touch /home/username/.ssh/config

ثم ضع فيه الآتي
Host IPADDR
Port #
User USERNAME

أبدل IPADDR بالعنوان الحقيقي لخادم svn
أبدل # برقم المنفذ الذي تستمع عليه خدمة ssh على الخادم البعيد
أبدل USERNAME باسم المستخدم على خادم ssh

مثال
Host 1.1.1.1
Port 8022
User mtafran

الآن من الحاسوب المحلّي نفّذ الأمر التالي:
svn co svn+ssh://1.1.1.1/my/project local

ستضطر إلى إدخال كلمة المرور أكثر من مرّة ولكن بعدها سوف يتم إنشاء المجلد ووضع الملفات التي تمّ سحبها من المخزن فيه.

قد يكون هناك طرق أخرى أفضل لعمل ذلك ولكنّي وجدّت هذه الطريقة سهلة والأهم من ذلك أنهّا تعمل. إن كان لديكم طرق أخرى للقيام بنفس المهمّة فحبّذا لو تشاركونا فيها.

ssh -D PORTNUM user@server

لنفرض أننا نريد أن نعيّن المنفذ المحلّي على حاسوبنا ليكون 8080

ولنفرض أن المستخدم على الخادم البعيد هو المستخدم الجذر وأن عنوان الخادم هو 1.2.3.4 فسيكون الأمر كالتّالي:

ssh -D 8080 root@1.2.3.4

الآن على متصفحك المفضّل اختر الوسيط proxy وضع العنوان المحلي 1.2.3.4 والمنفذ المحلّي 8080 واستمتع باتصال آمن .

استخدم هذه الطريقة في ما يرضي الله عزّوجل وأنا بريء من أي استخدام خاطئ أو غير مسؤول.

الإجراءات التي يمكنك اتخاذها من أجل الحماية هي:

1- حددّ العناوين التي يمكنها الاتصال بخدمة ssh فمن لايستطيع الوصول إلى ssh لن يستطيع كسر كلمة مروره

2- قم دائماً وأبداً بعمليات مسح للتأكد من سلامة السياسات عموماً والخاص ب ssh على وجه الخصوص

3- اعد تهيئة ssh لديك لاستخدام مفاتيح محمية بكلمة مرور ولا تسمح لكلمات مرور فقط
أنشأ مفتاح جديد
$ ssh-keygen -t rsa
سيطلب منك ادخال pssphrase قم بإدخاله
هذا سينشأ ملفان داخل مجلدك ~./ssh
id_rsa هو الخاص
id_rsa هو العام

انسخ الفتاح العام على الخادم الذي تريد الاتصال به باستخدام المفتاح وقم بإضافته للملف المفاتيح المصرّح لها
$ cat id_rsa.pub >> ~/.ssh/authorized_keys

الآن غيّر التصاريح كالآتي:
$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/authorized_keys

4- استخدم اسماء مستخدمين صعبة وغير معروفة فاسماء المستخدمين العادية او التي يمكن توقعها تستخدم بكثرة. ولكن اسم كهذا m7acc0nt%$ d يصعب معرفته وبالتالي نصعب عملية كسر كلمة مروره.

5- غير موقع المنفذ الخاص بSSH لديك من 22 إلى شيء آخر هذه قد لا تفيد كثيراً في حالة الهجوم الموجه ولكن في حالة كون الهجوم تقوم به botnet فهذا هو المنفذ المستخدم في الهجوم في الغالب
# Run ssh on a non-standard port:
Port 7788 #Change me

الآن عند اتصالك بالخادم ستقوم بذلك كالآتي:
ssh -p7788 mtafran.com

6- استخدم برنامج ولكن قم بتخصيصه بشكل مشدّد فهو سوف يساعد بشكل كبير واقول هذا من تجربة فعلية ولكن ضع في الحسبان ان الهجمات القادمة من botnet اذا كانت هذه ال bitnet كبيرة مثلاً 10000 او 100000 او أكثر فستكون فعاليته اقل. مثلاً برنامج fail2ban

7- راقب السجلات هذا سيعطيك نظرة على الهجمات القادمة وكذلك يعتبر وسيلة بين فترة والأخرى للتأكد من برامج مثل fail2ban من انها تعمل

مرجع

http://isc.sans.org/diary.html?storyid=6214

لنشمّر عن سواعدنا نبدأ بعمليّة تنصيب وتجهيز البرنامج:

تنصيب برنامج fail2ban

apt-get install fail2ban

هذا سيقوم بتنصيب الحزمة

موقع ملفات التعريف الخاصّة بالحزمة موجودة في
/etc/fail2ban

عند عمل عرض للملفات نلاحظ وجود الملفات التالية
$ls
action.d fail2ban.conf filter.d jail.conf jail.local

الملف الذي سوف نتعامل معه من أجل عمل تخصيص في عمل البرنامج هو

jail.local

هذه مقاطع من الملف

[DEFAULT]

هنا القسم الافتراضي
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
الخاصّية التالية هي من أجل العناوين التي سيتم استثناؤها من قبل البرنامج
ignoreip = 127.0.0.1
هنا مدّة الحظر على العناوين التي قامت بالمخالفة
bantime = 86400
هنا عدد مرّات السّماح لعنوان بالفشل في ادخال كلمة المرور
maxretry = 3

هنا القسم الخاص بال SSH
[ssh]
لتفعيل القسم
enabled = true
المنفذ
port = ssh
filter = sshd
مكان السّجلات التي سيقوم البرنامج بمراقبتها
logpath = /var/log/auth.log
عدد مرات تكرار المحاولة
maxretry = 2

هنا القسم الخاص بالاباتشي
#[apache]

#enabled = true
#port = http
#filter = apache-auth
#logpath = /var/log/apache*/*error.log
#maxretry = 5

نلاحظ من خلال المقاطع أعلاه أن التعامل مع البرنامج سهل للغاية كذلك نلاحظ أنّ البرنامج يمكن استخدامه ليس فقط من أجل سسش بل يمكن استخدامه أيضاً من اجل خدمات أخرى مثل الاباتشي أو برامج نقل الملفات.

كيف يعمل البرنامج؟
من خلال مراقبة السّجلّات يقوم بالبرنامج بقراءة المقاطع المتعلقة بفشل عملية تسجيل دخول مثلاً إذا بلغ عدد مرات الفشل في فترة زمنية قصيرة العدد المسموح به سيتم إنشاء قاعدة ابي تابلز تحظر اتصال ذلك العنوان بالخادم لاي خدمة للمدّة المعيّنة في الملف.

لنفرض السيناريو التالي:
لديك 3 عناوين 2 في العمل والآخر في المنزل وتريد السماح لهذه العناوين بالاستمرار بالمحاولة حتى لو تم تجاوز عدد المرات المسموح بها كل المطلوب هو أن تقوم بإضافة هذه العناوين للملف
jail.local

كالآتي
ignoreip = 127.0.0.1 1.1.1.1 2.2.2.2 3.3.3.3

وهكذا نكون جاهزين للبدء في استخدام البرنامج

الآن لبدء البرنامج – الخدمة نقوم بتنفيذ الأمر التالي:
/etc/init.d/fail2ban start

ملاحظة: لا تقم أبداً بتعديل الملف jail.conf وسبب ذلك كما هو مذكور في بداية الملف حتى تتجنّب عملية الدمج خلال الترقية.

بحمد الله وفضله عثرت على موقع يشرح ما أريد بالضبط. وإليكم مختصر الطريقة.

هذه الطريقة جرّبت على نظام لينكس Ubuntu مع PHP 5

ما هو مطلوب من أجل عمل ما نريد؟

$sudo aptitude update
$sudo aptitude install php5-dev php5-cli php-pear buid-essential \
$openssl-dev zlib1g-dev

الاوامر اعلاه ستقوم بتنصيب الحزم التي نحتاج إليها إذا كانت هذه الحزم موجودة على نظامك فلا داعي للأمر الثاني.

ثم قم بتنزيل مكتبة libssh2 من موقع sourceforge

cd /usr/src
wget http://surfnet.dl.sourceforge.net/sourceforge/libssh2/libssh2-0.14.tar.gz
tar -zxvf libssh2-0.14.tar.gz
cd libssh2-0.14/
./configure
make all install

لاحظ أن الحزم التي نحتاج إليها هي 2-0.14 لقد قمت بتجربة آخر اصدارة وهي الان 0.18 ولكن لم تعمل.

اللآن نحتاج إلى ربط libssh2 مع PHP لعمل ذلك ننفذ الامر التالي

pecl install -f ssh2
بعد ذلك نحتاج الى اضافة الامتداد الى ملفي php.ini في

/etc/php5/cli/php.ini, و /etc/php5/apache2/php.ini
موقع هذه الملفات قد يختلف اذا كنت تستخدم نظام آخر غير Ubuntu

اضف هذا السطر الى الملفين اعلاه

extension=ssh2.so
موقع السطر في الملفين السطر 515 او حوله

الان اصبحنا جاهزين لاستخدام هذه الخاصيّة

هناك طريقتان لاستخدام هذه الخاصية:
1- خاصية التنفيذ وهي الخاصية المفضلة
2- خاصية الشل

1- خاصية التنفيذ: تقوم بتنفيذ أمر وارجاع النتيجة الى السكريبت

<pre lang=”php” “>
if (!function_exists(“ssh2_connect”)) die(“function ssh2_connect doesn’t exist”);
// log in at server1.example.com on port 22
if(!($con = ssh2_connect(“server1.example.com”, 22))){
echo “fail: unable to establish connection\n”;
} else {
// try to authenticate with username root, password secretpassword
if(!ssh2_auth_password($con, “root”, “secretpassword”)) {
echo “fail: unable to authenticate\n”;
} else {
// allright, we’re in!
echo “okay: logged in…\n”;
// execute a command
if(!($stream = ssh2_exec($con, “ls -al” )) ){
echo “fail: unable to execute command\n”;
} else{
// collect returning data from command
stream_set_blocking( $stream, true );
$data = “”;
while( $buf = fread($stream,4096) ){
$data .= $buf;
}
fclose($stream);
}
}
}
</pre>

الأمر أعلاه ان يظهر النتيجة ولكن سيقوم بتخزينها في متغير data اذا ارد اظهار النتيجة فقط اضف السطر التالي قبل نهاية السكريبت

echo $data;
2- خاصية الشل خاصية متقدمة حيث انها تقوم بفتح شل فعلي النظام الذي نعمل اتصال معه

if (!function_exists(“ssh2_connect”)) die(“function ssh2_connect doesn’t exist”);
// log in at server1.example.com on port 22
if(!($con = ssh2_connect(“server1.example.com”, 22))){
echo “fail: unable to establish connection\n”;
} else {
// try to authenticate with username root, password secretpassword
if(!ssh2_auth_password($con, “root”, “secretpassword”)) {
echo “fail: unable to authenticate\n”;
} else {
// allright, we’re in!
echo “okay: logged in…\n”;

// execute a command
if(!($stream = ssh2_exec($con, “ls -al” )) ){
echo “fail: unable to execute command\n”;
} else{
// collect returning data from command
stream_set_blocking( $stream, true );
$data = “”;
while( $buf = fread($stream,4096) ){
$data .= $buf;
}
fclose($stream);
}
}
}

أسأل الله أن يكون في ذلك فائدة لكم. إن كانت لديكم اقترحات او طرق أفضل فلا تبخلوا بها