Příručka admina serveru (nejen v hkfree): Porovnání verzí
(Založena nová stránka: asdasdasd) |
|||
| Řádek 1: | Řádek 1: | ||
| − | + | == Nastavení apache == | |
| + | === Debian === | ||
| + | V debianu je nastavení webového serveru apache dost zjednodušené - v /etc/apache2/ se nacházejí adresáře sites-enabled a sites-available. Konfigurák vždy vytváříme v sites-available a do sites-enabled symlink uděláme programem "a2ensite" (případně naopak a2dissite). | ||
| + | Je to důležité dělat takto, má to v sobě i nějakou logiku - například soubor "default" kde sídlí defaultní stránka se nasymlinkuje na 000-default, takže se includuje jako první! | ||
| + | |||
| + | === SSL === | ||
| + | Seženeme si certifikát, uděláme nový virtualhost (můžeme odkoukat/okopírovat default-ssl co se v debianu obvykle vyskytuje) a krom toho, že jeho port bude '''443''' přidáme do konfigurace | ||
| + | |||
| + | SSLEngine on | ||
| + | SSLProxyEngine On | ||
| + | SSLCertificateFile /etc/ssl/server.cert.pem | ||
| + | SSLCertificateKeyFile /etc/ssl/server.key.pem | ||
| + | SSLProtocol -ALL +SSLv3 +TLSv1 | ||
| + | SSLHonorCipherOrder On | ||
| + | SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH | ||
| + | |||
| + | Super věc na otestování, jak to máme funkční, se nachází na [[https://www.ssllabs.com/ssltest/index.html]] | ||
| + | Zadáme tam adresu a ono nám to řekne, jestli SSL funguje a případně i jestli není náchylné k nějaké zranitelnosti. | ||
| + | |||
| + | == Fail2Ban == | ||
| + | Vzhledem k tomu, že IPv4 adres je málo, zkouší spousta hackerů a jejich botů hádat SSHčková hesla normálním bruteforcem. Protože my lidi, co se nás snaží nabourat, nemáme rádi, budeme je chtít banovat. | ||
| + | Naštěstí na to existuje suprová utilita fail2ban - je to rezidentní daemon, který hlídá logy. Pokud uvidí víc neplatných pokusů o přihlášení, tak adresu, ze které přišly, zabanuje v iptables. | ||
| + | |||
| + | Na Debianu je instalace jednoduchoučká - apt-get install fail2ban a je hotovo. Poté je jenom třeba vlézt do /etc/fail2ban/ a nastavit si jaily (hlídané služby) jak chceme - obvykle stačí pam-ssh, který je první. | ||
| + | |||
| + | Pokud jsme na CentOSu, balík seženem těžko (a navíc má pitomé závislosti). Daleko lepší je si to podle [[http://www.sonoracomm.com/support/18-support/228-fail2ban]] nainstalovat ze zdrojáků povlastním. | ||
| + | |||
| + | |||
| + | |||
| + | ---- | ||
| + | ''PS: možná se vám zde zdá lehce předebianováno. To je naprosto pravda, pokud ale znáte nějaký jiný systém a máte tam jiné tipy a triky, neváhejte je sem doplnit!'' | ||
Aktuální verze z 6. 3. 2013, 20:31
Nastavení apache
Debian
V debianu je nastavení webového serveru apache dost zjednodušené - v /etc/apache2/ se nacházejí adresáře sites-enabled a sites-available. Konfigurák vždy vytváříme v sites-available a do sites-enabled symlink uděláme programem "a2ensite" (případně naopak a2dissite). Je to důležité dělat takto, má to v sobě i nějakou logiku - například soubor "default" kde sídlí defaultní stránka se nasymlinkuje na 000-default, takže se includuje jako první!
SSL
Seženeme si certifikát, uděláme nový virtualhost (můžeme odkoukat/okopírovat default-ssl co se v debianu obvykle vyskytuje) a krom toho, že jeho port bude 443 přidáme do konfigurace
SSLEngine on
SSLProxyEngine On
SSLCertificateFile /etc/ssl/server.cert.pem
SSLCertificateKeyFile /etc/ssl/server.key.pem
SSLProtocol -ALL +SSLv3 +TLSv1
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
Super věc na otestování, jak to máme funkční, se nachází na [[1]] Zadáme tam adresu a ono nám to řekne, jestli SSL funguje a případně i jestli není náchylné k nějaké zranitelnosti.
Fail2Ban
Vzhledem k tomu, že IPv4 adres je málo, zkouší spousta hackerů a jejich botů hádat SSHčková hesla normálním bruteforcem. Protože my lidi, co se nás snaží nabourat, nemáme rádi, budeme je chtít banovat. Naštěstí na to existuje suprová utilita fail2ban - je to rezidentní daemon, který hlídá logy. Pokud uvidí víc neplatných pokusů o přihlášení, tak adresu, ze které přišly, zabanuje v iptables.
Na Debianu je instalace jednoduchoučká - apt-get install fail2ban a je hotovo. Poté je jenom třeba vlézt do /etc/fail2ban/ a nastavit si jaily (hlídané služby) jak chceme - obvykle stačí pam-ssh, který je první.
Pokud jsme na CentOSu, balík seženem těžko (a navíc má pitomé závislosti). Daleko lepší je si to podle [[2]] nainstalovat ze zdrojáků povlastním.
PS: možná se vám zde zdá lehce předebianováno. To je naprosto pravda, pokud ale znáte nějaký jiný systém a máte tam jiné tipy a triky, neváhejte je sem doplnit!
