PDA

Bekijk Volledige Versie : Beveilig een DirectAdmin Server



snaaps
17/08/05, 02:12
Hallo ik ben voor me zelf bezig om een soort van tutorial aan het maken voor de installatie en beveilling van een DirectAdmin server.
De servers draaien onder Fedora core 3 maar is volgens mij ook bruikbaar voor redhad enzo.

Ik heb de tutorial online gezet om zo andere beginners een beetje op weg te helpen.
Maar wat eigelijk belangrijker is is indien je meer tips hebt of opmerkingen dat we die hier kunnen evalureren.

de link: http://www.ccc4.nl/instaleer-server.htm
Ziet er nog knullig uit maar het gaat ff om de inhoud!

D. ter Horst
17/08/05, 02:22
Goed bezig snaaps, ik denk dat best wat mensen hier wel wat aan hebben!

Maico
17/08/05, 02:26
Klasse :)

snaaps
17/08/05, 02:28
Mail functie van de chkrootkit toegevoegd!

Domenico
17/08/05, 02:56
Vergeet je niet de juiste credits aan de makers van de tutorials te geven?

snaaps
17/08/05, 03:00
Ik neem aan dat de meeste mensen wel begrijpen dat ik dit verzameld heb van diverse websites.
Ik heb alles onder elkaar gezet voor een duidelijkere en snellere installatie.

zucht..

MediaServe
17/08/05, 03:28
Klasse zeg :)
Bedankt voor de moeite :)

snaaps
17/08/05, 03:53
Sommige dingen zijn nog niet getest, dit zal ik doen wanneer mijn testserver daadwerkelijk in het dc staat. Echter is het ff wachten op ralf die mij een 1/4 rack moet toewijzen

renekosterman
17/08/05, 09:00
Heel netjes (Y) en zeker bruikbaar thnx

Digiover
17/08/05, 09:35
Geen ervaring met DA, noch met Redhat / Fedora. Wijzig regel 2 eens in:
* Log als $user met ssh in
* su of su - naar root
En bij Yum update:
# nano /etc/yum.conf(hier staat namelijk 2x nano)
Beveilig Shell toegang (zou ik van maken: Beveilig ssh), in /etc/ssh/sshd_config:
PermitRootLogin no
Mijns inziens is het nutteloos sshd op een andere poort te laten luisteren. Security by obscurity...

en nog 1 tip: vi je .html bestand, :%s/shh/ssh/g
Maar dergelijke tutors zijn over het algemeen een goed idee (y).

t.bloo
17/08/05, 12:21
hier was ik net naar op zoek!

Digiover
17/08/05, 12:43
Origineel geplaatst door Digiover
Beveilig Shell toegang (zou ik van maken: Beveilig ssh), in /etc/ssh/sshd_config:
PermitRootLogin no
Compileer sshd zodat het het gebruik van TCPWrappers ondersteund (libwrap (--with-libwrap=/path_to_libwrap.a/), uitleg (http://www.ssh.com/support/documentation/online/ssh/adminguide/32/Configuring_SSH_Secure_Shell_for_TCP_Wrappers_Supp ort.html)). Zet in je /etc/hosts.deny:
ALL: ALL en in je /etc/hosts/allow:
sshd: xxx.xxx.xxx.xxx
Zo heeft alleen IP adres xxx.xxx.xxx.xxx toegang tot de sshd.

Bob2
17/08/05, 12:48
wellicht http://www.eth0.us er ook even onder vermelden, zeker de helft kom hier vandaan ;)

Verder, top dat je de moeite neemt alles in 1 lijstje te zetten... Zeker handig!

WilcoOnline
17/08/05, 12:50
eventueel title even aanpassen. Datum van laatste update er even op.

En mischien even alles gewoon knap naar nederlands maken? Nu staat alles beetje door elkaar engels etc etc.

Gewoon even alles mooi naar het nederlands maken. Voor de rest handig paginatje

RayManZ
17/08/05, 13:55
Op het DA forum staat ook een zeer goede mod_sec config vond ik zelf. Misschien er even bij plaatsen :)?

wbakker-letsgoonline
17/08/05, 14:31
Kijk hier heb je nog wat aan, heb er toch nog een aantal dingen uitgehaald die wij konden gebruiken bedankt !

snaaps
17/08/05, 15:13
Origineel geplaatst door RayManZ
Op het DA forum staat ook een zeer goede mod_sec config vond ik zelf. Misschien er even bij plaatsen :)?

waar dan?

Tips van Jan Reilink toegevoegd.
Goeie tip trouwens

RayManZ
17/08/05, 15:27
Deze thread en dan de laatste post:

http://www.directadmin.com/forum/showthread.php?s=&threadid=8428&highlight=modsecurity

die kun je dan mooi combineren met de tut op eth0.us :)Zo heb ik het tenminste gedaan en het werkt erg goed.

snaaps
17/08/05, 15:47
ok bedankt, maar ik moet nu ff wachten tot ik een testserver heb draaien met da in het dc.
Sommige mods durf ik namelijk nog niet aan op een draaiende server.
Ik heb hier 3 server liggen maar kan ff niet naar het dc omdat ik wacht op een nieuwe 1/4 rack.
Hierna zal ik dus diverse mods gaan uitproberen op een testserver.

IK zit ff vast

p.s betreft yum
Ik was een tijdje geleden bezig om yum zo te configuren dat bijvoorbeeld httpd, mysqld, named etc niet worden geupdate.
echter wilden dit niet lukken, kreeg elke keer conf fouten als ik yum probeerde.

RayManZ
17/08/05, 15:49
up DA forum staat daar ook info over. Moet je even de zoek functie gebruiken naar YUM update en dan vind je het wel :)

snaaps
17/08/05, 15:50
ja dat heb ik dus ook al gedaan, maar goed is nu een half jaar geleden zal er eens met frisse moed opnieuw naar gaan kijken.

Mathieu
18/08/05, 01:02
Nice post, thanks!

joriz
18/08/05, 01:08
Perfect man!

Boeien dat het er niet uitziet!
Het is hardstikke handig want dit soort dingen doe je meestal niet elke dag waardoor je dus soms iets vergeet.

Misschien is een mooie inhoud nog handig of zelfs een checklist ;)

WH-Tim
18/08/05, 02:41
Hehe, deze had ik al, alleen dan van mezelf.. de documentatie van mijn server is ondertussen rond de 150kb groot gemaakt in notepad ;)

Zeker aardig dat je het ff online zet!

blaaat
18/08/05, 13:15
Super hoor :D

-------------

Yum kan je gewoon draaien, alleen daarna moet je in de customapache map even opnieuw builden



# cd /usr/local/directadmin/customapache/
# ./build update
# ./build all (of alleen apache, maargoed)


Omdat Yum apache naar 2.0 gooid.

snaaps
18/08/05, 15:41
optimize mysql toegevoegd

ehh heb de wait_timeout op 30 seconden gezet i.p.v 100

thastudio
18/08/05, 16:33
Origineel geplaatst door blaaat
Super hoor :D

Yum kan je gewoon draaien, alleen daarna moet je in de customapache map even opnieuw builden

Omdat Yum apache naar 2.0 gooid.

Gewoon in de yum configuratie instellen dat hij apache niet update...

Is wel een leuk overzicht, bijna al deze dingen had ik reeds gedaan op mijn server maar is wel handig voor in de toekomst om niets te vergeten bij het installeren van een nieuwe server.

Klokke
18/08/05, 23:45
Zeer goed initiatief! Dit is erg handig als referentie en natuurlijk ook enkele nieuwe dingetjes om te testen :)

Mathieu
19/08/05, 00:40
Komen er nog nieuwe dingen?

snaaps
19/08/05, 00:42
jawel, alleen heb ik het ff gigadruk momenteel
plus ik moet ff wacchten op me test servers

Mathieu
19/08/05, 01:09
Kun je de nieuwe dingen dan mooi aanduiden dat het nieuw is aub? :)

Kennie115
19/08/05, 10:22
foutje!

# {exists{/home/${lookup{$domain}lsearch{/etc/virtual/domainowners}{$value}}/.spamassassin/user_prefs}} \

{exists{/home/${lookup{$domain}lsearch{/etc/virtual/dom$

Haal aleen het # teken weg!



Die laatste regel is niet compleet en misschien krijgen mensen problemen dan ;)

snaaps
19/08/05, 10:59
Je hebt gelijk!
Heb het aangepast.

Wellicht had ik deze tekst uit shh gekopieerd en werd de tekst ingekort.

Icheb
20/08/05, 13:31
Snaaps: zou je er een probleem mee hebben als ik jou document zou opnemen in mijn wiki ? (de content)

Ik vind het op die manier persoonlijk makkelijker werken dan op een manier waar er een centraal aanspreekpunt is (die in het geval van enkele eerdere DA projecten er na een tijdje mee kapt).

snaaps
20/08/05, 13:50
geen enkel probleem

Icheb
20/08/05, 14:06
Origineel geplaatst door snaaps
geen enkel probleem
Oke, bedankt :)

Daarnaast nog een opmerking, ik heb de volgende aan de praat gekregen op al 2 servers:


Waarshuwing bij inloggen van shh:

(werkt niet bij DA?)

Alleen heb ik de file /root/.bashrc ge-edit, en niet de file .bash_profile. :)

frvge
20/08/05, 19:21
Geweldig! Ga zo door :)

NB-Gerd
21/08/05, 04:01
Erg netjes en zeer nuttig

XBL
23/08/05, 19:22
Erg handig!
Over die tcp syncookies, als je even googled zeggen ze 0, ipv 1, welke is het nou?

Digiover
23/08/05, 19:59
Origineel geplaatst door XBL
Erg handig!
Over die tcp syncookies, als je even googled zeggen ze 0, ipv 1, welke is het nou?
0 is disabled, 1 is enabled. Syncookies wil je enabled hebben.
# Enable TCP SYN cookies to keep us from suffering from
# syn-flood DoS or DDoS attacks. See DJB's page at
# http://cr.yp.to/syncookies.html if you want to know
# how SYN cookies work - it's cool.
enable /proc/sys/net/ipv4/tcp_syncookiesVan zomaar een random source gevonden via Google.

Digiover
23/08/05, 20:09
Uhm... Ongeveer halverwege de pagina, betreffende /tmp:

Create a ~800Mb partition
Wat nou als je 2 GB RAM in je server hebt hangen en het OS wil het volledige RAM dumpen naar /tmp?
Advies: /tmp altijd 2x zo groot als de hoeveelheid RAM.

XBL
24/08/05, 00:42
Origineel geplaatst door Digiover

0 is disabled, 1 is enabled. Syncookies wil je enabled hebben.Van zomaar een random source gevonden via Google. Ja, maar het waarom is mij niet duidelijk. Ik wil graag weten waarom die syncookies aan moeten, omdat sommige sites zeggen dat ze juist uit moeten.

Jochem

XBL
24/08/05, 13:11
btw, die Logwatch en BFD is erg handig, ik zag ook dat er 461 mislukte inlogpogingen waren op ssh gister, ssh op een andere poort zette is eigelijk best strak idee ;)

WilloW
31/08/05, 16:56
Weet je wat ook een helegoeie is. Gewoon een ssh key aanmaken.

Volgens mij is dat toch 1 van de beste beveiligingen. En ik denk dat sommige mensen mij ook gelijk geven als ik zeg dat het veiliger is dan een wachtwoord.

Sander-
08/06/06, 21:03
Uhm... Ongeveer halverwege de pagina, betreffende /tmp:

Wat nou als je 2 GB RAM in je server hebt hangen en het OS wil het volledige RAM dumpen naar /tmp?
Advies: /tmp altijd 2x zo groot als de hoeveelheid RAM.

Excuses voor de kick, maar is dit werkelijk nodig? Gaat dit voor hangups zorgen als je da tniet zo hebt?

Ben bezig met het beveiligen van mijn servertje hier en heb dus volgens de tuts een 800MB partitie aangemaakt. Is het mogelijk om deze nog te vergroten naar 2GB? (2 x me ram van 1GB)

En waarom krijg ik in pagina's image errors als ik mod_evasive gebruik?

Ik krijg een simpele phpsysinfo pagina niet meer geheel geladen hierdoor...

frvge
09/06/06, 01:19
phpsysinfo gebruikt nogal veel resources is mij verteld. Met een beetje F5-en avanaf meerdere PC's is realtime effect in de load te zien :p Doe het incl een aantal scriptjes, en tada... maar zet de treshold wat hoger en kijk of dat effect heeft...

E-Projects
09/06/06, 01:30
phpsysinfo gebruikt nogal veel resources is mij verteld. Met een beetje F5-en avanaf meerdere PC's is realtime effect in de load te zien :p Doe het incl een aantal scriptjes, en tada... maar zet de treshold wat hoger en kijk of dat effect heeft...

Ik heb daarover ook wat gehoort. Ik gebruik het ook.
Als je het aan niemand publiceert heb je ook geen probleem:)

ErikKosters
09/06/06, 09:02
phpsysinfo gebruik shell_exec commando's dacht ik, voer onderstaande uit om het te fixen:



nano /usr/local/directadmin/data/users/<user>/httpd.conf

Ctrl - V naar het juiste domein.

Wijzig:


php_admin_value open_basedir /home/<user>/:/tmp/:/var/www/:/usr/local/lib/php/:/etc/virtual/

In:


#php_admin_value open_basedir /home/<user>/:/tmp/:/var/www/:/usr/local/lib/php/:/etc/virtual/


ff een hekje ervoor zetten dus :)

Verder denk ik dat ssh op andere poort zetten best useless is. 1x Poortscan en klaar ben je.

MaffeMuis
09/06/06, 13:15
Deze thread en dan de laatste post:

http://www.directadmin.com/forum/showthread.php?s=&threadid=8428&highlight=modsecurity

die kun je dan mooi combineren met de tut op eth0.us :)Zo heb ik het tenminste gedaan en het werkt erg goed.


haha, ik miste mod_sec ook al. en ik wilde mijn topic al spammen :P maar dat is al gebeurd (a) Ik ben blij dat mensen er gebruik van kunnen maken :P

XBL
09/06/06, 13:40
Verder denk ik dat ssh op andere poort zetten best useless is. 1x Poortscan en klaar ben je.
Veel van die automatische bruteforce attacks (die altijd mislukken dankzij BFD) zijn gewoon gericht op poort 22. Dus de poort wijzigen houd in ieder geval de robots buiten de deur (dan heb je natuurlijk nog de mensen die handmatig gaan kloten, die houd je daar inderdaad niet mee buiten).

Jochem

Sander-
09/06/06, 14:17
Probleem bij mij was dat mod_evasive verkeerd aangeroepen werd. Ik riep em old-style aan: dus ifmodule mod_dosevasive ipv evasive, daardoor hadden mijn instellingen totaal geen effect...

londoneye
09/06/06, 15:27
Mod DOS_EVASIVE
Aanrader? Kost dit niet veel load?

Zelfde bij mod_security... helpt een mod_sec met standaard-instellingen veel? En kost dit niet heel veel load?

MaffeMuis
09/06/06, 18:27
Mod DOS_EVASIVE
Aanrader? Kost dit niet veel load?

Zelfde bij mod_security... helpt een mod_sec met standaard-instellingen veel? En kost dit niet heel veel load?


draaid goed hoor... en ik heb alleen poosj egeen rare dingen meer gekregen op de server en er wordt veel geblokt met die phpbb boarden... (a)

snaaps
09/06/06, 20:19
Hmm wij gebruiken dat alleen als het nodig is.
Bijvoorbeeld bij kiddy's die proberen onze server plat te leggen.

Is in 5 minuten geinstalleerd.

Mijn ervaring met deze software is wel goed, maar soms te goed!

wijkkie
11/11/09, 22:44
is iemand nog in het bezit van deze tutorial??

Adnecto
11/11/09, 22:48
Totally outdated.

Bekijk deze tutorial eens:
http://help.directadmin.com/item.php?id=247


En voor het installeren, hier:
http://www.directadmin.com/installguide.html


En mocht je TS' tutorial toch echt ontzettend graag lezen, dan hebben we daar Archive.org (http://web.archive.org/web/20070101202123/http://www.ccc4.nl/instaleer-server.htm) voor.