Wat hier komt is een kleine 'how to' installatie + wat basic security, er zijn nog andere manieren om het te doen.
Zal het beetje bij beetje uitbreiden, suggesties en aanvullingen welkom.
Bron van informatie: het PLESK forum, atomic rocket turtle en andere server hosting forums plus wat eigen ervaring.
U ziet maar.
Voor u begint:
----------------------------------------------------------------------
Zorg er voor dat de hostname van je machine klopt!
Zorg er voor dat mysql draait met root zonder passwoord.
----------------------------------------------------------------------
Deze How To is getest op Fedora Core 1, mits kleine aanpassingen ook mogelijk op andere linux distro's.
Basic kennis linux is wel een vereiste, vooral omdat niet elke machine hetzelfde is.
We gaan Yum gebruiken om Plesk en al de nodige rpms te installeren en te updaten.
A. Yum Installatie
---------------------
wget http://www.shinn.net/pub/Linux/atomi...7-1.noarch.rpm
rpm -Uvh yum-2.0.7-1.noarch.rpm
pico /etc/yum.conf
Wis:
[base]
name=Red Hat Linux $releasever - $basearch - Base
baseurl=http://mirror.dulug.duke.edu/pub/yum-repository/redhat/$releasever/$basearch/
[updates]
name=Red Hat Linux $releasever - Updates
baseurl=http://mirror.dulug.duke.edu/pub/yum-repository/redhat/updates/$releasever/
en zet in te plaats:
[atomic-psa7]
name=Atomic Rocket Turtle - $releasever - Atomic PSA 7.0
baseurl=http://archive.atomicrocketturtle.com/psa7/$releasever/
http://shinn.net/pub/Linux/atomic/psa7/$releasever/
ftp://ftp.shinn.net/pub/Linux/atomic/psa7/$releasever/
http://www.atomicrocketturtle.com/atomic/psa7/$releasever/
Saven
yum install psa
Als er packages ontbreken dien je deze te installeren (hint: rpmfind.net)
Ins ons geval:
ftp://194.199.20.114/linux/fedora/co...6.118.i386.rpm
en
ftp://194.199.20.114/linux/fedora/co....1-17.i386.rpm
Als je 'I will install to satisfy deps'... krijgt, y intikken.
B. Plesk Hotfix
-----------------
ftp://download1.sw-soft.com/Plesk/Pl....0.2_hotfix.sh
sh psa_7.0.2_hotfix.sh
C. Key installeren
---------------------
sh PLSK.000XXXXX.0000.sh
Voila, u heeft de laatste versie van Plesk!
ga nu naar https://ip:8443 en log in met admin - setup
Doe regelmatig yum update, dit zal automatisch plesk updaten.
D. Elementaire beveiliging
------------------------------
Dit zijn slechts onvolledige basisregels, lees, leer en werk steeds je server bij!
1. SSH
--------
- bij voorkeur op een ander IP dan het shared IP die je aan je gebruikers geeft
- geen directe root login!, maak een andere user aan (dit kan je ook via plesk)
- SSH best op een andere poort...
Zo ga je te werk:
pico /etc/ssh/sshd_config
zoek #Port 22 en verander dit in Port random cijfer vb 4234
Als je server over meerdere IPs beschikt geef dan een :
#ListenAddress 0.0.0.0 in ListenAddress IP
zoek #Protocol 2, 1 en verander het in Protocol 2
#PermitRootLogin yes moet PermitRootLogin no
Saven en SSH restarten met:
/etc/rc.d/init.d/sshd restart
Je kan nu sshen op uw ip op poort 4234
je dient in te loggen met de andere niet root account
typ dan su root om toch root te worden
2. Alert als er iemand als root inlogt
su -
cd
pico .bash_profile
zet op als in de laatste lijn:
echo 'WAARSCHUWING - Root Shell Access op:' `date` `who` | mail -s "Waarschuwing: Root Access van `who | awk '{print $6}'`" extern@emailnietopdeserver.com
3.Telnet Disablen
pico -w /etc/xinetd.d/telnet
- disable = yes
/etc/init.d/xinetd restart
4. Maskeren van service versies
pico /etc/httpd/conf/httpd.conf
zoek (ctrl+w) ServerSignature
Zet ServerSignature op off
voeg de volgende lijn toe:
ServerTokens ProductOnly
Saven
/etc/rc.d/init.d/httpd restart
5.Process Resource Monitor
Wat doet dit: abnormale resource gebruik en processen killen.
wget http://www.rfxnetworks.com/downloads/prm-current.tar.gz
tar xvfz prm-current.tar.gz
cd prm-0.5/
Configureren:
pico /usr/local/prm/conf.prm
Zet waarden:
USR_ALERT="1"
USR_ADDR="root, extern@emailnietopdeserver.com"
# check 5,10,15 minute load average. [1,2,3 respective of 5,10,15]
LC="1"
MIN_LOAD="1"
WAIT="10"
KILL_TRIG="3"
MAXCPU="35"
MAXMEM="15"
Om te runnen:
/usr/local/sbin/prm -s
cron job voert het automatisch om de 5 minuten uit
zaken worden hoier gelogd: '/usr/local/prm/prm_log'
je kan best httpd en mysqld toevoegen in: /usr/local/prm/ignore
info: http://www.rfxnetworks.com/appdocs/README.prm
6. Rootkit Checker
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvzf chkrootkit.tar.gz
cd chkrootkit*
make sense
om de rootkit checker te runnen: ./chkrootkit
crontab instellen:
crontab -e
0 3 * * * cd /pad/naar/chkrootkit; ./chkrootkit -q 2>&1 | mail -s "chkrootkit output" extern@domein.com
INFECTED (PORTS: 465) is normaal, geen zorgen maken
7. Clamav Antivirus
wget http://dag.wieers.com/packages/clama...1.dag.i386.rpm
wget http://dag.wieers.com/packages/clama...1.dag.i386.rpm
wget http://dag.wieers.com/packages/clama...1.dag.i386.rpm
rpm -Uvh clam*rpm
service clamd start
8. /tmp beveiligen
heel belangrijk, zo kunnen er geen scripts gerund worden vanuit de /tmp (veelal gebruikt door rootkits)
cd /dev
dd if=/dev/zero of=tmpMnt bs=1024 count=100000
mke2fs /dev/tmpMnt
cd /
cp -R /tmp /tmp_backup-
mount -o loop,noexec,nosuid,rw /dev/tmpMnt /tmp
chmod 0777 /tmp
cp -R /tmp_backup/* /tmp/
rm -rf /tmp_backup-
File laten mounten bij start:
pico -w /etc/fstab
voeg onderaan:
/dev/tmpMnt /tmp ext2 loop,noexec,nosuid,rw 0 0
toe.
Saven
9. mrtg en Plesk:
http://forum.sw-soft.com/showthread....highlight=mrtg
(6 de post)
To come:
Firewall
Plesk & Tripwire
Plesk Optimalisatie