بدون شک تامین امنیت یکی از مهم ترین رمز های موفقیت است ، مخصوصا سرور های ارائه دهنده هاست اشتراکی که تعداد زیادی سایت در آنها بارگزاری شده است ، وجود تعداد بالا وب سایت ها خطر نفوذپذیری به سرور را افزایش می دهد ، cxs یک برنامه کاربردی است که برای جلوگیری از آپلود فایل های خطرناک و اسکن لحظه ای فایل ها نوشته است، این برنامه همچنین یک پلاگین بسیار کاربردی برای سی پنل دارد که رابط کاربری (gui) آن می باشد و کار با برنامه را بسیار ساده کرده است ، دستورات اسکن ، مشاهده فایل های قرنطینه شده ، مدیریت Watch Daemon ، مشاهده لاگ ها از جمله امکانات این پلاگین می باشد. در ادامه ما آموزش نصب cxs در سی پنل را به شما آموزش می دهیم.

نصب cxs در سی پنل

نحوه نصب cxs در سی پنل :

برای نصب cxs ابتدا وارد ssh سرور خود شوید و دستورات زیر را به ترتیب وارد نمایید :


wget https://download.configserver.com/cxsinstaller.tgz
tar -xzf cxsinstaller.tgz
perl cxsinstaller.pl
rm -fv cxsinstaller.*

برای نصب ماژول پرل مورد نیاز Watch Daemon در سی پنل دستور زیر را وارد نمایید :

/scripts/perlinstaller Linux::Inotify2

برای فعال کردن اسکن فایل های آپلودی توسط وب سرور فایل زیر را ویرایش کنید : ( شما باید از قبل mod_security را تصب کرده باشید)

 


nano /usr/local/apache/conf/modsec2.user.conf

سپس کد های زیر را وارد آن کنید و با کلید های ctrl + x و y فایل را ذخیره کنید.

SecRequestBodyAccess On
SecRule FILES_TMPNAMES "@inspectFile /etc/cxs/cxscgi.sh"
"log,auditlog,deny,severity:2,phase:2,t:none,id:'1010101'"
SecUploadKeepFiles RelevantOnly
SecTmpDir /tmp

اگر شما آپلود فایل های حجیم توسط وب سرور را مجاز کرده اید باید سایز مجاز آپلود که به طور پیش فرض 128 مگابایت است را ویرایش نمایید. نمونه کد زیر را می توانید در همان فایل اضافه کنید :

SecRequestBodyLimit 134217728

توجه کنید که این مقدار را باید به بایت وارد کنید برای مثال 128 مگابایت معادل 134217728 می شود. شما همچنین می توانید پوشه موقت فایل ها در جایی به غیر از /tmp ایجاد کنید. پوشه جدید باید قابلیت نوشتن با یوزر nobody را داشته باشد. سپس باید http را ری استارت نمایید.

SecTmpDir /path/to/dir

برای اسکن فایل های آپلود شده ftp توسط cxs باید کد زیر را به تنظیمات سرویس pure-ftpd خود اضافه کنید برای انجام این کار ابتدا فایل زیر را ویرایش کنید :

nano /etc/pure-ftpd.conf

سپس خط زیر را به آن اضافه نمایید :

CallUploadScript yes

نکته : pure-ftpd باید با تنظیم –with-uploadscript کامپایل شده باشد برای این منظور سرویس های pure-ftpd و pure-uploadscript را ری استارت نمایید. توجه کنید که سرویس زیر باید run باشد.

/etc/init.d/pure-uploadscript status

در freebsd باید کد های زیر را در فایل /etc/rc.conf وارد نمایید :

pureftpd_enable="YES"
pureftpd_upload_enable="YES"
pureftpd_uploadscript="/etc/cxs/cxsftp.sh"

سپس pure-ftpd را ری استارت نمایید.
اسکن ClamAV به فعال بودن سرویس clamd daemon نیاز دارد ، به طور پیش فرض cxs سوکت های /tmp/clamd و /var/clamd را نگاه می کند در غیر اینصورت شما باید از سوئیچ –clamdsock برای تمام دستورات cxs استفاده نمایید.
فایل های تست برای اسکن در cxs در این مسیر قرار دارد ، می توانید به صورت نرمال اپلود کنید ( از طریق سی پنل ، ftp و غیره )

/etc/cxs/test

اگر شما قصد دارید بروزرسانی روزمره را دارید دستور زیر را وارد کنید :

ln -s /etc/cxs/cxsdaily.sh /etc/cron.daily/

 نحوه تنظیم پوشه قرنطینه (Quarantine) پس از نصب cxs :

بعد از نصب cxs شما باید پوشه قرنظینه را ایجاد نمایید برای انجام اینکار شما باید ابتدا در مسیر مورد نظر به وسیله دستور mkdir پوشه مورد نظر را وارد نمایید و سپس از دستور زیر استفاده نمایید :

cxs --qcreate --quarantine

توجه کنید که باید در ادامه دستور بالا مسیر را اضافه نمایید.

نحوه راه اندازی و تنظیم cxs Watch Daemon :

1-پس از ورود به سی پنل از قسمت Plugins روی گزینه ConfigServer eXploit Scanner کلیک کنید ، در خط اول وضعیت cxs شما نمایش داده شده است اگر cxs شما در وضعیت Running in Restricted Mode باشد باید فایل /etc/cxs/cxs.restricted را حذف کنید تا امکانات کامل به شما نمایش داده شود ، سپس وضعیت cxs شما به Running in Unrestricted Mode  تغییر می کند.

توجه کنید که در حالت Unrestricted Mode امکان اجرا هر دستوری وجود دارد و همچنین دسترسی به ریشه سرور امکان پذیر است که در حالت Restricted Mode این مورد غیر فعال است ، بنابراین ما توصیه می کنیم در زمان خروج Restricted Mode را فعال نمایید ، همچنین شما می توانید به طور کلی رابط کاربری را غیر فعال نمایید ، توجه کنید پس از محدود سازی دستورات مورد نیاز شما در ssh قابل انجام است.

برای وارد شدن به حالت Restricted Mode می توانید روی دکمه آن کلیک کنید یا به وسیله دستور زیر فایل آن را ایجاد کنید :

touch /etc/cxs/cxs.restricted

 

برای ورود به حالت Unrestricted Mode نیز توسط دستور زیر فایل را حذف کنید :

rm /etc/cxs/cxs.restricted

برای غیر فعال کردن ui ( رابط کاربری ) روی دکمه Disable UI کلیک کنید یا با دستور زیر فایل آن را ایجاد کنید :

touch /etc/cxs/cxs.disableui

 

برای فعال کردن رابط کاربری cxs می توانید فایل ایجاد شده را به وسیله دستور زیر حذف کنید :

touch /etc/cxs/cxs.disableui

2- شما باید در زمانی که در حالت Unrestricted Mode قرار دارید روی دکمه Configure cxs Watch کلیک کنید و سپس پوشه قرنطینه را به آن اضافه کنید ، برای مثال پوشه قرنطینه ما در اینجا /root/mostafa10 می باشد. همچنین بنده یک نمونه دستور را در ادامه برای شما قرار دادم :

/usr/sbin/cxs --options -wW --Wstart --allusers --www --smtp --mail root --quarantine /root/mostafa10 --Wmaxchild 3 --Wloglevel 0 --Wsleep 3 --filemax 0 --Wrateignore 300

سپس فایل را ذخیره کنید و cxswatch را از رابط کاربری restart کنید.

همچنین شما می توانید از قسمت Generate cxs Commands اسکن دستی وب سایت ها را انجام دهید.

حذف cxs :

برای حذف cxs از سرور ابتدا باید تنظیماتی که برای مود سیکوریتی و ftp اعمال کردید را حذف کنید و سپس از دستورات زیر استفاده نمایید :

cd /etc/cxs
sh uninstall.sh
cd /root

هزینه لایسنس های cxs :

لایسنس cxs به صورت lifetime بوده و هزینه آن 60 دلار می باشد ، برای خرید در وب سایت نت آرام عضو شوید و سپس تیکت مربوطه را ارسال نمایید.

امیدواریم این مقاله برای شما مفید بوده باشه ، لطفا در صورتی که نظری در مورد آن دارید حتما در قسمت دیدگاه های همین صفحه آن را برای ما ارسال نمایید.