PDA

Bekijk Volledige Versie : VPS met CentOS 6.3 en DirectAdmin



martinroot
03/11/12, 21:49
Ik heb via via een DirectAdmin licentie gekregen en nu ik sinds kort over een unmanaged VPS beschik wilde ik mij hier toch eens goed in verdiepen. Nu heb ik met het inrichten van een VPS niet enorm veel ervaring, maar wel met DirectAdmin. Daarnaast leer snel omdat ik me bezig houd met andere IT werkzaamheden en development, plus ik vind het erg leuk.

Sinds vandaag draait dan ook mijn VPS'je met alles erop, er stond sowieso al CentOS 6.3 op geïnstalleerd en via SSH heb ik hier vandaag dan DirectAdmin op gegooid. Maar het belangrijkste is toch wel security. Ik heb me hier aardig over ingelezen op het internet en de nodige (denk ik) aanpassingen gedaan aan mijn server en config.

Wat gedaan aan security?
1. Wachtwoorden (DA en SSH) veranderd naar wat lastigere en langere strings met rare tekens etc.
2. CSF (ConfigServer Security & Firewall - csf v5.70) geïnstalleerd. Dit werkt perfect met een GUI voor DirectAdmin.
3. Ik heb de default SSH port 22 in CSF geblokt en een andere poort opengezet voor SSH (dit werkt perfect).
4. Volgens CSF was het ook slim om allow-recursion { localnets; }; toe te voegen aan de /etc/named/conf (ivm DNS)
5. Ik heb verschillende PHP functies disabled in php.ini ( show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open ).
6. ini_set ook disabled.
7. Ik heb met deze commands de /tmp en /var/tmp mappen ook bepaalde restricties opgelegd zodat niet iedereen alles kan runnen in deze dirs:


dd if=/dev/zero of=/mnt/tmpMnt bs=1024 count=1000000
/sbin/mke2fs /mnt/tmpMnt
cd /
cp -R /tmp /tmp_backup
mount -o loop,noexec,nosuid,rw /mnt/tmpMnt /tmp
chmod 1777 /tmp
/tmp_backup/* /tmp/
rm -rf /tmp_backup
echo "/mnt/tmpMnt /tmp ext2 loop,noexec,nosuid,rw 0 0" >> /etc/fstab
rm -rf /var/tmp
ln -s /tmp /var/tmp

Mijn vraag is eigenlijk of de server zo een beetje aan de veiligheidseisen voldoet voor het draaien van een aantal WordPress blogs. Als iets niet werkt door een uitgezette functie kan ik dit natuurlijk altijd weer aanzetten, maar standaard uit is beter dan standaard aan natuurlijk.

Zijn er nog andere belangrijke dingen waar ik op moet letten of zit ik zo wel goed met mijn VPS. En moet ik nou echt elke dag via SSH kijken of er updates zijn (mits er een bekend lek is ontdekt in een bepaalde module) of is elke week / maand 1 keer kijken of alles up to date is genoeg?

Ik ben benieuwd naar jullie tips / suggesties. Alvast bedankt.

Flaxe_eu
05/11/12, 11:30
Je software versie is nog een heel belangrijke factor. php < 5.3.13 is eigenlijk een not done meer.
verder zijn openbasedir en mod_ruid2 of phpSuphp ook zeker iets waar je over moet nadenken.

martinroot
05/11/12, 14:28
Dank voor de tips Flaxe_eu! Software en modules draaien allemaal up to date (volgens mij houd de updater Direct Admin dit ook bij). PHP zit op 5.3.18.

Over het tweede: Hier heb ik inderdaad ook nog naar zitten kijken. Meer vanwege het feit dat ik php scripts uitvoer die daarna door "apache" worden geowned. Ik begrijp dat suPHP hier ook een stokje voor steekt en ik niet zelf permissions hoef terug te gaan zetten omdat door deze module alles op gebruikersniveau wordt uitgevoerd. Ik ga eens kijken wat mod_ruid2 te bieden heeft en een keuze maken tussen deze twee.

De open_basedir kan ik ook nog aanpassen (om er voor te zorgen dat scripts alleen binnen de webruimte kunnen runnen), heb hier zojuist even naar gekeken. Mijn vraag is of ik dit voor elke home directory opnieuw moet doen als ik een gebruiker / domein heb aangemaakt omdat dan een nieuwe public_html folder wordt gemaakt, of kan dit op een andere manier beter?