منبع اصلی نوشتار زیر در این لینک قرار دارد

امن کردن تی ام پی در لینوکس

23

09

متخصص های امنیت همواره tmp را یکی از قسمت های آسیب پذیر لینوکس معرفی کرده و توصیه نموده اند تا این دایرکتوری را امن کنیم، چون ما هم دوست داریم که هیچ نقطه آسیب پذیری روی سرور لینوکسی مان نداشته باشیم از روش های مختلف برای امن کردن این دایرکتوری استفاده می کنیم، اما بهترین روش برای امن کردن این دایرکتوری چی است ؟ (پاسخ : خدا می داند و بس) امروز در این نوشته قصد داریم که به یکی از این روش ها بپردازیم

 ابتدا یک درایو مجازی با دستور dd ایجاد می کنیم
# dd if=/dev/zero of=/var/tmpFS bs=10240 count=100000
دستور بالا یک درایو مجازی با حجم یک گیگ ایجاد خواهد، حالا اگر بخواهید فضای بیشتری اختصاص دهیم باید مقدار count را به صورت زیر تغییر دهیم
1 G => count=100000
2 G => count=200000
3 G => count=300000
x G => count=x00000
پس از این که درایو مورد نظر را ایجاد کردیم باید آن را فرمت کنیم 
# mkfs.ext4 /var/tmpFS 
با اجرای دستور بالا یک سوال پرسیده می شود (?Proceed anyway) که جواب را y وارد می کنیم
بعد از فرمت درایو مجازی، tmp را تغییر نام می دهیم و symlink آن را var/ خذف می کنیم
# mv -v /tmp /tmpbak
# rm -rfv /var/tmp
بعدش دایرکتوری جدید tmp را ایجاد می کنیم و درایو مجازی ایجاد شده را در آن مانت می کنیم
# mkdir /tmp
# mount -o loop,noexec,nosuid,rw /var/tmpFS /tmp
سپس سطح دسترسی آن را به ۱۷۷۷ تغییر می دهیم
# chmod 1777 /tmp
حالا یک symlink برای tmp در var/ ایجاد می کنیم
# cd /var && ln -s /tmp
محتوای tmp قبلی را که در tmpbak بود را به tmp جدید انتقال می دهیم و tmpbak را پاک می کنیم
# mv -v /tmpbak/* /tmp && rm -rf /tmpbak
همه مراحل را انجام داده ایم و فقط مانده تا فایل fstab را ویرایش کنیم و خط زیر را به آن اضافه می کنیم که همیشه موقع بوت سیستم، /var/tmpFS به صورت خودکار در /tmp مانت شود 
# nano /etc/fstab
/var/tmpFS     /tmp    ext4    loop,nosuid,noexec,rw   0 0

ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

صرفه جویی در پهنای باند با اسکوئید

22

09

یکی از مواردی که همیشه ما ایرانی ها را آزار داده و می دهند پهنای باند گران و بی کیفیت کشورمان است. در این نوشته قصد داریم تا با استفاده از اسکوئید صفحات وبی را که مشاهده می کنیم را کش کنیم تا در استفاده های بعدی و تکراری از همان صفحه وب پنهای باند کمتری صرف لود آن کنیم و همچنین با سرعت بیشتری وبگردی کنیم، فرض کنید من روزانه چند بار به نردنیوز سر می زنم و نردنیوز، تعدادی تصویر و محتوای ثابت دارد که مدت ها تغییر نمی کنند، حال اگر این محتوای ثابت و تصاویر در جایی کش شوند دیگر نیازی نیست آن را دوباره از سرور اصلی دریافت کنیم و چون این محتوا روی خود سیستم ماست، وب سایت سریع تر لود خواهد شد. در این نوشته قصد داریم تا روش نصب و کانفیگ اسکوئید در آرچ لینوکس برای کش کردن چنین محتواهایی بنویسیم

ابتدا بسته squid را با استفاده از مدیر بسته pacman نصب می کنیم
# pacman -S squid
بعد نصب، فایل تنظیمات آن را باز می کنیم و همانند نمونه که اینجا قرار داده ایم ویرایش می کنیم
# nano /etc/squid/squid.conf
سپس سرویس squid را برای اجرا هنگام بوت فعال می کنیم
# systemctl enable squid.service
مشکل احتمالی فایل تنظیمات را بررسی می کنیم
# squid -k check
دایرکتوری های کش را ایجاد می کنیم
# squid -z
سرویس squid را اجرا می کنیم
# systemctl start squid.service
با استفاده از iptables درخواست های پورت ۸۰ (پورت مورد استفاده در وب گردی) را به پورت ۳۱۲۸ هدایت می کنیم
# gid=`id -g proxy`
# iptables -t nat -A OUTPUT -p tcp –dport 80 -m owner –gid-owner $gid -j ACCEPT
# iptables -t nat -A OUTPUT -p tcp –dport 80 -j DNAT –to-destination 127.0.0.1:3128
# iptables-save > /etc/iptables/iptables.rules
# systemctl enable iptables.service
اکنون همه چیز آماده است و درخواست پورت ۸۰ (وب گردی) شما کش می شود تا در اتصال های بعدی برای شما سریعتر لود شوند، مرورگر خود را باز کنید و به وب گردی بپردازید و صفحاتی را به تکرار باز کنید و شاهد تغییر لود صحفات باشید

ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

فضای ابری یاندکس

21

09

امروزه فضاهای ابری با توجه به کاربردهایی که دارند بسیار مورد توجه قرار گرفته اند و بسیاری از سرویس دهنده ها به رایگان فضایی در حدود ۲ تا … گیگ در اختیار کاربران قرار می دهند، اما تا به حال تنها سرویسی که توجه من را جلب کرده است، سرویس فضای ابری Yandex است، سرویس که امکان ارتباط از طریق WebDAV را هم فراهم نموده است، سرویس WebDAV این امکان را به ما می دهد که فضای ابری را به صورت دیسک سخت بر روی سیستم خانگی یا سرور خود مانت کرده و از آن استفاده کنیم، در این نوشته قصد داریم تا روش نصب davfs2 و استفاده از آن برای مانت کردن سرویس ابری Yandex را بنویسم، ما در این نوشته از آرچ لینوکس استفاده کرده ایم

 ابتدا بسته davfs2 را نصب می کنیم

# pacman -S davfs2
فایل secrets را باز کرده و مشخصات اکانت Yandex را وارد می کنیم
# nano /etc/davfs2/secrets
https://webdav.yandex.ru        yandexUserName         yandexPassword
پس از ذخیره کردن فایل secrets فایل fstab را باز کرده
# nano /etc/fstab
و خط زیر را با آن اضافه می کنیم
https://webdav.yandex.ru        /media/Yandex   davfs   user,rw,noauto  0       0
حالا باید دایرکتوری محل مانت را ایجاد کنیم
# mkdir -pv /media/Yandex
تمام مراحل را که انجام دادیم، دستورات زیر را جهت مانت مجدد و دیدن لیست دیسک های سخت و ظرفیت آن ها اجرا می کنیم
# mount -a
# df -h

ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

پروژه اوپن نیک

19

09

همان طور که می دانید نیم سرورها (nameserver) یا همان DNS جزء جدایی ناپذیر اینترنت هستند، این نیم سرور ها هستند که درخواست ما را به سوی سرور سایت یا سرویسی که درخواست کرده ایم هدایت می کنند حال اگر این نیم سرورها درست کار نکند یا کسانی به عمد کاری کنند که درخواست های ما به درستی هدایت نشوند، چه خواهد شد؟ مثلاً شما آدرس http://duckduckgo.com را در مرورگر خود وارد می کنید و منتظر هستید درخواست شما از آی پی 46.51.197.88 پاسخ داده شود حال اگر درخواست شما از 193.189.122.16 پاسخ داده شود چه ؟ نمی خواهم زیاد مسئله را کش بدم، اما خوب می دانید همین کار را برای سایت های بانکی، بیمه ای، سرویس ها ایمیل، گفتگوی آنلاین و … هم می توان انجام داد، خود واقف هستید که چه سوء استفاده هایی می توان کرد . حال اگر درخواست های DNS شما شنود شود چه کارهایی می شود کرد ؟ خیلی چیزها در مورد سوءاستفاده از نیم سرور ها می توان گفت و نوشت، اما اگر می خواهید از شر این جور مشکلات راحت شوید توصیه می کنم سری هم به OpenNic بزنید، سرویسی که قول داده درخواست های DNS شما را شنود نخواهد کرد و آن را هم در اختیار هیچ نهاد و سازمانی هم قرار نخواهد داد. من خودم هم چند مدتی هست ازش استفاده می کنم و بسیار از عملکردش هم راضی هستم، یک مورد هم اضافه کنم که LTD های جالبی مثل دات geek, free, dyn و … هم داره که به رایگان هم می توانید ثبت کنید

ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

ایران و مهاجرت به گنو/لینوکس

17

09

چند روزی است که سایت های ایرانی پر شده از خبر مهاجرت دستگاه های دولتی ایران به گنو/لینوکس و هر کسی با توجه به دانسته های خود به تفسیر آن پرداخته است اما چیزی که در این تفسیرها و بررسی زیاد به چشم می خورد این است که تفسیر کنندگان به متن مصوبه هیچ دقتی نکرده اند، در مصوبه مذکور آمده است که دستگاه های دولتی شش ماه فرصت دارند تا طرح مهاجرت خود را آماده کنند و حال این که آماده کردن طرح مجاهرت چیزی است و اجرایی کردن آن چیزی دیگر، اما اکثر تفسیر کنندگان بدون توجه به آن گفته اند شش ماه مدت زمان خیلی کوتاهی برای مهاجرت است و عده ای هم مثال هایی آورده که فلان کشور فلان کرد و بهمان شد و خیلی حرف و حدیث دیگر و به قول خودمان بریدند و دوختند بدون این که اندازه گرفته باشند ! . چیزی که در این میان من را بسیار نارحت کرد این بود که حتی بچه های لینوکسی خودمان هم بسیار عجولانه و شتاب زده به مخالفت از طرح پرداختند، مخالفت که نمی توان گفت، همه نمی شود و نمی توان آوردند .
به هر حال من با کلیت طرح بسیار موافق هستم و امیدوارم که طرحی که آماده می شود بسیار جامع و سنجیده باشد و توسط اهل فن نوشته شود نه کسانی که فقط نویسندگان خوبی هستند، نوشتن هنر نیست، باید نوشته قابل اجرا باشد وگرنه به هیچ دردی نمی خورد.

ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

اتصال دو میکروتیک به یکدیگر

26

07

اول می رویم سراغ سناریو ، ما دو تا میکروتیک داریم که آی پی سرور اولی 10.10.0.4 و آی پی سرور دوم 10.10.0.5 است و ما می خواهیم یک تونل از نوع EoIP بین این دو میکروتیک ایجاد کنیم
۱- کارهایی که روی میکروتیک اول انجام می دهیم
/interface eoip add name=TN local-address=10.10.0.4 remote-address=10.10.0.5 arp=enabled tunnel-id=0 disabled=no
/ip address add address=172.168.0.2/24 interface=TN
۲- کارهایی که روی میکروتیک دوم انجام می دهیم
/interface eoip add name=TN local-address=10.10.0.5 remote-address=10.10.0.4 arp=enabled tunnel-id=0 disabled=no
/ip address add address=172.168.0.3/24 interface=TN
خوب تونل ما بر قرار شد و با پنگ آی پی اینترفیس EoIP ساخته شده در میکروتیک اول از میکروتیک دوم خواهید دید که پینگ برقرار است و این نشان دهنده اتصال تو میکروتیک از طریق تونل EoIP است
/ping 172.168.0.2

ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

افزدون پروکسی به ایمکس

28

06

مدت زیادی نیست در پی خواندن مطالب زیبای شاهین عزیز در وبلاگ شاهینیسم  در مورد ایمکس و توانایی هاش در برآورده کردن نیاز های من ، به این ویرایشگر ، محیط توسعه (یا به نظر من یک سیستم عامل :-P ) روی آورده ام ، دیروز برای راه اندازی آیدنتیکا مُد در ایمکس نیاز شدیدی به استفاده از پروکسی داشتم برای همین دنبال راه حل گشتم و در نتیجه به خطوط زیر رسیدم
$ nano ~/.emacs
و افزدون خط زیر
(setenv “http_proxy” “http://PROXY_IP:PORT”)

ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

سرور آپدیت آنتی ویروس

13

06

عزیزانی که ویندوز دارند همیشه در تکاپوی به روز نگه داشتن آنتی ویروس های خود هستند و بیشتر از آپدیت های آفلاینی که در سایت های گوناگون قرار داده می شوند استفاده می کنند و ماهانه و هفتگی و روزانه این کار را انجام می دهید و مجبور هستند طی این فرآیند ۴۰ تا ۴۵ مگ دانلود کنند و این به نوبه خود برای ما ایرانی ها که از اینترنت گران استفاده می کنیم هزینه خواهد داشت  در این راستا ما آیینه ای برای آنتی ویروس و دیواره آتش ESET ایجاد کرده ایم که این مشکل را حل می کند ، شما با استفاده از این آیینه قادر خواهید بود آنتی ویروس خودت را همیشه به روز داشته باشید . اما از آنجایی که نگهداری سرور هزینه هایی دارد این آیینه به صورت رایگان در اختیار شما عزیزان قرار نخواهد بود . در صورت تمایل می توانید اکانت آن را از فروشگاه آنلاین یک دو سه آپدیت تهیه فرمایید.

ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

حل مشکل اجرا نشدن استونل در آرچ لینوکس

19

04

حدوداً یک هفته پیش بود که استونل در آرچ لینوکس به نسخه جدید یعنی ۴.۵۶ ارتقاء یافت و این مساوی بود با از کار افتادن استونل در آرچ لینوکس ، بسیاری از افراد فکر می کردند که این باگ است ، ولی نبود و با افزدون یه خط به فایل کانفیگِ طرف کلاینت حل می شد ، اگر شما هم مثل سایر افراد این مشکل را دارید کافی است خط زیر را به تنظیمات استونل خود اضافه نمایید 
fips = no
اما چرا این مشکل ایجاد شده بود ؟ چون نسخه نصب شده روی سرور (که اکثراْ سنت او اس و دبیان است) خیلی قدیمی است و فاقد ویژگی fibs می باشد .

ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

نصب استونل در آندروید

16

04

استونل ابزاری مفید برای برقراری ارتباط امن است و ما در این نوشته قصد داریم تا روش نصب آن را بر روی گوشی های آندرویدی بنویسیم ، شایان ذکر است شما برای نصب استونل نیاز به یک گوشی روت شده دارید . قبل از هر چیزی استونل مخصوص آندروید را دانلود کنید 
$ wget https://www.stunnel.org/downloads/stunnel-4.56-android.zip
و آن را از حالت فشرده خارج نمایید 
$ unzip stunnel-4.56-android.zip
$ cd stunnel-4.56-android
اکنون نیاز است تا دو تا فایل جدید ایجاد نمایید : 

۱- فایل کانفیگ استونل را ایجاد نمایید
$ nano stunnel.conf
و خطوط زیر را در آن وارد نمایید
pid = /data/data/org.stunnel/stunnel.pid
compression = zlib
client = yes

[squid]
accept = localhost:8080
connect = SERVER_IP:PORT

۲- اسکریپت init را ایجاد نمایید 
$ nano 99stunnel
و خطوط زیر را در آن وارد نمایید 
#!/system/bin/sh

STUNNEL=/system/bin/stunnel
STUNNEL_CONF=/etc/stunnel.conf
LOG=/sdcard/data/stunnel.log

if [ -e $LOG ]; then
        rm $LOG;
fi;

if [ ! -e $STUNNEL ]; then
        echo stunnel binary not found | tee -a $LOG
        exit 1;
fi;

if [ ! -e $STUNNEL ]; then
        echo stunnel configuration file not found | tee -a $LOG
        exit 1;
fi;

echo “$( date +”%Y.%m.%d %H:%M:%S” ) starting stunnel” | tee -a $LOG
$STUNNEL $STUNNEL_CONF | tee -a $LOG

PID=”$( pidof stunnel)”
if [ -z $PID ]; then
        echo stunnel was not started properly | tee -a $LOG
        exit 1;
else
        echo stunnel running with pid $PID | tee -a $LOG;
fi;

exit 0;

فایل را ذخیره و دسترسی اجرا به آن بدهید 
$ chmod +x 99stunnel
بعد از این که این دو تا فایل را آماده نمودید با استفاده از دستورات زیر ، system را به صورت قابل خواندن و نوشتن مانت نموده ، استونل را نصب و فایل کانفیگ و اجرا را به گوشی خود منتقل نمایید
$ adb root
$ adb shell mount -o rw,remount /system
$ adb shell mkdir /data/data/org.stunnel
$ adb push stunnel /system/bin/
$ adb push stunnel.conf /etc/
$ adb push 99stunnel /etc/init.d/
خوب ، نصب استونل تمام شد ، اکنون باید استونل را استارت بزنید 
$ adb shell
$ adb /etc/init.d/99stunnel start
بعد از استارت استونل نرم افزار پروکسی دروید را روی گوشی خود اجرا نموده و یکی http پروکسی با آدرس localhost و پورت ۸۰۸۰ اضافه نمایید و از اینترنت امن استفاده نمایید .
 نکته : بعد از ریبوت گوشی شما نیاز خواهید داشت که استونل را مجدد اجرا نمایید برای این کار ابتدا نرم ترمینال روی گوشی را اجرا نموده و دستورات زیر را اجرا نمایید 
$ su –
# /etc/init.d/99stunnel start

ادامه مطلب

صفحه پیشین » « صفحه بعدی