بستن لاگین ssh به یوزر root در دبیان:

nano /etc/ssh/sshd_config
PermitRootLogin no
/etc/init.d/ssh restart

ساخت یوزرهای جدید همراه با مشخص کردن محل هوم آن:

useradd -m -d /home/www/accessnet      -s /bin/bash -c "accessnet.ir"      -U accessnet

چیزی که بعد از دش سی نوشته میشد کامنت توضیحات یوزر است.

اضافه کردن یک یوزر به یک گروه بدون تغییر گروه اصلی آن:

usermod -a -G www-data username

دامنه

پیش از نصب سیستم عامل

پیشنهاد میکنم دبیان را روی فلش bootable کنید چون سرعت آن بیشتر است.

برای bootable کردن دبیان روی فلش در لینوکس از این کامند استفاده کنید:

dd if=/home/~/debian.iso of=/dev/sdb

پیشفرض من در این مقاله اینه که شما آخرین نسخه‌ی Debian رو به صورت کاملا clean نصب کردید. در حال حاضر آخرین نسخه‌ی دبیان، دبیان ۷ با اسم کد wheezy هست. اگر به صفحه‌ی دانلود دبیان http://www.debian.org/distrib رفته باشید می‌بینید که نسخه‌های مختلفی از این سیستم‌عامل وجود داره. نسخه‌ی netinst داره که یه نسخه‌ی خیلی سبک و کم‌حجم از دبیانه (برای مثال debian 7 netinst 64-bit ۲۲۲ مگ حجم داره) همچنین دبیان در چند CD هم عرضه شده که شامل کل مخازن (repository) رسمی دبیان هست و شما با گذاشتن CD و ویرایش فایل source.list می‌تونید یک پکیج رو از اون رو نصب کنید.

پیشنهاد من به شما اینه که CD اول Debian 7 Wheezy 64-bit روی سرورتون نصب کنید و به بقیه CDهاش هم نیازی نخواهید داشت. در مراحل نصب از شما سوالات مختلفی پرسیده میشه مثه اینکه layout کیبوردتون میخواید رو چه استانداردی باشه یا سیستم عامل به چه زبانی نصب شه یا در کدوم کشور هستید و منطقه زمانیتون چیه و به کدوم میرور سرورهای دبیان میخواید وصل شید و … پاسخ شما به این سوالات به نظر واضح میاد ولی من در آینده یه توضیحاتی برای افرادی که بار اولشون هست در مورد این قسمت‌ها هم میدم.

اما ۳ تا قسمت مهم وجود داره حین نصب که نیازمند یه دانش عمیق‌تره. قسمت اول تعریف partitionها روی هارد هست. قسمت دوم اعمال تنظیمات شبکه روی سرور هست. قسمت سوم نصب سرویس‌ها از طریق tasksel هست. این سه تا بخش رو بعدن مفصلا توضیح میدم.

خب تا اینجا موفق شدیم یه دبیان clean روی سرورمون نصب کنیم و به اینترنت وصلش کنیم. برای اینکه مطمئن شید به اینترنت وصلید از دستور ping 8.8.8.8 استفاده کنید. اگر به اینترنت وصلید ولی به مخازن نمیتونید وصل شید فایل /apt/sources.list رو ویرایش کنید و خطوط زیر رو بهش اضافه کنید: خط یک خط دو

اولین اقدامی که بعد از نصب باید انجام بدید apt-get update و apt-get upgrade هست. بعد از اون انجام مرحله به مرحله‌ی مستند Securing Debian after installation که در اینجا http://www.debian.org/doc/manuals/securing-debian-howto/ch4.en.html نوشته شده. من به زودی ترجمه‌ی این مقاله رو از این وبلاگ یا از خود ویکی دبیان منتشر میکنم.

ما تا اینجا تونستیم اولین سرواژه‌ی LAMP که لینوکس هست رو راه بندازیم. حالا میریم سراغ نصب Apache و Mysql و PHP. بهترین مستندی که برای اینکار در دبیان وجود داره اینه: https://www.digitalocean.com/community/articles/how-to-install-linux-apache-mysql-php-lamp-stack-on-debian

برای اوبونتو ۱۴.۰۴: https://www.digitalocean.com/community/tutorials/how-to-install-linux-apache-mysql-php-lamp-stack-on-ubuntu-14-04

که این رو هم من به زودی ترجمه خواهم کرد. حالا یکی یکی باید امنیت Apache و Mysql و PHP رو تامین کنیم. برای تامین امنیت mysql از دستور زیر استفاده کنید: mysql_secure_installation برای تامین امنیت Apache و PHP از مقاله زیر استفاده کنید: http://www.tutorialarena.com/blog/hide-apache-or-php-signature-linux-server.php

پیشنهاد من به شما اینه که اگر خیلی نمیخواین به صورت دستی و مستقیم با دیتابیس‌هاتون ور برید و فقط لازم دارید یه سری دیتابیس ایجاد کنید و یه سری سی‌ام‌اس بهش وصل کنید یا یه سری دیتابیس رو ایمپورت و اکسپورت کنید. یعنی مستقیم نمیخواید ویرایششون کنید phpmyadmin نصب نکنید. کلن از نصب هر موجود اضافی خارج از اینهایی که من گفتم حتی‌الامکان پرهیز کنید. هر چیز اضافه‌ای که روی سرورتون نصب میکنید همراه امکاناتی که بهتون میده کلی سوراخ امنیتی میاره که بستنش شاید ازتون کلی وقت بگیره. این حتی در مورد نصب ساده‌ترین و پر استفاده ترین وب سرور عالم که آپاچی باشه و سیستم عامل عالم که دبیان باشه و دیتابیس عالم که mysql باشه و زبان برنامه نویسی وب عالم که php باشه هم صادق بود. پس مطمئن باشید اضافه کردن هر چیزی بیشتر از اینها شما رو وارد یه ریسک خیلی بزرگ میکنه. برای همین به جای استفاده از پنل سعی کنید ssh کنید و به جای استفاده از phpmyadmin سعی کنید با دستورهای mysql در محیط بش کار کنید.

شما الان یه سرور خیلی خوب و آماده و امن دارید که با پراستفاده ترین و پایدارترین برنامه‌های عالم کار میکنه. حالا انتخاب اینکه با این سرورتون میخواین چیکار کنین با خودتونه. شاید از اینجا به بعد این مستند به هیچ دردتون نخوره.

الان فرض میکنیم که یه دامنه دارید و میخواین وصل کنید به سرورتون. برای اینکار شما به یک domain name server نیاز دارید. ممکنه این DNS توسط یه نفر دیگه کانفیگ شده باشه که در اینصورت شما باید مشخصات NS و IP اون شخص رو روی دامنتون set کنید و اون DNS خودبخود دامنه رو سمت سرور شما میفرسته. اما اگر بخواین خودتون domain name server رو از طریق بایند در سیستم‌عامل دبیان کانفیگ کنید من یه مستند خوب براتون اینجا نوشتم: https://smm.sadrn.com/doku.php/%D8%B1%D8%A7%D9%87%D9%86%D9%85%D8%A7:%DA%AF%D8%A7%D9%85_%D8%A8%D9%87_%DA%AF%D8%A7%D9%85:%D8%AA%D9%86%D8%B8%DB%8C%D9%85_bind این مستند باید کامل‌تر شه و من سعی میکنم یه سری توضیحات تکمیلی در این مورد بهش اضافه کنم. بعد از انجام مراحل فوق و تنظیم NS ها در دامنه‌ی سایتتون میتونید از این به بعد به جای وارد کردن IP در مرورگرتون از دامنه استفاده کنید.

پیشفرض وب‌سرور شما اینه که سایت رو از روی دایرکتوری /var/www باز کنه. اما بهتره شما با تعریف ویرچوال هاست این پیشفرض رو تغییر بدید. اینکار چند تا مزیت داره. مزیت اولش اینه که شما اگر بعدا سایت‌های دیگه‌ای هم اضافه کنید میتونید با تعریف ویرچوال هاست به ازای هر کاربر و وصل کردنش به دایرکتوری home اون کاربر برای هر کاربر بدون دادن دسترسی ریشه (root) و دسترسی به بقیه تنظیمات سرور و کل شاخه /var یا شاخه /etc که شاخه های مهمی هستند، دسترسی مجزا به فایل‌های مربوط به سایت خودشان بدهید. همچنین اگر میخواهید بعدا موقع استفاده از یک script و … با مشکل مواجه نشوید کاربر ها رو در گروه کاربری apache اضافه کنید. مزیت دوم اینکار اینه که شما میتوانید تنظیمات مجزایی برای IP و دامنه سایتتان قائل شوید و خیلی بحثهای مربوط به SEO مثل IP Canonicalization بهتر انجام می‌شود.

من مراحل نصب جوملا رو توضیح نمیدم ولی باز هم پیشفرضم اینه که شما از آخرین نسخه‌ی stable جوملا یعنی جوملای ۲.۵ استفاده می‌کنید. بعد از نصب جوملا باید کارهای نوشته شده در این مقاله رو انجام بدید: http://www.joshpate.com/2013/01/how-to-fix-hacked-by-hmei7-on-joomla-web-site/ که بیشتر مطالب این صفحه مربوط به بستن MIME Type ها و … در image manager جوملا است.

مطمئنن امنیت سرور شما به اینجا ختم نمی‌شود. ممکن است شما در آینده بخواهید روی جوملایتان extension نصب کنید تا قابلیت های بیشتری در آن داشته باشید. یا ممکن است بخواهید در کنار جوملا از اسکریپت های دیگری نیز استفاده کنید که اضافه کردن هر کدام آن‌ها مجددا شما را در یک وضعیت نا امن قرار می‌دهد و این به معنی استفاده نکردن از آن‌ها نیست. این به معنی لزوم دقت، clean کار کردن و تغییر پیشفرض‌های نامناسب بعد از اضافه کردن هر فیچر جدید است.

راهنمای تنظیم آپاچی برای ایجاد Direcotry Password در آپاچی: http://www.addedbytes.com/lab/password-protect-a-directory-with-htaccess/

خوانده شدن فایل‌‌های htaccess توسط آپاچی:

      <Directory /var/www/>
              Options Indexes FollowSymLinks MultiViews
              AllowOverride All
              Order allow,deny
              allow from all
      </Directory>

برای بک‌آپ گرفتن از دیتابیس از این کامند استفاده کنید:

mysqldump -u USER -p DATABASE > filename.sql

phpmyadmin بهتره استفاده نکنید در حالت کلی. ولی حتی اگر استفاده میکنید نمیتونه دیتابیس هایی که حجمش بالای یه عددی باشه رو بک‌آپ بگیره.

برای ساختن دیتابیس جدید و ست کردن پیریویلیج‌های آن به یک کاربر از دستورات زیر استفاده کنید:

sudo apt-get install mysql-server

لاگین کردن به مای‌اس‌کیو‌ال:

$ mysql --user=root -p
Enter password: 

ساختن دیتابیس جدید:

mysql> CREATE DATABASE namespace_databasename;
Query OK, 1 row affected (0.00 sec)

ساخت یوزر و تعریف پسورد آن و دادن دسترسی استفاده به کل دیتابیس‌ها به صورت همزمان:

mysql> grant usage on *.* to [email protected] identified by 'amarokpasswd';
Query OK, 0 rows affected (0.00 sec)

دادن تمام دسترسی‌ها به یک دیتابیس و یوزرش:

mysql> grant all privileges on amarokdb.* to [email protected] ;
Query OK, 0 rows affected (0.00 sec)

دادن تمام دسترسی‌ها به یک namespace از دیتابیسها:

mysql> grant all privileges on `namespace\_%`.* to 'amarokuser'@'localhost' ;
Query OK, 0 rows affected (0.00 sec)

پاک کردن دیتابیس:

drop database <db_name>;
FLUSH PRIVILEGES;

ساخت پسوردهای امن:

apg -a 1

ریستور کردن دیتابیس:

mysql -u root -p[root_password] [database_name] < dumpfilename.sql

گرفتن دامپ بدون ارور لاک:

mysqldump -u root -pmysecretpassword --opt exampledb --lock-tables=false > exampledb.sql

ساخت یوزرها داخل دیتابیس:

CREATE USER 'newuser'@'localhost' IDENTIFIED BY 'password';

خالی کردن کش دبیان

این دستور رو وارد کنید:

crontab -e <enter>

خب حالا یک ادیتور vi باز میشه. برای اینکه بتونین تو ادیتور vi چیزی بنویسین باید یکبار روی i کلیک کنید. و وقتی کارتون تموم شد اسکیپ بزنین و بعد بنویسین «:wq» تا فایل رو سیو کنین و بیاین بیرون.

خب با کلید پایین کیبورد برید ته فایل این خط رو اضافه کنین:

0 * * * * /root/clearcache.sh

بعد یک فایل با این نام و آدرس ایجاد کنید:

nano /root/clearcache.sh

داخل این فایل این متن رو بنویسین:

!/bin/sh

sync; echo 3 > /proc/sys/vm/drop_caches

فایل رو سیو کنین بیاین بیرون. کارش تموم شد. از الان به بعد کرون جاب کش مموری شما رو ساعتی یکبار خالی میکنه و کلی در مقدار رم مصرفیتون صرفه جویی میکنین.