, KnoppixLinux MintMacOS X, Mageia, MandrivaNetBSDOpenBSD, OpenSolaris, openSUSE, Oracle LinuxPcBSD, PCLinuxOSRed Hat Enterprise Linux (RHEL) and derivativesSabayon, Scientific Linux, Slackware, Solaris 10, SuSETrueOSUbuntu and derivativesLynis میتواند همچنین به موارد زیر رسیدگی کند:سرور های پایگاه داده : MySQL, Oracle, PostgreSQLتایم سرور های : dntpd, ntpd, timedوب سرور های : Apache, Nginxهنگامی که lynis شروع به اسکن سیستم ما می کند ، تعدادی از موارد زیر را بررسی می کند:System tools: باینری های سیستمBoot and services: لودرهای بوت ، خدمات راه اندازیKernel: سطح اجرا ، ماژول های بارگذاری شده ، پیکربندی هسته ، تخلیه هستهMemory and processes: فرایند های ورودی و خروجیUsers, groups and authentication: شناسه های گروه ، مدت پسورد ، مسک دیفالتShellsFile systems: نقاط نصب ، پرونده های / tmp ، سیستم فایل روتStorage: ذخیره سازی یو اس بی ، فایروایر ohciNFSSoftware: name services: دی ان اس و جستجوی دی ان اسPorts and packages: بسته های آسیب پذیر / قابل ارتقا ، مخزن امنیتیNetworking: نیم سرور ها ، اینترفیس های بیقید ، اتصالاتPrinters and spools: پیکربندی آن هاSoftware: e-mail and messagingSoftware: firewalls: iptables, pfSoftware: webserver: Apache, nginxSSH support: پیکر بندی SSHSNMP supportDatabases: MySQL root passwordLDAP servicesSoftware: php: گزینه های phpSquid supportLogging and files: Syslog daemon, log directoriesInsecure services: inetdBanners and identificationScheduled tasks: crontab/cronjob, atdAccounting: sysstat data, auditdTime and synchronization: ntp daemonCryptography: انقضاء سرتیفیکیت (گواهی) SSLVirtualizationSecurity frameworks: AppArmor, SELinux, security statusSoftware: file integritySoftware: malware scannersHome directories: فایل های هیستوری ( تاریخچه ) shelنحوه ی کار Lynisدر این آموزش لینوکس کالی ، برای اجرای آن برای اولین بار ، توصیه می شود از پارامتر -c استفاده کنید. پارامتر -c به معنای انجام تمام آزمایشات برای بررسی سیستم ها است. اگر می خواهید نام Auditor را قرار دهید ، فقط پارامتر Audit را در آنجا اضافه کنید.دانلود و نصب Lynis از گیت هاب:git clone https://github.com/CISOfy/lyniscd lynis-2.7.3./lynisبرخی از خروجی هاپس از نصب، با نام Auditor یا Pentester شروع کنید.lynis -c –auditor “BALAJI”مقدار دهی اولیهابزارهای سیستمبوت ، سرویس ها و کرنلکاربران و گروهشل و ذخیره سازینرم افزار ، پورت ها وپکیج هاشبکه و چاپ کنندهایمیل ، فایروال ها و وب سرورSSH و SNMP و پایگاه ها دادهphp و squid proxy و ورود به سیستمInetd و بنر و کروناکانتینگ و NTP و رمزنگاریمجازی سازی و فریم ورک های امنیتی و یکپارچگی فایل هااسکنر های بدافزار و ابزار سیستم و دایرکتوری اصلیسفت کردن هسته یا Kernel HardeningHardening و تست های سفارشی و نتیجهشاخص Hardeningاجرا کردن Lynis با تست های سفارشیممکن است سیستم ما نیازی به اجرای تمامی تست ها نداشته باشد. اگر بر روی سیستم ما وب سرور در حال اجرا نیست پس نیازی به تست آن نداریم. ما میتوانیم برای انجام این کار از پارامتر -tests استفاده کنیم.lynis –tests “Test-IDs”بیش از 100 تست وجود دارد که ما میتوانیم استفاده کنیم.در اینجا به بررسی چندی از آن ها میپردازیم.FILE-7502 (چک کردن تمامی باینری ها)BOOT-5121 (چک کردن برای حضور بوت گراب ).BOOT-5139 (چک کردن حضور LILO بوت)BOOT-5184 (چک کردن سطح دسترسی ها برای فایل ها یا اسکریپت ها بوت)BOOT-5202 (چک کردن آپتایم سرور)KRNL-5677 (چک کردن آپشن ها CPU)KRNL-5726 (بررسی ماژول های بارگذاری شده در کرنل)KRNL-5728 (چک کردن پیکربندی کرنل لینوکس)KRNL-5820 (بررسی پیکربندی تخلیه هسته)خب دو مورد از موارد بالا را میخواهیم تست کنیم. برای این کار کافیست دو مورد را با فاصله از هم وارد کنیم تا با هم تست شوند. به دستور زیر توجه کنید../lynis –tests “BOOT-5202 KRNL-5820”اجرای Lynis با کتگوری هااگر فکر میکنید که استفاده از test-id سخت است. میتوان از پارامتر –test-category استفاده کرد. در اینجا ما قصد داریم تا فایروال و کرنل را تست کنیم../lynis –tests-category “firewalls kernel”اجرای Lynis تحت کرون جاباز آن جایی که امنیت باید پایدار باشد ما میتوانیم Lynis را به صورت دوره ای و خودکار اجرا کنیم. اینطور بگوییم که میخواهیم Lynis را هر ماه اجرا کنیم تا ببینیم از آخرین باری که اجرا شده بهبودی حاصل شده یا خیر.برای انجام این کار لاینیس را به عنوان کرون جاب اجرا میکنیم. به عنوان مثال کرون جابی در اینجا هست که لاینیس هر ماه اجرا میکنیم:#!/bin/shAUDITOR=”automated”DATE=$(date +%Y%m%d)HOST=$(hostname)LOG_DIR=”/var/log/lynis”REPORT=”$LOG_DIR/report-${HOST}.${DATE}”DATA=”$LOG_DIR/report-data-${HOST}.${DATE}.txt”cd /usr/local/lynis./lynis -c –auditor “${AUDITOR}” –cronjob > ${REPORT}mv /var/log/lynis-report.dat ${DATA}# Endخب در این آموزش ما با ابزار Lynis و همچنین با بعضی از دستورات و بخش های مختلف این ابزار آشنا شدیم.
ادامه مطلبآموزش نصب PostgreSQL در اوبونتو 20.04 Ubuntu
آموزش نصب PostgreSQL در اوبونتو 20.04 UbuntuPostgreSQL یا Postgres یک سیستم مدیریت پایگاه داده اوپن سورس با بسیاری از ویژگی های پیشرفته است که به شما امکان می دهد برنامه های پیچیده بسازید. در این آموزش نصب PostgreSQL در اوبونتو 20.04 Ubuntu را توضیح خواهیم داد و اصول مدیریت بانک اطلاعاتی PostgreSQL را بررسی می کنیم.پیش نیازهابرای اینکه بتوانید بستهها را نصب کنید ، باید به عنوان root یا کاربر با امتیازات sudo وارد شوید . نصب PostgreSQL در اوبونتو 20.04 Ubuntu در زمان نوشتن این مقاله ، آخرین نسخه PostgreSQL موجود از مخازن رسمی اوبونتو ، نسخه 10.4 PostgreSQL است.دستورات زیر را برای نصب سرور PostgreSQL در اوبونتو اجرا کنید:sudo apt updatesudo apt install postgresql postgresql-contribما همچنین بسته نصب PostgreSQL را نصب می کنیم که چندین ویژگی اضافی را برای سیستم پایگاه داده PostgreSQL فراهم می کند.پس از اتمام نصب ، سرویس PostgreSQL بطور خودکار شروع می شود. از ابزارpsqlبرای اتصال به سرور پایگاه داده PostgreSQL و چاپ نسخه آن و تأیید نصب استفاده کنید :sudo -u postgres psql -c "SELECT version();"PostgreSQL 12.2 (Ubuntu 12.2-4) on x86_64-pc-linux-gnu, compiled by gcc (Ubuntu 9.3.0-8ubuntu1) 9.3.0, 64-bitPostgreSQL نصب شده است ، و می توانید شروع به استفاده از آن کنید.رول ها و روشهای تأیید اعتبار PostgreSQLمجوزهای دسترسی به پایگاه داده در PostgreSQL با مفهوم رول ها صورت می گیرد. یک رول می تواند نماینده کاربر بانک اطلاعاتی یا گروهی از کاربران پایگاه داده باشد.PostgreSQL از چندین روش تأیید اعتبار پشتیبانی می کند . متداول ترین روش ها عبارتند از: Trust - یک رول می تواند بدون پسورد وصل شود ، تا زمانی که شرایط تعریف شده در pg_hba.confآن برآورده شود. Password - یک رول با ارائه رمز عبور می تواند ارتباط برقرار کند. کلمه عبور در scram-sha-256، md5و password ذخیره میشود. Ident - فقط در اتصالات TCP / IP پشتیبانی می شود. Peer - همانند Ident ، اما فقط در اتصالات محلی پشتیبانی می شود.احراز هویت مشتری PostgreSQL در پرونده پیکربندی به نام pg_hba.conf تعریف شده است . به طور پیش فرض ، PostgreSQL برای ارتباطات محلی از روش تأیید هویت Peer استفاده می کند.postgresکاربر به طور خودکار در هنگام نصب PostgreSQL ایجاد شده و این کاربر سوپر یوزر PostgreSQL است و معادل کاربر ریشه MySQL است.برای ورود به سرور PostgreSQL به عنوان کاربر postgres، ابتدا تغییر کاربر دهید و سپس با استفاده از ابزار psqlبه PostgreSQL دسترسی پیدا کنید :sudo su - postgrespsqlاز اینجا ، می توانید با نمونه PostgreSQL خود در تعامل باشید. برای خارج شدن از شل PostgreSQL:\qراه دیگر برای دسترسی به اعلان PostgreSQL بدون تعویض کاربران ، استفاده از این دستور sudo است:sudo -u postgres psqlمعمولاً فقط باید از طریق localhost وارد سرور بانک اطلاعاتی postgresشوید .ایجاد رول PostgreSQL و بانک اطلاعاتیفقط سوپریوزها و رول های دارای امتیاز CREATEROLE می توانند نقش های جدیدی را ایجاد کنند.مثال زیر نحوه ایجاد رول جدید به نام john و بانک اطلاعاتی johndb را نشان می دهد و امتیازاتی را در این پایگاه داده می دهد:یک نقش PostgreSQL جدید ایجاد کنید:sudo su - postgres -c "createuser john"ایجاد یک پایگاه داده جدید PostgreSQL:sudo su - postgres -c "createdb johndb"برای اعطای مجوز به کاربر در پایگاه داده ، به پوسته PostgreSQL وصل شوید:sudo -u postgres psqlو عبارت زیر را اجرا کنید:grant all privileges on database johndb to john;دسترسی از راه دور به سرور PostgreSQL را فعال کنیدبه طور پیش فرض ، سرور PostgreSQL فقط در شبکه محلی ( 127.0.0.1) فراخوانی میشود.برای فعال کردن دسترسی از راه دور به سرور PostgreSQL ، پرونده پیکربندی را باز کرده postgresql.confو listen_addresses = '*'در CONNECTIONS AND AUTHENTICATIONبخش اضافه کنید .sudo nano /etc/postgresql/12/main/postgresql.conf#------------------------------------------------------------------------------# CONNECTIONS AND AUTHENTICATION#------------------------------------------------------------------------------# - Connection Settings -listen_addresses = '*' # what IP address(es) to listen on;سپس ذخیره فایل و راه اندازی مجدد سرویس PostgreSQL:sudo service postgresql restartتغییرات را با استفاده از ابزار ss تأیید کنید:ss -nlt | grep 5432خروجی نشان می دهد که سرور PostgreSQL در تمام رابط ها فراخوانی میشود ( 0.0.0.0):LISTEN 0 244 0.0.0.0:5432 0.0.0.0:* LISTEN 0 244 [::]:5432 [::]:* مرحله بعدی پیکربندی سرور برای پذیرش اتصالات از راه دور با ویرایش فایل pg_hba.conf است.در زیر چند مثال وجود دارد که موارد استفاده مختلف را نشان می دهد:nano /etc/postgresql/12/main/pg_hba.conf# TYPE DATABASE USER ADDRESS METHOD# The user jane can access all databases from all locations using md5 passwordhost all jane 0.0.0.0/0 md5# The user jane can access only the janedb from all locations using md5 passwordhost janedb jane 0.0.0.0/0 md5# The user jane can access all databases from a trusted location (192.168.1.134) without a passwordhost all jane 192.168.1.134 trustآخرین مرحله باز کردن پورت 5432در فایروال است.با فرض اینکه از شما UFWبرای مدیریت دیوار آتش استفاده می کند و می خواهید از سابنت192.168.1.0/24 دسترسی داشته باشید ، دستور زیر را اجرا می کنید:sudo ufw allow proto tcp from 192.168.1.0/24 to any port 5432اطمینان حاصل کنید که فایروال شما پیکربندی شده است تا اتصالات را فقط از محدوده های IP معتبر بپذیرد.نتیجه گیریما به شما نحوه نصب و پیکربندی PostgreSQL در سرور Ubuntu 20.04 را نشان داده ایم. برای اطلاعات بیشتر در مورد این موضوع از مستندات PostgreSQL 12 استفاده کنید.
ادامه مطلبآموزش کانفیگ فایروال با UFW در اوبونتو 18.04
آموزش کانفیگ فایروال با UFW در اوبونتو 18.04فایروال به درستی کانفیگ شده یکی از مهمترین جنبه های امنیت سیستم است. به طور پیش فرض، اوبونتو با یک ابزار پیکربندی فایروال به نام UFW (Uncomplicated Firewall) همراه است. UFW یک سرپناهی کاربر پسند برای مدیریت قوانین فایروال iptables است و هدف اصلی آن این است که iptables را مدیریت کنید و یا به راحتی آن را مدیریت کنید. پیش نیازها قبل از شروع این آموزش، مطمئن شوید که شما با یک حساب کاربری با امتیازات sudo یا با کاربر ریشه وارد سرور خود می شوید. بهترین روش این است که دستورات اداری را به عنوان یک کاربر sudo به جای ریشه اجرا کنید. اگر شما یک کاربر sudo در سیستم اوبونتو ندارید، می توانید با دنبال کردن این دستورالعمل ها را ایجاد کنید . UFW را نصب کنید فایروال غیر عادی باید به طور پیش فرض در اوبونتو 18.04 نصب شود، اما اگر آن را در سیستم شما نصب نکنید، می توانید بسته را با تایپ کردن نصب کنید: sudo apt install ufw وضعیت UFW را بررسی کنید پس از اتمام نصب، می توانید وضعیت UFW را با دستور زیر بررسی کنید: sudo ufw status verbose UFW به طور پیش فرض غیر فعال است. اگر پیش از این هرگز UFW را فعال نکردید، خروجی مانند این خواهد بود: Status: inactive اگر UFW فعال باشد، خروجی شبیه به موارد زیر خواهد بود:آموزش کانفیگ فایروال با UFW در اوبونتو 18.04سیاست های پیش فرض UFW به طور پیش فرض، UFW همه اتصالات ورودی را مسدود کرده و تمام اتصالات خروجی را اجازه می دهد. این بدان معنی است که هر کسی که در تلاش برای دسترسی به سرور شما قادر به اتصال نیست، مگر آنکه به طور خاص پورت را باز کنید، در حالی که تمام برنامه های کاربردی و خدماتی که در سرور شما اجرا می شوند، قادر به دسترسی به دنیای خارج خواهند بود. خط مشی های پیش فرض در /etc/default/ufw تعریف شده است و می تواند با استفاده از دستور sudo ufw default <policy> <chain> . سیاست های فایروال پایه ای برای ایجاد مفاهیم دقیق تر و قوانین تعریف شده توسط کاربر است. در اکثر موارد، سیاست های اولیه UFW پیش فرض یک نقطه شروع خوب است. پروفایل برنامه هنگام نصب یک بسته با دستور apt ، یک پرونده کاربردی به دایرکتوری /etc/ufw/applications.d . مشخصات سرویس را توصیف می کند و شامل تنظیمات UFW می شود. شما می توانید تمام پرونده های کاربردی موجود در سرور خود را با تایپ کردن لیست کنید: sudo ufw app list بسته به بسته های نصب شده بر روی سیستم شما خروجی شبیه به موارد زیر خواهد بود: Available applications: Dovecot IMAP Dovecot POP3 Dovecot Secure IMAP Dovecot Secure POP3 Nginx Full Nginx HTTP Nginx HTTPS OpenSSH Postfix Postfix SMTPS Postfix Submission برای پیدا کردن اطلاعات بیشتر در مورد مشخصات خاص و قوانین شامل، از دستور زیر استفاده کنید: sudo ufw app info 'Nginx Full' Profile: Nginx Full Title: Web Server (Nginx, HTTP + HTTPS) Description: Small, but very powerful and efficient web server Ports: 80,443/tcp همانطور که می بینید از خروجی بالای نمای Nginx Full پورت 80 و 443 باز می شود. اجازه اتصال SSH قبل از اینکه فایروال UFW را فعال کنیم، باید یک قاعده را که به اتصال SSH های ورودی اجازه می دهد اضافه کنیم. اگر شما از یک مکان از راه دور به سرور خود وصل شده اید، تقریبا همیشه این کار را انجام می دهید و قبل از اینکه به طور صریح اجازه اتصال SSH های ورودی را فعال کنید، فایروال UFW را فعال کنید، دیگر نمی توانید به سرور اوبونتو متصل شوید. برای پیکربندی فایروال UFW برای اجازه دادن به اتصالات SSH ورودی، دستور زیر را تایپ کنید: sudo ufw allow ssh Rules updated Rules updated (v6) اگر پورت SSH را به پورت دیگری تغییر داده این، آن را در فایروال باز کنید. برای مثال، اگر پورت SSH شما 4422 است، می توانید از دستور زیر برای اتصال به آن پورت استفاده کنید: sudo ufw allow 4422/tcp UFW را فعال کنید اکنون که فایروال UFW شما پیکربندی شده است تا اتصالات SSH ورودی را فعال کند، می توانیم آن را با تایپ کردن فعال کنیم: sudo ufw enable Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup شما هشدار می دهید که فعال کردن فایروال ممکن است اتصالات ssh موجود را مختل کند، فقط y تایپ کرده و Enter بزنید. اتصالات را در سایر پورت ها مجاز می سازد بسته به برنامه هایی که در سرور شما اجرا می شوند و نیازهای خاص شما نیز باید دسترسی ورودی به برخی از پورت های دیگر را مجاز کنید. در زیر چند نمونه از نحوه دسترسی به برخی از خدمات رایج را به شما نشان خواهیم داد: پورت 80 - HTTP را باز کنید اتصالات HTTP با دستور زیر امکان پذیر است: sudo ufw allow http به جای http شما می توانید از شماره پورت استفاده کنید، 80: sudo ufw allow 80/tcp یا شما می توانید از مشخصات برنامه، در این مورد، 'Nginx HTTP' استفاده کنید: sudo ufw allow 'Nginx HTTP' پورت 443 - HTTPS را باز کنید اتصالات HTTP با دستور زیر امکان پذیر است: sudo ufw allow https برای به دست آوردن همان به جای پروفایل https شما می توانید از شماره پورت، 443 : sudo ufw allow 443/tcp یا شما می توانید از پروفایل برنامه، 'Nginx HTTPS' استفاده کنید: sudo ufw allow 'Nginx HTTPS' پورت 8080 را باز کنید اگر تامکت یا هر برنامه دیگری را اجرا می کنید که از پورت 8080 استفاده میکند از دستور زیر استفاده کنید: sudo ufw allow 8080/tcp اجازه رنج پورت به جای دسترسی به پورت های مجاز UFW اجازه می دهد ما اجازه دسترسی به رنج های پورت را داشته باشیم. هنگامی که اجازه می دهد رنج های پورت با UFW، شما باید پروتکل را مشخص کنید، یا tcp یا udp . برای مثال، اگر شما می خواهید پورت ها را از 7100 به 7200 در هر دو tcp و udp بگذارید، دستور زیر را اجرا کنید: sudo ufw allow 7100:7200/tcp sudo ufw allow 7100:7200/udp درصورتی که با انجام این مراحل مشکل دارید، با خرید سرورمجازی از وان سرور، کلیه این خدمات را برای شما به صورت رایگان انجام می دهیم. اجازه دادن به آدرس های خاص IP برای اجازه دادن به دسترسی در تمام پورت ها از دستگاه خانگی خود با آدرس IP 64.63.62.61، بعد از آدرس IP که می خواهید به لیست سفید مشخص کنید، مشخص کنید: sudo ufw allow from 64.63.62.61 اجازه دادن به IP های خاص در پورت خاص برای اجازه دادن به دسترسی به یک پورت خاص، می توان پورت 22 را از دستگاه کار خود با آدرس IP 64.63.62.61 استفاده کرد، to any port که شماره پورت آن است استفاده می شود: sudo ufw allow from 64.63.62.61 to any port 22 اجازه دادن به زیر شبکه ها فرمان برای اجازه اتصال به زیر شبکه از آدرس های IP همانند استفاده از یک آدرس IP واحد است، تنها تفاوت این است که شما باید mask netmask را مشخص کنید. به عنوان مثال، اگر می خواهید اجازه دسترسی به آدرس های IP را از 192.168.1.1 به 192.168.1.254 را به پورت 3360 ( MySQL ) بدهید، می توانید از این دستور استفاده کنید: sudo ufw allow from 192.168.1.0/24 to any port 3306 اتصال به یک رابط شبکه اختصاصی اجازه دهید برای اجازه دادن به دسترسی در یک پورت خاص، می توان گفت که پورت 3360 تنها به رابط شبکه خاص eth2 ، پس باید مشخص کنید allow in on و نام واسط شبکه مشخص کنید: sudo ufw allow in on eth2 to any port 3306 رد ارتباطات خط مشی پیش فرض برای تمام اتصالات ورودی تنظیم شده است که deny و اگر شما آن را تغییر نداده اید، UFW تمام اتصال های ورودی را مسدود می کند مگر اینکه به طور خاص اتصال را باز کنید. بگذارید بگوییم شما پورت 80 و 443 را باز کردید و سرور شما از شبکه 23.24.25.0/24 تحت حمله است. برای رد کردن تمام اتصالات از 23.24.25.0/24 می توانید از دستور زیر استفاده کنید: sudo ufw deny from 23.24.25.0/24 اگر فقط می خواهید دسترسی به پورت های 80 و 443 از 23.24.25.0/24 کنید، می توانید از دستور زیر استفاده کنید: sudo ufw deny from 23.24.25.0/24 to any port 80 sudo ufw deny from 23.24.25.0/24 to any port 443 نوشتن قوانین انکار همان چیزی است که نوشتن اجازه می دهد قوانین، شما فقط باید جایگزین allow با deny . قوانین UFW را حذف کنید دو روش مختلف برای حذف قوانین UFW وجود دارد، با شماره قانون و با مشخص کردن قاعده واقعی. حذف قوانین UFW با تعداد حقیقی آسان تر است، مخصوصا اگر شما UFW جدید هستید. برای حذف یک قاعده با قاعده اول ابتدا باید عدد حقیقی را که می خواهید حذف کنید، پیدا کنید، می توانید این کار را با دستور زیر انجام دهید: sudo ufw status numbered Status: active To Action From -- ------ ---- [ 1] 22/tcp ALLOW IN Anywhere [ 2] 80/tcp ALLOW IN Anywhere [ 3] 8080/tcp ALLOW IN Anywhere برای حذف قانون شماره 3، قانون اجازه اتصال به پورت 8080 را از دستور زیر استفاده می کند: sudo ufw delete 2 روش دوم این است که یک حقیقت را با مشخص کردن قاعده واقعی حذف کنید، مثلا اگر یک قانون برای باز کردن پورت 8069 کردید، می توانید آن را با: sudo ufw delete allow 8069 غیرفعال UFW اگر به هر دلیلی می خواهید UFW را متوقف کنید و تمامی قوانینی را که می توانید استفاده کنید غیرفعال کنید: sudo ufw disable بعدا اگر میخواهید مجدد UTF را فعال کنید و تمام قوانین را فعال کنید، فقط تایپ کنید: sudo ufw enable تنظیم مجدد UFW تنظیم مجدد UFW UFW را غیرفعال می کند و تمامی قوانین فعال را حذف می کند. این کار مفید است اگر شما می خواهید تمام تغییرات خود را لغو کنید و تازه شروع کنید. برای بازنشانی UFW به سادگی در فرمان زیر تایپ کنید: sudo ufw reset نتیجه شما یاد گرفته اید که چگونه فایروال UFW را بر روی سرور اوبونتو 18.04 نصب و پیکربندی کنید. اطمینان حاصل کنید که تمام اتصالات ورودی که برای عملکرد مناسب سیستم شما لازم است و تمام اتصلات غیرضروری را محدود کنید. همچنین درصورت نیاز به غیر فعال کردن فایروال در اوبنتو 18.04 مقاله ما را مطالعه کنید.
ادامه مطلب