Příručka admina serveru (nejen v hkfree)

Z HKfree wiki
Přejít na: navigace, hledání

Nastavení apache

Debian

V debianu je nastavení webového serveru apache dost zjednodušené - v /etc/apache2/ se nacházejí adresáře sites-enabled a sites-available. Konfigurák vždy vytváříme v sites-available a do sites-enabled symlink uděláme programem "a2ensite" (případně naopak a2dissite). Je to důležité dělat takto, má to v sobě i nějakou logiku - například soubor "default" kde sídlí defaultní stránka se nasymlinkuje na 000-default, takže se includuje jako první!

SSL

Seženeme si certifikát, uděláme nový virtualhost (můžeme odkoukat/okopírovat default-ssl co se v debianu obvykle vyskytuje) a krom toho, že jeho port bude 443 přidáme do konfigurace

       SSLEngine on
       SSLProxyEngine On
       SSLCertificateFile /etc/ssl/server.cert.pem
       SSLCertificateKeyFile /etc/ssl/server.key.pem
       SSLProtocol -ALL +SSLv3 +TLSv1
       SSLHonorCipherOrder On
       SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH

Super věc na otestování, jak to máme funkční, se nachází na [[1]] Zadáme tam adresu a ono nám to řekne, jestli SSL funguje a případně i jestli není náchylné k nějaké zranitelnosti.

Fail2Ban

Vzhledem k tomu, že IPv4 adres je málo, zkouší spousta hackerů a jejich botů hádat SSHčková hesla normálním bruteforcem. Protože my lidi, co se nás snaží nabourat, nemáme rádi, budeme je chtít banovat. Naštěstí na to existuje suprová utilita fail2ban - je to rezidentní daemon, který hlídá logy. Pokud uvidí víc neplatných pokusů o přihlášení, tak adresu, ze které přišly, zabanuje v iptables.

Na Debianu je instalace jednoduchoučká - apt-get install fail2ban a je hotovo. Poté je jenom třeba vlézt do /etc/fail2ban/ a nastavit si jaily (hlídané služby) jak chceme - obvykle stačí pam-ssh, který je první.

Pokud jsme na CentOSu, balík seženem těžko (a navíc má pitomé závislosti). Daleko lepší je si to podle [[2]] nainstalovat ze zdrojáků povlastním.



PS: možná se vám zde zdá lehce předebianováno. To je naprosto pravda, pokud ale znáte nějaký jiný systém a máte tam jiné tipy a triky, neváhejte je sem doplnit!