کنترل پنل دایرکت ادمین (Direct Admin)

ایمن‌سازی DirectAdmin

ایمن‌سازی DirectAdmin

ایمن‌سازی پورت پنل DirectAdmin (پورت 2222) با SSL

SSL برای ایجاد ارتباط امن در اینترنت طراحی شده است. این پروتکل تضمین می‌کند که داده‌های حساس ارسال‌شده بین دو سیستم محافظت شوند و هیچ شخص ثالثی نتواند آن‌ها را خوانده یا تغییر دهد. این داده‌ها می‌توانند شامل اطلاعات شخصی و محرمانه باشند.

به همین دلیل، استفاده از SSL برای سرویس‌ها و همچنین خود پنل DirectAdmin بسیار مهم است.
به‌طور پیش‌فرض، پنل DirectAdmin روی پورت 2222 کار می‌کند. شما باید این پورت را با SSL ایمن کنید.

ایجاد کلید ورود (Login Key)

در دنیای امروز داشتن چندین لایه امنیتی ضروری است. استفاده از تنها یک رمز عبور فقط یک سطح امنیتی ایجاد می‌کند و اگر این رمز عبور لو برود، مهاجم به‌راحتی وارد سیستم خواهد شد.

اگر به هر دلیل نیاز دارید رمز عبور DirectAdmin خود را در اختیار شخص دیگری بگذارید (مثلاً برای اسکریپت API یا پشتیبان فنی)، بهتر است رمز اصلی خود را ندهید.

DirectAdmin قابلیتی به نام Login Keys دارد. با این قابلیت می‌توانید رمزهای جایگزین برای ورود بسازید که هرکدام محدودیت‌های خاصی داشته باشند.

محدودیت‌ها و امکانات (Login Keys)

  • محدود کردن تعداد درخواست‌های CMD_ به عدد مشخص یا نامحدود
  • تعیین تاریخ انقضا برای کلید
  • حذف کلید پس از پایان تاریخ انقضا یا استفاده از همه درخواست‌ها
  • غیرفعال کردن درخواست‌های HTM_, IMG_, CSS_ برای جلوگیری از ورود از طریق مرورگر
  • امکان محدود کردن کلید به مجموعه خاصی از دستورات (CMD_*)
  • امکان محدود کردن استفاده از کلید برای آی‌پی‌های مشخص یا بازه آی‌پی (مثلاً 1.2.3.4-5)

مراحل ایجاد Login Key

ایمن‌سازی DirectAdmin
  1. با کاربری که می‌خواهید کلید برای او ساخته شود (مثلاً admin) وارد DirectAdmin شوید.
  2. به مسیر User Level → Login Keys بروید.
    • اگر دامنه‌ای ایجاد نکرده‌اید، می‌توانید به‌صورت دستی از آدرس /CMD_LOGIN_KEYS استفاده کنید.
  3. روی گزینه Create new Login Key کلیک کنید.
  4. اطلاعات خواسته‌شده را وارد کنید:
    • Key Name: فقط برای شناسایی است و جایگزین نام کاربری نمی‌شود.
    • Key Value: می‌توانید خودتان مقدار وارد کنید یا از گزینه تولید رمز تصادفی استفاده کنید.
    • Expiry: زمان انقضا در صورت نیاز به کلید موقت.
    • Number of Uses: تعداد دفعات استفاده از کلید. برای API طولانی‌مدت بهتر است مقدار 0 (نامحدود) باشد.
    • Clear Key: برای کلیدهای موقت کاربرد دارد تا پس از انقضا یا اتمام استفاده‌ها به‌طور خودکار حذف شوند.
    • Allow HTM: فقط درصورتی فعال شود که کلید برای ورود از طریق مرورگر باشد. برای API لازم نیست.
    • Commands: لیست دستوراتی که این کلید اجازه اجرا دارد. هرچه لیست محدودتر باشد، امنیت بالاتر خواهد بود.
    • Allowed IPs: تعیین آی‌پی‌هایی که می‌توانند با این کلید متصل شوند.

برای تست Login Key می‌توانید DirectAdmin را در حالت دیباگ (debug mode) سطح 2000 اجرا کنید تا دلیل رد شدن ورودها را ببینید.

مثال‌هایی از استفاده (Login Key)

A) کلید برای Reseller پیشرفته

دستورات مجاز:

ALL_RESELLER ALL_USER CMD_ACCOUNT_RESELLER CMD_RESELLER_SHOW

دستورات غیرمجاز:

CMD_LOGIN_KEYS CMD_API_LOGIN_KEYS CMD_PASSWD

ویژگی‌ها:
کلید بدون انقضا، استفاده نامحدود، غیر فعال‌سازی clear key، فعال بودن Allow HTM

این کلید به کاربر سطح Reseller امکان برخی دسترسی‌های مدیریتی را می‌دهد، ولی همچنان باید به او اعتماد داشته باشید.

B) کلید برای API در سطح کاربر (مدیریت ایمیل‌ها)

  • دستورات موردنیاز:
    CMD_API_POP CMD_API_EMAIL_VACATION
  • آی‌پی مجاز: فقط آی‌پی سروری که اسکریپت روی آن اجرا می‌شود (مثلاً 127.0.0.1)

C) کلید برای خوشه DNS (DNS Clustering)

  • دستورات موردنیاز:
    CMD_API_DNS_ADMIN CMD_API_LOGIN_TEST CMD_API_USER_EXISTS
  • آی‌پی مجاز: فقط آی‌پی سرور اصلی که نیاز به اتصال دارد.

D) کلید برای پشتیبانی فنی

  • Key Name دلخواه (مثلاً support)
  • رمز تصادفی
  • Expiry: مثلاً 5 روز
  • Uses=0
  • Clear Key=yes
  • Allow HTM=yes

این روش جایگزین ارائه رمز اصلی ادمین به تیم پشتیبانی است.

احراز هویت دومرحله‌ای (2FA) و سؤالات امنیتی

برای افزایش امنیت DirectAdmin می‌توانید سؤالات امنیتی یا احراز هویت دومرحله‌ای (2FA) فعال کنید.

فعال‌سازی سؤالات امنیتی

Dashboard → Change your Password → Manage Security Questions

فعال‌سازی احراز هویت دومرحله‌ای

Dashboard → Change your Password → Two-Step Authentication
ایمن‌سازی DirectAdmin

در این روش، بعد از ورود موفق با رمز عبور، کاربر باید یک کد یکبار مصرف تولیدشده توسط برنامه‌هایی مثل Google Authenticator وارد کند.

همچنین امکان ایجاد Scratch Codes وجود دارد که کدهای یکبار مصرف پشتیبان هستند و در صورت در دسترس نبودن موبایل کاربرد دارند.

شناسایی و جلوگیری از حملات (Brute Force)

یکی از روش‌های رایج هک، حمله Brute Force است. در این روش مهاجم با امتحان کردن هزاران رمز سعی می‌کند وارد سیستم شود.

قابلیت‌های (DirectAdmin) برای مقابله با (Brute Force)

  1. سیستم قدیمی (نسخه 1.25.5): فقط روی پورت 2222 فعال است.
  2. سیستم جدید: علاوه بر پورت 2222، لاگ‌های سرویس‌هایی مثل Apache, Exim, SSH, ProFTPd را هم بررسی می‌کند.

فعال‌سازی تشخیص حمله

Admin Level → Admin Settings → Parse service logs for brute force attacks

مدیریت حملات از طریق (Brute Force Monitor)

Admin Level → Brute Force Monitor

سایر قابلیت‌های امنیتی

  • مخفی کردن اعلان‌های brute force با گزینه hide_brute_force_notifications
  • مدیریت فایل‌های brute_log_entries.list و brute_user.data برای جلوگیری از کندی سیستم
  • ایجاد استثنا برای یک ایمیل خاص در گزارش‌های BFM با اسکریپت brute_force_notify_pre.sh
  • ادغام با CSF از نسخه 1.61.0 برای مسدودسازی خودکار آی‌پی‌ها
  • محافظت از xmlrpc.php وردپرس با بررسی درخواست‌های POST مشکوک
  • ایجاد صفحه سفارشی برای آی‌پی‌های بلاک‌شده در مسیر: /usr/local/directadmin/data/templates/custom/blacklisted_ip.html

مطالب اخیراً بازدیدشده

نظرات خود را بنویسید...

اشتراک گذاری این مقاله

ایمن‌سازی DirectAdmin

کپی کردن لینک

سلام