Dedikuoti serveriai, VDS hostingas, debesų kompiuterija
Interneto vizija
Karjera El. paštas

Grįžti   Dedikuoti.lt forumas > Bendruomenės diskusijos > Pamokos > Valdymo pultai

 
 
Temos įrankiai Ieškoti šioje temoje
  #1  
Senas 2012-05-20, 13:55
IV_RomanL avataras
IV_RomanL IV_RomanL neprisijungęs
Interneto vizija
 
Prisiregistravo: 2011 11
Vieta: Vilnius
Žinutės: 640
Arrow DirectAdmin saugumo stiprinimas

Pateikiami baziniai patarimai kaip sustiprinti serverio saugumą kuomet naudojamas DirectAdmin valdymo pultas.
Serverio saugumo užtikrinimas yra kompleksinė užduotis reikalaujanti itin išsamios serveryje veikiančios programinės įrangos ir galimų grėsmių analizės. Jei abejojate savo žiniomis Linux operacinės sistemos administravimo srityje, rekomenduojame rasti specialistą kuris jums pagelbėtų.

1. Įdiegus valdymo pultą, visuomet pravartu sustiprinti PHP saugumą išjungus nenaudojamas funkcijas. Tai galite atlikti SSH konsolėje įvykdę šias komandas:

Kodas:
cd /usr/local/directadmin/custombuild
./build update
./build secure_php
2. Siekiant saugumo būtina reguliariai atnaujinti operacinę sistemą ir joje veikiančias tarnybas. Operacinės sistemos paketus galite atnaujinti prisijungę prie serverio bei SSH konsolės pagalba įvykdę komandą:

Kodas:
yum update
DirectAdmin valdymo pultą bei kartu su juo įdiegtus paketus reiktų atnaujinti naudojantis DirectAdmin pateiktu atnaujinimo įrankiu. Jį galite aktyvuoti įvykdę šias komandas:
Kodas:
cd /usr/local/directadmin/custombuild
./build update
./build all d
Pastaba: aplanke /usr/local/directadmin/custombuild jūs rasite failą pavadinimu options.conf . Šiame faile yra surašyta visa informacija ką atliks DirectAdmin atnaujinimo įrankis. Įsitikinkite jog faile yra nurodyta eilutė clean_old_webapps=yes .
Pageidaujant jog atnaujinimo įrankis jus informuotų apie naujausius paketų atnaujinimus galite pasinaudoti CRON įrankiu. Atverkite failą options.conf ir raskite šias eilutes:

Citata:
#Cron settings
cron=yes
email=jūsų_el.pašto_adresas
notifications=yes
updates=no
webapps_updates=yes
Grafoje "email=" nurodykite savo el.pašto adresą, kuriuo sistema jus informuos apie gailmus atnaujinimus. Taip pat pažymėkite reikšmes kurios paryškintos juodai.
Atlikus šiuo pakeitimus, failą išsaugokite ir tuomet įvykdykite komandą;

Kodas:
./build cron
Tokiu būdu jūs būsite perspėjami atsiradus paketų atnaujinimams. Tačiau sistema niekada neatnaujins jų be jūsų žinios. Tam, jog atnaujintumėte tik tuos paketus kurie turi išleistus atnaujinimus, įvykdykite komandą:

Kodas:
./build update_versions
Jei pageidaujate jog sistema visgi už jus atnaujintų paketus, tuomet konfigūraciniame faile raskite eilutę "updates=" ir pakeiskite reikšmę iš "no" į "yes" .

Pastaba: jūs arba jūsų paskirtas administratorius po automatinio atnaujinimo turi peržiūrėti ir įsitikinti jog sistema po atnaujinimų veikia tinkamai.

3. Jei jūs naudojate PHP "CLI" režimu, tuomet būtų protinga aktyvuoti PHP SafeMode bei open_basedir . Šių nuostatų kontrolei reiktų prisijungti prie DirectAdmin valdymo pulto "admin" teisėmis. Nuostatas galite rasti Admin Level -> Php Safemode Config

4. Kai kurie administratoriai pasirenka suPHP nuostatą. Ši nuostata leidžia vykdyti scenarijus vartotojo teisėmis (o ne apache kaip tai vyksta PHP CLI). Ši nuostata išsprendžia daugelį problemų su failų teisėmis kuomet PHP scenarijaus dėka įkeliamas failas. Taip pat, ši nuostata padeda serverio administratoriui greičiau ir lengviau lokalizuoti resursus eikvojantį vartotoją. suPHP nuostata suteikia daugiau saugumo PHP aplikacijoms nes aplikacijai gali būti suteikiamos teisės 700 vietoje 755. Tad, jei failuose saugote slaptažodžius ar kitą informaciją tai yra pravartu.

Tačiau, suPHP reikalauja šiek tiek daugiau serverio resursų nei paprasta PHP + CLI konfigūracija. 3 punkte aprašytas saugumo stiprinimo metodas neveiks, nes suPHP nenuskaito VirtualHost PHP nuorodų (visos nuostatos privalo būti pateikiamos php.ini faile). Bet, galite kiekvienam vartotojui priskirti po atskirą php.ini failą ( gidas ).

Puikus gidas apie tai kaip aktyvuoti suPHP pateikiamas šiuo adresu: http://help.directadmin.com/item.php?id=197

5. Jei neplanuojate prisijungti prie MySQL duomenų bazės iš išorės (iš kitų serverių) tuomet būtų protinga išjungti tokią galimybę ir taip apsaugoti savo duomenų bazę nuo prisijungimo iš išorės. Tam tereikia atverti failą my.cnf :

Kodas:
nano /etc/my.cnf
ir po eilute [mysqld] nurodyti:

Kodas:
bind-address = 127.0.0.1
Atlikus pakeitimą, perkraukite MySQL serverį: service mysqld restart .

6. Itin pravarti saugumo priemonė - tinkamai sukonfigūruota ugniasienė. Tam puikiausiai tinka nemokamas ir labai patogus įrankis ConfigServer Firewall.

Diegimo instrukcija: http://www.configserver.com/free/csf/install.txt

Šis įrankis puikiai integruojasi į DirectAdmin valdymo pultą ir juo administruoti ugniasienę galite prisijungę prie DirectAdmin valdymo pulto "admin" teisėmis (grafoje "Extra Features")

7. Rekomenduojame named tarnybai išjungti recursion galimybę. Itin detalus gidas pateiktas adresu http://help.directadmin.com/item.php?id=115 .

8. Aktyvuokite sudėtingų slaptažodžių tikrinimo funciją (Difficult Password Enforcemen). Tai galite atlikti prisijungę prie DirectAdmin valdymo pulto "admin" teisėmis (grafa "Extra Features" nuoroda "Administrator Settings").

9. Uždrauskite vartotojams kurti sub-domenus su jiems nepriklausančiais domenais. Tai galite atlikti prisijungę prie DirectAdmin valdymo pulto "admin" teisėmis (grafa "Extra Features" nuoroda "Administrator Settings" nuostata "Check domain owner for Subdomain creation").

10. Saugumo sustiprinimui nustatome atitinkamas teises PERL paketų vykdymui:

Kodas:
chgrp apache /usr/bin/perl /usr/bin/wget /usr/local/bin/wget /usr/local/bin/curl /usr/bin/curl
chmod 705 /usr/bin/perl /usr/bin/wget /usr/local/bin/wget /usr/local/bin/curl /usr/binl/curl
Šios nuostatos neleis vartotojui "apache" komandos /usr/bin/perl .

Pastaba: jei naudojate suPHP, tuomet ši nuostata nėra būtina (tačiau ir nemaišys).

11. El.pašto saugumui sustiprinti rekomenduojame aktyvuoti SSL palaikymą susijungimams. Puikus gidas kaip tai atlikti pateikiamas adresu http://www.directadmin.com/forum/showthread.php?t=43500 .

12. Ssitemų administratoriams pageidaujantiems peržiūrėti ir koreguoti DirectAdmin valdymo pulto konfigūraciją, rekomenduojame pasinaudoti komanda:

Kodas:
/usr/local/directadmin/directadmin c
13. Apsisaugant nuo Brute force atakų, rekomenduojame pakeisti DirectAdmin valdymo pulto prisijungimo prievadą iš standartinio 2222 į savo sugalvotą. Tam tereikia atlikti šiuos žingsnius.

Kodas:
nano /usr/local/directadmin/conf/directadmin.conf
raskite eilutę port=2222 ir skaičių 2222 pakeiskite į jūsų pageidaujamą. Pavyzdys: port=1234 .
Kodas:
nano /var/www/html/redirect.php
Ir kodo eilutę:

Kodas:
<?php
header("Location: http://".$_SERVER['HTTP_HOST'].":2222");
?>
pakeiskite į:

Kodas:
<?php
header("Location: http://".$_SERVER['HTTP_HOST'].":1234");
?>
Tai atlikę, perkraukite DirectAdmin valdymo pultą:

Kodas:
service directadmin restart
 

Žymės
apache, directadmin, firewall, my.cnf, mysql, operacinės sistemos, php, redirect, saugumas, saugumo stiprinimas, ssh, ugniasienė, virtualhost, yum

Temos įrankiai Ieškoti šioje temoje
Ieškoti šioje temoje:

Detali paieška

Žinučių rašymo taisyklės
Jūs negalite kurti naujų temų
Jūs negalite rašyti žinučių
Jūs negalite įkelti failų
Jūs negalite redaguoti savo įrašų

BB kodas yra Įjungtas
Šypsenos yra Įjungtas
[IMG] kodas yra Įjungtas
HTML kodas yra Išjungtas

Greita navigacija

Panašios temos
Tema Temą sukūrė Forumas Atsakymai Paskutinė žinutė
SSL v3.0 protokolo saugumo spraga IV_RomanL Naujienos, pranešimai 5 2014-11-28 03:27
Suhosin - PHP saugumo stiprinimas IV_RomanL Serverių saugumas 0 2012-12-27 14:10
API saugumo padidinimas neworld Klausimai, pastabos, pasiūlymai 1 2012-11-07 10:10
OpenSSH (SSH) saugumo didinimas IV_RomanL Serverių saugumas 1 2012-02-20 22:41


Visi laikai yra GMT +3. Šiuo metu yra 09:50.


Powered by vBulletin®
Copyright ©2000 - 2019, vBulletin Solutions, Inc.