در این پست کوتاه راه هایی برای افزایش امنیت سرور ssh قرار داده ام. ابتدایی‌ترین و ساده‌ترین تکنیک‌ها شرح داده شده‌اند و تکنیک‌های پیچیده‌تر فقط برای خوانندگان علاقه‌مند نشان داده شده است.

ترفندهای اساسی

تمام اقدامات در انجام می شود فایل پیکربندی sshd daemon -- /etc/ssh/sshd_config. در زیر بخشی از فایل پیکربندی من با نظرات است.

### شبکه ### # استفاده از یک پورت غیر استاندارد (>1024) پورت 5679 # فقط از اتصالات IPv4 استفاده کنید # inet = IPv4، inet6 = IPv6، هر = هر دو AddressFamily inet # فقط می‌تواند اتصالات را از آدرس‌های IP خاص بپذیرد #ListenAddress 0.0. 0.0 # ما از نسخه دوم پروتکل استفاده می کنیم، زیرا اولین مورد آسیب‌پذیر است # در برابر آسیب‌پذیری‌های شناخته شده پروتکل 2 # غیرفعال کردن ارسال گرافیک (سرور X) تا زمانی که # به وضوح به آن نیاز ندارید X11Forwarding no # غیرفعال کردن TCPKeepAlive را غیرفعال کنید و به جای آن از ClientAliveInterval استفاده کنید، # برای جلوگیری از حملاتی مانند جعل TCP، پس از 10 دقیقه (600 ثانیه) عدم فعالیت ClientAliveInterval 600 ClientAliveCountMax 3 ### فایل های پیکربندی کلید ### # HostKeys برای پروتکل نسخه 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/host_expressed در پردازش ### از ترافیک سرویس گیرنده # sandbox - openSSH >= 5.9 ("بله" - برای نسخه های پایین تر) UsePrivilegeSeparation sandbox # اگر این مقادیر را تغییر دهید، باید حذف کنید کلید قدیمی# /etc/ssh/ssh_host_rsa_key(,.pub)، و یک # جدید با راه اندازی مجدد sshd ایجاد کنید. # # طول عمر کلید، یعنی. چه مدت طول می کشد تا تولید شود کلید جدید# در صورت استفاده از قبلی. KeyRegenerationInterval 1h # قدرت کلید ServerKeyBits 2048 # فعال کردن احراز هویت کلید عمومی احراز هویت Pubkey yes # ذخیره کلیدهای مورداعتماد در فهرست کاربری AuthorizedKeysFile .ssh/authorized_keys ### Logging ### # پیشوند برای syslog SyslogFacility#MeslogFacility#THBOD. # احراز هویت ### # لیست کاربران مجاز AllowUsers ivan # محدود کردن زمان برای وارد کردن رمز عبور برای کلید ssh LoginGraceTime 30s # ممنوعیت ورود از راه دور تحت حساب ریشه PermitRootLogin خیر # فعال کردن بررسی صریح مجوزهای فایل و دایرکتوری با کلیدهای ssh StrictModes بله # اگر ورودی نادرست است، چند بار دوباره درخواست رمز عبور کنیم MaxAuthTries 3 # ورود با رمز خالی را ممنوع کنید PermitEmptyPasswords خیر # ورود با رمز عبور را در اصل ممنوع کنید # (به جای آن از کلید عمومی / خصوصی استفاده کنید) احراز هویت رمز عبور نه # غیرفعال کردن استفاده از مجوز "چالش-پاسخ"، # زیرا . هنگام استفاده از کلیدها بی فایده است. متغیرهای محیطی# RH BZ#CVE-2014-2532 # سوء استفاده از ShellShock AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES AcceptEnv LC_PAPER LC_NAME LC_PAPER LC_NAME LC_PAPER LC_NAME LC_TELEAPHONE LC_TELEADRESS AcceptID_TELEALCRES LC_TELEACRED LC_TELEACREV AcceptID_TELEACRES

اینها پارامترهایی هستند که در فایل پیکربندی sshd پیکربندی شده اند. پس از تغییر تنظیمات، باید سرویس sshd را مجددا راه اندازی کنید.

نظرات

• هنگام استفاده از مجوز مبتنی بر کلید، یک کلید مورد نیاز است قبلاروی ماشین کلاینت ایجاد کنید و کلید عمومی را در سرور کپی کنید. مثال:

کلاینت $ ssh-keygen کلاینت $ cat ~/.ssh/id_rsa.pub | ssh -p 5679 [ایمیل محافظت شده]"cat >> ~/.ssh/authorized_keys"

• فایل /var/log/auth.log حاوی پیام هایی از طرف خواهد بود sshd. اگر این فایل وجود ندارد، باید سیستم گزارش خود را پیکربندی کنید. مثال برای syslog و syslon-ng. من از syslog-ng استفاده می کنم و باید خطوط زیر را به فایل /etc/syslog-ng/syslog-ng.conf اضافه کنم:

مقصد authlog ( file("/var/log/auth.log"); ); ورود به سیستم ( منبع (src)؛ مقصد (authlog); );

و سرویس syslog-ng را مجددا راه اندازی کنید.

• هنگام استفاده از یک پورت غیر استاندارد، ممکن است لازم باشد فایروال خود را پیکربندی کنید (iptables، firewalld و غیره).
  مثالتنظیمات برای iptables:

root# iptables -A INPUT -p tcp -m حالت -- حالتجدید، تاسیس شده --dport 5679 -j ACCEPT root# سرویس iptables save root# iptables -L -n Chain INPUT (خط مشی ACCEPT) هدف prot منبع انتخابی مقصد پذیرش icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp - - 0.0.0.0/0 0.0.0.0/0 وضعیت جدید tcp dpt:22 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 وضعیت جدید tcp dpt:80 پذیرش tcp -- 0.0.0.0/0 0.0 0.0/0 حالت جدید، ایجاد شده tcp dpt:5679 ...

اگر این کافی نیست

این فقط است تنظیمات پایه. علاوه بر این، می توانید پیکربندی کنید

• فایروال (iptables)

به محض اینکه یک سرویس در یک شبکه عمومی "روشن" می شود، بلافاصله مورد حمله قرار می گیرد. یکی از مشکلات تلاش برای دسترسی با استفاده از کلمه عبور brute force (brute force) است. و SSH نیز در این مورد مستثنی نیست.

تجزیه و تحلیل فایل ثبت احراز هویت /var/log/auth.log یا آنالوگ ها نشان می دهد که تلاش برای حدس زدن رمز عبور معمولاً از چندین IP در یک زمان انجام می شود و در طول زمان طولانی می شود.

SSH Brute Force Protection

شما می توانید به روش های مختلف از خود در برابر آن محافظت کنید:

• با استفاده از SSH Daemon Configuration Options
• فیلتر بسته
• برنامه های کاربردی خاص
• ضربه زدن بندر

ساده ترین و راه موثراین است که پورت پیش فرض 22 را تغییر دهید، به عنوان مثال، به 2002، اگر این کار با وظایف دیگر تداخل نداشته باشد. ما یک ورودی در /etc/ssh/sshd_config ایجاد می کنیم:

پس از آن، تلاش برای حدس زدن رمزهای عبور عملا متوقف می شود. مواقعی وجود دارد که پورت را نمی توان تغییر داد. از طرف دیگر، می توانید دسترسی را از طریق SSH محدود کنید کاربران خاص(به طور خاص ریشه) یا یک گروه. تعدادی از پارامترها در sshd_config مسئول این هستند: AllowUsers، AllowGroups، DenyUsers و DenyGroups. راحت است که می توانید یک IP یا زیرشبکه را با یک ورود مشخص کنید. به عنوان مثال، اجازه دهید به ادمین و کاربر کاربر، دومی فقط از یک IP دسترسی داشته باشد:

یکی دیگر از گزینه‌های موثر حفاظت از نیروی brute-force، استفاده از گواهی‌ها برای احراز هویت است. و با کمک پارامتر خاصمطابقت، می توانید یک بلوک شرطی ایجاد کنید که در آن پارامترهای بخش جهانی را دوباره تعریف کنید. به عنوان مثال، اجازه دهید ورود به سیستم SSH را با رمز عبور برای کاربر اصلی غیرفعال کنیم و به دیگران اجازه دهیم:

# به همه اجازه دهید با رمز عبور دسترسی داشته باشند
رمز عبور بله
# root فقط از گواهی استفاده می کند
مطابقت با ریشه کاربر
شماره احراز هویت رمز عبور
KbdInteractiveAuthentication شماره

با استفاده از TCP Wrapper، ما همچنین می توانیم دسترسی به هر سرویس را فقط از IP های خاص محدود کنیم، برای این کار فقط باید آن را در فایل /etc/hosts.allow یا /etc/hosts.deny بنویسید. قانون درست. اجازه دهید به /etc/hosts.allow فقط از زیر شبکه مورد نیاز دسترسی داشته باشید:

sshd: 192.168.1.0/24: اجازه می دهد

یا در /etc/hosts.deny:

sshd:ALL:رد
sshd: همه به جز 192.168.1.0/24: مجاز

فیلتر بسته به شما این امکان را می دهد که پارامترهای اتصال را به دقت تنظیم کنید و بسته های غیر ضروری را دور بیندازید. با کمک آن می توان دسترسی به پورت 22 را فقط به آدرس های خاصی محدود کرد. مثال ساده:

iptables -A INPUT -s !192.168.0.1 -p tcp -m tcp --dport 22 ↵
-j REJECT -reject-with icmp-port-unreachable

اگر ادمین به محل کار متصل نباشد، فیلتر کردن بسته‌ها توسط پورت‌ها و آدرس‌های IP چندان مؤثر نیست. در این مورد کمک کنید ابزارهای ویژه: Fail2ban , Sshguard . Fail2ban در ابتدا برای ایمن سازی SSH طراحی شده بود. اگرچه امروزه این یک چارچوب است که می تواند به راحتی برای هر برنامه ای سفارشی شود. اصل کار بسیار ساده است. دیمون به صورت دوره ای لاگ ها را برای هرگونه فعالیت مشکوک بررسی می کند. سپس آدرس IP مشکوک توسط iptables یا TCP Wrapper مسدود می شود. پس از گذشت زمان مشخص شده در تنظیمات، بلوک معمولا حذف می شود تا به طور تصادفی یک گره قانونی مسدود نشود. هنگامی که قانون راه اندازی می شود، یک رویداد در /var/log/fail2ban.log log نوشته می شود و یک ایمیل می تواند ارسال شود.

یک فرآیند واحد می تواند چندین سرویس را به طور همزمان کنترل کند، و بسته با تنظیمات خارج از جعبه برای برنامه های لینوکس محبوب ارائه می شود. به طور پیش فرض، فقط SSH محافظت می شود.

در اوبونتو و دبیان با دستور نصب کنید:

$ sudo apt-get install fail2ban

تمام تنظیمات در چندین فایل واقع در دایرکتوری /etc/fail2ban انجام می شود. Fail2ban.conf پارامترهای راه‌اندازی خود دیمون را ذخیره می‌کند، jail.conf خدمات کنترل‌شده را (داخل بخش SSH) توصیف می‌کند.

فعال = درست است
پورت=22
فیلتر = sshd
logpath=/var/log/auth.log
maxretry = 3

فیلترها و اکشن ها در فایل های واقع در زیر شاخه های filter.d و action.d نوشته می شوند. به طور پیش فرض همه فایل ها پسوند .conf دارند، بهتر است به آنها دست نزنید (از جمله jail.conf). همه تغییرات باید در فایلی با پسوند .local (مثلا jail.local) انجام شود که پارامترهای آن جایگزین تنظیمات اولی می شود و در حین ارتقا از بین نمی رود. می توانید از ابزار fail2ban-regex برای بررسی کارکرد فیلتر استفاده کنید.

چندین قانون برای محافظت از دسترسی به سرور ssh.

1. برای گوش دادن به یک پورت دیگر، علاوه بر پورت استاندارد، به پیکربندی سرور ssh اضافه کنید. (برای سهولت در به خاطر سپردن، می توانید از 4 عدد تکراری برای همه سرورهای خود استفاده کنید).

$ sudo vi /etc/ssh/sshd_config پورت 22 پورت xxxx

2. ما تماس ها به پورت 22 را فقط به آدرس های IP قابل اعتماد محدود می کنیم * به عنوان مثال 8.8.8.8 (شما می توانید چندین قانون از این قبیل، محل کار / خانه ایجاد کنید)

$ sudo vi /etc/sysconfig/iptables -A INPUT -s 8.8.8.8 -p tcp -m حالت --state NEW -m tcp --dport 22 -j ACCEPT

3. فراموش نکنید که بررسی کنید آیا از ipv6 استفاده می کنیم یا خیر، اگر از آن استفاده می کنیم، سپس اضافی را ببندید

$ sudo vi /etc/sysconfig/ip6tables *filter:INPUT ACCEPT :FORWARD ACCEPT :OUTPUT ACCEPT -A INPUT -m حالت --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p ipv6-icmp -j ACCEPT - i lo -j ACCEPT -A INPUT -m حالت --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m حالت --state NEW -m tcp -p tcp --dport 443 -j ACCEPT -A INPUT -j REJECT --reject-with icmp6-adm-prohibited -A FORWARD -j REJECT --reject-with icmp6-adm-prohibited COMMIT

برای استفاده از ssh فقط در یک آدرس خاص، کافی است در فایل پیکربندی sshd_configیک پارامتر را مشخص کنید ListenAddress(به عنوان مثال ListenAddress 74.125.200.100). در این صورت ssh فقط در این آدرس موجود خواهد بود و از طریق ipv6 کار نخواهد کرد

4. از فایل پیکربندی ssh در سمت کلاینت استفاده کنید.

محل: ~/.ssh/config

# رفع مشکل نوشتن: لوله شکسته ServerAliveInterval 120 TCPKeepAlive بدون # برای استفاده از نام های کوتاه میزبان dev-vps # آدرس IP یا عمومی نام دامنهنام میزبان 127.0.0.3 # تحت چه کاربری برای ورود به سیستم توسعه دهنده کاربر # فایل کلیدی برای مجوز (در صورت استفاده) IdentityFile ~/.ssh/id_rsa.dev

و مثال دیگری از استفاده از فایل پیکربندی:
{<1>}

میزبان ssh-server-1 نام میزبان 1.2.3.4 کاربر توسعه دهنده پورت 1234 میزبان ssh-server-2 ریشه کاربر # نام میزبان 192.168.10.20 # nc بدون -q0 اگر مبتنی بر RHEL و با -q0 مبتنی بر دبیان IdentityFile ~/.ssh/id_rsa. -pc ProxyCommand ssh -q0 ssh-server-1 nc -q0 192.168.10.20 22

و اکنون، هنگام اتصال به ssh-server-1، بلافاصله به هاست مورد نیاز خود می پریم. (برای مثال استفاده از آن راحت است کلیدهای مختلفروی سرورها)

همچنین هیپسترگزینه پروکسی:

{<2>}

مشتری ngrok را در سروری که پشت فایروال قرار دارد دانلود کنید. باینری را اجرا کنید و مشخص کنید کدام پورت را باید فوروارد کنیم

SSH یک پروتکل امن برای انتقال داده ها (فرمان ها، فایل ها، ویدئو و غیره) بین رایانه ها است.

به طور پیش فرض، روی VPS و سرورهای اختصاصی اکثر ارائه دهندگان هاست فعال است، زیرا به شما اجازه می دهد تا به راحتی و ایمن یک ماشین راه دور را مدیریت کنید. به هر حال، در سرویس Well-Web می توانید یک سرور VPS را با ارزان قیمت اجاره کنید. از آنجایی که SSH در تمام VPS فعال است، برای جلوگیری از مشکلات هنگام استفاده از Secure Shell، حفاظت از SSH مناسب ضروری است.

دسترسی روت را غیرفعال کنید

اول از همه، توصیه می شود قابلیت اتصال از راه دور به دستگاه زیر را غیرفعال کنید حسابابرکاربر (ریشه). برای انجام این کار، باید فایل sshd_config را که معمولا (اما نه همیشه) در پوشه /etc/ssh/ قرار دارد، پیدا کرده و آن را باز کنید.

شما باید مورد PermitRootLogin را در آن پیدا کنید و مقدار آن را با "no" جایگزین کنید، یعنی باید ورودی زیر را دریافت کنید:

PermitRootLogin شماره

به طور طبیعی، این مانع از هک نمی شود، اما هنوز هم تا حدودی آن را دشوارتر می کند.

برای به حداقل رساندن احتمال هک، توصیه می شود از مجوز با استفاده از کلید به جای مجوز با ورود و رمز عبور استفاده کنید. این را از راه های گوناگون می توان انجام داد. به هر حال، این نیز یک محافظت خوب از SSH در برابر نیروی بی رحم است.

پورت پیش فرض را تغییر دهید

از آنجایی که هک یک سرور از طریق SSH معمولاً از طریق رمز عبور brute force اتفاق می‌افتد، منطقی است که پورت 22 استاندارد را به پورت دیگری تغییر دهید. انجام این کار بسیار آسان است. اول از همه، شما باید فایل sshd_config را که قبلا ذکر شد باز کنید و یک خط به آن اضافه کنید:

پورت_شماره پورت

ورودی به عنوان مثال به صورت زیر خواهد بود:

پورت 3048

این به میزان قابل توجهی تعداد افرادی را که می خواهند دسترسی غیرمجاز به سرور داشته باشند کاهش می دهد. قبل از تغییر شماره پورت، مطمئن شوید که به عملکرد سایر برنامه ها آسیبی وارد نمی کند. همچنین باید پورتی را انتخاب کنید که هنوز استفاده نمی شود تا برنامه ها به دلیل آن با هم تداخل نداشته باشند.

محدودیت دسترسی توسط IP

یکی دیگر از راه های محافظت که احتمال اتصال غیرمجاز را تقریباً به صفر می رساند، ایجاد محدودیت در مجوز است. SSH را می توان به گونه ای پیکربندی کرد که فقط ماشین های راه دور با آدرس های IP خاص می توانند به سرور وارد شوند. برای این کار در فایل sshd_config در خط AllowUser @IP_number را به نام هر کاربر اضافه کنید. ورودی ممکن است به این شکل باشد:

AllowUsers [ایمیل محافظت شده], [ایمیل محافظت شده]

قبل از استفاده از این روش، توصیه می شود مطمئن شوید که هیچ موقعیتی وجود ندارد که ممکن است نیاز به دسترسی به سرور از دستگاهی باشد که آدرس IP آن توسط پیکربندی ارائه نشده است.

رمز عبور ایمن

و البته باید از رمز عبوری استفاده کنید که در برابر نیروی بی رحم مقاوم باشد. بلند و با نمادهای مختلف تا حد امکان، ترجیحا با krakozyabry. داشتن این واجب است.

OpenSSHبه شما اجازه اجرا می دهد اتصال از راه دوربه سرور، فایل ها را دستکاری کرده و سیستم را مدیریت کنید. امروز می خواهیم در مورد آن صحبت کنیم بهترین شیوه هاکه باعث افزایش امنیت سیستم مبتنی بر OpenSSH خواهد شد.

فایل های پیکربندی

• /etc/ssh/sshd_config- فایل پیکربندی سرور OpenSSH.
• /etc/ssh/ssh_config- فایل پیکربندی کلاینت OpenSSH.
• ~/.ssh/- فهرستی که تنظیمات SSH کاربر در آن ذخیره می شود.
• ~/.ssh/authorized_keys یا ~/.ssh/authorized_keys- لیستی از کلیدها (RSA یا DSA) که برای اتصال به حساب های کاربری استفاده می شوند.
• /etc/nologin- اگر این فایل در سیستم وجود داشته باشد، sshd همه کاربران را به جز root از اتصال به سیستم منع می کند.
• /etc/hosts.allow و /etc/hosts.deny- سیستم ممنوعیت (بخشی از امنیت). شبیه به ACL کار می کند.
• پورت SSH به صورت پیش فرض - 22

لازم نیست - خاموش کنید

اگر سرور شما نیازی به اتصال از راه دور از طریق SSH ندارد، حتما آن را غیرفعال کنید. در سیستم هایی مانند CentOS/RHEL، این کار به صورت زیر انجام می شود:

chkconfig sshd off yum erase openssh-server

از SSH نسخه 2 استفاده کنید

پروتکل SSH نسخه اول دارای مشکلات امنیتی است که در نسخه دوم بسته شده است. بنابراین از نسخه دوم استفاده کنید. مطمئن شوید که فایل /etc/ssh/sshd_config روی پروتکل 2 تنظیم شده است.

دسترسی SSH را محدود کنید

به طور پیش فرض تمامی کاربران سیستم قابلیت اتصال به سیستم از طریق SSH را دارند. توصیه می کنیم دسترسی SSH را برای اهداف امنیتی محدود کنید. به عنوان مثال، SSH را برای کاربران root، merion و networks مجاز کنید:

AllowUsers شبکه های مریون را ریشه کن می کند

از طرف دیگر، می توانید به همه کاربران به جز موارد مشخص شده اجازه دسترسی بدهید:

DenyUsers شبکه های مریون را ریشه یابی می کند

زمان عدم فعالیت

مشخص کردن زمانی که در طی آن یک جلسه غیرفعال خاتمه می یابد (تکمیل می شود) مهم است. این کار را می توان با گزینه های زیر انجام داد:

ClientAliveInterval 300 ClientAliveCountMax 0

در این تنظیمات زمان بیکاری 300 ثانیه (5 دقیقه) را مشخص کرده ایم.

درباره فایل های rhosts

واقعیت این است که این فایل حاوی لیستی از هاست ها و کاربران است. اگر در فایل داده شدهسپس شامل ترکیبی از میزبان و کاربر است کاربر داده شدهقادر به اتصال به سیستم از طریق SSH بدون درخواست رمز عبور خواهد بود. توصیه می کنیم این ویژگی "شگفت انگیز" را غیرفعال کنید:

IgnoreRhosts بله

بدون احراز هویت مبتنی بر میزبان!

باصطلاح احراز هویت مبتنی بر میزبانبه کاربر از یک میزبان خاص اجازه می دهد تا به سرور متصل شود. غیر فعال کردن:

شماره احراز هویت مبتنی بر میزبان

اتصال مستقیم از طریق روت

PermitRootLogin شماره

یک بنر درست کنید

برای هر فردی که متصل می‌شود، یک بنر بسازید که در آن می‌توانید مهاجمانی را که می‌خواهند مرتکب شوند، تهدید کنید دسترسی غیرمجاز. پارامتر Banner وظیفه تنظیم بنر را بر عهده دارد.

22 پورت فقط از داخل!

فقط از طریق زنجیره قانون فایروال به پورت 22 سیستم دسترسی داشته باشید. بهتر از همه، دسترسی را فقط از داخل LAN بگذارید. به عنوان مثال، در iptablesمی توانید به 192.168.11.0/24 دسترسی بدهید:

A RH-Firewall-1-INPUT -s 192.168.11.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT

کجا گوش کنیم

به طور پیش فرض، SSH به اتصالات در تمام رابط های موجود گوش می دهد. توصیه می کنیم پورت پیش فرض را تغییر دهید و آدرس IP را که باید منتظر اتصال باشید را مشخص کنید. به عنوان مثال، پورت 962 و آدرس IP 192.168.11.24 را مشخص می کنیم.

Port 962 ListenAddress 192.168.11.24

رمزهای عبور قوی

از رمزهای عبور قوی استفاده کنید. ابزارهای زیادی در شبکه وجود دارد که رمز عبور مقاوم در برابر رمزنگاری را بصورت آنلاین، رایگان و بدون پیامک تولید می کند :)

پسوردهای خالی را غیرفعال کنید

کاربران بدون رمز عبور وجود دارد. دسترسی آنها به SSH نیز باید با استفاده از گزینه رد شود:

شماره پورت 962 PermitEmptyPasswords

لاگ ها را تحلیل کنید

ثبت رویداد را روی حالت INFO یا DEBUG تنظیم کنید - این به شما امکان می دهد کنترل گسترده ای روی سیستم داشته باشید:

اطلاعات LogLevel

آیا این مقاله برای شما مفید است؟

لطفا به من بگو چرا؟

متاسفیم که مقاله برای شما مفید نبوده است: (لطفاً، اگر دشوار نیست، به چه دلیلی مشخص کنید؟ برای پاسخ دقیق بسیار سپاسگزار خواهیم بود. از اینکه به ما کمک کردید تا بهتر شویم، متشکریم!