أعترف أنني توقفت عن التدوين لفترة طويلة بدون سبب مقنع، لكن أعتقد السبب بنظري هو تويتر!.

أغلب الكلام، الأخبار أو الأفكار التقية الموجودة في بالي أطرحها في تويتر، لكن من اليوم، إن شاءالله، أعمل المستطاع لجعلها كتدوينات.

في أحد الخوادم، أردنا، الصديق رائد الراشد وانا، حصر الدخول على خدمة SSH لبعض الأيبيات IP Address المحددة مسبقاً في الخادم لزيادة الأمان بتعطيل محاولات كسر كلمات المرور الخاصة بأحد حسابتنا، وايضاً منع الدخول للخادم حتى وإن تمت سرقة كلمة المرور الخاصة بأحد منا.

تحديد أيبيات معينة سهل في حالة كونك شركة أو قطاع لديه إتصال إنترنت يستخدم عدد من الأيبيات العامةStatic Public IPs ثابتة وليست متغيرة، بعكس الأفراد مستخدمي إتصالات الإنترنت المنزلية مثل الدي إس إل DSL أو المتنقلة مثل البرودباند، حيث تتغير الأيبيات كل فترة Dynamic-Public IP، أو مع كل إتصال جديد!.

أعلن “التنظيم الوطني للتدريب المشترك ” عن توفير تدريب عملي ونظري لمدة سنة -52 أسبوع- على إدارة سيرفرات أنظمة لينكس منتهي بالتوظيف.

التدريب كما هو مبين يتم عن طريق شركة IBM، وبالتأكيد عن طريق الشريك الخاص بهم في السعودية شركة SBM، منتهي بالتوظيف كما هو موضح بالأعلى مع مكافأة شهرية قدرها 1000 ريال سعودي.

تفاصيل الإعلان بعد الفاصل.

غالباً في أي سيرفر، الأدمن يحتاج يجهز ويركب شهادة SSL لزيادة أمان خدمة معينة تشتغل على السيرفر الخاص به، أما لتشفير الموقع WWW أو لزيادة مستوى أمان خادم FTP الخاص به، وغيرها من الخوادم.

لندرة المصادر العربية المتطرقة لهذا الموضوع، وهو كيفية إنشاء شهادة SSL خاصة بك، وشخصية، قررت أفرد له هذة التدوينة.

تدوينتي راح تتكون من المحاور هذي:

1- تعريف بـ SSL، وتبيان ماهو ومافائدته.

2- إنشاء شهادة SSL شخصية غير معتمدة:

2.1 توضيح معنى “غير معتمدة”.

2.2 البدء بإنشاء الشهادة:

2.2.1 إنشاء المفتاح الخاص.

2.2.2 إنشاء Certificate Signing Request -طلب توقيع الشهادة-.

2.2.3 إنشاء الشهادة.

3- إنشاء شهادة SSL معتمدة.

راح أتطرق ﻷغلب وأشهر أوامر -برامج- لينكس في إدارة الشبكات، وما يستغنى عنها أي أدمن أو مستخدم “متقدم” لأنظمة لينكس.

الأوامر هذي راح تفيدك بعملك اليومي مع سيرفرات -خوادم- لينكس ويونكس، كحل بعض المشكال ومعرفة مصدر الأخطاء.

عموماً، التطبيق راح يكون على لينكس فيدورا\سنتوس\ريدهات، التوزيعات الثانية من لينكس ويونكس إحتمال يواجه إختلاف في مخرجات وخيارات بعض الأوامر.

ما راح أدخل بتفاصيل الأوامر، حاول تكتشفها وتطلع عليها بنفسك، لأني لو دخلت بالتفاصيل أحتاج شهر إضافي لأجل أنشر هذة التدوينة :).

أتطرق بتدويناتي عن SSH، وكيف إنك تستطيع تتحكم بالموقع الخاص فيك عن طريقه أو كيف إنك تنقل وترفع الملفات من موقعك أو العكس عن طريقه.
إرجع للتدوينة “أساسيات التحكم بمواقع الويب عن طريق SSH” لأجل تعرف كيف تتحكم بالموقع الخاص فيك عن طريق SSH، وأيضاً إرجع للتدوينة “لتفادي إختراق موقعك، توقف عن إستخدام FTP” لتعرف كيف ترفع مستوى أمن موقعك بتوقفك عن إستخدام FTP في نقل الملفات.

جاء في بالي أذكر وظائف إخرى لـ SSH غير نقل الملفات والتحكم بالخادم، وإن شاء الله هذا هو محور تدوينتي.

قبل ما أسترسل، أحب أوضح ماهيه SSH للأشخاص الغير مطلعين عليها.

بكل بساطة، SSH هو برتوكول أمن للتعامل مع الأجهزة والخوادم عن طريق الشبكة. وبشكل أوضح وأسهل، تعرف “إتصال سطح مكتب بعيد Remote Desktop Connection” في ويندوز؟ هو “نفس فكرة” SSH، وليس “نفس” SSH :).

من خلال تعاملي مع سيرفرات لينكس ويونكس، أواجه مشاكل مع أخذ النسخ الأحتياطية للسيرفرات أو المواقع لأجل أسترجعها بوقت الحاجة لها.

طبعاً، سبب إسترجاعي للنسخ الإحتياطية مايخفى على أي أدمن، صاحب سيرفر أو صاحب موقع، الا وهو وجود مشكلة مثلاً في السيرفر وأسرع وأضمن حل لأجل تصلح هالمشكلة إنك تسترجع نسخة إحتياطية لأحد الأيام أو الأسابيع الماضية، أو لأي سبب ثاني راجع للأدمن.

لكن، هل فيه أحد واجه فيكم مشاكل مع كبر حجم النسخ الأحتياطية؟

شوف السيناريو هذا:

عندي موقع، وملفات الموقع حجمها يتجاوز على سبيل المثال 4 قيقا. ويومياً السيرفر يأخذ بشكل تلقائي نسخة إحتياطة الساعة 3 بالليل. بعد أسبوع – 7 أيام – كم المساحة اللي أستهلكتها النسخ الأحتياطية؟

4 قيقا * 7 أيام = 28 قيقا!

انتشرت في النت الأيام هذي طريقة لإستغلال ثغرة موجودة في برنامج OpenSSH الموجود بأغلب سيرفرات لينكس ويونكس.

وطبعاً قبل أسترسل بموضوعي هذا، حاول ترجع لموضوع سابق لي يتكلم عن OpenSSH بشكل مفصل.

وبشكل مبسط، برنامج OpenSSH يسمح لك إنك تتحكم بالسيرفر الخاص فيك بشكل كامل وآمن، ولو تم إختراقه، تم إختراق سيرفرك بشكل كامل!.

عموماً، أيش تفاصيل الثغرة الخطيرة هذي؟

بإختصار، الثغرة هذي مزيفة، ومجرد خدعة وكذب.

لما يكون فيه ثغرة بأحد البرامج، نفترض ثغرة موجودة في سيرفر الويب أباتشي Apache، تحتاج لطريقة إنك تستغل الثغرة هذي، والطريقة هذي غالباً تكون برنامج معين – يسمى Exploit – يكون مبرمج بواسطة هاكر لأجل يسهل لك إستغلال الثغرة هذي.

في الشبكات وبالذات في تخصص إدارة السيرفرات، المحفاظة على إتصال السيرفر من الإنقطاع هذي شيء أساسي ومهم قبل أي حاجة، لأن لو إنقطع الإتصال بالسيرفر وخلاص صرت ما تقدر تتصل فيه، أيش الفائدة من السيرفر؟!

بشكل أبسط، نفترض إني صاحب بنك، وفي بنكي انا مقدم خدماتي عن طريق الإنترنت ﻷجل أسهل على العملاء إنهم يخلصون معاملاتهم البنكية من تحويل وإدراة أرصدة بدون حضورهم شخصياً للبنك.

طبعاً عشان أقدم خدماتي عن طريق الإنترنت، لازم يكون عندي سيرفر مستضيف موقعي، وموقعي فيه كل هالتعاملات البنكية اللي يحتاجها العميل. طيب إذا هالسيرفر فقد الإتصال بالإنترنت، أيش الفائدة منه؟

العملاء الخاصين ببنكي ما راح يدخلون الموقع، وهالشيء راح ينعكس على سمعتي، إن بنك جريس سيء في خدماته الإنترنتية، وكل شوي متعطل موقعهم. بكذا خسرت شريحة كبيرة من عملائي المهتمين بالتعامل عن طريق الويب للتعاملات البنكية.

أعلن الفريق الأمني لنظام FreeBSD  وجود 3 ثغرات أمنية في النظام، والثغرات فيها السيء والأسوأ -وزي ما نقول حنا يالسعوديين الشين والأشين :-)-.

الإعلان كان يوم الإربعاء الفائت، 10-06-09، وتقريباً جميع إصدارات FreeBSD مصابة بالثغرات هذي، حتى الإصدار الأخير 7.2.

وهذي تفاصيلها:

1-  ثغرة في سيرفر NTP :

تعريف بسيط لـ NTP:

سيرفر NTP هو اختصار لعبارة Network Time Protocol، وبالعربي أيش معناه؟

Network Time Protocol هو برتوكول مزامنة وقت وتاريخ جهازك الكمبيوتري مع سيرفر يقدم هالخدمة بشكل مظبوط.

وبمفهوم أوسع، بروتوكول NTP يسمح لك إنك تضمن إن وقت جهازك وتاريخه مظبوطات بشكل صحيح حسب توقيت دولتك، وحسب توقيت الأقمار الصناعية.

راح أستعرض في التدوينة هذي كيفية مراقبة ترافيك الشبكة عن طريق الأداة MRTG، التسلسل بيكون حسب النقاط هذي:

- مقدمة عن MRTG.

- التثبيت على لينكس ويونكس FreeBSD.

- التشغيل.

- إضافتها إلى Cron لتشتغل تلقائياً كل 5 دقائق.

- بدائل لـ MRTG.

- نقاط مهمة.