طبعاً زي ما نعرف حنا يا أصحاب المواقع، السواد الأعظم مننا لجل يرفع ملفاته إلى موقعه، يستخدم برنامج معين يعتمد على برتوكول FTP.
بالتدوينة هذي إن شاء الله، راح أبين الخطر اللي يضر موقعك بإستخدامك برامج FTP، و الحل طبعاً.
تنويه: التدوينة هذي مو مخصصة لمستخدمي أنظمة لينكس ويونكس فقط، مستخدمي أنظمة ويندوز يقدرون يكملون قرأه الموضوع، فيه معلومات وطرق بتهمهم وبتساعدهم.
تنويه ثاني: الموقع الخاص فيك لازم يكون مستضاف على سيرفر لينكس أو يونكس، اما إذا كنت مستضيف موقعك على سيرفر ويندوز، فالله يعينك على سيرفرك، اللي بهالتدوينة ما ينطبق على سيرفرك – إلا في حالات معينة – :-).
أقسام الموضوع:
1. المشكلة، وتطبيق عملي لتوضيح الخطر.
2. طريقة الحل:
2.1 تفعيل SSH في السيرفر عن طريق شركة الإستضافة.
2.2 لمستخدمي لينكس، يونكس.
2.3 لمستخدمي ويندوز.
4. نقاط مهمة.
1. المشكلة، وتوضيح الخطر:
المشكلة بكل بساطة، إن برامج FTP اللي تستخدمها إنت لجل تتعامل مع ملفات موقعك، ما تستخدم أي طريقة تشفير لأجل تشفر اسم المستخدم والباسوورد الخاصة بالموقع الخاص فيك، يعني ترسلهم إلى موقعك بشكل يسمى Clear Text.
وش فكرة Clear Text؟
فكرة الكلير تيكست Clear Text، زي ما هو واضح من الاسم لو ترجمناه، بيطلع “نص واضح”، والمقصد فيه إنو لو كتبت مثلاً كلمة المرور 12345، بتروح للسيرفر كما كتبتها 12345، مو مشفره بكلام غير مفهوم، يعني كذا مثلاً $1$/OZFw$nEVRAn9aW0V0NVZdaqWX7/
خلوني أشرح لكم الخطر وينه، أبفترض إني جالس بمقهى، وجاء في بالي أدخل موقعي jerais.com، وأرفع عليه كم ملف عن طريق أحد برامج FTP.
شغلت برنامج الأف تي بي FTP، وحطيت اليوزر نيم والباسوورد الخاصة بموقعي، وظغطت إتصال، وشبكت على سيرفري، وبديت أنقل وأعدل بالملفات.
في نفس اللحظة اللي انا كتبت اليوزر نيم والباسوورد الخاصين فيني، نفترض إنو فيه هاكر جالس بالمقهى ومشغل له برنامج Sniffer شمام لأجل يلقط الترافيك اللي يمر في الشبكة، شوفوا وش بيطلع له :-):
220 (vsFTPd 2.0.7)
USER ftp
331 Please specify the password.
PASS ftp
230 Login successful.
SYST
215 UNIX Type: L8
تشوف اللي باللون الأحمر اللي فوق؟ هذي اللي بتطلع اللي جالس يلقط الترافيك الخاص فيك.
وزي ما إنت ملاحظ، عارض له وبكل ترحيب اسم المستخدم ( USER ftp )، والباسوورد ( PASS ftp ) الخاصين بالموقع حقي بدون أيه تشفير أو غيره.
هنا الخطر، وضح لك؟
2. طريقة الحل:
2.1 تفعيل SSH في السيرفر عن طريق شركة الإستضافة:
يبغى لك تكلم الإستضافة الخاصة فيك اللي إنت مستضيف موقعك عليها لأجل يعطونك حساب SSH، وهالشيء غالباً مجاني ويجي معي خطة الإستضافة اللي إنت شريتها، وراح يعطونك اليوزر نيم والباسوورد الخاصة بهالـ SSH.
أيش الأس أس أتش SSH؟
SSH هو برتوكول للتحكم بالسيرفر أو بالجهاز الخاص فيك ونقل الملفات والتعامل معها بطريقة آمنه ومشفرة، يعني البيانات اللي تطلع من جهازك ورايحه للسيرفر عن طريق برتوكول SSH راح تكون مشفره 100% حتى لو حاول هاكر يلقطها ويحللها، شوف الترافيك اللي ملتقطه انا لترافيك SSH، شوف كيف مشفر وغير مفهوم:
SSH-2.0-OpenSSH_5.1
SSH-2.0-OpenSSH_5.1
..
..
./,C.......k.-.mH.......er).....u.!=`.K!.......
.........~.6.H..&..k?L.._.L5.m....f8..[..$..c..
?(a.....8........._.0..N.`.....2`.......m.j.1...
(.\(...+......g.1^.Q$........h..rx.z.z..s.dn..u...D.[....U.aE.
.XV........?a.....].T.vCYd...T....u...+.8RG~.....G.bl..[rl..-r..\..V.K`.NQ...P...:zf.v..0.......l......zXc...|.CDU.1\ec"
.+.....i.n.^.=...."`...N.].C.o.K.6.....ZtRn%..=l.\....VI{1mx
شايف كيف مشفر فوق؟ يعني خلاص الباسوورد واليوزر نيم آمنين إن شاء الله من الإلتقاط، أو من المصطلح ( Man In The Middle Attack ( MITM.
2.2 لمستخدمي لينكس، يونكس:
فيه أكثر من طريقة للإتصال بالسيرفر حقك لجل تتعامل مع الملفات عن طريق SSH، والحين في هالموضوع راح أتطرق إلى برنامج GUI بيساعدك للتعامل مع ملفاتك بطريقة آمنة، اما التعامل مع ملفات سيرفرك عن طريق الشيل راح نتطرق لها في موضوع ثاني عشان ما نطول الموضوع.
البرنامج اسمه gFTP، وطريقة تثبيته:
يونكس FreeBSD، عن طريق البورتس Ports:
cd /usr/ports/ftp/gftp; make install clean
لينكس فيدورا، عن طريق الحبيب yum:
yum install gftp
بعد التثبيت، شغل البرنامج applications>> internet>>gFTP، أو عن طريق الأمر gftp.
راح تشتغلك شاشة البرنامج، زي هالشاشة:
برنامج gftp
البرنامج إستخدامه سهل، زيه زي أي برنامج FTP، عشان تخليه يستخدم برتوكول SSH بدل FTP، تشوف المربع اللي باللون الأحمر؟
غيره إلى SSH2، وفي الخانات اللي على اليسار، تعبيها بأسم الدومين واليوزر نيم والباسوورد اللي إستلمتها من الإستضافة اللي مستضيف عندها إنت، ثم تظغط على زر الإتصال اللي على اليسار ( اللي شكله شاشات كمبيوتر ).
2.3 لمستخدمي ويندوز:
إستخدم برنامج WinSCP، برنامج مفتوح المصدر، مجاني، يعني ما تحتاج لا كراك ولا تسجيل:-)، وسهل الإستخدام، و يدعم نقل الملفات بين المواقع بأكثر من برتوكول، زي FTP,SSH، وتقدر تحمله عن طريق رابط التحميل.
وبرضوا تقدر تستخدم برنامج الفايل زيلا FileZilla، برنامج مفتوح المصدر ومجاني، وتقدر تحمله من هنا.
طبعاً بعد التحميل ثبت البرنامج، ومايحتاج أقول إن كل شيء نكست نكست نكست :-).
شغل البرنامج، وراح تطلع لك هالشاشة الخاصة بالإتصال بالسيرفر:
برنامج winscp
بعد ما تكتب البيانات بشكل صحيح، راح تطلع لك شاشة نقل الملفات، وسهلة هي طبعاً:
برنامج winscp
4. نقاط مهمة.
1. هل كذا خلاص موقعك آمن من الإختراق بعد ما إنتقلت إلى إستخدام SSH في نقل الملفات؟
لا، مو آمن، أكثر أمان من قبل. وتذكر، مافيه شيء بهالدنيا كامل إلا وجه الله سبحانه، يعني مافيه شيء آمن 100%.
2. مو فقط FTP اللي يرسل المعلومات ككلير تيكست Clear Text، برضوا برتوكول HTTP و Telnet، وهذي راح أتطرق لها بوقت ثاني.
3. زي ما تلاحظ، حنا نقلنا الملفات عن طريق SSH، وبرتوكول النقل عن طريق SSH يسمى SFTP، Secure FTP، الأف تي بي الآمن.
4. البورت الخاص بـ SSH و SFTP هو 22، إلا إذا غير الإستضافة رقم البورت.
يمكن تلاقي الروابط هذي مفيدة:
موضوع تشكرعليه
كما يوجد العديد من التليمات التي لا يتبعها أصاب المواقع و لكن بجهودك نزداد معرفة و علم
برافو جريس.. بس وين الفايل زيلا؟ مو أفضل من وين سيبي؟
ابوتميم
الموضوع مفيد جداً .. بارك الله فيكم ..
شكراً لك أخوي جريس بارك الله فيك موضوع قيم ومفيد جداً
موضوع رائع اخي الكريم
كل الشكر على التعليق، وأتمنى لكم كل الإستفادة.
@عبدالعزيز العريج ,
حبيبي أبو عمر :-).
الفايل زيلا ( http://filezilla-project.org )ما إستخدمته على لينكس، وعلى أيام الجاهلية -أيام ويندوز- إستخدامي له قليل.
يعني ما أقدر أفيدك يابو عمر، هل هو أفضل من وين إس بي Winscpولا لا.
حدثت التدوينة بإضافة الفايل زيلا، تسلم على التعليق.
وين أيامك حسى ماشر إن شاء الله و الله مشتاقين لخشيشك ;)
الله يجعل كل حرف كتبته بمليون حسنه آمين آمين آمين
و والله أني أحبك في الله يا الروت جريس
ماعمري شفت موقع عربي يعطي SSH ACCESS ،
طبعا لأنهم مايعرفون كيف يحمون أنفسهم ،
مايدرون أنه يقدر يجعل SSH ، فقط لرفع وتنزيل الملفات بدون تنفيذ أوامر
أنت حولت للأجانب ومبسوط مع DreamHost
بالتوفيق للجميع
@linuxawi ,
أحرجتني بكلامك :-)
الله يوفقك، وإن شاء الله إنك تستفيد أخوي، وأحبك الله الذي أحببتني فيه.
@سطام ,
أبشرك، مافكرت بإستضافة عربية :-).
أبستضيف عند عربي إذا كانت سيرفراتي قدام عيوني وانا أديرها بنفسي، لكن حركات كل من هب ودب صار ريسيلر ماأحبها :-).
عموماً، انا ما رحت عند دريم هوست
whois jerais.com
وبتعرف عند مين مستضيف انا :-)
ما شاء الله تبارك الله ..
ما يحتاج أقول تدوينة بطلة , استفدت منها .. (Y)
بالتوفيق
يالله لا تهينه وينك انقطعت او يمكن انا اللي انقطعت
عمومآ الحمد لله عالسلامة وزي ما ذكر الأخ سطام الأستضافات العربيه لا تقدم هذه الخدمه وعمومآ خلال أيام ان اشاء الله نحول على حمران العلابي :)
مشكور ياجريس ومواضيعك مفيدة جدآ وهادفه وان شاء الله اطبق الشرح بعد النقل لشركة أجنبيه.
“إن برامج FTP اللي تستخدمها إنت لجل تتعامل مع ملفات موقعك، ما تستخدم أي طريقة تشفير لأجل تشفر اسم المستخدم والباسوورد الخاصة بالموقع الخاص فيك، يعني ترسلهم إلى موقعك بشكل يسمى Clear Text.”
يبدو أنك نسيت أمر FTP with TLS/SSL :)
ايضاً الـ SFTP لا يحتاج صلاحيات,, اي مستخدم في النظام يستطيع الدخول على SFTP طبعاً بأستخدام من ssh
وتدوينة جميلة وفعلاً FTP اصبح من عصر الجاهلية
@Mustafa Albazy,
هلابك، أمم هي مانسيت FTPS، لكن كانت فكرتي إني أوصل لهدف شرح الـ SSH والتوقف عن FTP في اغلب الأمور الخاصة بإدارة الموقع.
يعطيك العافية على التعقيب مصطفى.