Příručka admina serveru (nejen v hkfree)
Nastavení apache
Debian
V debianu je nastavení webového serveru apache dost zjednodušené - v /etc/apache2/ se nacházejí adresáře sites-enabled a sites-available. Konfigurák vždy vytváříme v sites-available a do sites-enabled symlink uděláme programem "a2ensite" (případně naopak a2dissite). Je to důležité dělat takto, má to v sobě i nějakou logiku - například soubor "default" kde sídlí defaultní stránka se nasymlinkuje na 000-default, takže se includuje jako první!
SSL
Seženeme si certifikát, uděláme nový virtualhost (můžeme odkoukat/okopírovat default-ssl co se v debianu obvykle vyskytuje) a krom toho, že jeho port bude 443 přidáme do konfigurace
SSLEngine on SSLProxyEngine On SSLCertificateFile /etc/ssl/server.cert.pem SSLCertificateKeyFile /etc/ssl/server.key.pem SSLProtocol -ALL +SSLv3 +TLSv1 SSLHonorCipherOrder On SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
Super věc na otestování, jak to máme funkční, se nachází na [[1]] Zadáme tam adresu a ono nám to řekne, jestli SSL funguje a případně i jestli není náchylné k nějaké zranitelnosti.
Fail2Ban
Vzhledem k tomu, že IPv4 adres je málo, zkouší spousta hackerů a jejich botů hádat SSHčková hesla normálním bruteforcem. Protože my lidi, co se nás snaží nabourat, nemáme rádi, budeme je chtít banovat. Naštěstí na to existuje suprová utilita fail2ban - je to rezidentní daemon, který hlídá logy. Pokud uvidí víc neplatných pokusů o přihlášení, tak adresu, ze které přišly, zabanuje v iptables.
Na Debianu je instalace jednoduchoučká - apt-get install fail2ban a je hotovo. Poté je jenom třeba vlézt do /etc/fail2ban/ a nastavit si jaily (hlídané služby) jak chceme - obvykle stačí pam-ssh, který je první.
Pokud jsme na CentOSu, balík seženem těžko (a navíc má pitomé závislosti). Daleko lepší je si to podle [[2]] nainstalovat ze zdrojáků povlastním.
PS: možná se vám zde zdá lehce předebianováno. To je naprosto pravda, pokud ale znáte nějaký jiný systém a máte tam jiné tipy a triky, neváhejte je sem doplnit!