ما هي NRPE؟

NRPE هي اضافة خاصة بالناجيوس nagios تسمح للناجيوس الحصول على المعلومات المطلوبة من السيرفر الذي ننوي مراقبته ، حيث يتم تركيب nrpe على السيرفر البعيد الذي نود مراقبته وبعدها يمكن ل nrpe تزويد الناجيوس الموجود على سيرفر اخر  بحالة السيرفر الحالي وبهذا يمكن للناجيوس اخذ فكرة كاملة عن حالة السيرفر وعندها يمكن لنا باستخدام الناجيوس و nrpe مراقبة حالة مئات السيرفرات من خلال نافذة واحدة.

من المعروف ان تركيب واستخدام الناجيوس سوف يعطينا القدرة على مراقبة بعض الامور الاساسية عن السيرفرات ونقاط التوزيع التي نود مراقبتها مثلا كمراقبة حالة الاتصال بالانترنت عن طريق ping  او مراقبة حالة الاباتشي مثلا (البورت 80) على السيرفرات. وكذلك مراقبة بعض الامور الاخرى التي يمكن الوصول لها عن طريق الانترنت وتكون متاحه للعموم.

ولكن واثناء استخدام الناجيوس قد تسال نفسك مثلا ماذا لو كنت اريد مراقبة حالة اللود (cpu load) على سيرفراتي من خلال الناجيوس؟ او ماذا لو كنت اريد مراقبة حالة الماي اس كيو ال (mysql) على سيرفراتي؟.

للاجابة على هذا السؤال وللقيام بذلك يجب عليك استخدام احد الادوات التي يوفرها الناجيوس حتى تستطيع الاتصال بالسيرفر ومعرفة المعلومات التي ترغب بها كون تلك المعلومات غير متاحه على الانترنت ، فلا يمكن لاي احد معرفة حالة اللود (الحمل) على السيرفر الا من له حق الوصول الى السيرفر وهذا الامر غير متوفر للعموم. بالتالي فاننا سوف نحتاج لاداة معينة يتم تركيبها على السيرفرات التي نود مراقبتها بحيث تقوم هذه الاداة بتزويد الناجيوس بالبيانات والقراءات عن حالة السيرفر والخدمات التي تعمل عليه حتى يستطيع سيرفر الناجيوس تحليل تلك البيانات واخبارنا باي طارئ قد يحدث عبر الوسائل التي يتحيها.

ومن احد تلك الادوات التي تمكننا من مراقبة حالة السيرفر والخدمات المحلية التي تعمل عليه من خلال الناجيوس هي اداة NRPE لهذا سوف نتعرف من خلال هذا المقال كيف يتم تركيب NRPE وكيف يتم ضبطها وتوليف اعدادتها بحيث تسمح لنا بمراقبة السيرفرات التي لدينا.

تعمل nrpe كخدمة (service) على السيرفر بحيث يستطيع الناقيوس الاتصال بها وطلب تقرير بحالة بعض الخدمات التي تعمل على السيرفر وتقوم الـ nrpe بالرد على طلب التاجيوس وتزويده بالتقرير المطلوب في حال توفره وفي حال كان الطلب مصرحا به. ويعرض بادناه صورة تشرح كيفية عمل الـ nrpe بشكل مباشر مع الناجيوس، حيث يظهر في الصورة ان سيرفر الناجيوس يقوم بالاتصال بـ nrpe عن طريق قناة اتصال امنة SSL وطلب الحصول على حالة الخدمات مثلا check_disk وتقوم الـ nrpe بقراءة حالة الخدمة عن طريق برمجيات داخليه وتمريرها للنجايوس من خلال نفس القناة.

وللعلم انا افترض ان لديك سيرفر ناجيوس يعمل حاليا في الوضع الطبيعي ، ولمعرفة كيفية تركيب النجيوس انصح بقراءة المقال التالي على موقع مطور (حصريا شرح تركيب برنامج النجيوس nagios لمراقبة الخوادم)

ماذا سوف نحتاج؟

لتنفيذ عملية تركيب NRPE وضبطها سوف نحتاج الامور التالية وانا خلال شرحي سوف افترض انها موجودة لديك بالفعل.

اولا: لديك سيرفر ناجيوس اصدار 2 او اعلى يعمل حاليا على احد السيرفرات ولديك صلاحية للوصول على شل السيرفر (سطر الاوامر SSH) باستخدام المستخدم root.
ثانيا: لديك سيرفر واحد او اكثر تود مراقبته عن طريق الناجيوس ولديك صلاحية الوصول الى شل السيرفر (سطر الاوامر SSH) باستخدام المستخدم root ولديك الادوت للقيام بذلك.

البدء بالتركيب

حتى نقوم بتركيب NRPE بداية يجب علينا الدخول الى شل السيرفر الذي نود مراقبته عن طريق احد برمجيات الشل SSH clients من putty او غيرها.

وفي بداية الامر عند الدخول يجب علينا ان نقوم بانشاء يوزر (اسم مستخدم) خاص بالناجيوس عن طريق الامر التالي

/usr/sbin/useradd nagios

وبعدنا يجب علينا ان نقوم بانشاء كلمة مرور خاصة بالمستخدم الذي قمنا على انشاءه من خلال تنفيذ الامر التالي: (نفذ الامر وادخل اي كلمة مرور طويلة وصعبه واضغط انتر وكررها مرة ثانية ولا داعي لتذكر كلمة المرور كوننا لن نحتاجها مطلقا)

passwd nagios

وبعدها سوف نقوم بتركيب الدوال الاساسية للناجيوس على السيرفر الذي نود مراقبة وذلك من خلال تنفيذ الاوامر التالية: (كل امر في سطر منفصل)

cd /usr/local/src
wget http://tech.di.net.sa/layer1/nonsecure/nagios/nagios-plugins-1.4.10.tar.gz
tar xzf nagios-plugins-1.4.10.tar.gz
cd nagios-plugins-1.4.10
./configure
make
make install

وبعد ذلك انا ارغب باستخدام ال NRPE عن طريق xinetd لانني افضل ذلك ولهذا سوف اتاكد من انها موجودة وسوف اقوم على تركيبها وذلك من خلال تنفيذ الامر التالي:

yum install xinetd

الخطوة الثانية:
والان سوف ابدا بتركيب برمجية الـ nrpe على السيرفر الذي اود مراقبته وذلك من خلال تنفيذ الاوامر التالية: (بحيث يتم تنفيذ كل امر بسطر جديد)

cd /usr/local/src
wget http://tech.di.net.sa/layer1/nonsecure/nagios/nrpe-2.10.tar.gz
tar xzf nrpe-2.10.tar.gz
cd nrpe-2.10
./configure
make all
make install-plugin
make install-daemon
make install-daemon-config
make install-xinetd

الخطوة التالية هي ان نقوم بتعريف الـ npre كخدمة من ضمن اعدادات الـ xinetd لهذا نفذ الامر التالي:

nano /etc/services

وتحرك الى اخر الملف وضع السطر التالي بداخله ومن ثم قم على حفظ الملف

nrpe 5666/tcp # NRPE

والان يجب علينا ان نقوم باعادة تشغيل xinetd حتى يتم اخذ التغيرات التي احدثناها على الملف وذلك من خلال تنفيذ الامر التالي

service xinetd restart

او من خلال الامر التالي (في حال لم يعمل الامر السابق)

 /etc/init.d/xinetd restart

والان يجب علينا التاكد من ان nrpe تعمل بالفعل كخدمة حاليا وذلك بتنفيذ الامر التالي

netstat -at | grep nrpe

وفي حال كانت تعمل بالفعل سوف تظهر لنا العبارة التالية عند تنفيذ الامر السابق

tcp 0 0 *:nrpe *:* LISTEN

و هذا يدل على نجاحنا في التركيب ، اما في حال عدم ظهور العبارة او ظهورها بصورة اخرى قد يكون نتيجة خلل في التركيب.
والان وللتاكد من نجاح التركيب وان ال nrpe تعمل بنجاح حاليا ويمكن لها قراءة حالة السيرفر سوف اقوم على تنفيذ الامر التالي

/usr/local/nagios/libexec/check_nrpe -H localhost

حيث يقوم هذا الامر بالتاكد من ان nrpe تعمل على اسم الخادم المعطى وهو localhost وبالتالي اذا نجحت العملية فانه يفترض ان يظهر لك كمخرجات كالتالي:

NRPE v2.10

وهو يشير الى اصدار ال nrpe التي تعمل حاليا ، علما بان رقم الاصدار قد يختلف باختلاف اصدار ال nrpe التي تم تركيبها ولكن ظهور رقم الاصدار يعني ان الاداة تعمل بنجاح وان عملنا لغاية هذه المرحلة كان سليما.

الان يجب علينا التاكد من ان الفيرول (firewall) او الجدار الناري على السيرفر سوف يسمح للعالم الخارجي بالاتصال بال nrpe وللعلم فان ال nrpe بالوضع الطبيعي الذي شرحته هنا سوف تستخدم المنفذ(البورت) 5666 لهذا يجب علينا التاكد من ان الجدار الناري يسمح باتصال العالم الخارجي بالمنفذ 5666.
اذا كنت تستخدم apf مثلا يمكنك القيام بالامور التالية لضمان عدم حظر المنفذ 5666
حرر الملف /etc/apf/conf.apf عن طريق الامر

nano /etc/apf/conf.apf

ابحث عن العبارة IG_TCP_CPORTS واضف الرقم 5666 ضمن ارقام المنافذ الموجود داخل اشارتي “”
ومن ثم قم على حفظ الملف وقم على عمل اعادة تشغيل لـ apf عن طريق الامرين التاليين

/etc/apf/apf -f
/etc/apf/apf -s

اما اذا كنت تستخدم جدار ناري اخر فجيب عليك التاكد من انه لا يوجد هناك حظر للمنفذ 5666 او يمكنك تنفيذ الامر التالي لجعل ال iptales في السيرفر تسمح بذلك

iptables -I RH-Firewall-1-INPUT -p tcp -m tcp –dport 5666 -j ACCEPT
service iptables save
/etc/init.d/iptables save
/etc/init.d/iptables restart

لا داعي للقلق حيال السماح بالاتصال بالمنفذ 5666 من قبل العالم الخارجي فسوف نقوم الان بضبط الاذونات ومن هم الذين يسمح لهم باستخدام المنفذ 5666 واجراء الاستعلام. ولاجراء ذلك نفذ الامر التالي:

nano /etc/xinetd.d/nrpe

وابحث عن العبارة only_from والتي سوف تجدها على الاغلب كالتالي

only_from = 127.0.0.1

وقم بتعديل الرقم 127.0.0.1 الى رقم الاي بي الاساسي الخاص بسيرفر الناجيوس وهو السيرفر الذي سوف يقوم بعملية المراقبة. وللعلم في حال كان لديك اكثر من سيرفر ناجيوس يقوم بالمراقبة فانه يمكن لك ادخال ارقام الاي بي الخاصة بالسيرفرات مع فصلهم بالفاصلة التالي مثلا 10.0.0.1,10.0.0.2 … وهكذا. وفي حال كان لديك سيرفر ناقيوس واحد قم على ادخال رقم الاي بي الخاص به ومن ثم حفظ الملف ومن ثم عمل اعادة تشغيل لـ xinetd عن طريق الامر التالي:

/etc/init.d/xinetd restart

الان نود التاكد من ان السيرفر الذي نود مراقبته سوف يسمح لسيرفر النجايوس بقراءة حالة السيرفر ، لهذا نقوم بتسجيل الدخول الى السيرفر الذي يعمل عليه سيرفر الناجيوس عن طريق الشل SSH ونقوم بتنفيذ الامر التالي:

/usr/local/nagios/libexec/check_nrpe -H 10.X.X.X

بحيث نقوم بستبدال الرقم 10.X.X.X برقم اي بي السيرفر الذي نود مراقبته والذي قمنا قبل قليل على تركيب nrpe عليه.

ومن المفترض عند تنفيذ الامر السابق ان تظهر النتيجة كالتالي

NRPE v2.10

وهو يشير الى اصدار ال nrpe التي تعمل حاليا على السيرفر الذي نود مراقبته، علما بان رقم الاصدار قد يختلف باختلاف اصدار ال nrpe التي تم تركيبها ولكن ظهور رقم الاصدار يعني ان الاداة تعمل بنجاح وان عملنا لغاية هذه المرحلة كان سليما.

في حال ظهور السطر التالي بدلا من رقم اصدار ال nrpe فانه يعني ان ال nrpe لم يتم تركيها على سيرفر الناجيوس

-bash: /usr/local/nagios/libexec/check_nrpe: No such file or directory

ولهذا يجب تركيبها وذلك من خلال اتباع مراجعة تركيب ال NRPE على سيرفر الناجيوس نفسه في الشرح ادناه في البند “ماذا بعد؟”

الان وحتى هذه اللحظة نكون قد قمنا بنجاح على تركيب اداة nrpe على السيرفر الذي نود مراقبته ويمكن لنا اجراء هذه الخطوات على اي سيرفر اخر نود مراقبته ، مثلا لو اردنا مراقبة 20 سيرفر اننا نقوم باجراء هذه الاوامر السابقة على ال الـ 20 سيرفر.

ماذا بعد؟

بعد ان قمنا على تركيب NRPE على السيرفر الذي نود مراقبته فانه يتوجب عليها تركيب ال NRPE على سيرفر الناجيوس نفسه في حال لم تكن موجودة وذلك يتم من خلال التالي.

بداية نقوم بتسجيل الدخول الى شل السيرفر SSH عن طريق المستخدم الجذر root ومن ثم تنفيذ الاوامر التالية:

cd /usr/local/src
wget http://tech.di.net.sa/layer1/nonsecure/nagios/nrpe-2.10.tar.gz
tar xzf nrpe-2.10.tar.gz
cd nrpe-2.10
./configure
make all
make install-plugin

والان يمكننا تجربة الاتصال باحد السيرفرات التي نود مراقبتها عن طريق الامر التالي

/usr/local/nagios/libexec/check_nrpe -H 10.0.0.1

مع مراعاة استبدال الرقم 10.0.0.1 برقم اي بي السيرفر الذي نود مراقبته والذي تم تركيب nrpe عليه بوقت سابق.

والان نكون قد نجحنا في تركيب ال nrpe على كلا السيرفرين (سيرفر الناجيوس الاساسي والذي سوف يقوم بمراقبة السيرفرات ، والسيرفر او السيرفرات التي سوف يتم مراقبتها). وتبقى علينا الان ضبط وتوليف ال nrpe وتعديل اعدادات الناجيوس بحيث استغلال الخدمات التي تتيحها nrpe في خدمتنا.
ولمعرفة طريقة ذلك ترقبوا مقال اخر منفصل يشرح ضبط وتوليف اعدادات الناجيوس و NRPE قريبا باذن الله وسوف اضع رابطه في نفس هذا الموضوع للمتابعة. ويمكنك الاشتراك في تحديثات الموقع وسوف تردك اية تحديثات على بريدك الاليكتروني فور صدورها.

مراجع

- ملف الدكيومنت الخاص بـ NRPE نسخة بي دي اف PDF.
- صفحة NRPE على ويكيبيديا.
- موضوعي الخاص بتركيب NRPE على موقع مطور

عند النقل يرجى ذكر المصدر

http://irbidnet.com/index.php/2010/07/23/تركيب-واستخدام-nrpe-على-الناجيوس

وبما ان كل هذه الامور اصبحت ضرورية اصبح هناك الكثير من التقنيات لاجراء النسخ الاحتياطي منها SCP,RSYC , FTP, SFTP … الخ بل واصبح هناك برمجيات متخصصة في النسخ الاحتياطي، ومنها ما يتم بشكل يدوي ومنها ما يتم بشكل تلقائي. وانا هنا اتحدث اليوم عن تلك التقنيات التي تتم بشكل تلقائي باختلاف البروتوكول الذي يتم استخدامه.

ان من احد اشهر طرق النسخ الاحتياطي الخارجي التلقائي هو استخدام نظام المفاتيح (Keys) للربط بين السيرفر المنوي النقل منه والسيرفر المنوي النقل اليه ، بحيث يتم توليد مفتاح دخول ويتم الربط بين السيرفرين بحيث يتم السماح فيها بعد اجراء الربط للسيرفرين بتبادل البيانات دون الحاجة لادخال كلمات المرور في كل مرة.

ومثلا المتتبع للمثال الموجود على هذا الرابط:

http://www.howtoforge.com/linux_rdiff_backup

يلاحظ انه تم اجراء الربط بين السيرفر الاول السيرفر الذي سوف يتم نقل النسخ الاحتياطي الخارجي اليه ، وبعدها يمكننا مثلا استخدام الامر rsync وتزويده بمفتاح الدخول ليتم بعدها نقل الملفات بشكل الي.

فيمكن مثلا ان يتم وضع امر في ال crontab عند الساعة السادسة صباحا من كل يوم خمس بحيث يتم اجراء نقل الملفات الموجودة على السيرفر الى وحدة النسخ الاحتياطي الخارجي وبالتالي نكون ضمنا انه لدينا نسخ احتياطي خارجي للسيرفر لو حدث اي مكروه للسيرفر. ومنطقيا للوهله الاولى هذا امر ممتاز جدا فنحن بهذا نكون قد وفرنا نسخ احتياطي خارجي دون الحاجة لتدخل البشر وبشكل الي مجدول مسبقا.

ولكن دعنا فقط نستعرض السيناريو التالي: دخل احد المتسللين الى السيرفر وقام على حذف الملفات في السيرفر وانتبه لوجود عملية ربط بين السيرفر وبين وحدة النسخ الاحتياطي الخارجي فاستخدم المفتاح للوصول الى وحدة النسخ الاحتياطي الخارجي وقام على الدخول الى الوحدة وكذلك حذف جميع الملفات الموجودة عليها. انها كارثة الا توافقني الراي . ففضلا عن انه تسبب بفقدان البيانات من على السيرفر ايضا قد ازال البيانات من على وحدة النسخ الاحتياطي الخارجي كونه استطاع الحصول على المفتاح الذي يربط بينهما.

ان اي عملية نسخ احتياطي خارجي تلقائي لا يمكن ان تتم بهذا الشكل الا عن طريق نظام المفاتيح. لهذا فانه لا يمكن حماية المفتاح بكلمة مرور وحتى وان تم ذلك فلا يمكن جدولة عملية النسخ الاحتياطي الخارجي ان تتم بشكل تلقائي. اذا ما الحل؟

الحل هو: توقف عن استخدام النسخ الاحتياطي الخارجي التلقائي فورا ، ولا تربط بين سيرفراتك ووحدة النسخ الاحتياطي الخارجي نهائيا واجعلها معزولة دوما عنها ، فلو لا قدر الله حصل اختراق لاحد السيرفرات فلن يتم اختراق المساحة ايضا.

اذا كيف اقوم على اجراء النسخ الاحتياطي الخارجي؟

الطريقة الامثل والامن هي اجراء نقل للنسخ الاحتياطي باستخدام الطرق التقليدية ، فلو خصصت 30 دقيقة في الاسبوع لنقل النسخ الاحتياطي من السيرفر الى وحدة النسخ الاحتياطي فانك قد تكتشف فيما بعد انها كانت افضل 30 دقيقة في مشوار حياتك العملية.

لان عملية الربط بين السيرفرات وبين وحدات النسخ الاحتياطي قد تؤدي الى اختراق وحدة النسخ الاحتياطي في حال تم اختراق السيرفر ، ونحن هدفنا ان نقوم بتامين البيانات في حال حدثت اي عملية اختراق. فلو كانت عملية النقل تتم بشكل يدوي فلن يكون هناك اي عملية ربط بين الوحدة والسيرفر وبالتالي لا يمكن للمخترق الوصول الى وحدة النسخ الاحتياطي الخارجي في حال سيطر على السيرفر ونكون بهذا ضمنا على الاقل الخسارة الجزئية وليست الكلية.

حالة عملية لعدد كبيرة من السيرفرات
اثناء النقاش مع بعض الزملاء حول هذا الموضوع طرحت مجموعة من الاسئلة كان من اهمها انه في حالة وجود 100 سيرفر فان عملية النسخ الاحتياطي اليدوي سوف تكون شاقة جدا وخصوصا اذا كانت عملية النقل لا تتم لملفات مظغوطه بل تتم لملفات الحسابات دون ظغط. واثناء النقاش طرح حل بسيط في هذه الحالة ، وهو ان يتم نقل جميع نسخ السيرفرات الى السيرفر (أ) مثلا بشكل تلقائي كالمعتاد ، وبعد ذلك يتم نقل جميع ملفات النسخ الاحتياطي لجميع السيرفرات من السيرفر (أ) الى وحدة النسخ الاحتياطي بشكل يدوي. وبهذا نكون قد ضمنا نسخا تلقائيا للسيرفرات ، وضمنا حصولنا على نسخة منقولة بشكل يدوي على وحدة النسخ الاحتياطي من جميع السيرفرات وهي بهذه الحالة معزولة عن باقي السيرفرات ولا يوجد اي عملية ربط بينها وبين السيرفرات. (اشكر اعضاء مطوّر لطرح هذا الحل).

ان هذه الفكرة هي نتيجة خبرة وممارسه هذا والله تعالى اعلم.

كل ما عليك هو انشاء ملف باسم .htaccess بداخل المجلد الذي تود منع تنفيذ ملفات البي اتش بي بداخله ووضع الكود التالي بداخله

ومن ثم حفظ الملف.

بعد حفظ الملف جرب رفع ملف بي اتش بي بداخل هذا المجلد عن طريق الاف تي بي ومن ثم زيارته عن طريق المتصفح ومن المفرض ان تظهر عبارة Internel Server Error 500 بدلا من تنفيذ ما بداخل محتويات هذا الملف.

ان الهدف من هذه التقنية هو منع تنفيذ ملفات البي اتش بي بداخل هذا المجلد الذي ربما يكون يحمل الصلاحيات 777 مثلا والذي قد تكون عملية التحميل متاحه اليه من قبل برنامج اخر كمركز تحميل مثلا ، وفي حال ظهرت ثغرة معينة في مركز التحميل تسمح برفع ملفات تنفيذية فان هذه التقنية سوف تمنع الملف الذي تم رفعه من التنفيذ. وهي مفيدة جدا في هذا الامر وقد استفدت منها شخصيا وانصحك باستخدامها.

انني هنا لا اتحدث بكل تاكيد عن جميع شركات الاستضافة انا اتحدث عن فئة قليلة جدا منها ولكنها بكل تاكيد موجودة. وانا هنا لن ادخل في التفاصيل الفنية بقدر ما سوف اتحدث عن بعض الاسباب التي قد لا يتعرض لها غيري ممن يتحدثون عن هذا الموضوع

وفي بداية حديثي بكل تاكيد يجب ان نفرق هنا بين شركات الاستضافة الوهمية او التي تكون النيه مسبقه لدى صاحبها بان يقوم باغلاق الشركة بعد شهر او شهرين من عمرها وبين الشركات التي يكون لديها نيه الاستمرار. وانا لن اتحدث هنا عن الشركات الوهمية التي تبنى بدومين واستضافة مشتركة ليبدا صاحبها باطلاق الجمل والعبارات الرنانه ليجذب اليه العملاء للحصول على كسب غير مشروع. انا هنا في موضوعي هذا اتحدث عن شركات الاستضافة التي تقوم على تقديم خدمات الاستضافة الحقيقية.

انني في موضوعي هذا لا اهدف الى كشف بعض الاساليب لدى الشركات بقدر ما اهدف الى توضيح بعض الامور الى شركات الاستضافة الجديدة وكما اتمنى من الله ان يقرا موضوعي اي شخص يرغب ببدا شركة استضافة جديدة لانني سوف احاول قدر الامكان وضع بعض النصائح التي سوف تكون عونا له باذن الله لان كلامي هذا مبني على خبرة سنوات في متابعة هذا المجال.

بالرغم من ان اغلب شركات الاستضافة تقوم في اساسها على اشخاص محترفين في مجال الشبكات الا انه يجب ان نعلم ان الاحتراف ليس سببا وحيدا للنجاح، فان انشاء شركة استضافة يعتمد على مجموعة اركان قد يكون احدها الاحتراف في هذا المجال او الاستعانه بمحترفين في هذا المجال وتوظيفهم في الشركة ، ان استخدام اسلوب تطبيق الدروس المشروحة في المواقع او الاستعانه بمتعاونين قد يكون مفيد في بداية الشركة الا انك سوف تتفاجئ بانه لن يجدي نفعا بعد مرور مدة من الوقت على عمر الشركة، حيث انك سوف تكتشف ان مشروعك واساس مشروعك (العملاء) اصبحوا فئران تجارب لدروس قد تكون ضارة في بعض الاحيان. لهذا فان الاحتراف مطلوب ولكنه ليس الوحيد المطلوب.

بعد امعان في سيرة بعض الشركات الناجحه وجدت ان اهم اركان شركة الاستضافة الناجحه قد يشمل:

• راس المال: ان راس المال هو اساس اي مشروع ناجح ، وهو كذلك في شركة الاستضافة فهي بالنهاية مشروع تجاري. لهذا لا تعتقد ان 500 دولار كافية لافتتاح شركة استضافة حتى لو كنت انت الشخص الوحيد الذي سوف يدير هذه الشركة وحتى لو كنت محترفا في هذا المجال. من وجهي نظري ان  2000 دولار امريكي قد تكون مبلغ يمكن البدء من خلاله بشركة استضافة يديرها شخص محترف في هذا المجال. واذا لم تكن محترفا في مجال الشبكات فانا اقترح 5000 دولار. وانا هنا استثني اجور الترخيص واجور المكاتب، انا هنا اتحدث عن البنية التحتيه لشركة الاستضافة والتي تشمل السيرفرات ، البرمجيات.
  يفترض ان يوضع جزء من راس مال في حساب توفير  ليكون عونا لك بعد بدء شركة الاستضافة خصوصا خلال ال 6 شهور الاولى في حال كانت نسبة مبيعاتك منخفضة. وكذلك يجب ان لا تنسى ان راس المال يعتمد على عدة امور من اهمها اجور السيرفرات وهي القلب النابض لاي شركة استضافة ، فانت يجب ان تضمن اجرة 6 شهور لسيرفرك او سيرفراتك وهذا يحدد حجم راس المال.
  تاكد اخي الكريم انك اذا لم تكن تستند على راس مال يضمن تسديد سيرفراتك لفترة من الوقت فقد تواجه صعوبة ماليه خلال الاشهر الاولى، لا تقامر! ولا تبني اساس الشركة على فرضية ان المبيعات ستغطي النفقات من اليوم الاول. اغلب المشاريع الفاشلة في هذا المجال تكون نتيجة تجاهل هذا الامر.
• الاحتراف: ان تقديم الخدمة بصورة احترافية هو اساس نجاحك وتقدمك في هذا المجال، فمهما كان راس المال ضخما وكان مستوى الاحترافية منخفضا فتاكد ان مشروعك قد يواجه فشلا مع نهاية السنة الاولى لمشروعك. يقصد بالاحتراف هنا هو تقديم الخدمة بصورة مهنية واحترافية. يجب ان تبني الشركة بالاعتماد على اشخاص محترفين. لا تحاول ان تبني الشركة على اساس فرد واحد. انت يجب ان تضمن على الاقل عدد 2 موظف دعم فني في بداية مشروعك مهما كان صغيرا لتضمن بالنهاية 24 ساعة من خدمات الدعم الفني، اذا لم تكن تنوي تقديم خدمات الدعم الفني على مدار الساعة لا تحاول ان ترفع هذا الشعار، لانه مع نهاية الشهر السادس (تقريبا) سوف تكتشف ان اغلب عملائك اكتشفوا ان “خدمة على مدار الساعة” هو مجرد شعار تطلقة، لهذا حاول ان تكون واضحا مع عملائك في هذا المجال.
• المصداقية: ان المصداقية في تقديم الخدمات هو عنصر مهم جدا ، اذا كنت تمتلك ريسلر لا تدعي انك تمتلك سيرفر واذا كنت فعليا شخص واحد لا تدعي تقديم خدمات دعم فني على مدار الساعة ، حاول ان تكون صادقا بقدر الامكان مع عملائك وابتعد عن استخدام عبارات زائفه لانها سرعان ما سوف يتم اكتشافها.
• التسويق: ان اساس عملك يعتمد على التسويق السليم لخدماتك ، لا تعتمد على الاعلان عن شركتك من خلال مواضيع في المنتديات مهما كانت هذه المنتديات راقية او متخصصة ، لقد ثبت لي بدرجة قاطعة ان هذا الامر يؤثر سلبا على مستقبل شركتك، لانك سوف تطالب مستقبلا بان تكون موجودا في تلك المنتديات للاجابة عن استفسارات الدعم الفني في حال حدوث خلل معين لدى احدهم. حاول استخدام اسالي دعاية وتسويف مدروسة مسبقا وانا انصحك ان تخصص 50% من ميزانيتك للدعاية والاعلان. دوما اختر الافضل ولا تقبل بالاعلان المجاني السريع. لا تقم باي حملة اعلانية اذا كان موقعك غير جاهزا ومجهزا لاستقبال العملاء والطلبات اذ ان هذا سوف يعكس صورة سلبيه عن مؤسستك او شركتك. وحاول توفير اكثر من وسيلة اتصال بك وتجنب استخدام المسنجر كطريقة اتصال ، وان لزم الامر استبدا المسنجر ببرمجيات مدفوعة واحترافية اكثر لبرمجيات الدعم الفني المباشر.
• النسخ الاحتياطي وتامين البيانات: ان ضرورة الاحتفاظ بنسخ احتياطي داخلي وخارجي لجميع سيرفراتك امر مهم جدا، لا تتجاهل هذا الموضوع مهما كان مكلفا ، ان اي تقصير في هذا المجال قد يهز سمعة مؤسستك في حال حدث اي خلل في البيانات الرئيسية. حاول تامين بياناتك دوما والاحتفاظ بنسخ احتياطي من جميع البيانات التي لديك.

ربما ان الاركان السابقة تعتبر من اهم الاركان لاي شركة استضافة ناجحه ولكن هناك العديد من الاركان كاختيار برنامج ادارة العملاء المناسب لحجم شركتك واختيار مركز المعلومات المناسب لاحتضان السيرفرات.

احد اهم الاسئلة التي تتبادر الى ذهن المتابع لشركات الاستضافة وهو لماذا تبدا شركات الاستضافة بصورة ممتازه وتبدا بالانحدار الى ان تختفي على اغلب تقدير؟

والجواب بكل تاكيد لان عملية تاسيس شركة الاستضافة لم يكن مبنيا على دراسة سلمية ، غالبا تبدا شركة الاستضافة بسيرفر واحد ويكون سريعا جدا في البداية الا انه مع مرور الوقت يبدا السيرفر بتحمل مواقع جديدة الى ان يصل الى مرحلة انه يحتوي ربما على مئات المواقع وهنا يبدا بالعمل ببطئ ويبدا يعاني من بعض التوقفات واحيانا ربما لا يستطيع صاحب السيرفر بحل المشاكل او لا يستطيع تسديد تكلفة السيرفر فيتوقف.

انا مثلا اعرف احد اصجاب شركات الاستضافة الذي كان يدير شركة استضافة الا انه كان يفتقر الى عنصر الاحتراف ، فكان يستعين باطراف ثالثه لتقديم خدمات الدعم الفني وخدمات المستوى الثالث ، الا انه مع زيادة حجم العملاء والسيرفرات وعدة اهتمام الاطراف الثالثة بادارة السيرفرات بصورة سلمية ولانه ليس على قدر عالي من الاحتراف اصبحت السيرفرات تعاني من مشاكل كثيرة وفيروسات واختراقات وهذا اجبره الى اغلاق شركة الاستضافة بالرغم من انها كانت معروفة ومربحه بالنسبة له. انا انصح دوما بان يكون مدير الشركة شخص ملم بادارة السيرفرات وعلى قدر عالي من الاحتراف وان لم يكن كذلك يجب ان يستعين بموظف مختص في هذا المجال ويبتعد عن استخدام المتعاونين في هذا المجال.

اخي الكريم ان فكرة انشاء شركة استضافة لا تعتمد فقط  على حجز دومين ومساحة واستئجار سيرفر ، صحيح ان هذه هي الخطوة الاولى لكن تاكد ان هناك عشرات ان لم تكن مئات الخطوات الاخرى لتكون ناجحا في هذا المجال ، لهذا حاول تكوين دراسة كاملة قبل البدء بهذا المشروع.

وتم تجربة هذا المقال على ليونكس توزيعة Centos.

في هذا المقال سوف احاول قدر الامكان ان احمي السيرفر من فيروسات المواقع التي انتشرت في الفترة الاخيرة والتي يتم رفعها عن طريق الاف تي بي ، سوف اجعل السيرفر يتعرف على الفيروسات ومن ثم ينقل ملفات الفيروسات الي مجلد داخلي على السيرفر وحذف الملف المصاب بالفيروس ومن ثم يقوم بحذف الملف الاصلي واضافة تلك العميلة في ملف لوج من اجل التتبع من قبل مدير النظام.

انا لا اريد ان اخوض في كيفية رفع الفيروسات على الموقع بشكل مفصل ولكن من المفيد ان نعرف ان الفيروس يتم رفعه عن طريق الاف تي بي بعد ان تتسرب كلمة مرور الاف تي بي وتقع في يد المسؤول عن تلك الفيروسات فيتم تخزين كلمة المرور ، فحتى لو تم تنظيف الموقع وعدم تغيير كلمة مرور الاف تي بي فانه سوف يتم اعادة رفع الفيروس مرة اخرى وذلك لان كلمة مرور الاف تي بي معروفة من قبل المسؤول عن الفيروس وسوف يحاول الفيروس رفع نفسة مرة اخرى خلال ساعات قليلة.

متطلبات العمل:

• سيرفر ليونكس يعمل بلوحة تحكم WHM/Cpanel.
• حساب root على الخادم (السيرفر).
• ان يكون سيرفر الاف تي بي هو pure-ftpd.
• سوف نقوم بتركيب ClamAV وهو برنامج مجاني للكشف عن الفيروسات في حال لم يكن موجودا على السيرفر.

بداية العمل : التاكد من وجود ClamAV على السيرفر

بعد ذلك يجب علينا ان ندخل الى السيرفر عن طريق الشل SSH كمستخدم روت ، وبعد الدخول الى السيرفر قم على كتابة الامر التالي

 # freshclam

وعندها من المفروض ان يتم تحديث ال ClamAV كما هو واضح في الصورة ادناه

وهذا يدل ان ال ClamAV موجود على السيرفر وتم تحديث ملفات التعرف على الفيروسات الى اخر اصدار متوفر.

بعد ان تاكدنا من ان ال ClamAV يعمل على السيرفر يجب علينا الان ان نبدا بربط سيرفر الاف تي بي pure-ftpd بال ClamVB بحيث يتم عمل سكان (فحص) لاي ملف يتم رفعه عن طريق الاف تي بي للتاكد من انه لا يحتوي على فيروس من الفيروسات المعروفة من قبل ClamAV على انه فيروس.

في بداية الامر يجب ان نقوم على تحرير الملف /etc/pure-ftpd.conf ومن ثم البحث عن عبارة CallUploadScript وجعلها CallUploadScript yes.
ومن ثم حفظ الملف ، وهذا الامر سوف يعطي السماحية لسيرفر ال pure-ftpd بتنفيذ امر معين عند رفع كل ملف عن طريق الاف تي بي. وذلك عن طريق الامر التالي:

# pico /etc/pure-ftpd.conf

وسوف نبحث عن العبارة CallUploadScript وجعل قيمتها yes ومن ثم حفظ الملف كما في الصور ادناه. (لاحظ انه للبحث عن نص في المحرر pico فاننا نستخدم CTRL+W ثم نضع النص الذي نود  البحث عنه).  لاحظ انه قد تجد اشارة # قبل العبارة CallUploadScript والتي تعني الغاء مفعول العبارة لهذا احذف اشارة # كما يظهر في الصور ادناه:

لحفظ الملف في الامر pico نقوم على الظغط على CTRL+x  ومن ثم نختار y لحفظ الملف ومن ثم نبقي اسم الملف كما هو ونقوم بالظغط على مفتاح الادخال ENTER.

تحمل الملف الذي سوف يقوم بعملية الفحص

الان سوف نقوم بتحميل الملف الذي قمت على اعداده مسبقا والذي يقوم بعملية فحص الملفات التي يتم تحميلها عن طريق الاف تي بي للتاكد من خلوها من الفيروسات، لهذا سوف نقوم بتنفير الاوامر التالية:

# cd /usr/local/
# mkdir pure-ftpd-scan
# cd pure-ftpd-scan
# wget http://tech.di.net.sa/layer3/pure-ftpd/clamscan.sh
# chmod 755 clamscan.sh

هذه الاوامر تقوم على انشاء مجلد في /usr/local باسم pure-ftpd-scan وسوف يتم تحميل الملف الذي سيقوم بعملية الفحص وذلك عن طريق اخر امر wget وسوف تظهر عملية تحميل الملف بطريقة مشابهه لما بالصورة ادناه:

والامر الاخير يقوم باعطاء الملف clamscan.sh الصلاحية 755 والتي تسمح بان يكون ملف تنفيذي كما هو بالصورة ادناه.

** عند اكتشاف فيروس تم رفعه عن طريق الاف تي بي فانه سوف يتم نقل الملف المصاب بالفيروس الى مجلد داخلي وذلك للمراجعة من قبل المشرف وكذلك اضافة اسم الملف والفيروس الى ملف لوج لهذا الان سوف اقوم على انشاء هذا المجلد عن طريق تنفيذ الاوامر التالية:

# mkdir /home/VIRUS-Q/
# touch /home/VIRUS-Q/log.log

كما هو بالصورة ادناه :

الان سوف نبدا بعملية حقن ملفات خادم الاف تي بي بالاومر التي سوف تجعل خادم الاف تي بي يقوم بتشغيل الملف /usr/local/pure-ftpd-scan/clamscan.sh بعد رفع اي ملف عن طريق الاف تي بي.

في البداية سوف نقوم بتحرير الملف /etc/init.d/pure-ftpd والبحث عن السطر “$DAEMONIZE $fullpath /etc/pure-ftpd.conf -O clf:/var/log/xferlog $OPTIONS –daemonize” واضافة الامر الذي يقوم بمناداة الملف /usr/local/pure-ftpd-scan/clamscan.sh. لهذا سوف نبدا بالبداية بامر تحرير الملف /etc/init.d/pure-ftpd عن طريق الامر:

# cp /etc/init.d/pure-ftpd /usr/local/pure-ftpd-scan/pure-ftpd.bak
# pico /etc/init.d/pure-ftpd

وبعدها سوف نقوم بالبحث عن العبارة “$DAEMONIZE $fullpath /etc/pure-ftpd.conf -O clf:/var/log/xferlog $OPTIONS –daemonize” وبعدها سوف نظيف سطر جديد اسفله وندخل فيه الامر $DAEMONIZE /usr/sbin/pure-uploadscript -B -r  /usr/local/pure-ftpd-scan/clamscan.sh

$DAEMONIZE /usr/sbin/pure-uploadscript -B -r  /usr/local/pure-ftpd-scan/clamscan.sh

ووضع سطر جديد بعده وحقن الامر التالي فيه

$DAEMONIZE /usr/sbin/pure-uploadscript -B -r  /usr/local/pure-ftpd-scan/clamscan.sh

ومن ثم حفظ الملف بالطريقة المتعارف عليها كما هو واضح في الصور بالتسلسل ادناه:

بعد اجراء الاوامر والعمليات السابقة نكون قد عدلنا على محتويات الملف /etc/init.d/pure-ftpd واضفنا الامر الذي سوف يتم تنفيذه عن كل عملية تحميل لملف عن طريق الاف تي بي.

لاحظ ان الامر cp اعلاه يقوم باخذ نسخة احتياطية من الملف pure-ftpd ويضعها في /usr/local/pure-ftpd-scan/ باسم pure-ftpd.bak وذلك في حال انه حدث خطا في التعديل على الملف اثناء حقن الامر بداخله يمكننا عندها استرجاع الملف الاصلي قبل اجراء التعديل.

الان قم على تحرير الملف /etc/init.d/pure-ftpd مرة اخرى عن طريق الامر:

pico /etc/init.d/pure-ftpd

وابحث عن السطر

kill $(cat /var/run/pure-ftpd.pid)

واضف سطر جديد تحته واضف (احقن) في السطر الجديد الامر التالي

kill $(cat /var/run/pure-ftpd/pure-uploadscript.pid)

بنفس الطريقة التي قمنا بها اعلاه وقم على  حفظ الملف.

بعد قيامنا بهذا الامور الان يجب علينا ان نقوم بعمل اعادة تشغيل لخادم الاف تي بي pure-ftp وذلك عن طريق تنفيذ الامر التالي:

# /etc/init.d/pure-ftpd restart

تجربة نجاح العملية

الان بعد تنفيذ الاوامر والعملية السابقة من المفترض ان يتم الكشف عن اي فيروس معروف من قبل ClamAV يتم رفعه عن طريق الاف تي بي وفي حال كان الملف يحمل فيروسا فانه يتم نقل الملف مباشرة الى مجلد /home/VIRUS-Q وكذلك اضافة اسم الملف واسم الفيروس الذي تم اكتشافه في الملف /home/VIRUS-Q/log.log وبالتالي حتى نضمن انه تم تنفيذ العملية السابقة بنجاح فانه يجب علينا ان نحاول تحميل فيروس عن طريق الاف تي بي وملاحظة انه تم نقل الملف الذي تم نقله الى مجلد VIRUS-Q او لا وهل تم اضافة اسمه واسم الفيروس الذي يحمله في ملف log.log.

وبما اننا لا نود استخدام فيروس حقيقي لانه قد يضر بجهازنا فاننا نود ان نستخدم فيروس وهمي بناء على توصيات eicar.org لهذا فلقد قمت على اعداد فيروس وهمي ويمكنك تحميله على جهاز الكمبيوتر الخاص بك ، الفيروس موجود على الرابط http://tech.di.net.sa/layer3/viruses/virus_example.php ، انه فيروس وهمي وهو تحت اسم “EICAR Test-NOT virus!!!”.

او يمكنك انشاء الفيروس الخاص بك وذلك باضافة الكود التالي الى ملف جديد من ومن ثم حفظ الملف:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

قم على تحميل هذا الملف على جهاز الكمبيوتر الخاص بك وقم بالاتصال بالسيرفر عن طريق الاف تي بي باي موقع مستضاف على السيرفر بالطريقة العادية ورفع الملف الى الموقع ومن ثم حاول معرفة هل تم بالفعل اكتشاف الملف على انه فيروس وهل تم فعلا نقل الملف المصاب الى /home/VIRUS-Q وهل تم اضافة هذا الحدث الى الملف log.log الموجود في المجلد /home/VIRUS-Q.

وذلك كما هو معروض ادناه بالصور:

بعد رفع الملف الذي يحتوي على فيروس سوف يقوم برنامج الاف تي بي برفع الملف ، ومنطقيا في هذه اللحظات سوف يقوم سيرفر الاف تي بي pure-ftpd بفحص الملف لرؤية مدى احتوائه على فيروسات او لا. وبما ان هذا الملف يحتوي على فيروس فانه سوف يقوم بنقل الملف واضافة ذلك في ملف اللوج. ولكن عند رفع الملف وتحديث قائمة الملفات سوف يظهر ملف الفيروس انه تم رفعه كما في الصورة ادناه:

ولكن في حال قمت على تحديث قائمة الملفات الموجودة على الخادم سوف تلاحظ ان الملف الذي تم رفعه موخرا قد اختفى ، كما يظهر بالصورة ادناه:

والان للتاكد من ذلك نقوم بالدخول الى السيرفر عن طريق الشل وادخال الاوامر التالية

# cd /home/VIRUS-Q/
# ls -lh
# cat log.log

وسوف تلاحظ ان نتيجة تنفيذ الاوامر هي شبييه بما في الصورة ادناه:

وهذا يعني ان العميلة نجحت وانه من هذه اللحظة في حال تم رفع اي ملف يحتوي على فيروس معروف من قبل ClamAV عن طريق الاف تي بي فانه سوف يتم نقله الى مجلد /home/VIRUS-Q ووسوف يتم ايضا كتابة اسم الملف المصاب واسم الفيروس الموجود في الملف كما هو موضح بالصورة اعلاه.

اننا بتطبيق هذة الالية نكون قد وفرنا الحماية من تحميل فيروسات المواقع المنتشرة عن طريق الاف تبي بي. ولكن يرجى العلم ان:

• هذه الالية لا تعمل مع الملفات التي يتم تحميلها عن طريق مراكز التحميل او عن طريق السي بنل Cpanel او عن طريق اي بروتوكولات اخرى غير البروتوكول FTP.
• ان عملية نقل الملف تعني ان الملف الاصلي لن يكون موجودا في الموقع الاصلي بمعنى انه لم تم رفع الملف index.php الخاصة بالمنتدى عن طريق الاف تي بي وكانت تحتوي على فيروس فانه سوف يتم نقل الملف وبالتالي فان الملف الاصلي لن يكون موجودا وهذا يعني ان الملفات سوف يتم ازالتها من الموقع ، وبالتالي في حال تم رفع اكثر من ملف مصاب فان الموقع قد يفقد الكثير من ملفاته.
• ان الهدف من هذه الالية في هذه الفترة هو الحماية من الفيروسات فقط، انا في هذه المرحلة لا اعطي اي انتباه كون الملفات الاصلية تم حذفها. في المستقبل سوف اعمل على تحديث هذه الالية ليتم منع تحميل اكثر من ملف واحد مصاب بالفيروس. لهذا احرص على زيارة هذه الصفحة باستمرار للمعرفة مدى وجود اي تحديثات لهذه الالية. او قم على الاشتراك في التحديث من خلال النقر هنا وسوف يردك على بريدك اي تحديثات.
• مع مرور الوقت فان حجم الملف log.log يزيد ولهذا انصح بين الحين والاخر بحذف الملف واعادة انشاءه من جديد.

ملاحظة: يسمح بنقل جزء او كل المقال والتصرف فيه بصورة شخصية او بصورة تجارية بشرط الاشارة الى الرابط الاصلي للمقال وهو http://irbidnet.com/index.php/2009/12/26/حماية-السيرفر-من-فيروسات-الاف-تي-بي/