Jump to content
Sign in to follow this  
SamyWeb

Protezione Server & sicurezza

Recommended Posts

Salve,

ho conosciuto questo utilissimo forum grazie a Rebel.

Premetto che il mio livello di conoscenza sistemistica, unix, linux, ecc. ecc. è ridotta ai minimi termini (uso linux da 3 settimane e mai usato dos o shell di alcun tipo), ma nonostante tutto ho deciso di lancarmi nell'impresa di configurare un dedicato per hostare i miei siti, poichè la cosa a livello economico è senz'altro conveniente quando si inizia ad avere determinate necessità.

 

Ho un Debian Sarge che mi hanno fornito pulito, con solo alcuni servizi necessari tipo SSH e comandi base.

 

Ho provveduto ad installare PHP5 e PHP4 (come CGI), mysql, proftpd, postfix (del quale non sono certa di aver confdugurato bene le cose), bind9, clamv, apache2... poi non contenta della confiurazione manuale dei vhost, sebbene funzionasse correttamente, ho deciso di installare vhcs2 per la gestione di questi da web, poichè ho alcuni amici ospitati sul server che non hanno e non devono avere accesso ssh. Quindi con vhcs ho anche tutta quella marei di servizi in più dei quali non so nemmeno se mai farò uso :P Con le conoscenze che ho, non saprei nemmeno quali servono e quali no.

 

Vengo al dunque: bruciata da esperienze passate, vorrei dare un occhi di riguardo alla sicurezza e protezione da attacchi, ma purtroppo sono all'asciutto completamente.

Sareste così gentili da elencarmi (con magari qualche chiarimento e instruzione per l'uso) le operazioni consuete che vanno eseguite per rendere questo server web il più stabile e sicuro possibile?

 

Per quanto riguarda vhcs ho applicato tutte le patch di sicurezza note e rilasciate sul forum.

Ho modificato un pò php.ini.

Ho cercato mio malgrado e a malo modo di mettere mod_security, il quale tra l'altro mi blocca alcune funzionalità di vhcs :P

Non sono però riuscita ad utilizzare i pacchetti di rootkit, per ognuno mi dice che i comandi sono sconosciuti (è come se non trovasse caricato il modulo, quando invece ho quasi certezza che lo sia).

Non ho affatto configurato iptables, non so se vhcs o altri lo abbiano fatto in automatica, ho solo notato che telnettando il server alcune porte risultano chiuse, altre no, ma questo potrebbe non voler dire nulla. Guide sulla configurazione di iptables ne ho trovate parecchie, ma per quello che ne so io, a me servirebbe giusto una serie di comandi pronti cone le rogole più comuni (megliop ancora sarebbe un pannello webper la gestione di queste).

Volevo provare a mettere mod_evasive, così come l'estensione shaloin per php, ma entrambi richiedono delle compilazioni o cose del genere, e dio sono persona che riesce solo a fare copia incolla di istruzioni, non ho alcuna cognizione di causa, dunque ho prefeirto evitare di fare danni.

Mi servirebbe un sistema per fare backup dell'intero filesystem (ma ragionato, non totale) in modo tale da poter ripristinare tutto se facendo qualche operazione strana le cose non andassero più come prima.

 

Per il resto mi affido a voi sapienti, ed alla vostra esperienza :)

 

Ah, ovviamente non mi interessa mettere su un servizio di hosting a pagamento o simili, solo poter ospitare in tutta sicurezza i miei siti, i siti di clienti e di qualche amico.

 

Ringrazio di cuore chiunque abbia avuto la pazienza di leggere il mio tema e che mi dia una quasiasi indicazione :)

Share this post


Link to post
Share on other sites

ciao,

mod_sec non ti prende alcuni comandi perchè probabilemente la versione usata da debian stable è troppo vecchia. mo ora ti arrangi, ti avevo detto di usare ubuntu server. :P

puoi installarti mod_sec a manina, non è troppo difficile.

 

per iptables puoi usare shorewall, è molto facile ed intuitivo da usare.

per vedere che porte hai aperte dai:

 

apt-get install nmap

nmap -sS -O tuoip

 

dovevi installare ispconfig e non vhcs. cmq, se hai qualche problema chiedimi pure.

 

per il bakcup io uso uno scriptino di questo genere:

 

#!/bin/sh

#

#

###################################################################

#

# This script creates an incremental snapshot backups

# Written by Maurizio Giunti - 2005

#

###################################################################

 

# Configuration here

# $DEST: snapshot destination path

DEST="/archive/snapshot"

# $SOURCE: what back up

SOURCE="/etc /home /var /root"

 

# mount rw hdb1

umount /dev/sdb1

mount -t reiserfs -o rw /dev/sdb1 /archive

 

# start backup

rm -rf ${DEST}/backup.6

mv ${DEST}/backup.5 ${DEST}/backup.6

mv ${DEST}/backup.4 ${DEST}/backup.5

mv ${DEST}/backup.3 ${DEST}/backup.4

mv ${DEST}/backup.2 ${DEST}/backup.3

mv ${DEST}/backup.1 ${DEST}/backup.2

cp -al ${DEST}/backup.0 ${DEST}/backup.1

rsync -av --delete $SOURCE ${DEST}/backup.0

echo $(date "+%Y-%m-%d %H:%M") > ${DEST}/backup.0/snapshotdate.txt

cd /

 

# mount ro hdb1

umount /dev/sdb1

mount -t reiserfs -o ro /dev/sdb1 /archive

# End ----

Share this post


Link to post
Share on other sites

Ciao Rebel!

Una cosa però me la devi riconoscere: sto comunque riuscendo a mettere su tutto da sola! Anche PHP5 e MySQL5, che effettivamente mi è parsa una impresa impossibile su Debian Sarge.

 

Ho optato per vhcs perchè nonstante tutto mi piaceva, probabilmente quando reinstallero tutto da zero farò i passi che abbiamo fatto tutti :P

 

Ieri sera alla fine ho provato con grande trepidazione e (paura di fare danni) webmin, e devo dire che con il sistema di moduli un pò per tutte i gusti, mi semplifica la vita di 100 volte. Serve sì conoscenza e cognizione di causa, ma intanto evito di digitare male i comandi unix e fare danno come sappiamo bene che sono in grado di fare :P

 

Inizierò con questi primi consigli.

Ah, sì, mod_security nell'attesa l'ho messo a mano, con le regole principali trovate in una guida, quindi operativo lo è (appunto mi blocca pure funzioni di vhcs... devo vedere come escludere quest'ultimo, ma credo di essere a cavallo).

 

Per adesso grazie!

Ciao

Share this post


Link to post
Share on other sites

[OT]

Una cosa però me la devi riconoscere: sto comunque riuscendo a mettere su tutto da sola

 

Direi che l' evento anomalo non è che ci stai riuscendo da sola, ma che tu in quanto donna riesca a farcela :asd:

 

[OT]

 

Scusate l' off topic ma era più forte di me :cartello_lol:

Share this post


Link to post
Share on other sites
[OT]

 

 

Direi che l' evento anomalo non è che ci stai riuscendo da sola, ma che tu in quanto donna riesca a farcela :asd:

 

[OT]

 

Scusate l' off topic ma era più forte di me :cartello_lol:

quoto!

Share this post


Link to post
Share on other sites

 

OFF TOPIC BOX

Ok, se succede qualcosa alla mia VPS a causa di un'intrusione nei sistemi di SeFlow giuro che salgo fino a Milano ... :cartello_lol:

 

Domanda (rivolta a tutti) ma tra le distro Debian based cosa cambia ?

Le Ubuntu prima di Edgy erano praticamente cloni e introducevano poco o nulla (a parte un supporto maggiore di periferiche ) .

Share this post


Link to post
Share on other sites

software più aggiornato e supportato per 5 anni nella versione server.

 

certo puoi usare anche il ramo testing di debian ed ottenere più o meno la stessa cosa ma onestamente su un server preferisco usare il ramo stable.

con ubuntu server più o meno ottieni la stessa stabilità della stable debian, ma hai software sempre più aggiornato. inoltre la versione 64bit mi pare sia ufficilamente supportata. su debian lo è in via non ufficiale fino alla prossima major release.

a me serviva una 64bit debian based, quindi ho optato per ubuntu server, dopo aver usato per un paio di anni debian stable sia su desktop che server.

 

prossima reinstallazine metterò gentoo al 90%, credo di esser pronto. :asd:

Share this post


Link to post
Share on other sites

@SeFlow: son d'accordo con te, difatti presto mi darò a fornelli e lavello, come mi spetta :P

 

Ho fatto un errore madornale: quando ho formattato la prima volta ho lasciato i valori di default ai punti di mount delle partizioni, non capendoci nulla, e adesso mi ritrovo /home con 150 GB ed il resto con 3/4 GB... ovviamente lo spazio è finito, ed io mi ritrovo con un server inutilizzabile...

Ho pensato di installare partman per la gestione delle partizioni, per ridimensionarle, ma poi ho deciso che forse è il caso che io formatti e riparta nuovamente da capo, facendo tesoro degli errori commessi sino ad ora.

 

Sicuramente rimetterò webmin, mi piace molto, ma non credo che utilizzerò ispconfig, non si presenta affatto bene graficamente, ho bisogno di un pannello molto più intuitivo e semplice per gli utenti. Credo che le funzioni di webmin suppliscano bene alle mancanze di VHCS. Inoltre webmin è modulare, il che è fantstico.

 

Speriamo stavolta di riuscire a far le cose come si deve :P

 

Un dubbio: se io creo su Tophost un record A del tipo mail.dominio.ext che punta all'IP del server, poi creo un record MX che punta a mail.dominio.ext. e sul mio server ho instalato postfix, questo è sufficiente affinchè io abbia un server mail funzionante? O serve ad esempio di configfurare cose particolari sul server DNS, sul BIND, ... ?

 

Grazie a tutti per le risposte :)

 

P.S.: per non andare OT, riguardo alla sicurezza penso proprio che oltre a mod_security, Suhosin patch (per php), mod_evasive (se avrò mai voglia di compilarlo a mano), metterò DenyHost. Per il firewall ho visto che webmin ha un modulo per integrare shorewall al pannello, quindi ok per shorewall. Poi antivirus ed antispam, poi cos'altro?

Share this post


Link to post
Share on other sites

Ciao,

per non smadonnare troppo davanti al server perchè non pensi a questa soluzione:

 

- Formatti il server con una debian o CentOS con questo schema di partizionamento

 

/swap doppio della ram

/tmp 1GB montata in noexec

/ tutto il resto

 

- Installi un pannello leggero e non troppo costoso come DirectAdmin (http://www.directadmin.com) che ti permette di avere preinstallato:

 

- apache

- mailserver

- ftp

- servizio statistiche

- MySQL

ecc ecc...

 

Gli aggiornamenti poi sono semplicissimi, per la distro solitamente si usano i tool di riferimento (yum o apt-get\aptitude), per aggiornare la parte web invece c'è uno script preconfezionato del pannello, per aggiornare il pannello è un pulsante.

 

Lo script compila direttamente apache, php ecc quindi ti permette di mettere la versione che preferisci ed eventualmente aggiungere tutti i moduli che necessiti.

 

E poi cosa molto importante è molto intuitivo e leggero come pannello.

 

Demo: http://www.hostingtalk.it/forum/showthread.php?t=1523&goto=newpost

 

In alternativa la mia cucina è libera :cartello_lol:

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×