ابزار SELinux و نقش آن در امنیت لینوکس
اگر روی سرور لینوکسی کار می کنید، یکی از مهم ترین ابزار های امنیتی که باید بشناسید SELinux (Security-Enhanced Linux) هستش. این ابزار با استفاده از کنترل دسترسی اجباری (Mandatory Access Control) جلوی خیلی از حمله ها و دسترسی های غیر مجاز رو می گیره.
اما چیزی که این ابزار رو جذاب میکنه، علت مهم بودن اون هستش:
1- محدود کردن سرویس ها و جلوگیری از دسترسی غیر مجاز
2- بالا بردن امنیت حتی برای یوزر root
3- کاهش سطح حمله روی سرور ها
حالت های SELinux
حالت Enforcing: همه قوانین اجرا میشن و دسترسی غیرمجاز بلاک میشه.
حالت Permissive: فقط لاگ میگیره و مانع دسترسی نمیشه (مناسب تست).
حالت Disabled: غیرفعاله (توصیه نمیشه).
روشهای مناسب برای استفاده
1- همیشه تو محیط تست، اول با حالت Permissive شروع کن تا مطمئن بشید چیزی خراب نمیشه.
2- بعد از تست، روی حالت Enforcing فعالش کنید.
3- برای وب سرور هایی مثل Apache یا Nginx حتماً پالیسی مناسب بسازید تا امنیت بالا بره.
میتونید از ابزار audit2allow برای رفع خطا های مربوط به پالیسی استفاده کنید.
آپدیت بودن پالیسی ها و داکیومنت سازی تنظیمات رو فراموش نکنید.
خلاصه SELinux یک لایه امنیتی قدرتمند برای لینوکسه که اگر درست تنظیم بشه، میتونه جلوی خیلی از نفوذها رو بگیره.
پیشنهاد میکنم اول در محیط تست، حالت Permissive رو فعال کنید و بعد از رفع خطا ها، حالت Enforcing رو روی سرور اصلی فعال کنید.
اگر روی سرور لینوکسی کار می کنید، یکی از مهم ترین ابزار های امنیتی که باید بشناسید SELinux (Security-Enhanced Linux) هستش. این ابزار با استفاده از کنترل دسترسی اجباری (Mandatory Access Control) جلوی خیلی از حمله ها و دسترسی های غیر مجاز رو می گیره.
اما چیزی که این ابزار رو جذاب میکنه، علت مهم بودن اون هستش:
1- محدود کردن سرویس ها و جلوگیری از دسترسی غیر مجاز
2- بالا بردن امنیت حتی برای یوزر root
3- کاهش سطح حمله روی سرور ها
حالت های SELinux
حالت Enforcing: همه قوانین اجرا میشن و دسترسی غیرمجاز بلاک میشه.
حالت Permissive: فقط لاگ میگیره و مانع دسترسی نمیشه (مناسب تست).
حالت Disabled: غیرفعاله (توصیه نمیشه).
روشهای مناسب برای استفاده
1- همیشه تو محیط تست، اول با حالت Permissive شروع کن تا مطمئن بشید چیزی خراب نمیشه.
2- بعد از تست، روی حالت Enforcing فعالش کنید.
3- برای وب سرور هایی مثل Apache یا Nginx حتماً پالیسی مناسب بسازید تا امنیت بالا بره.
میتونید از ابزار audit2allow برای رفع خطا های مربوط به پالیسی استفاده کنید.
آپدیت بودن پالیسی ها و داکیومنت سازی تنظیمات رو فراموش نکنید.
خلاصه SELinux یک لایه امنیتی قدرتمند برای لینوکسه که اگر درست تنظیم بشه، میتونه جلوی خیلی از نفوذها رو بگیره.
راه اندازی اولیه:
بررسی وضعیت SELinux
sestatus
یا
getenforce
اگر خروجی Enforcing بود یعنی فعال هستش، Permissive یعنی فقط لاگ می گیره و Disabled یعنی خاموشه.
برای تغییر حالت موقت:
setenforce 1 # فعال (Enforcing)
setenforce 0 # حالت (Permissive)
تغییر حالت دائمی:
nano /etc/selinux/config
و یکی از این حالت های زیر رو انتخاب کنید:
SELINUX=enforcing
SELINUX=permissive
SELINUX=disabled
بعد سرور رو ریستارت کنید.
پیشنهاد میکنم اول در محیط تست، حالت Permissive رو فعال کنید و بعد از رفع خطا ها، حالت Enforcing رو روی سرور اصلی فعال کنید.
❤7
Xray UI
https://github.com/MHSanaei/3x-ui/releases/tag/v2.8.4
نسخه جدید v2.8.4 از 3x-ui یه سری چیزای خوب اضافه کرده.
مثلا دیگه رو Alpine Linux هم جواب میده و میتونی لینک باز برای Happ Client بگیریم. محدودیت پورت ها هم تا 65535 بالا رفته و یه سری تغییرات جزئی هم انجام شده. باگ های مربوط به VLESS و API درست شده و امنیت API هم بهتر شده، طوری که درخواست الکی دیگه سریع 404 میخوره. خلاصه این ورژن هم پایداریش بیشتره، هم امنیتش بالاتره.
مثلا دیگه رو Alpine Linux هم جواب میده و میتونی لینک باز برای Happ Client بگیریم. محدودیت پورت ها هم تا 65535 بالا رفته و یه سری تغییرات جزئی هم انجام شده. باگ های مربوط به VLESS و API درست شده و امنیت API هم بهتر شده، طوری که درخواست الکی دیگه سریع 404 میخوره. خلاصه این ورژن هم پایداریش بیشتره، هم امنیتش بالاتره.
❤13
Forwarded from Umbra
Umbra
در سوئیچ های سیسکو پورت ها میتونن در چهار وضعیت قرار بگیرن Access Trunk Dynamic Auto Dynamic Desirable پورت هایی با مود Dynamic Auto و Dynamic Desirable با استفاده از پروتکل DTP سعی میکنن که حالت Access یا Trunk رو به صورت خودکار تشخص بدن
در نگاه اول DTP به کانفیگ سوئیچ کمک میکنه ولی از لحاظ امنیتی میتونه مشکلاتی رو به وجود بیاره
در صورتی که یک پورت در مود Dynamic Desirable باشه مهاجم میتونه خودشو یک Trunkمعرفی کنه با استفاده از تکنیک Switch Spoofing و Double Tagging از مرز VLAN خارج بشه
به همین دلیل پیشنهاد میشه تمام پورت ها رو از حالت Dynamic خارج کنید
در صورتی که یک پورت در مود Dynamic Desirable باشه مهاجم میتونه خودشو یک Trunkمعرفی کنه با استفاده از تکنیک Switch Spoofing و Double Tagging از مرز VLAN خارج بشه
به همین دلیل پیشنهاد میشه تمام پورت ها رو از حالت Dynamic خارج کنید
Umbra
در نگاه اول DTP به کانفیگ سوئیچ کمک میکنه ولی از لحاظ امنیتی میتونه مشکلاتی رو به وجود بیاره در صورتی که یک پورت در مود Dynamic Desirable باشه مهاجم میتونه خودشو یک Trunkمعرفی کنه با استفاده از تکنیک Switch Spoofing و Double Tagging از مرز VLAN خارج بشه…
یه نکته امنیتی هم من بگم بهتون
موقع کانفیگ VLAN Native رو عوض کنید که دیفالت روی 1 نباشه
موقع کانفیگ VLAN Native رو عوض کنید که دیفالت روی 1 نباشه
❤7