martinroot
03/11/12, 20:49
Ik heb via via een DirectAdmin licentie gekregen en nu ik sinds kort over een unmanaged VPS beschik wilde ik mij hier toch eens goed in verdiepen. Nu heb ik met het inrichten van een VPS niet enorm veel ervaring, maar wel met DirectAdmin. Daarnaast leer snel omdat ik me bezig houd met andere IT werkzaamheden en development, plus ik vind het erg leuk.
Sinds vandaag draait dan ook mijn VPS'je met alles erop, er stond sowieso al CentOS 6.3 op geïnstalleerd en via SSH heb ik hier vandaag dan DirectAdmin op gegooid. Maar het belangrijkste is toch wel security. Ik heb me hier aardig over ingelezen op het internet en de nodige (denk ik) aanpassingen gedaan aan mijn server en config.
Wat gedaan aan security?
1. Wachtwoorden (DA en SSH) veranderd naar wat lastigere en langere strings met rare tekens etc.
2. CSF (ConfigServer Security & Firewall - csf v5.70) geïnstalleerd. Dit werkt perfect met een GUI voor DirectAdmin.
3. Ik heb de default SSH port 22 in CSF geblokt en een andere poort opengezet voor SSH (dit werkt perfect).
4. Volgens CSF was het ook slim om allow-recursion { localnets; }; toe te voegen aan de /etc/named/conf (ivm DNS)
5. Ik heb verschillende PHP functies disabled in php.ini ( show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open ).
6. ini_set ook disabled.
7. Ik heb met deze commands de /tmp en /var/tmp mappen ook bepaalde restricties opgelegd zodat niet iedereen alles kan runnen in deze dirs:
dd if=/dev/zero of=/mnt/tmpMnt bs=1024 count=1000000
/sbin/mke2fs /mnt/tmpMnt
cd /
cp -R /tmp /tmp_backup
mount -o loop,noexec,nosuid,rw /mnt/tmpMnt /tmp
chmod 1777 /tmp
/tmp_backup/* /tmp/
rm -rf /tmp_backup
echo "/mnt/tmpMnt /tmp ext2 loop,noexec,nosuid,rw 0 0" >> /etc/fstab
rm -rf /var/tmp
ln -s /tmp /var/tmp
Mijn vraag is eigenlijk of de server zo een beetje aan de veiligheidseisen voldoet voor het draaien van een aantal WordPress blogs. Als iets niet werkt door een uitgezette functie kan ik dit natuurlijk altijd weer aanzetten, maar standaard uit is beter dan standaard aan natuurlijk.
Zijn er nog andere belangrijke dingen waar ik op moet letten of zit ik zo wel goed met mijn VPS. En moet ik nou echt elke dag via SSH kijken of er updates zijn (mits er een bekend lek is ontdekt in een bepaalde module) of is elke week / maand 1 keer kijken of alles up to date is genoeg?
Ik ben benieuwd naar jullie tips / suggesties. Alvast bedankt.
Sinds vandaag draait dan ook mijn VPS'je met alles erop, er stond sowieso al CentOS 6.3 op geïnstalleerd en via SSH heb ik hier vandaag dan DirectAdmin op gegooid. Maar het belangrijkste is toch wel security. Ik heb me hier aardig over ingelezen op het internet en de nodige (denk ik) aanpassingen gedaan aan mijn server en config.
Wat gedaan aan security?
1. Wachtwoorden (DA en SSH) veranderd naar wat lastigere en langere strings met rare tekens etc.
2. CSF (ConfigServer Security & Firewall - csf v5.70) geïnstalleerd. Dit werkt perfect met een GUI voor DirectAdmin.
3. Ik heb de default SSH port 22 in CSF geblokt en een andere poort opengezet voor SSH (dit werkt perfect).
4. Volgens CSF was het ook slim om allow-recursion { localnets; }; toe te voegen aan de /etc/named/conf (ivm DNS)
5. Ik heb verschillende PHP functies disabled in php.ini ( show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open ).
6. ini_set ook disabled.
7. Ik heb met deze commands de /tmp en /var/tmp mappen ook bepaalde restricties opgelegd zodat niet iedereen alles kan runnen in deze dirs:
dd if=/dev/zero of=/mnt/tmpMnt bs=1024 count=1000000
/sbin/mke2fs /mnt/tmpMnt
cd /
cp -R /tmp /tmp_backup
mount -o loop,noexec,nosuid,rw /mnt/tmpMnt /tmp
chmod 1777 /tmp
/tmp_backup/* /tmp/
rm -rf /tmp_backup
echo "/mnt/tmpMnt /tmp ext2 loop,noexec,nosuid,rw 0 0" >> /etc/fstab
rm -rf /var/tmp
ln -s /tmp /var/tmp
Mijn vraag is eigenlijk of de server zo een beetje aan de veiligheidseisen voldoet voor het draaien van een aantal WordPress blogs. Als iets niet werkt door een uitgezette functie kan ik dit natuurlijk altijd weer aanzetten, maar standaard uit is beter dan standaard aan natuurlijk.
Zijn er nog andere belangrijke dingen waar ik op moet letten of zit ik zo wel goed met mijn VPS. En moet ik nou echt elke dag via SSH kijken of er updates zijn (mits er een bekend lek is ontdekt in een bepaalde module) of is elke week / maand 1 keer kijken of alles up to date is genoeg?
Ik ben benieuwd naar jullie tips / suggesties. Alvast bedankt.