Questo post non vuol essere un How-To ma una semplicissima guida per poter inserire alcune ottimizzazioni per il Vostro server Cpanel
Passi da seguire per installare alcuni add-on per aiutare il Vs server a lavorare in modo più sicuro
Dopo aver installato il Cpanel su una Centos 5.* tramite i seguenti comandi shell
Installiamo il controllo rootkits (script non simpatici)
cd /usr/src
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvzf chkrootkit.tar.gz
rm -f chkrootkit.tar.gz
cd chkrootkit*
make sense
./chkrootkit
crontab -e
e inserire
0 1 * * * (cd /usr/local/chkrootkit; ./chkrootkit 2>&1 | mail -s “chkrootkit output” youremail@xxxxxxxxx.xx)
Installiamo logwatch, utile per monitorare il server e si esegue tramite cron (tentativi di Intrusione, di attività sul sistema e di eventi anomali.)
cd /usr/src
wget ftp://ftp.kaybee.org/pub/redhat/RPMS/noarch/logwatch-7.3.6-1.noarch.rpm
rpm -Uvf logwatch-7.3.6-1.noarch.rpm
Installiamo il controllo dei processi dando successivamente dei valori standard. Il software killa in automatico quei processi che utilizzano un tot di risorse per un x periodo
I valori sono soggettivi e personalizzabili
cd /usr/src
wget http://www.r-fx.ca/downloads/prm-current.tar.gz
tar xvfz prm-current.tar.gz
rm -f prm-current.tar.gz
cd prm*
./install.sh
replace “MAXPS=”10″” “MAXPS=”30″” — /usr/local/prm/rules/exim
replace “MAXMEM=”15″” “MAXMEM=”30″” — /usr/local/prm/rules/exim
replace “MAXPS=”150″” “MAXPS=”350″” — /usr/local/prm/rules/httpd
replace “MAXMEM=”25″” “MAXMEM=”50″” — /usr/local/prm/rules/httpd
replace “MAXPS=”10″” “MAXPS=”30″” — /usr/local/prm/rules/pure-ftpd
replace “MAXMEM=”5″” “MAXMEM=”10″” — /usr/local/prm/rules/pure-ftpd
replace “MAXPS=”8″” “MAXPS=”16″” — /usr/local/prm/rules/cppop
replace “MAXMEM=”5″” “MAXMEM=”10″” — /usr/local/prm/rules/cppop
/usr/local/prm/prm -s
Installiano spri utile per dare ad ogni tipologia di processo un valore di importanza.
esempio: voglio che il MySql proc abbia un valore di importanza superiore o inferiore al proc httpd
Edittare come di seguito i valori con le proprie personali richieste
cd /usr/src
wget http://www.r-fx.ca/downloads/spri-current.tar.gz
tar xvfz spri-current.tar.gz
rm -f spri-current.tar.gz
cd spri*
./install.sh
cd /usr/local/spri/prios
pico low
pico med
pico med-high
pico high
pico low
spri -v
Ci sarebbe da lavorare per fare un lavoro valido sul routing del kernel ma essneo complicato e non di facile inserimento, soprattutto per molte stringhe da edittare, sorvoliamo
Un passo importante è quello di modificare tutti quei moduli non togliere dal server. Normalmente facendo un installazione BASe del centos questi moduli non vengono installati, però per sicurezza lanciamo il comando
rpm -e talk talk-server radvd inews inn ucd-snmp ucd-snmp-utils ucd-snmp-devel dhcpcd finger finger-server ipchains lokkit LPRng pnm2ppa mpage Omni Omni-foomatic foomatic ghostscript cups-drivers-pnm2ppa gnome-print cups-drivers-hpijs ghostscript-fonts cups-drivers gtkhtml balsa redhat-config-printer redhat-config-printer-gui gimp-print cups hpijs redhat-lsb printconf
Andiamo poi a bloccare i servizi e a bloccarli
chmod 750 /usr/bin/rcp
chmod 750 /usr/bin/wget
chmod 750 /usr/bin/lynx
chmod 750 /usr/bin/links
chmod 750 /usr/bin/scp
chmod 0750 `which fetch` 2>&-; chmod 0750 `which wget` 2>&-
chmod 000 /etc/httpd/proxy/
chmod 000 /var/spool/samba/
chmod 000 /var/mail/vbox/
service avahi-daemon stop
chkconfig –del avahi-daemon
chkconfig –del avahi-dnsconfd
service cups stop
chkconfig cups off
chkconfig –del cups
service nfslock stop
chkconfig nfslock off
chkconfig –del nfslock
service rpcidmapd stop
chkconfig rpcidmapd off
chkconfig –del rpcidmapd
service anacron stop
chkconfig anacron off
chkconfig –del anacron
service xfs stop
chkconfig xfs off
chkconfig –del xfs
service auditd stop
chkconfig –del auditd
service atd stop
chkconfig atd off
chkconfig –del atd
service pcscd stop
chkconfig pcscd off
chkconfig –del pcscd
Installiamo una risorse che potrebbe tornare utile per controllare il top del mysql
Dobbiamo ricordarci la password di root del mysql
wget http://freshmeat.net/redir/mytop/6933/url_tgz/mytop-1.6.tar.gz
tar -zxvf mytop-1.6.tar.gz
cd mytop-1.6
perl Makefile.PL
make
make test
make install
cat /root/.my.cnf
touch /root/.mytop
chmod 600 /root/.mytop
pico -w /root/.mytop
Ricordiamoci di aggiungere l’spf per lmx di default
echo %domain%. IN TXT “v=spf1 a mx ptr ip4:%ftpip% a:%nameserver% a:%nameserver2% -all” >> /var/cpanel/zonetemplates/standard
echo %domain%. IN TXT “v=spf1 a mx ptr ip4:%ftpip% a:%nameserver% a:%nameserver2% -all” >> /var/cpanel/zonetemplates/standardvirtualftp
Identifichiamo le slow queries del MySql
pico /etc/my.cnf
aggiungere
log-slow-queries = /var/log/mysql-slow.log
long_query_time = 3 (oppure 2)
SALVARE
touch /var/log/mysql-slow.log
chown mysql.root /var/log/mysql-slow.log
service mysql restart
Visto che stiamo parlando di mysql, alcuni consigliano di installare il TUNG PRIMER SCRIPT per farci aiutare nelle impostazioni del MySql
cd /root/
mkdir download
wget http://day32.com/MySQL/tuning-primer.sh
chmod 755 tuning-primer.sh
./tuning-primer.sh
leggere i suggerimenti
Installiamo una risorsa assolutamente importante come il firewall
wget http://www.r-fx.ca/downloads/apf-current.tar.gz
gzip -d apf-current.tar.gz
tar -xf apf-current.tar
cd apf-0.*/
./install.sh
A questo punto possiamo lavorare da shell oppure aprire il WHM e gestire il firewall da WHM controllando soprattutto le porte lasciate aperte in UDP e TCP
esempio
TCP_IN 20,21,SSH(PORTA PERSONALE),25,53,80,110,143,443,465,953,993,995,2077,2078,2083,2087,2096,2095,2082
TCP_OUT 21,25,37,43,53,80,110,113,443,587,873,953,2087,2089,2703
Le porte sono personali. Potrebbe essere necessario aprire la porta ddel whois domini, una porta secondaria smtp, una porta mysql,etcc
Tags:
chmod,
cpanel,
logwatch,
nameserver,
rpm,
sicurezza server
Related posts
Articoli e Faq importate dal Blog Eos
chmod, cpanel, logwatch, nameserver, rpm, sicurezza server