الصديق رائد الراشد وأنا رغبنا في أحد الخوادم بحصر الدخول على خدمة SSH لبعض الآيبيات IP Address المحددة مسبقاً في الخادم لزيادة الأمان، بتعطيل محاولات كسر كلمات المرور الخاصة بأحد حساباتنا، وأيضاً منع الدخول للخادم حتى وإن تمت سرقة كلمة المرور الخاصة بأحد منا.

تحديد آيبيات معينة سهل في حال كونك شركة أو قطاع لديه إتصال إنترنت يستخدم عدد من الآيبيات العامة Static Public IPs ثابتة وليست متغيرة، بعكس الأفراد مستخدمي إتصالات الإنترنت المنزلية مثل الدي إس إل DSL أو المتنقلة مثل البرودباند، حيث تتغير الأيبيات كل فترة  Dynamic-Public IP، أو مع كل إتصال جديد!.

جاءت في بالنا فكرة، وهي إنشاء عناوين نطاقات ديناميكية  Dynamic DNS تُربط مع الأجهزة الخاصة بنا، حيث تُحدث هذة النطاقات بعناوين الآيبيات الخاصة بنا بشكل دوري، ومن ثم نقوم بربط هذة النطاقات الديناميكية مع الجدار الناري iptables لفلترة الدخول على خدمة الـ SSH فقط لهذة النطاقات.

الحمدلله، الفكرة كانت ناجحة وأكثر من فعالة، والآن تتم العملية بالشكل التالي:-

1. يتم تركيب برنامج محدث النطاقات الديناميكية في جهاز الأدمن.
2. يقوم البرنامج بأخذ الآي بي العام الخاص بي وربطه بالنطاق الديناميكي.
3. يقوم الجدار الناري iptables بأخذ الآي بي من النطاق الديناميكي وإضافته إلى جدول الفلترة لدخول لخدمة SSH.
4. في حالة وجود الآي بي مسبقاً في جدول الفلترة، لايتم إضافته أو تعديله، ويبقى كما هو.
5. في حالة تغير الآي بي، يتم حذف الآي بي القديم وإضافة الجديد.
6. تتم هذة العملية دورياً كل دقيقة واحدة.

قمت بكتابة Shell Script يقوم بهذة العملية، يمكنك تحميله من هنا، وتابع للأسفل لمعرفة كيف يتم تركيب وإستخدام السكريبت:-

• فك الضغط عن السكريبت تحت نفس المجلد

tar xzvf iptables_dyndnsv0.1.tgz -C /usr/local/share/

• ستجد مجموعة من الملفات، كالتالي:
  • iptables_dyndns.sh ملف السكريبت
  • iptables_ips_dyn.txt ملف نصي فارغ، سوف يحتوي على أسماء النطاقات الديناميكية كل نطاق بسطر
  • iptables_ips_static.txt ملف نصي فارغ، سوف يحتوي على عناوين آيبيات ثابتة، في حال أردت إضافة آيبيات معينة بدلاً من أسماء نطاقات
  • iptables_listofips.txt ملف نصي فارغ، لن نقوم بالتعامل معه، سوف يحتوي على الآيبيات الخاصة بالنطاقات الديناميكية أو الآيبيات الثابتة
• عدل على محتويات الملف النصي iptables_ips_dyn.txt، وقم بإضافة النطاقات الديناميكية الخاصة بالكل، كل نطاق بسطر جديد.
• في حالة رغبتك بإضافة آيبيات عامة ثابتة، قم بتعديل الملف iptables_ips_static.txt وأكتب الآي بي أو الشبكات التي تريد لها السماح بالدخول لخادمك، كل آي بي أو شبكة بسطر جديد.
• الآن أضف الشرط أو القاعدة Rule التالية في الجدار الناري، والهدف من هذه الشروط إخبار الجدار الناري أنه في حالة وصول طلب دخول على خدمة SSH، قم بالقفز إلى مجموعة من القواعد تمت تسميتها SSH.

iptables -N SSH iptables -A INPUT -p tcp --dport ssh -j SSH

إنتهينا!.

الآن تبقي خطوتان:-

• التأكد من عمل هذة القواعد بشكل دوري كل دقيقة، كالتالي من خلال Cron:

crontab -e * * * * * sh /usr/local/share/iptables_dyndns/iptables_dyndns.sh > /dev/null 2>&1

• حفظ هذة القواعد حتى يتم إسترجاعها بعد إعادة تشغيل الخادم

Fedora / CentOS / RedHat /etc/init.d/iptables save chkconfig iptables on

Ubuntu / Debian iptables-save > /etc/iptables.rules echo 'post-up iptables-restore < /etc/iptables.rules' >> /etc/network/interfaces

جميع الخطوات بالأعلى تطبق مرة واحدة فقط، وقت تركيب السكريبت، وكلما أردت أن تضيف نطاق ديناميكي جديد، فقط قم بتعديل الملف iptables_ips_dyn.txt أو الملف iptables_ips_static.txt  في حالة أردت أن تضيف آي بي ثابتة أو نطاق شبكة.

المصدر.

مواضيع مشابهة:

1. قريبا.. وصول عدد عناوين .com إلى 100 مليون عنوان مسجل
2. النطاق العربي.. هل جاء في وقته؟
3. نطاقات معادية للفيس بوك ويمتلكها الفيس بوك !!

لندرة المصادر العربية المتطرقة لهذا الموضوع، وهو كيفية إنشاء شهادة SSL شخصية خاصة بك، قررت أفرد لها الموضوع هذه التدوينة.

محاور الموضوع سوف تكون على النحو التالي :

1- تعريف بـ SSL، وتبيان ما هو وما فائدته.

2- إنشاء شهادة SSL شخصية غير معتمدة:

2.1 توضيح معنى “غير معتمدة”.

2.2 البدء بإنشاء الشهادة:

2.2.1 إنشاء المفتاح الخاص.

2.2.2 إنشاء Certificate Signing Request -طلب توقيع الشهادة-.

2.2.3 إنشاء الشهادة.

3- إنشاء شهادة SSL معتمدة.

قبل أن أبدأ، لوحات التحكم الخاصة بالسيرفرات تقدم لك خدمة إنشاء شهادات SSL، التدوينة هذي مخصصة للتعامل مع الشهادات وإنشائها بدون  لوحات تحكم، عن طريق الشيل Shell الخاصة بالسيرفر، وهذه هي الطريقة المفضلة لدي .

1- تعريف بـ SSL، وتبيان ما هو وما فائدته:

SSL هو اختصار لعبارة Secure Socket Layer -طبقة الاتصال الآمن-، و أهم وظائف هذه الطبقة:

أ- توثيق المصدر:

تستطيع أن تعدها مثل التوقيع أو الختم الشخصي، كل شخص له توقيع\ختم خاص فيه يثبت إنه هو نفسه، وليس شخص أخر منتحل شخصيته.

ب- التشفير:

تشفير البيانات الواردة والصادرة من وإلى السيرفر لمنع التنصص عليها وسرقتها.

لكن السؤال، كيف تعمل؟

السؤال هذا سوف يجيب عليه وبشكل مفصل مركز التميز الرقمي، من خلال المقال” SSL, Secure Socket Layer“، وأيضاً مدونة فهد الدريبي، “كيف يعمل التشفير في الانترنت SSL؟“.

2- إنشاء شهادة SSL شخصية غير معتمدة.

2.1 توضيح معنى “غير معتمدة”:

مقصدي بعبارة “غير معتمدة”، أي أن الشهادة ليست مقدمة من إحدى الجهات المعتمدة والمرخص لها تقديم شهادات SSL، مثل شركة Thawte وشركة VeriSign وغيرهم من الشركات.

وعدم الاعتماد سوف يظهر لك أثره في حالة تركيبك لهذه الشهادة مثلاً على خادم الويب WWW، وهو أنه في حالة تصفح الموقع الخاص بك، سوف تظهر رسالة للمستخدم المتصفح لموقعك بأن الشهادة غير معتمدة وموثقة من جهة مرخصة، واحتمال أن يكون هذا الموقع مزور أو تم التلاعب به. مثل هذه الرسالة:

وتستطيع أن تطلع على الشركات المعتمدة لتقديم خدمة توثيق شهادات SSL المدعومة في متصفح فايرفوكس من خلال هذا الرابط Included Certificate List.

2.2 البدء بإنشاء الشهادة:

2.2.1 إنشاء المفتاح الخاص.

المفتاح الخاص هو ملف يحتوي على بيانات مشفرة بخوارزمية RSA، هذه البيانات يتم إنشائها عشوائياً لبدء إنشاء الشهادة*.

openssl genrsa -out ssl.key 2048

openssl: برنامج openssl

genrsa: خيار إنشاء المفتاح بخوارزمية RSA.

-out ssl.key: خيار حفظ المفتاح الخاص بالاسم ssl.key

2048: طول المفتاح بالبت، ويفضل وضعه 2048 أو أكثر لتفادي الكسر في حالة السرقة.

بعد تنفيذك للأمر، راح يتم إنشاء المفتاح الخاص بك ويحفظ بالاسم ssl.key.

2.2.2 إنشاء Certificate Signing Request -طلب توقيع شهادة-:

في المرحلة ما قبل الأخيرة، وبعد ما تم إنشاء المفتاح الخاص، الآن ننشئ ملف Certificate Signing Request ويختصر له بـ CSR، وهو ملف يحتوي على معلومات الشهادة المراد إنشائها، يحتوي على اسم الدومين، المالك، الدولة و الإيميل وغيرها من التفاصيل، وتتم بالطريقة التالية:

openssl req -new -key ssl.key -out ssl.csr

req: من كلمة request طلب.

-new: خيار طلب إنشاء طلب توقيع شهادة جديد.

ssl.key: المفتح الخاص بالشهادة.

-out ssl.csr: خيار حفظ طلب توقيع الشهادة في ملف اسمه ssl.csr.

بعد تنفيذك للأمر، سوف يظهر لك طلب تسجيل الشهادة، بالشكل التالي:

Country Name (2 letter code) [GB]:1
State or Province Name (full name) [Berkshire]:2
Locality Name (eg, city) [Newbury]:3
Organization Name (eg, company) [My Company Ltd]:4
Organizational Unit Name (eg, section) []:5
Common Name (eg, your name or your server's hostname) []:6
Email Address []:7
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:8
An optional company name []:9

الخيارات مرقمة باللون الأحمر، وهذي تفاصيلها:

1- رمز مكون من حرفين، وهو يرمز للدولة التابعة لمالك الموقع، على سبيل المثال سوف نستخدم الرمز SA للدلالة على أن الموقع سعودي.

2- اسم المنطقة\المقاطعة، سوف نكتب الرياض Riyadh.

3- المدينة، نكتب الرياض Riyadh.

4- اسم الشركة المالكة للموقع، مثلاُ Jerais Company < إن شاء الله .

5- اسم القسم المدير للموقع، مثلاً قسم تقنية المعلومات IT.

6- اسم الموقع الذي تريد أن تسجل الشهادة باسمه، مثلاً www.jerais.com.

7- أيميل صاحب الموقع.

الخيارات التالية إضافية، ممكن ان ندعها فارغة.

8- لوضع كلمة مرور على طلب توقيع الشهادة، وهو مفيد في حالة سرقة ملف الطلب، لن يتمكن من استخدامه إلا بوجود كلمة المرور.

9- اسم إضافي للشركة.

بعد إدخالك للبيانات بالأعلى، راح يتم إنشاء طلب الشهادة.

2.2.3 إنشاء الشهادة:

فقط أمر واحد لإنشاء الشهادة، وهو كالتالي:

openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt

openssl: برنامج إنشاء الشهادات والتعامل مع ssl.

x509: إنشاء شهادة بمعيار x509.

-req: خيار طلب الشهادة، من كلمة request.

-days: مدة صلاحية الشهادة بالأيام، وكما هو موضح بالأعلى الشهادة ستكون صالحة لمدة سنة ثم تنتهي.

-in ssl.csr: إنشاء الشهادة بناء على المعلومات الموجودة في ملف طلب توقيع الشهادة ssl.csr

-signkey: ملف المفتاح الخاص بالشهادة.

-out: خيار حفظ الشهادة بالاسم ssl.crt.

انتهينا! مبروك عليك شهادة SSL الخاصة فيك.

3- إنشاء شهادة SSL معتمدة:

لأجل تكون شهادة SSL الخاصة فيك معتمدة في المتصفحات، وتتفادى الرسائل التحذيرية التي تواجه المستخدم عند الدخول إلى موقعك، تحتاج إن توقعها من جهة معتمدة لتوقيع شهادات SSL، مثل شركة Thawte وشركة VeriSign وغيرهم من الشركات.

ترسل لهم ملف طلب توقيع الشهادة CSR، وبعد دفع التكاليف، سوف يرسلون لك الشهادة بعد مدة , والمدة تختلف من شركة لشركة أخرى.

نقاط مهمة:

1- في حالة سرقة الشهادة، السارق يستطيع استخدامه بكل سهولة في الخادم الخاص فيه. لذلك تحتاج تشفيرها بواسطة DES.

2- في حالة التشفير بواسطة DES، كلما أردت أعادة تشغيل خادم الويب، تحتاج إدخال كلمة المرور الخاص بتشفير DES. تستطيع تفادي هذه المشكلة بدمج المفتاح مع الشهادة لينتج ملف من نوع PEM.

3- توجد أكثر من طريقة لإنشاء الشهادات، لكن أدرت توضيحها بشكل مفصل لتفهم الفكرة بأدق تفاصيلها للقارئ.

4- سوف أتطرق إن شاء الله بتدوينات قادمة عن كيفية الاستفادة من هذه الشهادات في الويب\الإيميل\FTP.

5- تأكد من وجود برنامج openssl في الخادم.

المصدر: http://www.jerais.com

مواضيع مشابهة:

1. dooid: إنشاء بطاقة شخصية، ومنها توقيع للبريد
2. تحديث: شرح إنشاء صفحة موقعك أو شركتك في قوقل بلس
3. موقع chartle:البساطة والسهولة في إنشاء الرسوم البيانية

راح أتطرق ﻷغلب وأشهر أوامر -برامج- لينكس في إدارة الشبكات، و لا يمكن أن يستغنى عنها أي أدمن أو مستخدم "متقدم" لأنظمة لينكس, الأوامر هذه راح تفيدك بعملك اليومي مع سيرفرات -خوادم- لينكس ويونكس، كحل بعض المشاكل ومعرفة مصدر الأخطاء.

عموماً، التطبيق سوف يكون على لينكس فيدورا\سنتوس\ريدهات، التوزيعات الاخرى من لينكس ويونكس احتمال ان تواجه اختلاف في مخرجات وخيارات بعض الأوامر,لن  أدخل بتفاصيل الأوامر، حاول تكتشفها وتطلع عليها بنفسك، لأنه لو دخلت بالتفاصيل أحتاج شهر إضافي لأجل أنشر هذه التدوينة .

قبل الاسترسال لتعرف معلومات أكثر عن أمر\برنامج معين، استخدم الأمر man متبوعاً بالأمر المراد معرفة تفاصيل أكثر عنه، مثال

man ping

أو استخدم help

ping -h
ping --help

1- لمعرفة حالة موقع معين، جهاز على الشبكة أو سيرفر هل هو متصل بالشبكة و يعمل أو لا؟ سوف نستخدم الأمر ping متبوعاً بعنوان الموقع أو رقم IP

ping www.jerais.com

2- لمعرفة IP أحد المواقع، نستخدم الأمر *host متبوعاً بعنوان الموقع أو رقم IP

host www.jerais.com

*  انتشر استخدام برنامج host و dig في أنظمة لينكس\يونكس بديلاً عن البرنامج التقليدي nslookup.

3- لمعرفة معلومات عن مالك موقع معين، من الشركة المستضيفة مثلاً، نستخدم الأمر *whois

whois www.jerais.com

* الكثير من المواقع تقدم خدمة whois، تستطيع تستخدمها بدلاً من تنفيذها في كأمر.

4- لتتبع مكان موقع أو IP معين، وتعرف التفاصيل الدقيقة من لحظة خروجه من جهازك إلى وصوله إلى الموقع المطلوب، ولأجل تعرف مصدره أين، وفي أي دولة، ومن مقدم الخدمة لهذا الموقع أو IP، نستخدم traceroute

traceroute www.jerais.com

5- لتعرف IP لجهازك الحالي، استخدم الأمر ifconfig

ifconfig

6- لمعرفة من متصل وموجود في سيرفرك، أو بشكل أصح من داخل على سيرفرك الآن، ومن أين، وبالضبط ماذا يعمل في السيرفر، استخدم users أو w أو who

w
who
users

7- لترى سجل أخر دخول للمستخدمين، أستخدم lastlog أو finger

lastlog
finger

8- لعرض جدول كامل عن دخول جميع المستخدمين، وأوقات بدء عمل السيرفر، وأوقات إعادة تشغيله، أستخدم الأمر last

last -aix

9- لعرض حالة اتصالات السيرفر بالشبكة، وما الجهاز أو IP المتصل بالخادم الآن، وما المنافذ المفتوحة في جهازك، أستخدم netstat

netstat

10- لعرض العنوان الفيزيائي Mac Address لأحد الأجهزة الموجودة في "نفس" الشبكة، إستخدم arp أو arping متبوعاً ب IP

arping 192.168.1.6

11- ﻷخذ IP تلقائي من الشبكة بواسطة خادم DHCP، إستخدم dhclient متبوعاً باسم كرت الشبكة الخاص بالجهاز

dhclient eth0

12- لعرض أسم الجهاز، استخدم hostname

hostname

13- لمعرفة معلومات عن مستخدم معين موجود في السيرفر، ما هي صلاحياته وما هي المجموعات المنظم إليها، استخدم id متبوعاً باسم المستخدم

id jerais

14- لمعرفة اعضاء مجموعة معينة، استخدم أمر groups متبوعاً باسم المجموعة

groups root

15- للتعامل مع المستخدمين، استخدم مجموعة أوامر user* و passwd، كالتالي:

• لإضافة مستخدم:

useradd newUser

• لحذف مستخدم:

userdel userName

• لتعديل كلمة المرور خاصة بمستخدم:

passwd userName

16- لمعرفة اسم المستخدم الحالي الخاص بك، استخدم whoami

whoami

17- لإنهاء عملية معينة، استخدم kill متبوعاً بأمر الإنهاء بعده رقم العملية*

kill -9 PID

ارجع لموضوع "شرح الأمر top الخاص بمعرفة حالة النظام"

18- لمعرفة بيانات الشبكة الداخلة والخارجة من جهازك، استخدم tcpdump*

tcpdump

* ارجع لموضوع "تحليل بيانات الشبكة بإستخدام tcpdump و wireshark"

19- لنقل ملف بين جهازين بالشبكة بشكل سريع، لكن غير آمن، إستخدم netcat

في الجهاز الأول، اسم الملف المراد نقلة jerais.txt*

cat jerais.txt | nc -l 8888

* IP الجهاز الأول 192.168.1.6

في الجهاز الثاني، نشغل برنامج netcat متبوعاً بعنوان الجهاز الأول، ثم المنفذ 8888، ثم تحويل المخرج إلى ملف

nc 192.168.1.6 8888 > jerais.txt

20- لإعادة تشغيل الجهاز، reboot أو shutdown

reboot
shutdown -r now

المصدر: http://www.jerais.com

مواضيع مشابهة:

1. ربط كيبلي شبكة بـ IP واحد في سيرفرات لينكس لتفادي الانقطاع
2. Postling: مدونة وخدمة لإدارة الحسابات في الشبكات الاجتماعية
3. HootSuite .. منصة واحدة لإدارة« الشبكات الاجتماعية »

من خلال تعاملي مع سيرفرات لينكس ويونكس، أواجه مشاكل مع أخذ النسخ الاحتياطية للسيرفرات أو المواقع لأجل أسترجعها بوقت الحاجة لها. طبعاً، سبب استرجاعي للنسخ الاحتياطية لا يخفى على أي أدمن، صاحب سيرفر أو صاحب موقع، إلا وهو وجود مشكلة مثلاً في السيرفر وأسرع وأضمن حل لأجل حل هذه المشكلة هو إنك تسترجع نسخة احتياطية لأحد الأيام أو الأسابيع الماضية، أو لأي سبب ثاني راجع للأدمن.

لكن، هل واجه أحد منكم مشاكل مع كبر حجم النسخ الاحتياطية؟

لاحظوا السيناريو هذا:

عندي موقع، وملفات الموقع حجمها يتجاوز على سبيل المثال 4 قيقا. ويومياً السيرفر يأخذ بشكل تلقائي نسخة احتياطية الساعة 3 بالليل. بعد أسبوع  -7 أيام- كم المساحة التي استهلكتها النسخ الاحتياطية

4 قيقا * 7 أيام = 28 قيقا!

28 قيقا استهلكت بظرف أسبوع واحد، هذا غير ملفات الموقع الأساسية، التي حجمها 4 قيقا.

28 قيقا نستطيع أن تستفيد منها بأشياء أهم من إنها محجوزة فقط للنسخ الاحتياطية ولا ننسَ إن بعض السيرفرات تكون المساحة فيها محدودة، ولا تقدر تستهلك أكثر من المساحة المحددة لك الشركة المستضيفة، هذا أول وأهم مشكلة أحاول أحلها من فترة، إن النسخ الاحتياطي يتم بشكل يومي بدون أن يستهلك مساحة كبيرة من القرص الصلب، وهذا هو موضوع هذه التدوينة.

محور الموضوع سوف يكون عن البرنامج -الأكثر من رائع- rsnapshot، المختص بأخذ نسخ احتياطية دورية من ملفاتك بشكل “ذكي وبدون استهلاك مساحة عالية” من القرص الصلب.

أقسام التدوينة:

1- فكرة برنامج rsnapshot.

2- تركيب البرنامج على سيرفر لينكس.

3- تركيب البرنامج على سيرفر يونكس FreeBSD.

4- إعداد البرنامج لأخذ نسخ احتياطية تلقائية إلى مكان ثاني بداخل السيرفر.

5- إعداد البرنامج لأخذ نسخ احتياطية تلقائية إلى سيرفر خارجي بواسطة SSH:

5.1- إنشاء مفتاح SSH عام خاص بالسيرفر.

5.2- إعداد البرنامج للنسخ الاحتياطي البعيد عن طريق SSH.

6- توضيح كيفية النسخ بالساعات، اليومي، الأسبوعي، الشهري.

7- جدولة البرنامج لأخذ النسخ الاحتياطية تلقائياً بواسطة برنامج جدولة المهام Cron.

1- فكرة برنامج rsnapshot:

لأجل توضح لك فكرة البرنامج بشكل دقيق، تابع السيناريو الثاني هذا:

ملفات موقعي حجمها 500 ميقا و موجودة في المجلد

/home/jerais/public_html/

وأحتاج إني أخذ نسخة احتياطية يومية من الملفات وانقلها إلى مجلد احتياطي، في أغلب برامج النسخ الاحتياطي الموجودة حالياً، كذا تتم عملية النسخ:

اليوم الأول: 500 ميقا تم نسخها إلى المجلد الاحتياطي.

اليوم الثاني: 500 ميقا ثانية تم نسختها إلى المجلد الإحباطي.

اليوم الثالث والرابع: نفس الكلام، ونفس السيناريو الأول في بداية الموضوع، المساحة تُستهلك باستمرار.

لكن في برنامج rsnapshot، سوف تصبح  الفكرة بالشكل هذا:

اليوم الأول: 500 ميقا تم نسخها إلى المجلد الاحتياطي.

اليوم الثاني -هنا الفكرة والتميز-: راح يأخذ النسخة الاحتياطية المأخوذة في اليوم الأول ويقارنها مع ملفات الموقع الحالية، إذا كان هناك فرق بين الملفات سوف يتم تطبق الخطة هذه:

• الملفات المتغيرة/الجديدة: أنسخها من الموقع إلى المجلد الاحتياطي.
• الملفات الغير متغيرة: سوف يتم إنشاء  ملف صغير من نوع Hard Link يأشر على مكان الملف المنسوخ احتياطيا في الهارديسك، وهذه تعني انه لن يقوم بنسخ الملف من جديد , إذا لم يكن المقصود واضح الرجاء كتابه سؤال لي.

لاحظت كيف متميز برنامج rsnapshot؟

هذي قائمة تحتوي على بعض مميزاته:

• النسخ الاحتياطي الذكي، بمقارنة وأخذ الملفات المتغيرة -فقط- من المصدر -مثلاً الموقع- إلى مكان النسخ الاحتياطي.
• صغر المساحة المستهلكة بالنسخ الاحتياطي حيث إنه لا يكرر نفس ملفات النسخ الاحتياطية السابقة، لكنه يستخدم تقنية Hard Links بدل من نسخ الملفات الغير متغيرة.
• إمكانية النسخ إلى خارج السيرفر بواسطة SSH.
• إمكانية النسخ الاحتياطي التلقائي.
• النسخ الاحتياطي بفترات معينة، تستطيع تأخذ نسخ احتياطية يومية، أسبوعية، شهرية أو سنوية.

أقدر أكتب وأكمل مميزات البرنامج،ولكن سوف يأخذ وقتها طويلا وانصح بالرجوع لصفحته والقراءة عنه

2- تركيب البرنامج على سيرفر لينكس:

طبعاً لسيرفرات لينكس ريدهات\سنتوس\فيدورا

yum -yv install rsnapshot

3- تركيب البرنامج على سيرفر يونكس FreeBSD:

التثبيت سوف يكون عن طريق البورتس Ports

cd /usr/ports/sysutils/rsnapshot

make install clean

4- إعداد البرنامج لأخذ نسخ احتياطية تلقائية إلى مكان ثاني بداخل السيرفر:

بعد تثبيت البرنامج، نبدأ الآن في  إعداده لأجل أخذ نسخ احتياطية قبل الإعداد، هذه معلومات السيرفر:

ملفات الموقع موجودة على الامتداد هذا:

/home/website/

ومكان النسخ الاحتياطي سوف تكون هنا:

/backup/

الإعداد سوف تتم لسيرفر لينكس ريدهات\سنتوس\فيدروا، أدمن يونكس سوف يلاقون بعض الاختلافات الاعتيادية في أماكن الملفات وطريق التشغيل.

بعد التثبيت، نأخذ نسخة من الملف قبل التعديل للتراجع في حالة وجود أخطاء:

cp -v /etc/rsnapshot.conf /etc/rsnapshot.conf-default

ثم نفتح الملف للتعديل

vi /etc/rsnapshot.conf

في وسط الملف سوف نلاقي المكان الافتراضي للنسخ الاحتياطي:

# All snapshots will be stored under this root directory.

#

snapshot_root   /.snapshots/

ونحرر خيار مكان مجلد النسخ الافتراضي في السيرفر الحالي إلى

snapshot_root   /backup/

بعدها، انزل لأخر الملف،وسوف تجد الجزء هذا:

###############################

### BACKUP POINTS / SCRIPTS ###

###############################

# LOCALHOST

backup  /home/          localhost/

backup  /etc/           localhost/

backup  /usr/local/     localhost/

ولأجل توضح الإعداد بالخيار السابق:

backup: أمر أخذ النسخة الاحتياطية

/home/: المجلد المراد أخذ نسخة احتياطية منه

localhost/: هذا اسم المجلد بعد أخذ نسخة  احتياطية منه

نعدل عليهم، ويصبح تعديلنا هكذا:

backup /home/website/          website/

وضع علامة التعليقات “#” بعد الأسطر الثانية لأجل تتجاهلها، بمعنى انه سوف يصبح هكذا بعد تعديلنا:

# LOCALHOST

backup /home/website/          website/

#backup /etc/           localhost/

#backup /usr/local/     localhost/

انتهينا!

متبقي تنشئ مجلد النسخ الاحتياطية:

mkdir /backup

الآن تستطيع أخذ نسخ إحباطية للمواقع الموجودة على سيرفرك بعد تنفيذك للأمر:

#rsnapshot hourly

الآن يتم آخذ النسخة الاحتياطية سوف تجد أن النسخة محفوظة تحت الامتداد هذا:

/backup/hourly.0/website/

سوف أتطرق لفكرة Hourly -النسخ بالساعات- بخطوة رقم 6.

5- إعداد البرنامج لأخذ نسخ احتياطية تلقائية إلى سيرفر خارجي بواسطة SSH:

فكرتنا هنا بأننا سوف نأخذ نسخة احتياطية من الموقع، ونرسلها إلى سيرفر ثاني عن طريق برتوكول SSH بشكل تلقائي بدون تدخل من قبل الأدمن.

ولتتم هذه الفكرة ، سوف نستخدم مفاتيح الـ SSH العامة والخاصة لأجل تتم عملية الدخول للسيرفر الاحتياطي ثم حفظ النسخة الاحتياطية بداخله بشكل تلقائي وأوتوماتيكي بدون تدخل من قبلك.

سوف أنفذ الطريقة بدون الدخول لتفاصيل المفاتيح العمومية والخاصة بالـ SSH، أرجع لموسوعة ويكيبيديا أو الصفحة هذي لتعرف فكرة المفاتيح

قبل أن أسترسل، هذي تفاصيل السيرفر الاحتياطي:

السيرفر الاحتياطي اسمه: server02.jerais.com

الاسم الخاص بالمستخدم الذي يستخدم بالنسخ الاحتياطي: backupuser

مجلد النسخ الاحتياطي في السيرفر المخصص للنسخ الاحتياطي: /home/backupuser/webbackup/

نبدأ بالتنفيذ:

5.1- إنشاء مفتاح SSH عام خاص بالسيرفر

$ssh-keygen -q

سوف يسألك:

Enter file in which to save the key (/home/userX/.ssh/id_rsa):

مكان حفظ المفتاح الخاص فيك، اضغط إنتر لحفظ المفتاح في مكانه الافتراضي -تحت مجلد .ssh في مجلد المستخدم-.

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

السطرين الأخيرين لسؤالك عن كلمة مرور لفك تشفير المفاتيح عند الاستخدام أتركهم فارغين، وأرجع لنهاية الموضوع لتطرقي لخطورة استخدام مفاتيح SSH بدون كلمة مرور.

أنشئنا المفاتيح الخاصة بسيرفر المواقع، الآن ننقل المفتاح العام الخاص بسيرفرك إلى سيرفر النسخ الاحتياطية:

$scp .ssh/id_rsa.pub backupuser@server02.jerais.com:~/.ssh/authorized_keys

تم، الآن جرب تدخل السيرفر الاحتياطي عن طريق SSH وبتلاقي إنك دخلت بدون كلمة مرور

$ ssh backupuser@server02.jerais.com

ملاحظة مهمة: اقرأ النقاط في نهاية الموضوع لتعرف المخاطر الأمنية الممكن تصير لك بدخولك للسيرفر بدون كلمة مرور.

5.2- إعداد البرنامج للنسخ الاحتياطي البعيد عن طريق SSH:

مثل ما عملنا في الخطوة 4، نعمله هنا مع وجود فرق بسيط.

حرر الملف

vi /etc/rsnapshot.conf

وبنهايته نعدل على مصدر ومكان النسخ الاحتياطي بإضافتك لخيار النسخ الخارجي بواسطة SSH:

backup /home/website/ backupuser@server02.jerais.com:~/webbackup/

6- توضيح كيفية النسخ بالساعات، اليومي، الأسبوعي، الشهري:

في أحد الخطوات السابقة، وضحت إن النسخة الاحتياطية تم حفظها في مجلد اسمه hourly.0، هنا راح أوضح الفكرة بشكل مفصل.

برنامج rsnapshot يدعم النسخ الاحتياطي بالساعات، بالأيام، بالأسابيع أو بالشهور، كيف تتم؟

في ملف الإعدادات توجد الخيارات الافتراضية هذه:

interval        hourly  6

interval        daily   7

interval        weekly  4

لتوضيحها:

• interval: الفترة الزمنية
• hourly: بالساعات
• daily: يومي
• weekly: أسبوعي
• والأرقام مقصود فيها:
• hourly 6:راح يتم أخذ نسخة احتياطية كل ساعة لمدة بعدد 6 نسخ احتياطية
• daily  7: بالمثل، راح يتم أخذ نسخ احتياطية كل يوم لمدة 7 أيام
• weekly 4: راح يتم أخذ نسخ احتياطية أسبوعية لمدة 4 أسابيع

لكن كيف تتم أخذ النسخ الاحتياطية بالساعات، الأيام أو الأسابيع؟

أول نسخة احتياطية راح يتم أخذها بالساعات بعد تنفيذ الأمر

$rsnapshot hourly

سوف يتم تسميتها:

hourly.0

وثاني نسخة يتم أخذها بالساعات، سوف يتم تسميتها

hourly.1

إلى أن تصل إلى آخر النسخة الاحتياطية بالساعات رقم hourly.5، تعتبر آخر نسخة احتياطية بالساعات مع إن ملف الإعداد موضح فيه hourly 6 لأنه بدأ الترقيم من الرقم صفر.

إذا وصل إلى hourly.5، ويبدأ عمل النسخ الاحتياطي اليومي بالأمر

$rsnapshot daily

سوف يأخذ المجلد hourly.5، ويعيد تسميته إلى daily.0، إلى أن يصل إلى daily.6.

وإذا تم تنفيذ أمر النسخ الاحتياطي الأسبوعي

$rsnapshot weekly

أيضاً يأخذ المجلد daily.7 ويعيد تسميته إلى weekly.0، إلى أن يصل إلى weekly.3.

7- جدولة البرنامج لأخذ النسخ الاحتياطية تلقائياً بواسطة برنامج جدولة المهام Cron:

حرر كرون:

$crontab -e

وأضف عليها أسطر النسخ الاحتياطي بالساعات، الأيام والأسابيع:

0 */4 * * *       /usr/bin/rsnapshot hourly

30 23 * * *       /usr/bin/rsnapshot daily

50 23 * * 1       /usr/bin/rsnapshot weekly

وبذلك أصبح عندنا نسخ احتياطي كل 6 ساعات يومياً، ونسخ احتياطي كل يوم الساعة 11.30 ليلاً، وأسبوعياً كل يوم أثنين الساعة 11.50 ليلاً.

نقاط:

1. برنامج rsnapshotيعتمد اعتمادا كليا على rsync، سواء في النسخ الكلي Full Backup أو فقط في النسخ المتغير Incremental Backup
2. ضرر استخدام SSH بدون كلمة مرور هو إن في حالة سرقة مفتاحك الخاص أو تم اختراق السيرفر، سوف يصل المخترق إلى سيرفر النسخ الاحتياطي بكل سهولة.
3. تستطيع أن تأخذ نسخ دورية من قواعد البيانات وترسلها إلى مكان احتياطي عن طريق برنامجنا rsnapshot.
4. الشرح طويل، لكن سوف تشاهده سهولة البرنامج مع أول استخدام وتنفيذ
5. في حالة تغييرك لأوقات Cron، حاول ان لا يكون هناك تعارض بين وقت أوقات النسخ، إرجع للخطوة رقم 6 لأجل ان يتضح مقصدي.
6. هذا اللي في بالي الوقت حالي من نقاط، والموضوع راح يتم تحديثه في حالة وجود شيء في بالي.

المصدر

مواضيع مشابهة:

1. VaultPress: خدمة لحفظ نسخة احتياطية لمدونتك
2. إضافة Backup to Dropbox
3. نسخة احتياطية..تصدير..استيراد لبريد الجي ميل

في الشبكات وبالذات في تخصص إدارة السيرفرات، المحافظة على اتصال السيرفر من الانقطاع شيء أساسي ومهم، فعندما ينقطع الاتصال بالسيرفر لا فائدة منه!

بشكل أبسط، لنفترض إني صاحب بنك، وفيه مقدم خدماتي عن طريق الإنترنت لأسهّل على العملاء إنهاء معاملاتهم البنكية من تحويل وإدارة أرصدة دون حضورهم شخصياً للبنك.

لأُقدم خدماتي عن طريق الإنترنت، لا بد أن يكون لدي سيرفر مستضيف الموقع الخاص بي، والموقع فيه كل هذه التعاملات البنكية التي يحتاجها العميل. حسنًا، إذا  فقد السيرفر الاتصال بالإنترنت، ما الفائدة منه؟

العملاء الخاصين بالبنك لن يستطيعون الدخول للموقع، وهذا ينعكس على سمعتي، إن بنك جريس سيء في خدماته الإنترنتية، وكل فترة يتعطل موقعهم. بكذا خسرت شريحة كبيرة من عملائي المهتمين بالتعامل عن طريق الويب للتعاملات البنكية.

ولو تكلمنا بشكل تقني أكثر، السيرفر عندما يتعطل له أكثر من السبب: قد يكون سبب أمني، أو يكون بداخل السيرفر وتوابعه، وقد يكون عطل بالشبكة يمنع العملاء الدخول على السيرفر عن طريق الإنترنت، وأسباب كثيرة يُصعب حصرها.

لكن يوجد سبب محتمل، ألا وهو أن الكيبل المشبوك بالسيرفر مفصول أو متعطل، وهذا هو محور تدوينتي. شاهد هذه الصورة:

نرى الخط الأحمر، هذا هو كيبل السيرفر، في حالة انفصاله يتعطل السيرفر  ويمنع أي دخول له.

فكرة التدوينة تشرح لك كيف تطمئن إن مهما صار في الشبكة الخاصة بك من تعطل، ستضمن إن السيرفر الخاص بك لا  يفقد اتصاله بالإنترنت أو بشبكتك الخاصة.

الطريقة هذه تسمى Network Bonding/Teaming، وفكرتها أنك تربط كرتي شبكة مع بعض، ثم تنشئ كرت إضافي ثالث –وهمي Virtual– وهو يتحكم بالترافيك الذي يدخل ويخرج من كرتي الشبكة، والكرت الوهمي هذا هو الذي يحتوي على IP الخاص بالسيرفر.

المتطلبات:

المطلوب، فقط كرتي شبكة على سيرفر اللينكس، وشرحي يكون على لينكس ريدهات\سنتوس\فيدورا، وباقي التوزيعات نفس الفكرة، والتغيير في أماكن الملفات.

التنفيذ:

ننشئ كرت شبكة وهمي\تخيلي Virtual، ونسميه bond0:

vi /ets/sysconfig/network-scripts/ifcfg-bond0

وتضيف فيه إعدادات الشبكة الخاصة بك، الأي بي IP والنت ماسك NetMask والبوابة Gateway:

 DEVICE=bond0

ONBOOT=yes

USERCTL=no

TYPE=Ethernet

BOOTPROTO=static

IPADDR=192.168.1.2

NETMASK=255.255.255.0

NETWORK=192.168.1.0

GATEWAY=192.168.1.1

الكرت الوهمي\التخيلي جاهز، الآن، تبقى أمرين:

1- تعديل كروت الشبكة الحالية، وجعلها تشتغل تحت إدارة الكرت الوهمي Bond0:

أفترض إن اسم الكرت الأول بسيرفرك eth0، فعدّل على الملف:

vi /etc/sysconfig/network-scripts/ifcfg-eth0

وأحذف إعداداته الشبكة الخاصة به كلها، ثم أضف الأسفل:

DEVICE=eth0

TYPE=Ethernet

ONBOOT=yes

HWADDR=xx:xx:xx:xx:xx:xx

MASTER=bond0

SLAVE=yes

ونفس الشيء على الكرت الثاني، أفترض اسمه eth1:

 DEVICE=eth1

TYPE=Ethernet

ONBOOT=yes

HWADDR=xx:xx:xx:xx:xx:xx

MASTER=bond0

SLAVE=yes

شاهد الخط العريض بالأعلى، هو السر بجعل كرت الشبكة الوهمي bond0 هو المتحكم –الماستر Master– والكروت الثانية تحت تصرفه –سليف Slave-.

الأمر الثاني، هو تحديد كيف يتم التفاهم بين هذين الكرتين؟. من سيشتغل أول؟ الكرت eth0 أم eth1؟ أم الاثنين سيشتغلون في نفس الوقت؟

هنا نحتاج نوضح حاجة مهمة، لو شغلت الشبكة بالوضع السابق، يصبح  فيه تعارض بين هذين الكرتين، إحداهما يرسل باكت Packet والآخر يستقبلها، والسويتش المشبوك عليه هذا السيرفر “بيتلخبط” لديه الترافيك، لأن الترافيك يوصل إليه من كرت، ويرجع لنفس السيرفر من كرت ثاني-لعدم وجود الماك أدرس MAC Address في إعدادات كل كرت-، رأيت كيف “لخبطة”!.

الحل؟

سهلة، يلزمك إن تحدد كيف سيشتغلون هذين الكرتين، وفيه وضع لتشغيلهم، تستطيع تستزيد عنهم برجوعك لوثائق سيرفرات ريدهات، نحن نشغّل هذين الكرتين في وضع يسمى “fault tolerance” وبالعربي يسمى -تجاوز الخطأ-، وفكرته إن كرت من الكروت سيكون فعّال -يعني يصير Active-، والثاني سيكون في حالة سبات -Backup-. الكرت الثاني الذي في حالة سبات لا يشتغل إلى إذا تعطل الكرت الأول أو يفصل عنه الكيبل. وهذه أفضلها شخصياً لأنها تضمن لي إنه لن يكون تعارض بين الترافيك المار بسيرفري.

كيف أفعلها؟

تُعدّل على المودويولز Modules الخاصة بالسيرفر، عن طريق التعديل على الملف /etc/modprobe.conf:

echo -e “alias bond0 bonding\noptions bond0 miimon=100 mode=1″ >> /etc/modprobe.conf

ولو شرحنا الخيارات أعلاه، نلاحظ إننا وضحنا للسيرفر إن الكرت bond0 لا بد أن يتفعل فيه خاصية دمج الكروت bonding، ثم طلبنا من السيرفر إنه يراقب حالة الكروت كل 100 جزء من الثانية، عن طريق الخيار miimon الخاص بمراقبة حالة الكرت ووضعه التشغيلي، وبالأخير قلنا له فعّل لنا خاصية “تجاوز الخطأ Fault tolerance”، عن طريق الخيار mode=1.

خلصنا!.. الآن، أعد تشغيل الشبكة لديك:

/etc/init.d/network restart

ونفذ الأمر ifconfig لعرض كروت الشبكة لديك، وتجد كرت bond0 تم تفعيله، وإضافة كلمة Slave في معلومات الكروت الثانية.

وإذا كنت تحتاج أن تعرف حالة الـ Network Teaming في سيرفرك، ومن  يشتغل كـ Active ومن Backup، نفذ الأمر التالي:

cat /proc/net/bonding/bond0

ويعرض لك نتيجة مقاربة لكذا:

Bonding Mode: fault-tolerance (active-backup)

Primary Slave: None

Currently Active Slave: eth0

MII Status: up

MII Polling Interval (ms): 100

Up Delay (ms): 0

Down Delay (ms): 0

Slave Interface: eth0

MII Status: up

Link Failure Count: 0

Permanent HW addr: xx:xx:xx:xx:xx:xx

Slave Interface: eth1

MII Status: up

Link Failure Count: 0

Permanent HW addr: xx:xx:xx:xx:xx:xx

نقاط:

1- تستطيع أن تستغني عن فكرة Fault Tolerance للكروت، وتستخدم مثلاً Load Balance لأجل توازن الترافيك بين الكرتين في حالة وجود ضغط كبير على سيرفرك، ارجع لوثائق سيرفرات ريدهات.

2- حاول تشبك الكيابل في سويتشات مختلفة، يعني لا تشبكهم كلهم بسويتش واحد، لأجل أن تتفادى تعطله، ومن ثم تعطل السيرفر. لا تضع بيضك في سلة واحدة .

المصدر: http://jerais.com/plug/?p=743

مواضيع مشابهة:

1. 20 أمر أساسي لإدارة الشبكات في لينكس
2. تحديث : حجب أحد سيرفرات تمبلر في السعودية
3. لتفادي إختراق موقعك، توقف عن إستخدام FTP

راح استعرض في التدوينة هذي كيفية مراقبة ترافيك الشبكة عن طريق الأداة MRTG، التسلسل بيكون حسب النقاط هذي:

- مقدمة عن MRTG.

- التثبيت على لينكس ويونكس FreeBSD.

- التشغيل.

- إضافتها إلى Cron لتشتغل تلقائياً كل 5 دقائق.

- بدائل لـ MRTG.

- نقاط مهمة.

- مقدمة عن MRTG:-

الأداة MRTG -أم أر تي جي- تعتبر من أشهر الأدوات لمراقبة وعرض رسم بياني يحتوي لباندويديث الشبكة ، سواء تحميل من الشبكة -يعني من الخارج للداخل، على سبيل المثال معدل تحميل كتاب من موقعك-، أو التحمل لخارج الشبكة يعني – Upload اللي هي أو رفع الملفات إلى مواقع النت-.

وتستخدم على نطاق واسع في الشركة المزودة لخدمة الإنترنت والبيانات -ISPs, DSPs- أو الشركات والقطاعات اللي تحتاج تعرف كم حجم استهلاك الشبكة الخاصة فيها بوقت معين، والوقت المعين مقصدي فيه: شهري، يومي، أسبوعي أو سنوي.

يمكن أحد يسأل "كيف MRTG تقدر تراقب الترافيك، كيف تشتغل؟"

 MRTG تعتمد اعتماد كلي على بروتوكول SNMP -أس إن أم بي-، وهو اختصار لـ Simple Network Management Protocol، والبرتوكول هذا اغلب استخداماته لمراقبة ومعرفة معلومات و أداء أجهزة الشبكة الخاصة فيك، والفكرة هذي هي اللي يعتمد عليها برنامجنا MRTG، حيث أنها تقرأ الترافيك على كل Interface موجودة على جهاز الشبكة، حتى لو كانت virtual interface.

طيب كيف تعرض الرسوم البيانية؟

MRTG بعد ما تسحب المعلومات من الإنترفيسز الموجودة على جهاز الشبكة -على سبيل المثال سويتش، رواتر أو جدار ناري Firewall-، تقوم بتحليلها ورسمها بيانياً، ثم تعرضها عن طريق سيرفر ويب، والرسم البياني يتحدث -بشكل افتراضي كل خمس دقائق-.

طبعاً، هل أحتاج أقول إنها مصدر مفتوح؟ بالتاكيد لا، لأن هذا مسار مدونتي، فقط مصادر حرة و مفتوحة، إلا في حالات نادرة .

- التثبيت:

فكرة التثبيت سهلة، أهم شيء يكون عندك ويب سيرفر -أباتشي أو لايتي Apache, Lighttpd- مثلاً مثبت وشغال على سيرفرك، وبالموضوع هذا راح أفترض إن سيرفر الويب اللي أبشتغل عليه هو أباتشي.

إذا ما كنت مركب سيرفر ويب، هنا طريقة تركيب سيرفر الويب لأنظمة لينكس ريدهاتفيدوراسنتوس و يونكس FreeBSD:

لينكس ريدهاتفيدوراسنتوس:

أباتشي Apache:

yum -y install httpd

لايتي Lighttpd:

yum -y install lighttpd

*مستخدمي سنتوس: احتمال ضئيل إن لايتي ما يتثبت معكم عن طريق YUM، لأنه آخر تجربة لي مع سنتوس ما كان مضاف إلى مستودعات سنتوس Repositories.

يونكس FreeBSD:

أباتشي Apache:

cd /usr/ports/www/apache22 && make install clean

لايتي Lighttpd:

cd /usr/ports/www/lighttpd && make install clean

ثبتنا الويب سيرفر، الحين نثبت MRTG:

لينكس ريدهاتفيدوراسنتوس:

yum -y install mrtg

يونكس FreeBSD:

cd /usr/ports/net-mgmt/mrtg && make install clean

- التشغيل:-

قبل التشغيل، نحتاج متطلب أساسي مهم، وهو جهاز شبكة -سويتش، راوتر، جدار ناري Firewall- مفعل عليه برتوكول SNMP، وبالتأكيد عشان تفعل بروتوكول SNMP في جهاز الشبكة، تحتاج إنك تعطيه باسوورد -اللي هي كوميونتي باسوورد Community Password-، راح نفترض إن الباسوورد هي 1234.

أبفترض إن عندي سويتش، ومفعل عليه SNMP، والأي بي IP الخاص فيه هو 192.168.77.2، يعني خلاص السويتش جاهز لسحب معلوماته وعرضها عن طريق MRTG.

خلاص، كل شيء جاهز، الحين نبدأ بتشغيل MRTG.

أربع خطوات أساسية عشان تشغل MRTG، الخطوة الأولى:

1- إنشاء مجلد تحت الويب سيرفر لأجل يحتوي على الرسم البياني المنتج من قبل MRTG:

لينكس ريدهاتفيدوراسنتوس:

mkdir /var/www/html/mrtg

يونكس FreeBSD:

mkdir /usr/local/www/data/mrtg

2- إنشاء ملف يحتوي على معلومات السويتش اللي راح نراقب الترافيك الخاص فيه، وهذي تتم بالطريقة هذي:

لينكس ريدهاتفيدوراسنتوس:

cfgmaker --global Workdir:/var/www/html/mrtg/  1234@192.168.77.2 > /etc/mrtg/mrtg/cfg

يونكس FreeBSD:

cfgmaker --global Workdir:/usr/local/www/data/mrtg/ 1234@192.168.77.2 > /usr/local/etc/mrtg/mrtg.cfg

الشرح:

cfgmaker: أمر إنشاء ملف يحتوى على الإعدادت ومعلومات الخاصة بالسويتش، زي معلومات الإنترفيسز و البورتات ( ما أعرف الاسم بالعربي ).

–global Workdir: خيار تحديد المجلد اللي راح يحتوي على الرسوم البيانية لـ MRTG، ومثل ما أنتم شايفين، أعطيناه امتداد مجلد الويب اللي تم إنشائه بالخطوة 1.

1234: الباسوورد المعرفة في جهاز الشبكة -الكوميونيتي باسوورد-، وفي حالتي الباسوورد المعرفة على السويتش.

192.168.77.2: أي بي جهاز الشبكة، وفي حالتي راح يكون أي بي السويتش.

<: أمرأو دالة تحويل مخرجات الأمر cfgmaker إلى الملف mrtg.cfg.

3- إنشاء ملف Index.html يحتوي على رسوم بيانية مستخرجة من المعلومات الموجودة في الملف mrtg.cfg:

نحتاج نسوي الخطوة هذي عشان نعرض المعلومات اللي جمعناها عن طريق الأمر cfgmaker إلى رسوم بيانية لأجل تنعرض على الويب سيرفر. وكذا بتكون:

لينكس ريدهاتفيدوراسنتوس:

indexmaker  --output=/var/www/html/mrtg/index.html /etc/mrtg/mrtg.cfg

يونكس FreeBSD:

indexmaker  --output=/usr/local/www/data/mrtg/index.html /usr/local/etc/mrtg/mrtg.cfg

الشرح:

indexmaker: أمر إنشاء ملف الإنديكس.

–output: امتداد ملف الإنديكس.

/usr/local/etc/mrtg/mrtg.cfg: امتداد ملف الإعدادت الخاصة بـ MRTG.

4- تقريباً خلصنا، الحين باقي التشغيل، أسهل خطوة:

لينكس ريدهاتفيدوراسنتوس:

mrtg /etc/mrtg/mrtg.cfg

يونكس FreeBSD:

mrtg /usr/loca/etc/mrtg/mrtg.cfg

وبس!

مبروك عليك MRTG .

الحين روح وتصفح الويب سيرفر الخاص فيك عن طريق أي مستعرض إنترنت -فايرفوكس على سبيل المثال-، وراح تلاقي الترافيك مرسوم بشكل بياني.

نفترض إن أي بي السيرفر هو 192.168.77.3، تقدر تتصفحه عن طريق الرابط هذا:

http://192.168.77.3/mrtg/index.html

- إضافتها إلى Cron لتشتغل تلقائياً كل 5 دقائق:

طبعاً، عشان الرسم البياني يتحدث معك كل خمس دقائق، يعني MRTG يروح لجهاز الشبكة ويقرأ الترافيك منه، لازم إنك تجعل MRTG تتحدث تلقائياً، وهذي تتم عن طريق Cron – مسئول تشغيل المهام تلقائياً في لينكس ويونكس Tasks Scheduler-، بالطريقة هذي:

لينكس ريدهاتفيدوراسنتوس:

echo "*/5 * * * * mrtg /etc/mrtg/mrtg.cfg" >> /etc/crontab

يونكس FreeBSD:

echo "*/5 * * * * * /usr/local/bin/mrtg /usr/local/etc/mrtg/mrtg.cfg" >> /etc/crontab

- بدائل MRTG:

فيه بدائل كثيرة، والأشهر:

Cacti

Cricket

- نقاط مهمة:

1- تأكد أن صلاحية الـMRTG في القراءة من جهاز الشبكة Read-only -قراءة فقط-، لأجل ما يتعرض جهاز الشبكة الخاص فيك للاختراق والتعديل فيه عن طريق SNMP.

2- حاول تستخدم النسخة الثالثة من SNMP، لأن النسخ الحالية والغالباً مستخدمة هي النسخة الثانية، وفيها ثغرة أمنية حيث إنها ترسل الكوميونتي باسوورد بدون تشفير Clear Text.

3- تحتوي MRTG على كثير من الخيارات، مثل مراقبة حالة المعالج والذاكرة، حاول تقرأ عنها.

4- بالإضافة إلى مراقبة باندويدث الشبكة، تستطيع عن طريق MRTG إنك تراقب حالة سيرفر، مثل حالة المعالج والرام، بس يلزمك تثبت SNMP على السيرفر.

5- تأكد إنك تحمي الإنديكس الخاصة بـ MRTG عن طريق اسم مستخدم وكلمة مرور، أو تسمح الدخول فقط لأي بي معين.

6- الأوامر تنفذ بالمستخدم رووت.

7- كتبت هالموضوع من ذاكرتي بدون تطبيق، إذا كان فيه أخطاء ياليت تعلمني.

مواضيع مشابهة:

1. تم إصدار النسخة النهائية من FreeBSD 7.2
2. وانطلقت الشبكة الاجتماعية المفتوحة المصدر Diaspora
3. لتفادي إختراق موقعك، توقف عن إستخدام FTP

أعلن فريق FreeBSD اليوم الصباح -4 مايو 2009 -إصدار النسخة النهائية من نظام FreeBSD رقم 7.2، وتحتوي الإصدارة هذي بعض التحسينات الخفيفة، مثل:-

- إضافات على نظام السجن Jail، حيث يمكن الآن من إضافة أكثر من IP سواء كان من برتوكول IPv4 او IPv6 في نفس السجن.

* السجن Jail في FreeBSD تستطيع تشبهه بـ chroot، لكن مع فرق المميزات لصالح Jail، بالتأكيد! .

- تحسينات على دعم البلوتوث.

- دعم الواجهة الرسومية Gnome آخر إصدار -رقم 2.26-، و الواجهة الرسومية KDE إصدار رقم 4.2.

- تعديل بعض المشاكل اللي كانت موجودة في النسخة 7.1.

وتستطيع تقرأ معلومات الإصدار Release Notes وأيش الجديد بشكل مفصل هنا:

http://www.freebsd.org/releases/7.2R/relnotes.html

للمعلومية: دعم هذا الإصدار -بشكل أصح: الدعم الأمني- راح يتوقف بعد سنة تقريباً، بتاريخ 31 مايو 2010.

للتحميل:

تورينت.

FTP.

مواضيع مشابهة:

1. إصدار النسخة النهائية لفايرفوكس 4 موبايل للأندرويد والمايمو
2. صدور النسخة النهائية للفايرفوكس 6 بشكل غير رسمي
3. صدور النسخة النهائية للفلاش 10.1

نتطرق في تويتر عن كيفية التحكم بالمواقع عن طريق SSH، أيش الأمر الفلاني الخاص بنقل قاعدة البيانات وأيش الأمر العلاني الخاص بنقل ملف معين، وحبيت أدمج كل هالكلام والأوامر في صفحة واحدة – اللي هي هذي – لأجل تصير مرجع للشخص المهتم.

قبل ابدأ، الموضوع هذا- زي ما هو موضح في العنوان – راح يشرح الأساسيات الخاصة بإدارة المواقع بالـ SSH، وراح يكون بشكل مره مبسط وسهل، وكلنا يالأدمنية نعرف إن إدارة المواقع عن طريق SSH برضوا لها طرق انانية، عشان كذا كتبت في العنوان " أساسيات " .. ( المقال بعد الفاصل )

عموماً، الموضوع راح يكون مقسم لعدة أجزاء:

1- مقدمة بسيطة للـSSH، مع توضيح فوائد إدارة المواقع عن طريقها.

2- التطبيق:

2.1: فكرة تطبيق الشرح.

2.2: متطلبات التطبيق والشرح العملي لمستخدمي أنظمة ويندوز.

2.3: متطلبات التطبيق والشرح العملي لمستخدمي أنظمة لينكس ويونكس.

2.4: متطلبات التطبيق والشرح العملي لمستخدمي أنظمة لينكس ويونكس.

3: التطبيق والشرح العملي:

3.1: ضغط ملفات الموقع وتجهيزها للنقل.

3.2: إستخراج قاعدة البيانات وتجهيزها للنقل.

3.3: نقل قاعدة البيانات والملفات إلى السيرفر الثاني.

3.4: إستعادة ملفات الموقع ووضعها في السيرفر الثاني.

3.5: إستعادة قاعدة البيانات وزرعها في السيرفر الثاني.

4: ملاحظات مهمة.

1- مقدمة بسيطة للـSSH، مع توضيح فوائد إدارة المواقع عن طريقها:

الـSSH هي إختصار لعبارة Secuer Shell، ولو ترجمناها بالعربي بيطلع " الصدفة الأمنة "، وفكرة هالإسم إن محتويات هالصدفة أو هالشل بيكون محمي وأمن، ولا أحد بيقدر يفك محتوياتها.

إنت الحين لما تشبك على سيرفر عن طريق SSH، الإتصال اللي بينك وبين هالسيرفر تمت حمياته بواسطة هالشل عشان ما يجي أحد ويحاول يلقط المعلومات اللي جالس تنقلها من إلى السيرفر.

وتقدر ترجع لموضوع: " لتفادي إختراق موقعك، توقف عن إستخدام FTP " عشان تعرف كيفية إلتقاط البيانات الخاصة بالسيرفر تبعك – بكل سهولة – لما تتصل فيه.

وعشان ترسخ في بالك فكرة SSH، لما تتصل في السيرفر الخاص فيك عن طريقها، أعتبرها هالـSSH قامت بإنشاء وتركيب "أنبوب" – ماصورة – بينك وبين السيرفر الخاص فيك، والأنبوب هذاومحتوياته مرره مشفره ومأمنه ولا أحد يقدر يكسرها.

توضيح: ترا هالأنبوب مو من رأسي، هذا أسم علمي لـ Tunnel الخاصة بالـ SSH .

وضحنا فكرة الـSSH، طيب وش أيش الفوائد؟

1- عن طريقها، تقدر تتحكم بالموقع والسيرفر الخاص فيك بشكل كامل، سوا كان هدفك نقل ملفات أو تعديل خصائص وإعدادت، بشكل آمن.

2- عن طريقها، تقدر تتحكم بكيفية شكل موقعك ومحتوياته، يعني ترفع ملف، تحذف ملف و تنقل ملف.

3- عن طريقها، تقدر تنقل محتويات موقع كامل – قاعدة بيانات وملفات – إلى سيرفر ثاني بدون تدخل منك، يعني بشكل تلقائي.

4- عن طريقها، تسرع عملك لإداة موقعك، وراح تشوف الحين وش قصدي لما نبدأ بالتطبيق.

هذي بعض المميزات، ولما تتعمق بإدارة السيرفرات، راح تعرف أكثر وأكثر.

نبدأ الحين التطبيق.

2- التطبيق:

2.1: فكرة تطبيق الشرح:

فكرتنا أيش بتكون؟

راح يكون عندنا عدد أثنين- 2 – سيرفر – سيرفرين – ، السيرفر الأول عنوانه:

server01.jerais.com

والثاني عنوانه:

server02.jerais.com

حلو، السيرفر الأول server01.jerais.com، يحتوي على موقعي، اللي فيه هالمدونة، وأبنقل جميع محتوياته من ملفات وقواعد بيانات من نوع MySQL إلى السيرفر الثاني، اللي هو server02.jerais.com، وراح أشرح لكم حبه-حبه، خطوة-خطوة لكيف تنقل كل العفش – الملفات وقواعد البيانات- من السيرفر الأول إلى الثاني وكلها عن طريق SSH.

2.2: متطلبات التطبيق والشرح العملي لمستخدمي أنظمة ويندوز:

لمستخدمي هالغثيث ويندوز، إستخدموا برنامج PuTTY، طبعاً أوبن سورس – برنامج حر مجاني مفتوح المصدر تقدر تستخدمه بدون كراك أو تسجيل – وهذي صورته:

زي ما إنتم شايفين، واجهة البرنامج أسهل من السهلة، في حقل Host name ( or IP Address )، تكتب أسم أو الأي بي الخاص بالدومين تبعك، وفي حقل Port، تكتب بورت SSH، وهو إفتراضياً 22.

وبعدها تضغط على زر Open في أسفل البرنامج، وراح يشبك لك على السيرفر الخاص فيك، وبيطلب من اليوزر نيم الخاص بسيرفرك وبعدها الباسوورد.

ملاحظة: يمكن يطلع لك رسالة تنبيهيه قبل ما تتصل بالسيرفر، وتحتوي زي ما اتذكر على كتابة فيها public key finger print وشي زي كذا، إنت إضغط Yes عشان تقبل public key الخاص بالسيرفر في جهازك.

2.4: متطلبات التطبيق والشرح العملي لمستخدمي أنظمة لينكس ويونكس.

في لينكس ويونكس، ما تبغى أي متطلب، فقط تشغل التيرمينال وتنفذ أمر الإتصال زي ما انا موضح تحت:

ssh user01@server01.jerais.com

حيث:

ssh: هو أمر الإتصال بسيرفر معين عن طريق برتوكول SSH.

user01: هو إسم المستخدم الموجود على السيرفر.

server01.jerais.com: هو اسم السيرفر اللي تبغى تشبك عليه.

لما يشبك معاك، بيطلب منك الباسوورد الخاصة باليوزر user01.

حلو، خلصنا من المتطلبات، الحين let’s get down to business ..

3: التطبيق والشرح العملي:

3.1:ضغط ملفات الموقع وتجهيزها للنقل:

أوكي، الحين خلونا نشبك على السيرفر الأول، اللي هو server01.jerais.com، انا أشتغل من نظام لينكس، يعني الخطوة هذي – فقط – إذا كنت تستخدم ويندوز، إنت تسويها بإنك تتصل بالسيرفر عن طريق PuTTY:

ssh user01@server01.jerais.com

راح يطلب مني الباسوورد الخاصة باليوزر user01، أبكتبها ثم خلاص وقتها خلاص أكون دخلت على السيرفر عن طريق الشل SSH، والحين أببدأ شغلي بنقل الملفات.

أول أمر راح أنفذه، هو pwd، وهو إختصار print working directory، والمقصد فيه " أعرض لي المسار اللي انا فيه "

pwd

وعرض لي

/home/user01

حلو، الحين انا بالمجلد الخاص باليوز حقي user01، خلونا نستعرض محتويات هالمجلد عن طريق الأمر ls، وهو إختصار list:

ls

وعرض لي

public_html

عرض لي مجلد أسمه public_html، وهالمجلد هو اللي يحتوي على محتوات موقعك كلها، أي ملف وأي حاجه تكون موجود في هالمجلد، على طول راح تنعرض على الويب.

خلونا ندخل هالمجلد ونشوف أيش بداخله، عشان نجهز ضغط الملفات وإرسالها إلى السيرفر الثاني server02.jerais.com.

بنستخدم الأمر cd لدخول مجلد public_html، والأمر cd هو إختصار لجملة change directory:

cd public_html

نعرض وين حنا في الحين عن طريق pwd

pwd

وعرض لي

/home/user01/public_html

نستعرض محتوياته:

ls

وعرض لي

wp عرض لي مجلد واحد، اللي هو مجلد المدونة.

حلو، الحين خلونا نضغط هالمجلد بكل محتوياته عشان نرسله للسيرفر ونفكه هناك ويكون نسخه طبق الأصل من الموجود على السيرفر الحالي.

وفكرة الضغط سهلة، بنستخدم برنامج Tar المخصص لضغط املفات وأرشفتها – تقدر تعتبره زي WinRar, WinZip -، لكن Tar أكثر كفاءه منهم، وهو يجي مدمج مع أنظمة لينكس ويونكس.

الحين راح نضغط المجلد wp بجميع محتوياته ونجهزه للنقل، وأمر الضغط كذا:

tar -czvf wp-backup.tar.gz wp

والشرح:

tar: هذا أمر الضغط.

-czfv: هذي خيارات الضغط، وتبيانها:

c: إختصار كلمة create – إنشاء -.

z: إختصار لضغط الملف بجميع محتوياته عن طريق برنامج gzip.

v: هذا الخيار مو مهم، انا اللي مضيفه ولا أقدر أستغني عنه، وهو المقصود فيه verbose, view، وهو يستخدم عشان الـ debug لعمية الضغط.

f: إختصار لعبارة file name، وهي المقصود فيها إسم الملف الناتج من الضغط، يعني الـ output.

بعدها طال عمركم جانا الخيار wp-backup.tar.gz، وهذا إسم الملف الناتج واللي بنرسله للسيرفر.

wp: هذا المجلد اللي نبغى نضغطه ونأرشفه.

نفذت الأمر انا، وشوف وش طلع لي:

wp/

wp/index.html

wp/wp-admin/

wp/wp-admin/index-extra.php

..

..

..

..

wp/wp-admin/post-new.php

wp/wp-links-opml.php

wp/wp-feed.php

حلوين، الحين إذا نفذت أمر إستعراض الملفات ls، راح تلاقي ملفنا wp-backup.tar.gz تم إنشائه، شوف:

ls

وعرض لي

wp

wp-backup.tar.gz < هذا مجلد موقعك بعد الضغط

أوكيشن، جهزنا نسخة من ملفات الموقع، والحين هي جاهزة للإرسال للسيرفر الثاني، خلونا نأخذ نسخة من قاعدة البيانات.

3.2: إستخراج قاعدة البيانات وتجهيزها للنقل:

حلوين، أخذنا نسخة من الملفات، وهي جاهزة للنقل، خلونا نأخذ صورة من قاعدة البيانات ونستخرجها إلى ملف معين والملف هذا هو اللي بننقله إلى السيرفر الثاني.

أول شيء، إطلع من المجلد public_html، عن طريق هالأمر:

cd ~

ليه نطلع؟

لأن حنا الحين راح نأخذ نسخة من قاعدة البيانات، وهالنسخة بتكون ملف نصي TXT، وقبل شوي ذكرت أي ملف موجود في public_html راح ينعرض للويب بشكل إفتراضي، يعني لو إنت إستخرجت قاعدة البيانات إلى ملف إسمه jerais-db.sql وخليتها موجوده على public_html، أي واحد يعرف إسم الإستخراج الخاص بقاعدة البيانات يقدر يطلبها عن طريق المتصفح ويحملها!

أدري يمكن أحد يقولي كيف الواحد بيعرف اسم ملف قاعدة البيانات حقت موقعي؟ كلامك صحيح 80000%، بس ياعزيزي غالباً اللي يطبقون شروحات الـ How-To تلاقيهم يستخدمون نفس الأسماء المستخدمة في هذا الشرح، يعني إذا قلت لك إستخرج قاعدة البيانات إلى الأسم

website-dbbackup.sql

مع تبديل الأسم website إلى أسم موقعك، راح يجي واحد ويطلب الملف website-dbbackup.sql مع تغير الأسم حق website إلى اسم موقعك، و أوبس!

حمل قاعدة البيانات!

واللي يستخدم برامج penetration testing زي Nessus مثلاً، راح يلاقي إنهم يطلبون ملفات مشهورة بإضافة إمتداد الباك أب المتعارف عليه، اللي هو -backup .

عموماً، ماودي أطول، إنت الحين طالع من المجلد public_html، وتعرف إذا كنت طالع أو لا عن طريق الأمر pwd، إذا ما كنت برا هالمجلد، نفذ الأمر اللي في الخطوة 3.2 فوق.

أوكي، مستعدين نأخذ نسخة من قاعدة البيانات؟

بسم الله، نفترض إن اسم قاعدة البيانات wordpress1، راح نستخرجها إلى ملف نصي مضغوط بالأسم wordpress1.sql، وهذي هي الطريقة:

mysqldump -u user01 -pxxxx1234 wordpress > wordpress1.sql

حيث:

mysqldump: برنامج أخذ النسخ من قواعد بيانات MySql.

-u user01: حرف u هو خيار إدخال اسم اليوزر الخاص بقاعدة البيانات، ويجي متبوع باسم اليوزر ،وهو خاص بقاعدة البيانات الخاصة فيني – كل واحد له يوزر خاص بقاعدة بياناته، إرجع لإعدادت موقعك -.

-pxxxx1234: الخيار p إختصار لكلمة password، وهو الباسوورد الخاصة باليورز user01 المسموح له التحكم بقاعدة البيانات الخاصة فيني – برضوا كل واحد له يوزر وباسوورد خاص فيه، إرجع للإعدادت موقعك-.

والـxxxx1234 هذي الباسوورد حقت اليوزر user01.

تنبيه: لاحظ إنو مافيه مسافة بين الخيار -p والباسوورد، لاتحط مسافة بينهم.

wordpress: اسم قاعدة البيانات اللي ابأخذ نسخة منها.

>: هذي إشارة تحويل مخرجات قاعدة البيانات wordpress1 إلى الملف wordpress1.sql.

wordpress1.sql: هذا اسم قاعدة البيانات المستخرجة واللي راح ننقلها.

وإذا كنت تبغى تضغط قاعدة البيانات في حالة إنها كبيرة وقت الإستخراج، إستخدم الأمر:

mysqldump -u user01 -pxxxx1234 wordpress | gzip -c wordpress1.sql.gz

وراح يكون الملف المضغوط wordpress1.sq.gz هو نسخة طبق الأصل مضغوطة من قاعدة بياناتك.

وعشان تشوف هل تم أخذ نسخة أحتياطية من قاعدة البيانات ولا لا، طبق هالأمر:

ls -lh wordpress1.sql*

وبيعرض لك:

-rw-r--r-- 1 user01 user01 105K 2009-03-19 20:19 wordpress1.sql

وزي ما إنت شايف فوق، عارض لي حجم قاعدة البيانات 105 كيلوبايت، معناها إنو أخذ النسخة الأحتياطية إكتمل.

أوكي، خلصنا من أخذ نسخة من قاعدة البيانات، ونسخة من ملفات الموقع، الحين خلونا ننقلها إلى السيرفر الثاني server02.jerais.com.

3.3: نقل قاعدة البيانات والملفات إلى السيرفر الثاني:

قبل ننقل الملفات للسيرفر الثاني، خلوني أسرد لكم أمتداد أو Path الملفات اللي انا ضغطتها عشان أجهزها للنقل:

ملفات ومحتويات الموقع موجودات على الإمتداد هذا:

/home/user01/public_html/wp-backup.tar.gz

ملف النسخة الإحتياطية من قاعدة البيانات موجود على الإمتداد:

/home/user01/wordpress1.sql

إنت لازم تعرف إمتداد الملفات اللي جهزتها وينها فيه، عشان تنقلها إلى السيرفر.

وبرضوا، حنا راح ننقل إلى السيرفر الثاني server02.jerais.com اللي فيه اليوزر user02.

بسم الله، راح نستخدم الأمر أو البرنامج scp، وهو إختصار لـ Secure Copy، وفكرته إنك تنقل الملفات بشكل أمن عن طريق بروتوكول SSH.

وفكرة النقل بتكون كذا:

نقل النسخة الإحتياطية من الموقع اللي اسمها wp-backup.tar.gz إلى مجلد الويب في السيرفر الثاني اللي هو public_html تحت اليوزر user02:

scp /home/user01/public_html/wp-backup.tar.gz user02@server02.jerais.com:~/public_html/

وراح يطلب منك الباسوورد حقت اليوزر user02 الموجود على السيرفر server02.jerais.com، لما تكتبها راح يبدأ النقل، ولما يخلص راح يرجعك للشل من جديد.

نقل النسخة الإحتياطية من قاعدة البيانات اللي أسمها wordpress1.sql إلى مجلد اليوزر user02 على السيرفر الثاني server02.jerais.com.

scp /home/user01/wordpress1.sql user02@server02.jerais.com:~/

وبرضوا لما يخلص النقل، راح يرجعك للشل للي إنت عليها الحين.

وبس خلصنا نقل ..

الحين بنشبك على السيرفر الثاني server02.jerais.com من السيرفر الحالي اللي حنا عليه شابكين الحين، وبنتحكم بالموقع الثاني من سيرفرنا الأول server01.jerais.com.

أكتب:

ssh user02@server02.jerais.com

بيطلب منك قبول الـ public key الخاص بالسيرفر، أكتب Yes ثم بيطلب منك الباسوورد الخاصة باليوزر user02 على السيرفر، إكتبها إنت ثم بتدخل على السيرفر.

3.4: إستعادة ملفات الموقع ووضعها في السيرفر الثاني.

أوكي، الحين بعد ما نقلنا الملفات وقاعدة البيانات، بنشوف هل تم النقل ولا لا.

إدخل على مجلد الويب:

cd /home/user02/public_html

ثم إستعرض محتوياته:

ls

وبيطلع لك هالملف:

wp-backup.tar.gz

حلو، يعني تم النقل بكل نجاح، الحين خلونا نفك الضعط عنه:

tar -xzvf wp-backup.tar.gz

حيث:

tar: هو أمر الضغط فك الضغط.

-x: من كلمة Extract، والمقصود فيها إستخراج.

z: هذي حقت الضغط، وإستخدمناها هنا لأجل نقول " برضوا فك الضغط ".

v: من كلمة verbose أو view، يعني أعرض لي وش جالس تسوي " debug ".

f: من file name

حلوين، الحين إنفك الضغط عن الملف، وتم إستخراج المجلد wp إلى مجلد الويب في السيرفر server02، والدليل، إستعرض محتويات المجلد

ls

وبيطلع لك

wp < هذا مجلدنا اللي فكينا الضغط عنه wp-backup.tar.gz

3.5: إستعادة قاعدة البيانات وزرعها في السيرفر الثاني.

إستعدنا محتويات الموقع، باقي نسترجع قاعدة البيانات.

قبل ما نزرع قاعدة البيانات، لازم ننشىء لنا واحدة عشان نسترجع محتويات قاعدة البيانات القديمة إلى هالجديدة في السيرفر الجديد، وطبعاً راح ننشئها عن طريق الشل.

في الشل، أكتب

mysql -u user02 -pXXXX

حيث:

mysql: هو أمر الدخول على قاعدة البيانات.

-u: أمر إدخال أسم اليوزر، اللي هو user02.

-pXXXX: الخيار -p مقصود فيه زي ما وضحت فوق password، وXXXX هي الباسوورد، وتأكد مره ثانية ما تكتب أي مسافة بين -p و وباسووردك.

أوكي، الحين بيدخلك إلى الشل الخاص بقاعدة البيانات، وزي ما إنت شايف تغير شكل الشل وطلع لك:

mysql>

أوكي، نكتب أمر إنشاء قاعدة بيانات جديدة اسمها wordpress2

create database wordpress2;

وبيطلع لنا نتيجة تنفيذ الأمر:

Query OK, 1 row affected (0.00 sec)

الحين ننشيء يوزر خاص بقاعدة هالبيانات -راح نسميه wpuser- عشان هو الوحيد اللي يكون معه كنترول على هالقاعدة:

grant all privileges on wordpress2.* to wpuser@'localhost' identified by 'XXXX'; flush privileges;

وغير XXXX إلى الباسوورد اللي تبغى إنت.

حلو، الحين أطلع من الشل حقت قاعدة البيانات، عن طريق الأمر

exit

لجل يرجعك إلى الشل الخاصة بالسيرفر.

حلوين، الحين أنشئنا قاعدة بيانات مع يوزر خاص فيها، خلونا نزرع محتويات قاعدة البيانات القديمة إلى الجديدة، عن طريق الأمر:

mysql -u wpuser -pXXXX wordpress2 < /home/user02/wordpress1.sql

وإذا كنت ضاغط الملف قبل ترسله للسيرفر الثاني، فك الضغط عنه أول عن طريق:

gunzip -d wordpress1.sql.gz

ثم طبق الأمر اللي فوق حق الإسترجاع والزرع.

وتم الأسترجاع والزرع، الحين روح وعدل ملف إعدادت قاعدة البيانات الخاص ببرنامج موقعك إلى المعلومات الجديدة، ومبروك عليك الموقع الجديد!

4: ملاحظات مهمة:

1- الأسماء اللي أستخدمتها بالشرح فوق زي user01, user02, server02, server01 وغيرهم، هذولي من رأسي، يعني ما راح يكونون بالسيرفر حقك، هذي الأسماء تجيك إنت لما تستأجر إستضافة من الشركة اللي مستضيف عندها.

2- تقدر تسوي أغلب الكلام اللي فوق والأوامر عن طريق cPanel أو لوحة تحكم موقعك، زي زرع قاعدة البيانات، إنشاء واحدة، بس معليش، ما أعرف أستخدمهم، أو بشكل أصح ما أحب، وكذا أسرع .

3- الشرح اللي فوق يحتوي على الأوامر الأساسية لكل شيء، يعني ما تطرقنا لحماية مثلاً اسم المستخدم حق قاعدة البيانات لجل ما حد يسرقها و يتخطى صلاحيته وغيرها.

4- بعد ما يكتمل الشغل اللي فوق، أحذف الملفات الإحتياطية اللي موجودة تحت public_html على كل السيرفرين عن طريق الأمر

rm /home/user02/public_html/wp-backup.tar.gz

5- الشرح مو مخصص فقط للمدونات، الشرح مخصص لأي موقع ويب، منتدى أو موقع شخصي أو غيرهم.

6- أخيراً، أحب أوصح إنو ما فيه شيء أسمه أوامر SSH، SSH هو برتوكول، وكل الأومر هي الأوامر اللي تتنفذ هي أوامر موجودة في النظام نفسه مو في SSH.

روابط تفيدك بنفس الموضوع:

تسريع الإتصال بالسيرفر عن طريق SSH

شرح تأمين وحماية SSH في لينكس ويونكس ، الجزء الأول

لتفادي إختراق موقعك، توقف عن إستخدام FTP

شرح طريقة أخذ نسخة إحتياطية من قاعدة بيانات المدونة تلقائياً كل فترة تبيها

مواضيع مشابهة:

1. موزيلا تنشر معلومات أكثر من 44 ألف مستخدم عن طريق الخطأ
2. لتفادي إختراق موقعك، توقف عن إستخدام FTP
3. قوقل تفعل إرسال رسائل الجوال عن طريق محادثة بريد الجيميل لمستخدمي السعودية

طبعاً زي ما نعرف حنا يا أصحاب المواقع، السواد الأعظم مننا لجل يرفع ملفاته إلى موقعه، يستخدم برنامج معين يعتمد على برتوكول FTP.

بالتدوينة هذي إن شاء الله، راح أبين الخطر اللي يضر موقعك بإستخدامك برامج FTP، و الحل طبعاً.

تنويه: التدوينة هذي مو مخصصة لمستخدمي أنظمة لينكس ويونكس فقط، مستخدمي أنظمة ويندوز يقدرون يكملون قرأه الموضوع، فيه معلومات وطرق بتهمهم وبتساعدهم.

تنويه ثاني: الموقع الخاص فيك لازم يكون مستضاف على سيرفر لينكس أو يونكس، اما إذا كنت مستضيف موقعك على سيرفر ويندوز، فالله يعينك على سيرفرك، اللي بهالتدوينة ما ينطبق على سيرفرك – إلا في حالات معينة – .

أقسام الموضوع:

1. المشكلة، وتطبيق عملي لتوضيح الخطر.

2. طريقة الحل:

2.1 تفعيل SSH في السيرفر عن طريق شركة الإستضافة.

2.2 لمستخدمي لينكس، يونكس.

2.3 لمستخدمي ويندوز.

4. نقاط مهمة.

(بقية المقال بعد الفاصل)

1. المشكلة، وتوضيح الخطر:

المشكلة بكل بساطة، إن برامج FTP اللي تستخدمها إنت لجل تتعامل مع ملفات موقعك، ما تستخدم أي طريقة تشفير لأجل تشفر اسم المستخدم والباسوورد الخاصة بالموقع الخاص فيك، يعني ترسلهم إلى موقعك بشكل يسمى Clear Text.

وش فكرة Clear Text؟

فكرة الكلير تيكست Clear Text، زي ما هو واضح من الاسم لو ترجمناه، بيطلع "نص واضح"، والمقصد فيه إنو لو كتبت مثلاً كلمة المرور 12345، بتروح للسيرفر كما كتبتها 12345، مو مشفره بكلام غير مفهوم، يعني كذا مثلاً $1$/OZFw$nEVRAn9aW0V0NVZdaqWX7/

خلوني أشرح لكم الخطر وينه، أبفترض إني جالس بمقهى، وجاء في بالي أدخل موقعي jerais.com، وأرفع عليه كم ملف عن طريق أحد برامج FTP.

شغلت برنامج الأف تي بي FTP، وحطيت اليوزر نيم والباسوورد الخاصة بموقعي، وظغطت إتصال، وشبكت على سيرفري، وبديت أنقل وأعدل بالملفات.

في نفس اللحظة اللي انا كتبت اليوزر نيم والباسوورد الخاصين فيني، نفترض إنو فيه هاكر جالس بالمقهى ومشغل له برنامج Sniffer شمام لأجل يلقط الترافيك اللي يمر في الشبكة، شوفوا وش بيطلع له :

220 (vsFTPd 2.0.7)

USER ftp

331 Please specify the password.

PASS ftp

230 Login successful.

SYST

215 UNIX Type: L8

تشوف اللي باللون الأحمر اللي فوق؟ هذي اللي بتطلع اللي جالس يلقط الترافيك الخاص فيك.

وزي ما إنت ملاحظ، عارض له وبكل ترحيب اسم المستخدم ( USER ftp )، والباسوورد ( PASS ftp ) الخاصين بالموقع حقي بدون أيه تشفير أو غيره.

هنا الخطر، وضح لك؟

2. طريقة الحل:

2.1 تفعيل SSH في السيرفر عن طريق شركة الإستضافة:

يبغى لك تكلم الإستضافة الخاصة فيك اللي إنت مستضيف موقعك عليها لأجل يعطونك حساب SSH، وهالشيء غالباً مجاني ويجي معي خطة الإستضافة اللي إنت شريتها، وراح يعطونك اليوزر نيم والباسوورد الخاصة بهالـ SSH.

أيش الأس أس أتش SSH؟

SSH هو برتوكول للتحكم بالسيرفر أو بالجهاز الخاص فيك ونقل الملفات والتعامل معها بطريقة آمنه ومشفرة، يعني البيانات اللي تطلع من جهازك ورايحه للسيرفر عن طريق برتوكول SSH راح تكون مشفره 100% حتى لو حاول هاكر يلقطها ويحللها، شوف الترافيك اللي ملتقطه انا لترافيك SSH، شوف كيف مشفر وغير مفهوم:

SSH-2.0-OpenSSH_5.1 SSH-2.0-OpenSSH_5.1

.. .. ./,C…….k.-.mH…….er)…..u.!=`.K!……. ………~.6.H..&..k?L.._.L5.m….f8..[..$..c.. ?(a.....8........._.0..N.`.....2`.......m.j.1... (.(...+......g.1^.Q$........h..rx.z.z..s.dn..u...D.[....U.aE. .XV........?a.....].T.vCYd…T….u…+.8RG~…..G.bl..[rl..-r....V.K`.NQ...P...:zf.v..0.......l......zXc...|.CDU.1ec" .+.....i.n.^.=...."`...N.].C.o.K.6…..ZtRn%..=l…..VI{1mx

 

شايف كيف مشفر فوق؟ يعني خلاص الباسوورد واليوزر نيم آمنين إن شاء الله من الإلتقاط، أو من المصطلح ( Man In The Middle Attack ( MITM.

2.2 لمستخدمي لينكس، يونكس:

فيه أكثر من طريقة للإتصال بالسيرفر حقك لجل تتعامل مع الملفات عن طريق SSH، والحين في هالموضوع راح أتطرق إلى برنامج GUI بيساعدك للتعامل مع ملفاتك بطريقة آمنة، اما التعامل مع ملفات سيرفرك عن طريق الشيل راح نتطرق لها في موضوع ثاني عشان ما نطول الموضوع.

البرنامج اسمه gFTP، وطريقة تثبيته:

يونكس FreeBSD، عن طريق البورتس Ports:

cd /usr/ports/ftp/gftp; make install clean

لينكس فيدورا، عن طريق الحبيب yum:

yum install gftp

بعد التثبيت، شغل البرنامج applications>> internet>>gFTP، أو عن طريق الأمر gftp.

راح تشتغلك شاشة البرنامج، زي هالشاشة:

البرنامج إستخدامه سهل، زيه زي أي برنامج FTP، عشان تخليه يستخدم برتوكول SSH بدل FTP، تشوف المربع اللي باللون الأحمر؟

غيره إلى SSH2، وفي الخانات اللي على اليسار، تعبيها بأسم الدومين واليوزر نيم والباسوورد اللي إستلمتها من الإستضافة اللي مستضيف عندها إنت، ثم تظغط على زر الإتصال اللي على اليسار ( اللي شكله شاشات كمبيوتر ).

2.3 لمستخدمي ويندوز:

إستخدم برنامج WinSCP، برنامج مفتوح المصدر، مجاني، يعني ما تحتاج لا كراك ولا تسجيل:-)، وسهل الإستخدام، و يدعم نقل الملفات بين المواقع بأكثر من برتوكول، زي FTP,SSH، وتقدر تحمله عن طريق رابط التحميل.

طبعاً بعد التحميل ثبت البرنامج، ومايحتاج أقول إن كل شيء نكست نكست نكست .

شغل البرنامج، وراح تطلع لك هالشاشة الخاصة بالإتصال بالسيرفر:

[

بعد ما تكتب البيانات بشكل صحيح، راح تطلع لك شاشة نقل الملفات، وسهلة هي طبعاً:

4. نقاط مهمة.

1. هل كذا خلاص موقعك آمن من الإختراق بعد ما إنتقلت إلى إستخدام SSH في نقل الملفات؟

لا، مو آمن، أكثر أمان من قبل. وتذكر، مافيه شيء بهالدنيا كامل إلا وجه الله سبحانه، يعني مافيه شيء آمن 100%.

2. مو فقط FTP اللي يرسل المعلومات ككلير تيكست Clear Text، برضوا برتوكول HTTP و Telnet، وهذي راح أتطرق لها بوقت ثاني.

3. زي ما تلاحظ، حنا نقل الملفات عن طريق SSH، وبرتوكول النقل عن طريق SSH يسمى SFTP، Secure FTP، الأف تي بي الآمن.

4. البورت الخاص بـ SSH و SFTP هو 22، إلا إذا غير الإستضافة رقم البورت.

يمكن تلاقي الروابط هذي مفيدة:

شرح تأمين وحماية SSH في لينكس ويونكس ، الجزء الأول

تحليل بيانات الشبكة بإستخدام tcpdump و wireshark

مصدر الصورة

مواضيع مشابهة:

1. ربط كيبلي شبكة بـ IP واحد في سيرفرات لينكس لتفادي الانقطاع
2. (2) كيف تبني موقعك الإلكتروني على الإنترنت بنجاح؟
3. Quicksilver المتعة في إستخدام ماك