How to have a safe marzban?

[erfjab]

همیشه روش‌های متعددی برای نفوذ به سیستم‌ها وجود دارد، چه به صورت مستقیم و چه به صورت غیرمستقیم. در این راهنما، ابتدا نحوه‌ی عملکرد سیستم مرزبان را شرح می‌دهم، سپس به روش‌های معمول نفوذ و در نهایت به یکی دو تا از راهکارهای کاهش احتمال نفوذ خواهیم پرداخت.

نحوه‌ی عملکرد سیستم مرزبان

برای استفاده از مرزبان، همواره نیاز به توکن‌های دسترسی دارید. این توکن‌ها به دو دسته کلی تقسیم می‌شوند:

توکن‌های کاربر: که برای دسترسی به امکانات عمومی‌تر سیستم استفاده می‌شوند.

توکن‌های ادمین: که برای مدیریت سیستم استفاده می‌شوند و بسته به اینکه ادمین دارای دسترسی سودو (sudo) باشد یا نه، سطح دسترسی‌های متفاوتی دارند.

فرآیند ایجاد توکن‌ها

توکن‌ها از طریق API قابل تولید هستند. ادمین‌هایی که از طریق CLI ایجاد می‌کنید، می‌توانند با ارسال درخواست به آدرس api/admin/token، توکن‌های مدیریتی ایجاد کنند و به این ترتیب دسترسی کامل به سیستم و کاربران داشته باشند. این فرآیند به طور خودکار در سیستم ثبت می‌شود و به ادمین امکان می‌دهد که در سطح گسترده‌ای بر سیستم نظارت داشته باشد.

روش‌های نفوذ به سیستم

اگر کسی قصد نفوذ به سیستم شما را داشته باشد، چند راهکار متداول وجود دارد:

حمله از طریق API و پنل مدیریت: در این روش، فرد مهاجم از طریق ارسال درخواست‌های مکرر به API، تلاش می‌کند تا به یک توکن معتبر دست یابد. این کار معمولاً با استفاده از اسکریپت‌هایی انجام می‌شود که انواع و اقسام نام‌های کاربری و رمزهای عبور را به صورت پیوسته امتحان می‌کنند.

حمله مستقیم به سرور: این روش شامل استفاده از آسیب‌پذیری‌های موجود در سرور برای دسترسی به اطلاعات حساس است. (در دیسکاشن‌های بعدی به این موضوع می‌پردازم).

راهکارهای کاهش احتمال نفوذ

برای محافظت از سیستم، می‌توانید از چندین لایه‌ی امنیتی استفاده کنید:

استفاده از رمزهای عبور قوی و تصادفی: اولین و ساده‌ترین راهکار، استفاده از رمزهای عبور بسیار قوی و تصادفی برای ادمین‌ها است. رمز عبوری مانند FS378AfHwgTJ5McOkEROOfbCVarKfbrBGPMPvPAzuPD4R084Ux بسیار ایمن است و کرک کردن آن عملاً غیرممکن است. برای تولید چنین رمزهایی می‌توانید از تولیدکننده رمز عبور LastPass استفاده کنید. این ابزار به شما کمک می‌کند رمزهای عبور قوی و تصادفی ایجاد و به صورت ایمن ذخیره کنید.

محدودسازی نرخ درخواست‌ها (Rate Limiting): یکی از مهم‌ترین اقدامات امنیتی، محدودسازی تعداد درخواست‌های مجاز به API در بازه‌های زمانی مشخص است. برای این کار، ابتدا وارد حساب کاربری Cloudflare خود شوید و پس از اطمینان از روشن بودن پروکسی ساب دامین پنل، به مسیر Security > WAF > Rate Limiting بروید و تنظیمات را طبق تصویر زیر انجام دهید:

• Max Requests: تعداد درخواست مجاز در هر بازه زمانی (برای مثال: 1 درخواست در هر 10 ثانیه).
• Action: مسدود کردن درخواست‌های اضافی.

این تنظیمات به Cloudflare امکان می‌دهد که تعداد درخواست‌ها به API را کنترل کرده و درخواست‌های اضافی را بلاک کند. با این روش، حملات brute force که برای یافتن توکن انجام می‌شوند، به‌طور موثری ناکام می‌مانند.

جمع‌بندی اقدامات امنیتی

با انجام این مراحل:

1. رمزهای عبور قوی برای ادمین‌ها ایجاد کردیم که حتی با میلیون‌ها تلاش نیز به سختی قابل نفوذ هستند.
2. نرخ درخواست‌ها را محدود کردیم تا حملات brute force به API را ناکام بگذاریم.

با این اقدامات، پنل مدیریت شما به‌هیچ‌وجه از طریق API قابل نفوذ نخواهد بود و می‌توانید با اطمینان کامل به کارهای خود بپردازید.

مراحل بعدی

اگر نیاز دارید تا امنیت سرور خود را نیز افزایش دهید، می‌توانم آموزشی کامل در این زمینه ارائه دهم. این موضوع حتی از امن‌سازی API نیز مهم‌تر است و می‌تواند از بسیاری از حملات جلوگیری کند.

[rezazoom]

بسیار عالی؛ آیا در مرزبان، هم‌اکنون راهکاری برای بلاک کردن آی‌پی شخصی که به‌طور مداوم پسوردهای اشتباه را روی صفحه‌ی لاگین پنل امتحان می‌کند، وجود دارد؟

[erfjab]

درود و وقت بخیر، بله میشه. از قسمت تنظیمات rule کلودفلر میتونید آیپی رو اضافه کنید و بلاک کنید.

[erfjab]

اینجور موارد بلاک و محدودیت در اصل توسط سرور و یا cdn اعمال و مدیریت میشوند و ربطی به مرزبان ندارد.

[Mjzaret]

با استفاده از Haproxy هم میتوان سرور رو تا حدود زیادی امن کرد. یکی از مواردی که میتوان با آن انجام داد این است که کاربران با استفاده از ساب دامنه مربوط به لینکهای سابسکرایب دیگر نمی‌توانند به صفحه داشبورد دسترسی داشته باشند و فقط از طریق یک دامنه خاص میتوان به پنل دسترسی پیدا کرد. در این حالت میتوان مرزبان را روی یک پورت خاص اجرا کرد و آن پورت را هم در فایروال قرار داد. به این صورت فقط از طریق ساب دامنه خاصی که در Haproxy تعریف کردیم به سرور دسترسی خواهیم داشت. این کار آخر باعث میشه حتی با داشتن آی پی هم کسی نتونه به سرویس مرزبان دسترسی پیدا کنه.

[erfjab]

بله درسته، روش های زیادی موجودی، ما یکی از ساده ترین و سریع ترین روش هارو معرفی کردیم برای دوستان. میتونید آموزش تکمیلی اینارو اضافه کنید تا دوستان در نیاز بتونن استفاده کنند.

[Mjzaret]

Install Haproxy

apt install haproxy -y
nano /etc/haproxy/haproxy.cfg

---

listen port443-front
	mode tcp
	bind *:443
	bind :::443

	tcp-request inspect-delay 5s
	tcp-request content accept if { req_ssl_hello_type 1 }

	use_backend marzban1 if { req.ssl_sni -m end users.example.com }
	use_backend marzban2 if { req.ssl_sni -m end panel.example.com }

این قسمت درخواستهایی که به دامنه اول users.example.com میرسه رو به یک مسیر دیگری در همین کانفیگ ارسال میکند تا مسیریابی بر اساس لینک صورت بگیرد پورتی که من در نظر گرفتم پورت 9443 هست و نباید توسط برنامه دیگری استفاده شده باشد البته شما میتونید پورت دلخواه قرار بدید

backend marzban1
	mode tcp
	server srv1 127.0.0.1:9443

این قسمت درخواستهایی که به دامنه دوم panel.example.com میرسه رو به سمت پنل اصلی هدایت میکند. پورت پنل مرزبان رو من 4433 تنظیم کردم
شما باید بر اساس تنظیماتی که در پنل انجام دادید پورت رو قرار بدید البته شما هم میتوانید پورت دلخواه قرار دهید

backend marzban2
	mode tcp
	server srv1 127.0.0.1:4433

در این قسمت درخواستهایی که از سمت دامنه users.example.com رو پردازش میکنه و روی پورت 9443 تنظیم شده است حتماً باید مسیر سرتیفیکیت رو بهش بدید در غیر اینصورت کار نمیکنه نکته مهمی که باید توجه کنید این هست که فایلهای fullchain.cer fullchain.cer.key حتماً باید در یک مسیر قرارداشته باشند و نامشون هم به صورت بالا باشه در غیر اینصوت خطا دریافت میکنید

frontend users_frontend
	bind *:9443 ssl crt /var/lib/marzban/certs/domainssl.cer alpn h2,http/1.1
	mode http

	acl path_sub path_beg /sub/
	acl path_root path -m str /

	use_backend sub_backend if path_sub
	default_backend error_503

در این قسمت اگه شرایط درست بود درخواستها به پورت پنل ارسال می‌شود
پورت پنل من 4433 هست که شما میتونید پورت پنل خودتون رو قرار دهید

backend sub_backend
	mode http
	server srv1 127.0.0.1:4433 ssl verify none

backend error_503
	mode http
	errorfile 503 /etc/haproxy/errors/503.http

---

اطلاعات بالا رو در فایل کانفیگ haproxy ذخیره کنید و با دستور زیر از درست بودن فایل مطمئن بشید

haproxy -c -f /etc/haproxy/haproxy.cfg

اگه به شما خطایی نشون نداد میتونید با دستور زیر برنامه haproxy رو اجرا کنید.

systemctl restart haproxy
systemctl enable haproxy

[Ferixy]

عرفان عزیز ممنونم بابت پستت. ولی یه راه بهتر برای بخش پسورد این هست اینک بشه path کاستوم برای دسترسی به وب پنل تعیین کرد.

عملا وقتی کسی که path برای پیدا کردن صفحه لاگین/داشبورد رو نداره امکان بروتفورس هم نداره.

https://mydomain.com/MyFavPath/dashboard/

پنل اکس یو آی این قابلیت رو داره
بعضی از فورک های مرزبان هم این قابلیتو دارن
و جای خالی این فیچر توی مرزبان خیلی احساس میشه!

خواهش میکنم لطفاً یه نگاهی به این قضیه بندازید. ممنونم❤️

[erfjab]

درود و وقت بخیر عزیز، این pr #1196 به زودی مرج میشه تا بتونید آدرس dashboard رو چنج کنید.