Onderwerp: VPS goed beveiligen en directadmin installeren.

Beste forum leden,

Ik zit al enkele dagen vol concentratie het forum af te lezen en pik hier en daar genoeg goede posts op maar het leek mij toch verstandig nog even zelf een topic aan te maken voor mijn vragen:

Ik heb een VPS gekocht bij Transip en daar CentOS 6.4 op geïnstalleerd. Daarnaast heb ik een lifetime licentie aangeschaft. Nu wil ik vandaag Directadmin gaan installeren maar ik heb nog wat vraagjes:

1. Mocht ik directadmin na het installeren weer verwijderen kan ik dan nog steeds met mijn huidige licentie het opnieuw installeren of is het 1 time activatie per install?

2. Naast de ssh port te veranderen, firewall installeren en poorten blokkeren zijn er nog andere belangrijke veiligheid aspecten die ik ben vergeten voor het goed beveiligen van de vps.

Alvast heel erg bedankt voor het lezen.

1) DA kan je prima opnieuw installeren, hij is gebonden aan het IP-adres wat je hebt opgegeven binnen de client area van directadmin.com. Je kan hem dus ook na het verwijderen op een andere VPS gebruiken. DA zal dat niet meer werken op de eerste VPS. Wel wordt aangeraden om alleen DA te installeren op een verse installatie.
2) Ik zou eens goed gaan googlen naar deze aspecten. Als je de firewall van Config Server gebruikt geeft deze ook al een paar handvatten zoals het noexec mounten van /tmp, suphp etc.

Ook hier op WHT zijn voldoende alternatieven te vinden voor een veilige(r) server/VPS.

Voor de absolute basis-beveiliging acties kun je beginnen met de stappen die door DA worden aangedragen:

http://help.directadmin.com/item.php?id=247

uiteraard is dat echt slechts een basis, een startpunt.

Hartelijk dank voor jullie reacties!

Ik ga vanavond beginnen met de installatie op een schone server, als mij dat gelukt is zal ik eens goed googlen op het beveiligen van de server. Hopelijk komt alles goed.

Nogmaals bedankt!

Oorspronkelijk geplaatst door slikkaticz

Hartelijk dank voor jullie reacties!

Ik ga vanavond beginnen met de installatie op een schone server, als mij dat gelukt is zal ik eens goed googlen op het beveiligen van de server. Hopelijk komt alles goed.

Nogmaals bedankt!

En? is het gelukt?

Oorspronkelijk geplaatst door balen001

En? is het gelukt?

Hey Balen,

Het is zeker gelukt!

Ik heb directadmin zonder problemen kunnen installeren, vervolgens csf firewall erop gezet en hier het 1 en ander in geconfigureerd zoals blocken van ping naar de server. De shh port veranderen was ook erg makkelijk. Via het csf system check heb ik ook nog wat beveiliging tips gehad zoals het toevoegen van dangerous php functies aan de php.ini.

Het lastigste waar ik tegen aan ben gelopen was dat de disk usage niet werd geupdate in directadmin maar via een mooie tutorial dit toch kunnen oplossen.

Me vps draait nu soepel en ik heb vertrouwen in de security.

Fijne dag!

Je bent er van op de hoogte dat disk usage 1 keer per dag wordt bijgewerkt?

Oorspronkelijk geplaatst door Yourwebhoster

Je bent er van op de hoogte dat disk usage 1 keer per dag wordt bijgewerkt?

Of handmatig doen, denk dat hij dat bedoeld. Daarnaast heb ik ook vaker bij DA het probleem dat ik de quota handmatig nog moet configureren / herinstalleren voordat deze fatsoenlijk werkt.

Oorspronkelijk geplaatst door slikkaticz

Ik heb directadmin zonder problemen kunnen installeren, vervolgens csf firewall erop gezet en hier het 1 en ander in geconfigureerd zoals blocken van ping naar de server. De shh port veranderen was ook erg makkelijk.

Waarom zou je de ssh poort willen veranderen, gewoon allowed zetten op je eigen fixed ip en done. En ik snap al helemaal niet waarom je ping (echo/icmp) zou willen uitzetten, vooral niet handig als je je server wilt monitoren.

Security through obscurity vind ik dat altijd zo erg als je poorten gaat veranderen. Zou het eerder gaan whitelisten als ik jou was. En ook ik ben wel benieuwd waarom je niet wil dat mensen je server niet kunnen pingen? Ik gebruik het zelf bij al mijn servers om te zien of de server nog online is (en dan ga je nog wel iets verder met monitoring dan alleen ping, maar ping is vrij handig bij monitoren lijkt me zo..)

Waarom zou je de ssh poort willen veranderen

Waarom zou je het niet doen, als extratje?
Ik wijzig ook altijd de SSH poort. Scheelt enorm met bruteforces van scriptkiddies op die poort in de logs. Geen ssh op poort 22 aanwezig, dan houdt dat al snel op. Daarnaast is kun je i.p.v. whitelisten of beperken tot jouw ip, hetgeen niet handig is als je thuis een dynamic ip hebt (zoals bij veel ISP's), beter password login uitschakelen en via SSH Keys inloggen.

CSF/LFD installeren, wat php functies disablen, mod_ruid installeren etc. is ook verstandig.

Oorspronkelijk geplaatst door Blacky

Waarom zou je het niet doen, als extratje?
Ik wijzig ook altijd de SSH poort. Scheelt enorm met bruteforces van scriptkiddies op die poort in de logs. Geen ssh op poort 22 aanwezig, dan houdt dat al snel op. Daarnaast is kun je i.p.v. whitelisten of beperken tot jouw ip, hetgeen niet handig is als je thuis een dynamic ip hebt (zoals bij veel ISP's), beter password login uitschakelen en via SSH Keys inloggen.

CSF/LFD installeren, wat php functies disablen, mod_ruid installeren etc. is ook verstandig.

Lees eens goed wat ik zeg "block all on port 22, allow only own fixed ip", dus zie niet in waarom de poort dan nog veranderd zou moeten worden. SSH Keys met wachtwoord is dan wel degelijk een extra beveiliging die nuttig is en wat betreft je dynamic ip, kun je toch simpel oplossen. Ofwel neem je een deftige provider met een business abbo zodat je fixed ip hebt ofwel zet je een vpn verbinding naar je server (al dan niet geleverd door je server provider).

Gewoon je poort lekker op de standaard 22 laten staan en je eigen IP adressen allowen met een /24 ofzo. Als dat verandert dan kun je via de VPS console altijd nog inloggen en dat aanpassen.

Er leiden meer wegen naar Rome he, het veranderen van de port werkt prima.

Ik kan zelf wel gewoon pingen naar mijn server maar iemand anders niet. Vroeger zat ik nog wel is in de hacking scene en vaak keken mensen met een botnet eerst via ping of de server responsive was alvorens een ddos attack te doen. Bij request timed out zijn er altijd mensen die naar een andere gaan. Natuurlijk kan je ddos niet stoppen maar het helpt in ieder geval weer een beetje voor de noobies.