Bekijk Volledige Versie : Beveilig een DirectAdmin Server
Hallo ik ben voor me zelf bezig om een soort van tutorial aan het maken voor de installatie en beveilling van een DirectAdmin server.
De servers draaien onder Fedora core 3 maar is volgens mij ook bruikbaar voor redhad enzo.
Ik heb de tutorial online gezet om zo andere beginners een beetje op weg te helpen.
Maar wat eigelijk belangrijker is is indien je meer tips hebt of opmerkingen dat we die hier kunnen evalureren.
de link: http://www.ccc4.nl/instaleer-server.htm
Ziet er nog knullig uit maar het gaat ff om de inhoud!
D. ter Horst
17/08/05, 01:22
Goed bezig snaaps, ik denk dat best wat mensen hier wel wat aan hebben!
Mail functie van de chkrootkit toegevoegd!
Vergeet je niet de juiste credits aan de makers van de tutorials te geven?
Ik neem aan dat de meeste mensen wel begrijpen dat ik dit verzameld heb van diverse websites.
Ik heb alles onder elkaar gezet voor een duidelijkere en snellere installatie.
zucht..
MediaServe
17/08/05, 02:28
Klasse zeg :)
Bedankt voor de moeite :)
Sommige dingen zijn nog niet getest, dit zal ik doen wanneer mijn testserver daadwerkelijk in het dc staat. Echter is het ff wachten op ralf die mij een 1/4 rack moet toewijzen
renekosterman
17/08/05, 08:00
Heel netjes (Y) en zeker bruikbaar thnx
Geen ervaring met DA, noch met Redhat / Fedora. Wijzig regel 2 eens in:
* Log als $user met ssh in
* su of su - naar root
En bij Yum update:
# nano /etc/yum.conf(hier staat namelijk 2x nano)
Beveilig Shell toegang (zou ik van maken: Beveilig ssh), in /etc/ssh/sshd_config:
PermitRootLogin no
Mijns inziens is het nutteloos sshd op een andere poort te laten luisteren. Security by obscurity...
en nog 1 tip: vi je .html bestand, :%s/shh/ssh/g
Maar dergelijke tutors zijn over het algemeen een goed idee (y).
hier was ik net naar op zoek!
Origineel geplaatst door Digiover
Beveilig Shell toegang (zou ik van maken: Beveilig ssh), in /etc/ssh/sshd_config:
PermitRootLogin no
Compileer sshd zodat het het gebruik van TCPWrappers ondersteund (libwrap (--with-libwrap=/path_to_libwrap.a/), uitleg (http://www.ssh.com/support/documentation/online/ssh/adminguide/32/Configuring_SSH_Secure_Shell_for_TCP_Wrappers_Supp ort.html)). Zet in je /etc/hosts.deny:
ALL: ALL en in je /etc/hosts/allow:
sshd: xxx.xxx.xxx.xxx
Zo heeft alleen IP adres xxx.xxx.xxx.xxx toegang tot de sshd.
wellicht http://www.eth0.us er ook even onder vermelden, zeker de helft kom hier vandaan ;)
Verder, top dat je de moeite neemt alles in 1 lijstje te zetten... Zeker handig!
WilcoOnline
17/08/05, 11:50
eventueel title even aanpassen. Datum van laatste update er even op.
En mischien even alles gewoon knap naar nederlands maken? Nu staat alles beetje door elkaar engels etc etc.
Gewoon even alles mooi naar het nederlands maken. Voor de rest handig paginatje
Op het DA forum staat ook een zeer goede mod_sec config vond ik zelf. Misschien er even bij plaatsen :)?
wbakker-letsgoonline
17/08/05, 13:31
Kijk hier heb je nog wat aan, heb er toch nog een aantal dingen uitgehaald die wij konden gebruiken bedankt !
Origineel geplaatst door RayManZ
Op het DA forum staat ook een zeer goede mod_sec config vond ik zelf. Misschien er even bij plaatsen :)?
waar dan?
Tips van Jan Reilink toegevoegd.
Goeie tip trouwens
Deze thread en dan de laatste post:
http://www.directadmin.com/forum/showthread.php?s=&threadid=8428&highlight=modsecurity
die kun je dan mooi combineren met de tut op eth0.us :)Zo heb ik het tenminste gedaan en het werkt erg goed.
ok bedankt, maar ik moet nu ff wachten tot ik een testserver heb draaien met da in het dc.
Sommige mods durf ik namelijk nog niet aan op een draaiende server.
Ik heb hier 3 server liggen maar kan ff niet naar het dc omdat ik wacht op een nieuwe 1/4 rack.
Hierna zal ik dus diverse mods gaan uitproberen op een testserver.
IK zit ff vast
p.s betreft yum
Ik was een tijdje geleden bezig om yum zo te configuren dat bijvoorbeeld httpd, mysqld, named etc niet worden geupdate.
echter wilden dit niet lukken, kreeg elke keer conf fouten als ik yum probeerde.
up DA forum staat daar ook info over. Moet je even de zoek functie gebruiken naar YUM update en dan vind je het wel :)
ja dat heb ik dus ook al gedaan, maar goed is nu een half jaar geleden zal er eens met frisse moed opnieuw naar gaan kijken.
Perfect man!
Boeien dat het er niet uitziet!
Het is hardstikke handig want dit soort dingen doe je meestal niet elke dag waardoor je dus soms iets vergeet.
Misschien is een mooie inhoud nog handig of zelfs een checklist ;)
Hehe, deze had ik al, alleen dan van mezelf.. de documentatie van mijn server is ondertussen rond de 150kb groot gemaakt in notepad ;)
Zeker aardig dat je het ff online zet!
Super hoor :D
-------------
Yum kan je gewoon draaien, alleen daarna moet je in de customapache map even opnieuw builden
# cd /usr/local/directadmin/customapache/
# ./build update
# ./build all (of alleen apache, maargoed)
Omdat Yum apache naar 2.0 gooid.
optimize mysql toegevoegd
ehh heb de wait_timeout op 30 seconden gezet i.p.v 100
Origineel geplaatst door blaaat
Super hoor :D
Yum kan je gewoon draaien, alleen daarna moet je in de customapache map even opnieuw builden
Omdat Yum apache naar 2.0 gooid.
Gewoon in de yum configuratie instellen dat hij apache niet update...
Is wel een leuk overzicht, bijna al deze dingen had ik reeds gedaan op mijn server maar is wel handig voor in de toekomst om niets te vergeten bij het installeren van een nieuwe server.
Zeer goed initiatief! Dit is erg handig als referentie en natuurlijk ook enkele nieuwe dingetjes om te testen :)
Komen er nog nieuwe dingen?
jawel, alleen heb ik het ff gigadruk momenteel
plus ik moet ff wacchten op me test servers
Kun je de nieuwe dingen dan mooi aanduiden dat het nieuw is aub? :)
foutje!
# {exists{/home/${lookup{$domain}lsearch{/etc/virtual/domainowners}{$value}}/.spamassassin/user_prefs}} \
{exists{/home/${lookup{$domain}lsearch{/etc/virtual/dom$
Haal aleen het # teken weg!
Die laatste regel is niet compleet en misschien krijgen mensen problemen dan ;)
Je hebt gelijk!
Heb het aangepast.
Wellicht had ik deze tekst uit shh gekopieerd en werd de tekst ingekort.
Snaaps: zou je er een probleem mee hebben als ik jou document zou opnemen in mijn wiki ? (de content)
Ik vind het op die manier persoonlijk makkelijker werken dan op een manier waar er een centraal aanspreekpunt is (die in het geval van enkele eerdere DA projecten er na een tijdje mee kapt).
Origineel geplaatst door snaaps
geen enkel probleem
Oke, bedankt :)
Daarnaast nog een opmerking, ik heb de volgende aan de praat gekregen op al 2 servers:
Waarshuwing bij inloggen van shh:
(werkt niet bij DA?)
Alleen heb ik de file /root/.bashrc ge-edit, en niet de file .bash_profile. :)
Erg netjes en zeer nuttig
Erg handig!
Over die tcp syncookies, als je even googled zeggen ze 0, ipv 1, welke is het nou?
Origineel geplaatst door XBL
Erg handig!
Over die tcp syncookies, als je even googled zeggen ze 0, ipv 1, welke is het nou?
0 is disabled, 1 is enabled. Syncookies wil je enabled hebben.
# Enable TCP SYN cookies to keep us from suffering from
# syn-flood DoS or DDoS attacks. See DJB's page at
# http://cr.yp.to/syncookies.html if you want to know
# how SYN cookies work - it's cool.
enable /proc/sys/net/ipv4/tcp_syncookiesVan zomaar een random source gevonden via Google.
Uhm... Ongeveer halverwege de pagina, betreffende /tmp:
Create a ~800Mb partition
Wat nou als je 2 GB RAM in je server hebt hangen en het OS wil het volledige RAM dumpen naar /tmp?
Advies: /tmp altijd 2x zo groot als de hoeveelheid RAM.
Origineel geplaatst door Digiover
0 is disabled, 1 is enabled. Syncookies wil je enabled hebben.Van zomaar een random source gevonden via Google. Ja, maar het waarom is mij niet duidelijk. Ik wil graag weten waarom die syncookies aan moeten, omdat sommige sites zeggen dat ze juist uit moeten.
Jochem
btw, die Logwatch en BFD is erg handig, ik zag ook dat er 461 mislukte inlogpogingen waren op ssh gister, ssh op een andere poort zette is eigelijk best strak idee ;)
Weet je wat ook een helegoeie is. Gewoon een ssh key aanmaken.
Volgens mij is dat toch 1 van de beste beveiligingen. En ik denk dat sommige mensen mij ook gelijk geven als ik zeg dat het veiliger is dan een wachtwoord.
Uhm... Ongeveer halverwege de pagina, betreffende /tmp:
Wat nou als je 2 GB RAM in je server hebt hangen en het OS wil het volledige RAM dumpen naar /tmp?
Advies: /tmp altijd 2x zo groot als de hoeveelheid RAM.
Excuses voor de kick, maar is dit werkelijk nodig? Gaat dit voor hangups zorgen als je da tniet zo hebt?
Ben bezig met het beveiligen van mijn servertje hier en heb dus volgens de tuts een 800MB partitie aangemaakt. Is het mogelijk om deze nog te vergroten naar 2GB? (2 x me ram van 1GB)
En waarom krijg ik in pagina's image errors als ik mod_evasive gebruik?
Ik krijg een simpele phpsysinfo pagina niet meer geheel geladen hierdoor...
phpsysinfo gebruikt nogal veel resources is mij verteld. Met een beetje F5-en avanaf meerdere PC's is realtime effect in de load te zien :p Doe het incl een aantal scriptjes, en tada... maar zet de treshold wat hoger en kijk of dat effect heeft...
E-Projects
09/06/06, 00:30
phpsysinfo gebruikt nogal veel resources is mij verteld. Met een beetje F5-en avanaf meerdere PC's is realtime effect in de load te zien :p Doe het incl een aantal scriptjes, en tada... maar zet de treshold wat hoger en kijk of dat effect heeft...
Ik heb daarover ook wat gehoort. Ik gebruik het ook.
Als je het aan niemand publiceert heb je ook geen probleem:)
ErikKosters
09/06/06, 08:02
phpsysinfo gebruik shell_exec commando's dacht ik, voer onderstaande uit om het te fixen:
nano /usr/local/directadmin/data/users/<user>/httpd.conf
Ctrl - V naar het juiste domein.
Wijzig:
php_admin_value open_basedir /home/<user>/:/tmp/:/var/www/:/usr/local/lib/php/:/etc/virtual/
In:
#php_admin_value open_basedir /home/<user>/:/tmp/:/var/www/:/usr/local/lib/php/:/etc/virtual/
ff een hekje ervoor zetten dus :)
Verder denk ik dat ssh op andere poort zetten best useless is. 1x Poortscan en klaar ben je.
Deze thread en dan de laatste post:
http://www.directadmin.com/forum/showthread.php?s=&threadid=8428&highlight=modsecurity
die kun je dan mooi combineren met de tut op eth0.us :)Zo heb ik het tenminste gedaan en het werkt erg goed.
haha, ik miste mod_sec ook al. en ik wilde mijn topic al spammen :P maar dat is al gebeurd (a) Ik ben blij dat mensen er gebruik van kunnen maken :P
Verder denk ik dat ssh op andere poort zetten best useless is. 1x Poortscan en klaar ben je.
Veel van die automatische bruteforce attacks (die altijd mislukken dankzij BFD) zijn gewoon gericht op poort 22. Dus de poort wijzigen houd in ieder geval de robots buiten de deur (dan heb je natuurlijk nog de mensen die handmatig gaan kloten, die houd je daar inderdaad niet mee buiten).
Jochem
Probleem bij mij was dat mod_evasive verkeerd aangeroepen werd. Ik riep em old-style aan: dus ifmodule mod_dosevasive ipv evasive, daardoor hadden mijn instellingen totaal geen effect...
Mod DOS_EVASIVE
Aanrader? Kost dit niet veel load?
Zelfde bij mod_security... helpt een mod_sec met standaard-instellingen veel? En kost dit niet heel veel load?
Mod DOS_EVASIVE
Aanrader? Kost dit niet veel load?
Zelfde bij mod_security... helpt een mod_sec met standaard-instellingen veel? En kost dit niet heel veel load?
draaid goed hoor... en ik heb alleen poosj egeen rare dingen meer gekregen op de server en er wordt veel geblokt met die phpbb boarden... (a)
Hmm wij gebruiken dat alleen als het nodig is.
Bijvoorbeeld bij kiddy's die proberen onze server plat te leggen.
Is in 5 minuten geinstalleerd.
Mijn ervaring met deze software is wel goed, maar soms te goed!
is iemand nog in het bezit van deze tutorial??
Totally outdated.
Bekijk deze tutorial eens:
http://help.directadmin.com/item.php?id=247
En voor het installeren, hier:
http://www.directadmin.com/installguide.html
En mocht je TS' tutorial toch echt ontzettend graag lezen, dan hebben we daar Archive.org (http://web.archive.org/web/20070101202123/http://www.ccc4.nl/instaleer-server.htm) voor.