PDA

Bekijk Volledige Versie : VPS goed beveiligen en directadmin installeren.



slikkaticz
15/04/13, 11:19
Beste forum leden,

Ik zit al enkele dagen vol concentratie het forum af te lezen en pik hier en daar genoeg goede posts op maar het leek mij toch verstandig nog even zelf een topic aan te maken voor mijn vragen:

Ik heb een VPS gekocht bij Transip en daar CentOS 6.4 op geïnstalleerd. Daarnaast heb ik een lifetime licentie aangeschaft. Nu wil ik vandaag Directadmin gaan installeren maar ik heb nog wat vraagjes:

1. Mocht ik directadmin na het installeren weer verwijderen kan ik dan nog steeds met mijn huidige licentie het opnieuw installeren of is het 1 time activatie per install?

2. Naast de ssh port te veranderen, firewall installeren en poorten blokkeren zijn er nog andere belangrijke veiligheid aspecten die ik ben vergeten voor het goed beveiligen van de vps.

Alvast heel erg bedankt voor het lezen.

DiederikL
15/04/13, 12:01
1) DA kan je prima opnieuw installeren, hij is gebonden aan het IP-adres wat je hebt opgegeven binnen de client area van directadmin.com. Je kan hem dus ook na het verwijderen op een andere VPS gebruiken. DA zal dat niet meer werken op de eerste VPS. Wel wordt aangeraden om alleen DA te installeren op een verse installatie.
2) Ik zou eens goed gaan googlen naar deze aspecten. Als je de firewall van Config Server gebruikt geeft deze ook al een paar handvatten zoals het noexec mounten van /tmp, suphp etc.

dreamhost_nl
15/04/13, 12:42
Ook hier op WHT zijn voldoende alternatieven te vinden voor een veilige(r) server/VPS.

Magus
15/04/13, 13:01
Voor de absolute basis-beveiliging acties kun je beginnen met de stappen die door DA worden aangedragen:

http://help.directadmin.com/item.php?id=247

uiteraard is dat echt slechts een basis, een startpunt.

slikkaticz
15/04/13, 13:27
Hartelijk dank voor jullie reacties!

Ik ga vanavond beginnen met de installatie op een schone server, als mij dat gelukt is zal ik eens goed googlen op het beveiligen van de server. Hopelijk komt alles goed.

Nogmaals bedankt!

balen001
17/04/13, 23:59
Hartelijk dank voor jullie reacties!

Ik ga vanavond beginnen met de installatie op een schone server, als mij dat gelukt is zal ik eens goed googlen op het beveiligen van de server. Hopelijk komt alles goed.

Nogmaals bedankt!

En? is het gelukt?

slikkaticz
18/04/13, 10:51
En? is het gelukt?

Hey Balen,

Het is zeker gelukt!

Ik heb directadmin zonder problemen kunnen installeren, vervolgens csf firewall erop gezet en hier het 1 en ander in geconfigureerd zoals blocken van ping naar de server. De shh port veranderen was ook erg makkelijk. Via het csf system check heb ik ook nog wat beveiliging tips gehad zoals het toevoegen van dangerous php functies aan de php.ini.

Het lastigste waar ik tegen aan ben gelopen was dat de disk usage niet werd geupdate in directadmin maar via een mooie tutorial dit toch kunnen oplossen.

Me vps draait nu soepel en ik heb vertrouwen in de security.

Fijne dag!

Yourwebhoster
18/04/13, 12:03
Je bent er van op de hoogte dat disk usage 1 keer per dag wordt bijgewerkt?

Piwi-Web
18/04/13, 13:34
Je bent er van op de hoogte dat disk usage 1 keer per dag wordt bijgewerkt?

Of handmatig doen, denk dat hij dat bedoeld. Daarnaast heb ik ook vaker bij DA het probleem dat ik de quota handmatig nog moet configureren / herinstalleren voordat deze fatsoenlijk werkt.

The-BosS
18/04/13, 15:26
Ik heb directadmin zonder problemen kunnen installeren, vervolgens csf firewall erop gezet en hier het 1 en ander in geconfigureerd zoals blocken van ping naar de server. De shh port veranderen was ook erg makkelijk.

Waarom zou je de ssh poort willen veranderen, gewoon allowed zetten op je eigen fixed ip en done. En ik snap al helemaal niet waarom je ping (echo/icmp) zou willen uitzetten, vooral niet handig als je je server wilt monitoren.

Tim Hartvelt
18/04/13, 15:52
Security through obscurity vind ik dat altijd zo erg als je poorten gaat veranderen. Zou het eerder gaan whitelisten als ik jou was. En ook ik ben wel benieuwd waarom je niet wil dat mensen je server niet kunnen pingen? Ik gebruik het zelf bij al mijn servers om te zien of de server nog online is (en dan ga je nog wel iets verder met monitoring dan alleen ping, maar ping is vrij handig bij monitoren lijkt me zo..)

Blacky
18/04/13, 18:55
Waarom zou je de ssh poort willen veranderen
Waarom zou je het niet doen, als extratje?
Ik wijzig ook altijd de SSH poort. Scheelt enorm met bruteforces van scriptkiddies op die poort in de logs. Geen ssh op poort 22 aanwezig, dan houdt dat al snel op. Daarnaast is kun je i.p.v. whitelisten of beperken tot jouw ip, hetgeen niet handig is als je thuis een dynamic ip hebt (zoals bij veel ISP's), beter password login uitschakelen en via SSH Keys inloggen.

CSF/LFD installeren, wat php functies disablen, mod_ruid installeren etc. is ook verstandig.

The-BosS
18/04/13, 19:37
Waarom zou je het niet doen, als extratje?
Ik wijzig ook altijd de SSH poort. Scheelt enorm met bruteforces van scriptkiddies op die poort in de logs. Geen ssh op poort 22 aanwezig, dan houdt dat al snel op. Daarnaast is kun je i.p.v. whitelisten of beperken tot jouw ip, hetgeen niet handig is als je thuis een dynamic ip hebt (zoals bij veel ISP's), beter password login uitschakelen en via SSH Keys inloggen.

CSF/LFD installeren, wat php functies disablen, mod_ruid installeren etc. is ook verstandig.

Lees eens goed wat ik zeg "block all on port 22, allow only own fixed ip", dus zie niet in waarom de poort dan nog veranderd zou moeten worden. SSH Keys met wachtwoord is dan wel degelijk een extra beveiliging die nuttig is en wat betreft je dynamic ip, kun je toch simpel oplossen. Ofwel neem je een deftige provider met een business abbo zodat je fixed ip hebt ofwel zet je een vpn verbinding naar je server (al dan niet geleverd door je server provider).

t.bloo
18/04/13, 19:59
Gewoon je poort lekker op de standaard 22 laten staan en je eigen IP adressen allowen met een /24 ofzo. Als dat verandert dan kun je via de VPS console altijd nog inloggen en dat aanpassen.

slikkaticz
19/04/13, 10:55
Er leiden meer wegen naar Rome he, het veranderen van de port werkt prima.

Ik kan zelf wel gewoon pingen naar mijn server maar iemand anders niet. Vroeger zat ik nog wel is in de hacking scene en vaak keken mensen met een botnet eerst via ping of de server responsive was alvorens een ddos attack te doen. Bij request timed out zijn er altijd mensen die naar een andere gaan. Natuurlijk kan je ddos niet stoppen maar het helpt in ieder geval weer een beetje voor de noobies.

The-BosS
19/04/13, 15:42
Er leiden meer wegen naar Rome he, het veranderen van de port werkt prima.

Ik kan zelf wel gewoon pingen naar mijn server maar iemand anders niet. Vroeger zat ik nog wel is in de hacking scene en vaak keken mensen met een botnet eerst via ping of de server responsive was alvorens een ddos attack te doen. Bij request timed out zijn er altijd mensen die naar een andere gaan. Natuurlijk kan je ddos niet stoppen maar het helpt in ieder geval weer een beetje voor de noobies.

Ik moet de eerste hacker nog tegen komen die geen aanval doet als hij geen echo/icmp terug krijgt van de server maar wel een http(s) request/resonse heeft. Als ze een website willen plat leggen, wat meestal het doel is bij een DDoS, dan maakt het niets uit of je echo/icmp firewalled of niet. Ze voeren gewoon een slow loris attack uit of over belasten je http gewoon met enorm veel request.

balen001
20/04/13, 13:08
Waarom zou je het niet doen, als extratje?
Ik wijzig ook altijd de SSH poort. Scheelt enorm met bruteforces van scriptkiddies op die poort in de logs. Geen ssh op poort 22 aanwezig, dan houdt dat al snel op. Daarnaast is kun je i.p.v. whitelisten of beperken tot jouw ip, hetgeen niet handig is als je thuis een dynamic ip hebt (zoals bij veel ISP's), beter password login uitschakelen en via SSH Keys inloggen.

CSF/LFD installeren, wat php functies disablen, mod_ruid installeren etc. is ook verstandig.

Hoi @Blacky, met advies van @slikkaticz gisteren CSF Security en Firewall geinstalleerd. Is goed gegaan.
Voor SSH en DirectAdmin heb ik de standaard poorten gewijzigd.
Kan ik de poorten 22 en 2222 nu ongestraft blokkeren?

Mark17
20/04/13, 13:19
Hoi @Blacky, met advies van @slikkaticz gisteren CSF Security en Firewall geinstalleerd. Is goed gegaan.
Voor SSH en DirectAdmin heb ik de standaard poorten gewijzigd.
Kan ik de poorten 22 en 2222 nu ongestraft blokkeren?

Zolang je de nieuwe poorten open hebt staan en getest hebt: ja je kunt de standaard poorten blokkeren.

balen001
20/04/13, 14:58
Waarom zou je het niet doen, als extratje?
Ik wijzig ook altijd de SSH poort. Scheelt enorm met bruteforces van scriptkiddies op die poort in de logs. Geen ssh op poort 22 aanwezig, dan houdt dat al snel op. Daarnaast is kun je i.p.v. whitelisten of beperken tot jouw ip, hetgeen niet handig is als je thuis een dynamic ip hebt (zoals bij veel ISP's), beter password login uitschakelen en via SSH Keys inloggen.

CSF/LFD installeren, wat php functies disablen, mod_ruid installeren etc. is ook verstandig.


Zolang je de nieuwe poorten open hebt staan en getest hebt: ja je kunt de standaard poorten blokkeren.
Aangepast en werkt goed.

Nu mijn Spam filter nog. Misschien een advies voor deze nerd :rolleyes:

balen001
20/04/13, 15:08
Zolang je de nieuwe poorten open hebt staan en getest hebt: ja je kunt de standaard poorten blokkeren.

Kan ik de IPV6 poorten 22 en 2222 ook blokkeren?

# Allow incoming IPv6 TCP ports
TCP6_IN = ........, 22, ........, 2222, .......

Mark17
20/04/13, 15:15
De betreffende IPv6 poorten kun je ook blokkeren (voeg de nieuwe poorten wel even toe als je de server via IPv6 wilt kunnen benaderen voor ssh/DirectAdmin). Een echt goed spamfilter kun je haast niet zelf draaien, hiervoor adviseer ik om dit extern in te kopen (bv een platform op basis van spamexperts).

t.bloo
20/04/13, 16:08
Voor SSH en DirectAdmin heb ik de standaard poorten gewijzigd.
Kan ik de poorten 22 en 2222 nu ongestraft blokkeren?

Ik zie vaak ook op poort 443 allerlei aanvallen, die kun je wellicht ook nog wijzigen.



Nu mijn Spam filter nog.

Het beste kun je poort 25 ook blokkeren, dat scheelt echt heel veel spam.

balen001
29/04/13, 02:02
Het beste kun je poort 25 ook blokkeren, dat scheelt echt heel veel spam.

Inkomend en uitgaand? Kan ik dan nog wel mail versturen en ontvangen via mijn server?

visser
29/04/13, 02:17
Inkomend en uitgaand? Kan ik dan nog wel mail versturen en ontvangen via mijn server?

Nee, als je mail voor je domein op je eigen server wilt blijven ontvangen, en mail vanaf je eigen server versturen kun je poort 25 niet blokkeren.

Je kunt mail naar @jouwdomein ook ergens anders onderbrengen (bv bij gmail), in dat geval hoef je zelf geen mailserver meer te draaien.
De server die mail ontvangt voor een domein (staat in het MX record in DNS) kan helemaal los staan van de webserver voor dat domein.