Der perfekte Rootserver (Nginx, SSL, Mailserver, Roundcube, phpMyAdmin, Firewall)

[Zypr]

Der perfekte Rootserver

Version 0.3.8


Was kann das Skript?:

Das Skript ist ein Allrounder und bietet eine Oneclick-Installation, die zahlreiche Systeme und Funktionen mit sich bringt. Es ist dafür gedacht einen frisch aufgesetzten Debian Jessie minimal Server in einen perfekten Rootserver zu verwandeln. Besonders für unerfahrene User ist das Skript bestens dafür geeignet, per "oneclick" eine sichere, perfomante und optimale Umgebung für seine Projekte zu schaffen. Die im Skript enthaltene Software beschränkt sich ausschließlich auf OpenSource-Software, die frei verwendet werden darf.


Inhalt::


Software, die unter Anderem installiert wird:

Nginx, MariaDB, Arno-Iptables-Firewall, Fail2Ban, Dovecot, Postfix, Roundcube, Z-Push, Mailcow, Spamassassin, Fuglu, ClamAV



Automation:

Das Bash-Skript übernimmt 99% aller Installationsschritte und hilft dabei, das System innerhalb weniger Minuten zum perfekten Rootserver umzufunktionieren. Die Installation ist "unantended", sprich sind alle Voraussetzungen erfüllt und die Config entsprechend angepasst, läuft die Konfiguration und Einrichtung ohne das Zutun des Benutzers. Anders als in der alten Version werden die Installationsschritte jetzt kommentiert, aber nicht ausführlich Schritt für Schritt in der Console ausgegeben. Um Benutzerfehler vorzubeugen, gibt es vor der eigentlichen Installation einige Abfragen, um sicherzustellen, dass alle Mindestkriterien erfüllt sind und die Funktionalität der jeweiligen Systeme gewährleistet ist.


Verschlüsselung und Sicherheit:

Das Setup sieht es vor, dass am Ende jegliche Verbindung zum Server verschlüsselt wird. Selbst, wenn man eine unverschlüsselte Verbindung erzwingen möchte, wird es nicht klappen (HSTS, TLS only). Es wird stets die aktuelle Version von OpenSSL und OpenSSH installiert, sodass etwaige Sicherheitslücken nach Erscheinen eines neuen Patches sofort geschlossen werden. Dank des Let's Encrypt Projekts stellt das Skript ein gültiges Zertifikat bereit, das für den Web- und Mailserver eingesetzt wird. Jedes System wird nach Möglichkeit anhand der aktuellen Sicherheitsstandards konfiguriert und abgesichert. Das Augenmerkmal liegt bei den eingesetzten Ciphers und dem Cryptosystem. Der Web- und Mailserver beinhalten eine umfangreiche Konfiguration, die nicht nur die Performance steigert, sondern auch enorm zur Sicherheit beiträgt.


Webserver:

Bei dem Webserver handelt sich um Nginx. Nginx hat sich in den letzten Jahren sehr etabliert und ist mittlerweile der beliebteste Webserver, wenn es um Performance und Stabilität geht.

Folgendes erwartet euch:

• Aktuelle Nginx mainline version
• NPN (HTTP/2)
• PageSpeed
• Naxsi (Nginx Anti XSS & SQL Injection)
• HSTS, HPKP, OCSP, PFS
• Keine TLS compression, keine session tickets
• Caching (OpCode, Memcache, Igbinary)
• Gültiges RSA 4096 bits Zertifkat, authorisiert von Let's Encrypt
• Umfangreiches Tuning rund um Nginx. Mit der von dem Skript bereitgestellten Konfiguration, erreicht man bei ssllabs die Note A+
• Verschleierung des Strings, indem dieser aus dem Header und den automatisch generierten Fehlerseiten entfernt wird
• Allgemeines Systemtuning

Nun was bedeuten die ganzen Funktionen und Module? Hier eine kurze Aufklärung:


HTTP/2 (Hypertext Transfer Protocol 2):

HTTP/2 ist der "neue" HTTP-Standard und ist im Vergleich zu der alten Version 1.1 um ein VIELFACHES schneller. Die wohl wichtigste Funktion ist das parallele Laden der Inhalte über eine einzige TCP-Verbindung.

Wie schnell HTTP/2 wirklich ist, kann man anhand dieser Seite hier wunderbar sehen:

Für den Test ist ein relativ moderner Prozessor/Browser vorausgesetzt. Opera kann das Resultat verfälschen, wenn man im Turbomodus unterwegs ist. Dabei werden fast alle Inhalte komprimiert und durch einen Proxy geschleust. Aus diesem Grund kann es sein, dass Opera mit HTTP schneller unterwegs ist als mit HTTPS und somit HTTP/2. Beste Resultate erzielt man, wenn der Inhalt komplett unkomprimiert übertragen wird, so wie das eigentlich sein sollte.

Mehr Infos:




Googles PageSpeed:

PageSpeed dient dazu die Latenz und den Traffic des Servers zu verringern, indem anhand von bestimmten Filtern der Kontent so verändert wird, dass dieser schneller verarbeitet werden kann. So werden z. Bsp. CSS-, JavaScript- oder Bild-Dateien optimiert, ohne dass der Benutzer es mitbekommt. Als Beispiel werden Metadaten von Bildern entfernt, um die Größe zu verringern. Grundsätzlich arbeitet PageSpeed mit jeder Art von Inhalt und ist so konzipiert, die Ladezeiten drastisch zu verringern. Außerdem kann Pagespeed den Inhalt im Speicher zwischenladen, um so schneller Zugriffszeiten zu gewährleisten.

Mehr Infos:




Naxsi:

Was mod_security für Apache ist, ist Naxsi für Nginx - eine Web Application Firewall. Vor eine Website geschaltet, lässt naxsi nur Requests durch, die eine Art Whitelist für zulässig befindet - Deny by Default soz. Die Default Rules filtern schon eine große Anzahl von bekannten Angriffsmustern heraus. Am Besten lässt man naxis schon mal eine Weile im Lernmodus in der Dev- und/oder Stage-Phase laufen, dann hat man für das Produktivsystem schon mal eine sehr gute Ausgangsbasis für eine Whitelist.

Text von:




HSTS, HPKP, OCSP, PFS:

HSTS:
HSTS (HTTP Strict Transport Security) ist ein zusätzliche Maßnahme gegen Man-in-the-middle-Angriffe. Der Webserver sendet hierbei einen HTTP response header namens "Strict-Transport-Security" und erzwingt eine verschlüsselte Verbindung seitens des Clienten zu den in den im Zertifikat enthaltenen Domains und Subdomains.

So sieht der Header aus:

Code:

Strict-Transport-Security: max-age=63072000; includeSubdomains; preload

Was bringt HSTS denn nun? Als Beispiel: Gehen wir von der Onlinebanking-Seite einer Bank aus. Bei jeder Verbindung zu der Seite übergibt der Webserver ein von einer gültigen Zertifizierungsstelle signiertes Zertifikat, zusätzlich nutzt der Webserver den HSTS-Zusatz und übermittelt diese Regel bei der ersten Verbindung im Header. Gleichzeitig wird in der Datenbank des Browsers ein "Supercookie" gespeichert, der unter anderem auch die Gültigkeit und die Art beinhaltet, wie HSTS die jeweilige Seite zu behandeln hat. Nun kommt ein böser Superhacker daher, komprimitiert das Netzwerk und schafft es mit Hilfe einer MITM-Attacke das Zertifikat gegen ein anderes auszutauschen. Nun passiert bei dem Besuch der Seite der Bank aber folgendes:

 Spoiler

Moderne Browser lassen es an dieser Stelle nicht mehr zu, dass eine Verbindung zu dem Server aufgebaut werden kann. Da es sich hierbei um einen sogenannten "Supercookie" handelt, kann man diesen auch nicht einfach durch Löschen der normalen Cookies oder des Caches rückgängig machen (Zumindest bei Firefox). Hierzu benötigt man Addons oder Tools, die man im Internet finden kann.



HPKP:
HPKP (HTTP Public Key Pinning) ist eine weitere Maßnahme gehen Man-in-the-middle-Angriffe. Der Webserver sendet wie bei HSTS auch einen HTTP response header namens "Public-Key-Pins" und speichert diesen als "Supercookie". Der Vorteil gegenüber HSTS ist allerdings, dass diese Maßnahme auch gefälschte aber gültige Zertifikate ausschließt. Ohne den HPKP-Zusatz würde HSTS nichts ausrichten, denn wenn der Browser das Zertifkat als gültig anerkennt, also wenn eine Zertifizierungsstele bestätigt, dass das Zertifikat tatsächlich für die Domain ausgestellt worden ist, dann passiert nichts und das Opfer kriegt nichts mit. Der HPKP-Header übermittelt hierfür einen "Pin", der aus dem gültigen Zertifikat oder privaten Schlüssel "extrahiert/generiert" wird. Dieser Pin ist einzigartig und kann auch nicht einfach so gefälscht werden. Deshalb kann dieser auch mit nur einem ganz bestimmten Zertifikat und Schlüssel verwendet werden. Wenn also jemand das Zertifikat austauscht, stimmt der Pin nicht mehr mit dem Zertifikat oder dem privaten Schlüssel und somit auch nicht mit dem von dem Webserver übermittelten Pin überein. Das Resultat ist am Ende das gleiche wie bei einem komprimitierten und unsicheren Zertifikat bei HSTS - der Webserver lässt die Verbindung zu dem Server nicht mehr zu.

So sieht der Header aus:

Code:

Public-Key-Pins: pin-sha256="u+tkeXnIk5+bpGXLjvb08q8ijH8aIQlHIqQNKCfxcpk="; pin-sha256="kNPgJ65kzLsbEawiVZ619XQnHruivMwG+E/bla8K4DE="; max-age=5184000; includeSubDomains

Perfect Forward Secrecy:

Auszug aus Wikipedia:
Perfect Forward Secrecy (PFS), auf deutsch etwa perfekte vorwärts gerichtete Geheimhaltung, ist in der Kryptographie eine Eigenschaft bestimmter Schlüsselaustauschprotokolle. Schlüsselaustauschprotokolle verwenden zuvor ausgetauschte Langzeitschlüssel, um für jede zu verschlüsselnde Sitzung einen neuen geheimen Sitzungsschlüssel zu vereinbaren. Ein Protokoll hat Perfect Forward Secrecy, wenn die verwendeten Sitzungsschlüssel nach der Beendigung der Sitzung nicht mehr aus den geheimen Langzeitschlüsseln rekonstruiert werden können. Damit kann eine aufgezeichnete verschlüsselte Kommunikation auch bei Kenntnis des Langzeitschlüssels nicht nachträglich entschlüsselt werden.[1] Gelegentlich wird diese Eigenschaft auch unter dem Schlagwort Folgenlosigkeit behandelt, da ein späteres Aufdecken des Langzeitschlüssels folgenlos für die Sicherheit aller früheren Sitzungen bleibt. Diese Eigenschaft betont auch die alternative englische Bezeichnung break-backward protection.

Mehr Infos:
https://de.wikipedia.org/wiki/Perfect_Forward_Secrecy





OCSP stapling:

Das Online Certificate Status Protocol ist ein Netzwerkprotokoll, das Clients ermöglicht, den Status von X.509-Zertifikaten bei einem Validierungsdienst abzufragen. Bei der Verbindung zu einer Webseite, die ein Zertifikat übermittelt, verbindet sich der Browser zusätzlich per OCSP zum Aussteller, damit die Echtheit verifiziert werden kann. Ist der Server des CAs allerdings gerade überlastet, weil diesen zu viele Anfragen gleichzeitig erreichen, erhöht sich die Ladezeit entsprechend. Hier kommt OCSP stapling ins Spiel: Anstatt des Servers der Zertifizierungsstelle übernimmt der eigene Webserver selbst diese Funktion, dazu muss Nginx ein "bundle" aus den Root-Zertifikaten des Ausstellers mitgeteilt werden, das vorab validiert und im DER-Format kodiert werden muss. Die Validierung findet alle 5 Tage statt, sodass der Client nicht immer wieder bei der Zertifizierungsstelle nachfragen muss. Wenn die Kette der Zertikate korrekt eingehalten und bereitgestellt wird, braucht man keine zusätzliche Datei für das ocsp stapling generieren.


Hier ein Beispielheader:

 Spoiler

Im Header erkennt man übrigens auch, dass der Webserver HTTP/2 unterstützt. Der zweite HPKP-Pin dient eigentlich dafür, dass man sich mit einem zweiten, für die Domain gültigen Zertifikat absichert. Theoretisch könnte man sich also 2 Zertifikate anschaffen und für bei den Pin generieren. In meinem Skript generiere ich einfach einen Pseudopin, sonst meckert ssllabs, dass der zweite Pin fehlt...

Code:

root@rootserver:~# curl -I -k https://domain.tld

HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Connection: keep-alive
Vary: Accept-Encoding
Cache-Control: public
Strict-Transport-Security: max-age=63072000; includeSubdomains; preload
Public-Key-Pins: pin-sha256="u+tkeXnIk5+bpGXLjvb08q8ijH8aIQlHIqQNKCfxcpk="; pin-sha256="kNPgJ65kzLsbEawiVZ619XQnHruivMwG+E/bla8K4DE="; max-age=5184000; includeSubDomains
X-Frame-Options: SAMEORIGIN
Alternate-Protocol: 443:npn-http/2
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
X-Permitted-Cross-Domain-Policies: master-only
X-UA-Compatible: IE=Edge
Access-Control-Allow-Origin: *
Content-Security-Policy: script-src 'self' 'unsafe-inline' 'unsafe-eval' *.youtube.com maps.gstatic.com *.googleapis.com *.google-analytics.com cdnjs.cloudflare.com assets.zendesk.com connect.facebook.net; frame-src 'self' *.youtube.com assets.zendesk.com *.facebook.com s-static.ak.facebook.com tautt.zendesk.com; object-src 'self'
Date: Sun, 06 Dec 2015 17:31:37 GMT
X-Page-Speed: 1.9.32.10-7423

Wer sich trotz Let's Encrypt ein eigenes Zertifikat zulegen möchte, findet hier eine Anleitung anhand eines COMODO PositiveSSL Zertifikats, wie man überhaupt an ein Zertifikat kommt und OCSP zu Laufen bringt:

 Spoiler

Zuerst muss ein privater Schlüssel erstellt werden:

Code:

openssl ecparam -out perfectrootserver.net.key -name secp384r1 -genkey

Anschließend der CSR:

Code:

openssl req -new -sha256 -key perfectrootserver.net.key -nodes -out perfectrootserver.net.csr

Die Fragen sollten wie folgt beantwortet werden, dabei kann man alle Felder außer FQDN ausgelassen. Wichtig ist, dass kein Passwort vergeben wird!

 Spoiler

Code:

Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:Cologne
Organization Name (eg, company) [Internet Widgits Pty Ltd]:perfectrootserver.net
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:perfectrootserver.net
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Im folgenden Beispiel habe ich mir ein SSL-Zertifikat für die Domain perfectrootserver.net gekauft und möchte dieses nun aktivieren. Nachdem der CSR erstellt worden ist, wählt man den korrekten Webserver aus, in dem Fall ist es ganz wichtig, dass man "Apache OpenSSL" auswählt! Nun kopiert den Inhalt von "perfectrootserver.net.csr" in das entsprechende Feld.

Im nächsten Schritt wird eine Verifizierung durchgeführt, damit auch der tatsächliche Inhaber dieser Domain das Zertifikat erhält. Das geschieht bei einer einfachen Domain Validation per E-Mail an eine vorgegebene Adresse, zur Auswahl stehen meistens root, webmaster oder admin. Nachdem die Legitimation erfolgreich durchgeführt wurde, erhält man die Zertifikate mit folgendem Inhalt per E-Mail:

Code:

AddTrustExternalCARoot.crt
COMODOECCAddTrustCA.crt
COMODOECCDomainValidationSecureServerCA.crt
perfectrootserver_net.crt

Nun müssen die Zertifikate kombiniert werden (Die Reihenfolge ist wichtig!):

Code:

cat perfectrootserver_net.crt COMODOECCDomainValidationSecureServerCA.crt > perfectrootserver.net.bundle.crt

Und das trustedbundle:

Code:

cat COMODOECCDomainValidationSecureServerCA.crt COMODOECCAddTrustCA.crt > trustedbundle.crt

Jetzt nur noch die stapling file:

Code:

openssl ocsp -text -no_nonce -issuer  COMODOECCDomainValidationSecureServerCA.crt -CAfile  perfectrootserver.net.bundle.crt -cert perfectrootserver_net.crt -VAfile  COMODOECCDomainValidationSecureServerCA.crt -url  http://ocsp.comodoca.com -respout /etc/nginx/ssl/ocsp_staple

So sieht dann die VHost-Config aus:

 Spoiler

Code:

            ssl_certificate            ssl/perfectrootserver.net.bundle.crt;
            ssl_certificate_key      ssl/perfectrootserver.net.key;
            ssl_trusted_certificate ssl/trustedbundle.crt;
            ssl_stapling on;
            ssl_stapling_verify on;
            ssl_stapling_file          ssl/ocsp_staple;
            resolver 8.8.8.8 8.8.4.4 valid=300s;
            resolver_timeout 5s;

Achtung! Windows XP unterstützt ECDSA nicht! Wer auch Windows XP Nutzer mit IE6/7/8 auf seine Seite lassen möchte, muss zu RSA wecheln. Wie erstellt man ein RSA Zertifikat? Dazu braucht man den Key und den entsprechenden CSR:

Code:

openssl req -nodes -sha256 -newkey rsa:4096 -keyout domain.com.key -out domain.com.csr

Der Rest verläuft genau so wie mit ECDSA beschrieben, nur dass an Stelle von ECC eben RSA in den Dateinnahmen der Zertifikate steht (zwecks Unterscheidung).

Caching:

Durch zahlreiche Einstellungen ist der Webserver für hohe Besucherspitzen bestens gerüstet. Natürlich kann der Server nur so gut sein, wie die entsprechend zur Verfügung gestellten Ressourcen. Ein wesentlicher Bestandteil dabei ist der OpCode Cache (APCu), denn dadurch wird die Verarbeitung von PHP-Codes enorm verbessert. Folgendes Bild verdeutlicht die Funktion von APCu auf einen Blick:

 Spoiler

Quelle:

Mailserver:

Der Mailserver ist neben dem Nginx Webserver ein wichtiger Bestandteil eines erfolgreichen Projekts. Administratoren haben nach einiger Zeit stark mit Spam, Viren und Bots zu kämpfen, so muss man dafür sorgen, dass auch dieses System optimal funktioniert.

Wie auch oben erwähnt, wird jegliche Verbindung zu dem Mailserver verschlüsselt. ClamAV, SpamAssassin und Fuglu bieten soliden Schutz gegen den Schmutz aus dem Netz. Die Authentifizierung findet über MySQL statt und wird durch eine kryptische Authentifizierung mittels DKIM an dem DNS-Server, der die Einträge der Domain verwaltet, ergänzt. Zusätzlich erschwert SPF das Fälschen einer Absenderadresse. Schickt also jemand von einem anderen Server eine E-Mail mit dem Absender des eigenen Servers, prüft der Emfänger, ob der Absender überhaupt berechtigt ist. Hierzu werden die Felder "MAIL FROM" und "HELO" in der SMTP-Verbindung mit den der SPF Regel des DNS-Servers verglichen. Stimmt also z. Bsp. die IP-Adresse des Absenders nicht, wird die E-Mail verworfen oder als Spam gekennzeichnet. Damit die E-Mail Postfächer nicht alle per Hand gepflegt werden müssen, dient Mailcow als administratorische Hilfe. Mailcow bringt eine Weboberfläche mit sich, sieht cool aus und ist auch noch sehr sicher.

Mehr informationen zu den Funktionen des Mailservers und der dazugehörigen findet man hier:



An dieser Stelle auch noch mal ein großes Dankeschön an André, der viel Zeit und Energie in das Mailcow-Projekt steckt.



System:

Wie auch in der Version zuvor wird das System mit Hilfe einer Software-Firewall (Arno-Iptables-Firewall), Fail2Ban und der Anpassung des Kernels abgehärtet. Fail2Ban scant außerdem die Logs und reagiert entsprechend mit einem Ban, wenn verdächtige Aktivitäten wie z. Bsp. mehrmals hintereinander fehlgeschlagene Loginversuche. Außerdem läuft ein Cronjob, der täglich eine Liste mit aktuellen IP-Adressen aus zahlreichen Quellen erstellt und diese in die iptables Schreibt.

Folgende Quellen werden genutzt:

Code:

http://www.projecthoneypot.org/list_of_ips.php?t=d&rss=1
http://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1
http://www.maxmind.com/en/anonymous_proxies
http://danger.rulez.sk/projects/bruteforceblocker/blist.php
http://rules.emergingthreats.net/blockrules/compromised-ips.txt
http://www.spamhaus.org/drop/drop.lasso
http://cinsscore.com/list/ci-badguys.txt
http://www.openbl.org/lists/base.txt
http://www.autoshun.org/files/shunlist.csv
http://lists.blocklist.de/lists/all.txt

Wie installiere ich das ganze Zeug nun endlich?!

Wichtig!!!!

Quote:

Vorab möchte ich deutlich darauf hinweisen, dass das Skript nicht mit einem VPS kompatibel ist! ()

Das Problem dabei ist, dass es sich bei einem VPS um keine vollwertige Virualisierung handelt, deshalb kann der Kernel des Gastsystems auch nicht modifizieren werden. Aus diesem Grund ist die Verwendung von wichtigen Kernelfunktionen nicht möglich und führt so zu zahlreichen Problemen während der Installation und/oder des Betriebs.

Bevor es los geht, hier noch einmal die Voraussetzungen, um das Script benutzen zu können:

• vServer / Root Server
• Debian 8 (Jessie) minimal (frisch installiert!)
• Mindestens 1 GB RAM, empfohlen 2 GB!
• Mindestens 1 CPU Core, empfohlen 2!
• Eine TLD! -> Top-Level-Domain ? Wikipedia
• Die Möglichkeit, die DNS Records dieser Domain verändern zu können. Dienste wie CloudFlare werden teilweise unterstützt.
• Die Möglichkeit, den Reverse DNS zu verändern (Keine Pflicht)

Eine Domain und die Möglichkeit, DNS Records dieser Domain zu verändern, ist eine Pflichtvoraussetzung. TLDs gibt es auch kostenlos (Stichwort .tk Domain -> ). Dank Let's Encrypt gibt es ein gültiges SSL-Zertifikat auch kostenlos!



Installation:

Das Skript findet man auf GitHub:


Erste Schritte:

Damit das Skript direkt bei dem ersten Start ohne Probleme durchläuft und ein gültiges Zertifikat erstellt werden kann, müssen folgende Domains und Subdomains zu der IP-Adresse des Servers auflösen:

Wenn der Mailserver nicht genutzt wird:

Code:

deinedomain.tld
www.deinedomain.tld

Wenn der Mailserver genutzt wird:

Code:

deinedomain.tld
www.deinedomain.tld
mail.deinedomain.tld
dav.deinedomain.tld
autodiscover.deinedomain.tld
autoconfig.deinedomain.tld

Auf die restlichen DNS-Einträge wird am Ende der Installation ein Assistent eingehen und bei der Einrichtung helfen.


Sind alle Voraussetzungen gegeben, kann das Skript wie folgt installiert werden:


1. Aktuelle Versionsnummer herausfinden ->

2. Herunterladen:

Code:

wget -O ~/perfectrootserver.tar.gz https://github.com/zypr/perfectrootserver/archive/v0.x.x.tar.gz

3. Extrahieren

Code:

tar -xzf ~/perfectrootserver.tar.gz -C ~/ --strip-components=1

4. Config anpassen

Code:

nano ~/userconfig.cfg

5. Installation starten

Code:

bash ~/install.sh

Update:

Aktuell gibt es noch keine Möglichkeit, ältere Versionen des Skripts automatisch zu updaten. Der User Mxiiii hat sich die Mühe gemacht, ein quick & dirty Skript zu schreiben, dass diese Funktion übernimmt. Hier der Link zu seinem GitHub-Profil:



Danke nochmal!



Wichtige Ordner und Dateien:

Wenn der Server installiert ist, findet man wichtige Datein und Ordner an folgenden Stellen:

Pfad zum öffentlichen html docs Ordner:

Code:

/etc/nginx/html

Nginx-Konfiguration:

Code:

/etc/nginx/nginx.conf

Vhosts-Konfiguration:

Code:

/etc/nginx/sites-available
bzw als symbolischer Link in:
/etc/nginx/sites-enabled

Nginx-SSL-Zertifikate:

Code:

/etc/nginx/ssl/

Firewall Konfiguration:

Code:

/etc/arno-iptables-firewall/firewall.conf

Grundsätzlich kann die Firewall erneut konfiguriert werden, indem man z. Bsp. mehr Ports hinzufügen möchte. Entweder man macht es per Hand direkt in der firewall.conf (Zeilen 1164 und 1165) oder nutzt das mitgelieferte Skript. Folgende relevante Datein findet man wie folgt:

Firewall Configure Skript:

Code:

~/sources/aif/configure.sh

Firewall Uninstall Skript:

Code:

~/sources/aif/uninstall.sh

Firewall Install Skript:

Code:

~/sources/aif/install.sh

SSL Zertifikat:

Das Zertifikat von Let's Encrypt ist aktuell nur 3 Monate gültig, deshalb muss es ca. alle 80 Tage neu validiert werden. Let's Encrypt ansich findet man hier:

Code:

/root/sources/letsencrypt

So erstellt/erneutert man sein Zertifikat:

In den Ordner navigieren:

Code:

cd ~/sources/letsencrypt

Jetzt kann man ein neues Zertifikat erstellen. Let's Encrypt bietet zwar keine Wildcard Zertifikate an, unterstützt aber meines Wissens nach beliebig viele Subdomains.

Code:

Wenn der Mailserver genutzt wird:
./letsencrypt-auto --agree-tos --renew-by-default --email  --rsa-key-size 4096 -d deinedomain.tld -d www.deinedomain.tld -d mail.deinedomain.tld -d autodiscover.deinedomain.tld -d autoconfig.deinedomain.tld -d dav.deinedomain.tld certonly

Wenn der Mailserver nicht genutzt wird:
./letsencrypt-auto --agree-tos --renew-by-default --email  --rsa-key-size 4096 -d deinedomain.tld -d www.deinedomain.tld certonly

Die E-Mail ist wichtig, damit man bei Verlust seine Daten wiederbekommt.



Tipps und Tricks:

HPKP:

Wer sein Projekt fertig geplant hat und weiß, welche Domains und Subdomains über den Webserver laufen sollen, kann seine Zertifikate zusätzlich noch mit HPKP (HTTP Public Key Pinning) absichern. Erklärung weiter oben im Thread!

Sobald das Zertifikat erstellt ist, kann man den Pin aus dem Zertifikat, dem privaten Schlüssel oder dem CSR generieren. Mit dem folgenden Befehl wird der Pin anhand des Zertifikats generiert:

Code:

openssl x509 -pubkey < /etc/letsencrypt/live/domain.tld/fullchain.pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64

Anschließend muss die Nginx Config für die entsprechende Domain überarbeitet werden. Wenn man nach der Installation nichts verändert hat, befindet sich die Config für die jewielige Domain hier:

Code:

/etc/nginx/sites-available/domain.tld.conf

Der Pin kommt dann in das erste 'pin-sha256=' Feld ein, also so:

Code:

add_header Public-Key-Pins 'pin-sha256="HIERDENPINEREIN"; pin-sha256="--"; max-age=5184000; includeSubDomains';

Es funktioniert auch mit einem Pin, man kann für den zweiten aber auch einfach einen Pseudopin generieren oder sich ein zweites Zertifikat zulegen (unbedingt bei einer anderen Zertifizierungsstelle, bei ein und der selben funktioniert das nicht).

Code:

openssl rand -base64 32

Der Pin kommt dann einfach in das zweite Feld.




Über Anregungen und Verbesserungsvorschläge freue ich mich jeder Zeit!

Viele Grüße
Zypr

[Zypr]

Hier findet man die alte Version:

 Spoiler

[HOWTO] Der perfekte Debian 7 Wheezy Root Server!

Version 2


Hallo epvp!

Lange ist es her, seit ich das Howto für ein Debian 6.x System veröffentlicht habe. Schon seit geraumer Zeit gibt es die Version 7 des beliebten Betriebssystems, mit vielen neuen Funktionen und Verbesserungen. Da ich mich in den letzten Tagen sehr intensiv damit beschäftigt habe das System zu aktualisieren und perfektionieren, möchte ich an dieser Stelle auch das Tutorial aktualisieren.

Hier eine Auflistung der eingesetzten Software bzw. Funktionen, die euer Server am Ende hat:

System:	Debian 7.x Wheezy
Adminpanel:	Froxlor
Webserver:	Nginx mit PHP5-FPM und PHP5-APC
DatenbanK:	MySQL
SMTP:	Postfix
IMAP/POP3	Dovecot
Nameserver:	Bind9
FTP:	Pure FTPd
Security
Firewall:	Arno-Iptables-Firewall, als Grundgerüst mit perfektionierter LOG Funktion und umfangreicher Konfigurationsmöglichkeit
DDOS protecion:	Fail2ban (DNS DDOS, HTTP DDOS), SYN DRDOS, SYN flood protection, intelligente Iptables
Scan/Sniff protection:	NIDS (Network intrusion detection system - Wikipedia, the free encyclopedia) psad und fwsnort - Protection gegen jegliche Art von Scans. DNScrypt gegen eavesdropping und MITM-Angriffe
SSH:	Keybasierte Authentifizierung
Web Security:	ZB Block (Bots, Spam, SQLInjections, Website defacement, XSS, RFI, Blacklists, blockt IPs, Domains und UserAgends), PHP Konfiguration/Absicherung
System:	Kernel Abhärtung, rkhunter (Rootkit scanner)
E-Mail Protection:	ClamAV (Antivirus), Amavis (verbindet den Mailserver mit einem oder mehreren Virenscannern), SpamAssassin (Mächtiges Filtersystem anhand von Regeln und/oder Listen), Pyzor (Spamdetection), Razor (Spamdetection), Blacklists von spamhaus.org spamcop.net, datenbankbasierte Authentifikation

Die Themen:

#1 Einleitung

#2 Grundsätzliches

#2.1 Vorraussetzungen

#2.2 Vorbereitung

#3 LEMP

#3.1 Was ist LEMP?

#3.2 MySQL

#3.3 PHP

#3.4 nginx

#4 Froxlor

#5 Absicherung

#5.1 Firewall

#5.2 E-Mail Schutz

#5.3 DDOS, Authfails

#5.4 SSH & System

#5.5 ZB Block

#6 Tipps & Tricks

#6.1 Domain als Hostname

[#1 Einleitung]

Besonders für Anfänger ist es schwierig ein System richtig einzurichten. Allein aus rechtlichen Gründen ist man als Besitzer eines Root/vServers für alles verantwortlich, umso wichtiger wird eine vernünftige Konfiguration. Es gibt nichts schlimmeres als eine gehackte Seite oder irgendwelche Kinder, die versuchen unser System lahmzulegen oder unseren Server als Spamschleuder benutzen. Dieses Tutorial richtet sich vor allem an diejenigen, die bisher noch keine Kenntnisse besitzen und Probleme haben, Übersicht und Kontrolle zu behalten.


[#2 Grundsätzliches]

#2.1 Vorraussetzungen

• Geduld und gute Laune
• Gesunder Menschenverstand
• Grundkenntnisse Server/Netzwerke und Linux
• Vorerfahrung mit der Kommandozeile
• Debian 7.x Minimal 64 bit frisch installiert
• !!! Server darf keine "Kontainer-Virtualisierung" sein !!!
• PuTTY oder ein ähnliches Secure Shell Programm

#2.2 Vorbereitung

Zeitzone anpassen und synchronisieren

Code:

dpkg-reconfigure tzdata (Nur für ausländische Server)
aptitude install ntpdate
ntpdate-debian

VIM - Ein sehr guter Editor und mein Favorit

Code:

aptitude install vim-nox

Dieser Editor besteht aus einem Eingabe- und einem Kommandomodus. Hier eine Auflistung der wichtigsten Funktionen und Befehle:

 Spoiler

Alle vim-Kommandos (beginnen mit ":")

Befehl	Beschreibung
STRG + C	Kommandomodus
A	Einfügmodus (am Ende der aktuellen Zeile)
i	Einfügmodus (an der aktuellen Stelle)
dd	Aktuelle Zeile löschen
gg	Zum Anfang des Textes springen
GG	Zum Ende des Textes springen
xxG	Zu einer bestimmten Zeile springen. xx Steht dementsprechend für die Zeile
ggVG	Alles markieren
v	Cursor Markierung
y	Markierung kopieren
:w	Speichern und Änderungen übernehmen
:wq	Speichern und Beenden
:q	Schließen
:q!	Schließen und Änderungen verwerfen
:u	Aktion rückgängig machen
:%d	Alles löschen
/Text	Nach "Text" Mit [n] weiter suchen
/Text/i	Nach "Text" suchen, Groß-/Kleinschreibung ignorieren
Mehr?	Weitere Befehle für VIM ()

Erweiterung der Sourcelist

Die sources.list beinhaltet eine Liste von Archiven, aptitude sucht im Inventar nach den Paketen die man installieren möchte. Durch aptitude update wird diese Liste geupdatet. Leider haben es einige aktuelle Versionen wie "php5-fpm" und "nginx" nicht in die Debian-Pakete geschafft, deswegen muss eine Fremdquelle hinzugefügt werden. bietet aktuelle Pakete rund um LAMP auf Debian Servern an, unter anderem die von uns benötigten.

Code:

vim /etc/apt/sources.list

Inhalt löschen und folgendes einfügen:

Code:

deb http://ftp.debian.org/debian/ wheezy contrib main non-free
deb-src http://ftp.debian.org/debian/ wheezy contrib non-free
deb http://security.debian.org/ wheezy/updates main contrib non-free
deb-src http://security.debian.org/ wheezy/updates main contrib non-free
deb http://ftp.debian.org/debian/ wheezy-backports main contrib non-free
deb-src http://ftp.debian.org/debian/ wheezy-backports main contrib non-free

#dotdeb.org
deb http://packages.dotdeb.org wheezy all
deb-src http://packages.dotdeb.org wheezy all
deb http://packages.dotdeb.org wheezy-php55 all
deb-src http://packages.dotdeb.org wheezy-php55 all

Ein Schlüssel muss importiert werden, mit dem die Pakete der Quelle unterschrieben sind:

Code:

wget http://www.dotdeb.org/dotdeb.gpg
cat dotdeb.gpg | apt-key add -

Wenn man Pakete einer anderen Sprache installieren möchte (z. Bsp. deutsch), muss man die Liste folgendermaßen bearbeiten:
(Dies ist nur bei der FTP Domain relevant. security.de.debian.org hat keine Auswirkung)

Code:

ftp.[B][COLOR="Red"]de[/COLOR][/B].debian.org/debian/

Quelle aktualisieren:

Code:

aptitude update && aptitude upgrade

[#3 LEMP]

#3.1 Was ist LEMP?

LEMP unterscheidet sich nicht viel von LAMP. LAMP setzt sich zusammen aus Linux Apache MySQL und PHP. Es wird lediglich das A durch ein E ersetzt, doch was bedeutet das? Statt Apache wird nun nginx, also E verwendet.

Wieso nginx? Apache ist sehr einfach zu konfigurieren, kompatibel zu mehreren Plattformen und standartmäßig auf fast allen Distributionen vorhanden. Leider bringt Apache viele unnötige Erweiterungen mit sich und glänzt nicht gerade mit Performance. Besonders auf vServern stößt man bereits bei kleineren/mittleren Webseiten an die RAM-Limits. Kleinere DDoS Angriffe zwingen den Apache Server sehr schnell in die Knie. nginx ist auf Performance ausgelegt: sehr leichtgewichtig und vor allem schnell! Es gibt kaum Einschränkungen und die Konfiguration ist trotz allen Irrtums sehr einfach gehalten.


#3.2 MySQL

MySQL installieren

Code:

aptitude install mysql-server
mysql_secure_installation

Code:

Change the root password? [Y/n] n (wurde schon bei der Installation angegeben)
Remove anonymous users? [Y/n] y
Disallow root login remotely? [Y/n] y
Remove test database and access to it? [Y/n] y
Reload privilege tables now? [Y/n] y

Ein sicheres Passwort ist hier selbstverständlich. Die Konfiguration ist nicht nötig, weil MySQL standardmäßig schon perfekt abgesichert ist. Da der Server nur auf Anfragen von localhost (127.0.01) reagiert, werden Verbindungen von außen automatisch geblockt. Trotzdem muss keine Änderung vorgenommen werden, denn MySQL unterstützt eine SSH Connection die mittels PuTTY lokal getunnelt werden kann. So kann man ohne Einschränkung wie gewohnt mit dem Programm seines Vertrauens arbeiten. (Mehr dazu unter Tipps & Tricks)
Die Konfigurationsdatei befindet sich in /etc/mysql/my.cnf. Das dazugehörige Init-Script findet man unter /etc/init.d/mysql


#3.3 PHP

PHP installieren

Code:

aptitude install php5-fpm php5-mysql php5-gd php5-curl php5-apc php5-cli -y

Die Konfiguration von PHP-FPM findet man in /etc/php5/fpm/php-fpm.conf, individuelle Configs unter /etc/php5/fpm/pool.d/*.conf, das dazugehörige Initscript unter /etc/init.d/php5-fpm und die PHP Einstellungen in /etc/php5/fpm/php.ini

Prozesskonfiguration:

Code:

vim /etc/php5/fpm/php-fpm.conf

Folgende Einträge ändern:

Code:

emergency_restart_threshold = 10
emergency_restart_interval = 1m
process_control_timeout = 10s

Erklärung: Wenn 10 PHP-Prozesse innerhalb einer Minute abstürzen, so wird der Dienst neugestartet. Der letzte Eintrag legt die Zeit fest, wie lange diese Prozesse auf den Haupt-Prozess warten sollen.


PHP absichern:

Code:

vim /etc/php5/fpm/php.ini

Mit dieser Einstellung wird der Interpreter nur den exakten Dateipfad ausführen. Wenn die Einstellung aktiviert ist, sucht sich der Prozess einfach die nächstliegende Datei, durch einen Fehler im Code wird dies zu einer massiven Sicherheitslücke.

Code:

cgi.fix_pathinfo=0

Mit dieser Einstellung kann man Funktionen verbieten.
Einige Funktionen sollten definitiv nicht verfügbar sein und werden in der Regel nicht gebraucht.
Folgende Funktionen der bereits eingetragenen Liste hinzufügen:

Code:

disable_functions = escapeshellarg, escapeshellcmd,passthru, proc_close, proc_get_status, proc_nice, proc_open,proc_terminate

Soll der Webserver den "X-Powered-By" Header senden?
Diese Einstellung ist optional.

Code:

expose_php = Off

Cookies werden mit httponly geflagt und sind nicht mehr über Browserskriptsprachen wie JavaScript erreichbar, bei Bedarf ausschalten

Code:

session.cookie_httponly = 1

Scripte die mit date() arbeiten, werden euren error.log sehr schnell füllen wenn die timezone nicht definiert wurde.

Code:

date.timezone = Europe/Berlin

Weitere Informationen zum Thema Sicherheit unter PHP findet man hier:


#3.4 nginx

nginx installieren

Code:

aptitude install nginx

Die Konfigurationsdatei von nginx liegt in /etc/nginx/nginx.conf, das dazugehörige Init-Script unter /etc/init.d/nginx und die vHosts Dateien im Ordner /etc/nginx/sites-enabled

Konfiguration anpassen:

Code:

vim /etc/nginx/nginx.conf

Mit wie vielen Prozessen darf nginx arbeiten? Diese sollten wenn möglich gleich der Anzahl der im System verbauten CPU-Kernen sein.
Mit dem Befehl cat /proc/cpuinfo | grep processor kann man die Anzahl erfahren.

Code:

worker_processes x;

Wie viele Verbindungen dürfen pro Prozess aufgebaut werden? Maximale Verbindungen = worker_processes x worker_connections

Code:

worker_connections 1024;

Gzip-Optimierung:

Standartmäßig ist gzip bereits aktiviert. Betreibt man jedoch ein CMS, Blog, o. ä., werden auch Stylesheets, Feeds und nicht selten zahlreiche JavaScript-Files benutzt. All diese Ressourcen können vom Webserver ebenfalls verkleinert ausgegeben werden.

Code:

        gzip_vary on;
        gzip_proxied any;
        gzip_comp_level 6;
        gzip_buffers 16 8k;
        gzip_http_version 1.1;
        gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;

Webserver für die Froxlor Installation vorbereiten:

Die vHosts Konfiguration läuft automatisiert über Froxlor ab, sodass keine manuelle Einstellung notwendig ist.
Für manuelle deny und rewrite Regeln gibt es eine extra dafür definierte Stelle (dazu später mehr).

Standard vHost entfernen

Code:

rm /etc/nginx/sites-enabled/default

Eigene vHosts Datei erstellen:

Code:

vim /etc/nginx/sites-enabled/default.conf

Code:

server {
    listen SERVERIP:80 default_server;
        server_name HOSTNAME/SERVERIP;
    root /var/www/htdocs;
    index index.php index.html index.htm;
    

    location ~ \.php$ {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    fastcgi_pass unix:/var/run/php5-fpm.sock;
    fastcgi_index index.php;
    include fastcgi_params;
    }
}

Folgende Einstellungen sollten geändert werden:
IP des Servers (Kann man durch den Befehl ifconfig eth0 | grep inet | awk '{ print $2 }' erfahren)

Code:

listen SERVERIP:80 default;

Hostname oder Domain (Kann man durch den Befehl hostname -f erfahren)

Code:

server_name    [color=red]deine-seite.de[/color];

(Alternativ kann man auch die IP Adresse nehmen. Eine kostenlose "Domain" bzw DNS gibt es bei no-ip.org)

Nginx starten

Code:

service nginx start

Verzeichnisse erstellen

Code:

mkdir -p /var/www/htdocs/ && mkdir -p /var/customers/webs/ && mkdir -p /var/customers/logs/ && mkdir -p /var/customers/tmp && chmod 1777 /var/customers/tmp

[#4 Froxlor]

Froxlor ist ein open source (GPL) Server Management Panel, das folgende Funktionen bietet:
Verwaltet die vollständige E-Mail-, FTP-und Webspace-Infrastruktur an einem zentralen Ort.
Benutzerdefinierte Fehlerseiten, Pfadeinstellungen und Verzeichnisschutz für alle unterstützten Web-Server.
Perl/PHP support via SuEXEC und/oder FastCGI und php-fpm.
Individuelle PHP-Konfiguration für jede Domain.
Ein Support-Ticket-System für die Kommunikation zwischen Kunden und Reseller / Administration.
Integriertes Nachrichtensystem für Reseller und Kunden.


Froxlor runterladen

Code:

cd /var/www/htdocs && wget http://files.froxlor.org/releases/froxlor-latest.tar.gz

Entpacken

Code:

tar -xfv froxlor-latest.tar.gz

Rechteverteilung

Code:

chown -R www-data:www-data /var/www/htdocs/

Froxlor aufrufen

Code:

http://<SERVERIP>/froxlor/

Froxlor Konfiguration, Installation der restlichen Software:

Froxlor benötigt zunächst eine eigene Datenbank, diese legt man inklusive eines Benutzers wie folgt an:
(Standardmäßig heißen Benutzername und Datenbank froxlor)

Code:

mysql --user=root --password=PASSWORD
grant all on DATENBANK.* to 'USERNAME'@'localhost' identified by 'PASSWORD';

Die erfolgreiche Erstellung wird anschließend mit Query OK, 0 rows affected bestätigt. Verlassen mit exit

Anschließend werden alle notwendigen Daten eingetragen und Froxlor installiert.
Eine erfolgreiche Installation sieht wie folgt aus:

 Spoiler

Sollte Froxlor anzeigen, dass userdata.inc.php nicht erstellt werden konnte, dann liegt es daran, dass der HTTP User www-data keinen Zugriff hat. Schau dir die einzelnen Punkte am besten noch einmal genauer an

Da die Anleitung für nginx und php-fpm in der aktuellen Version nicht ganz korrekt ist, bitte wie folgt vorgehen:

Nameservice und Caching für MySQL

Code:

aptitude install libnss-mysql-bg nscd
chmod 600 /etc/libnss-mysql.cfg /etc/libnss-mysql-root.cfg

Code:

 vim /etc/libnss-mysql.cfg

Inhalt löschen und folgendes hinzufügen:

 Spoiler

Das MYSQL_PASSWORD sollte durch das Passwort des MySQL Benutzernamens für die Froxlor Datenbank ersetzt werden.

Code:

getpwnam    SELECT username,'x',uid,gid,'MySQL User',homedir,shell \
            FROM ftp_users \
            WHERE username='%1$s' \
            AND login_enabled = 'Y' \
            LIMIT 1
getpwuid    SELECT username,'x',uid,gid,'MySQL User',homedir,shell \
            FROM ftp_users \
            WHERE uid='%1$u' \
            AND login_enabled = 'Y' \
            LIMIT 1
getspnam    SELECT username,password,FLOOR(UNIX_TIMESTAMP()/86400-1),'1','99999','7','-1','-1','0' \
            FROM ftp_users \
            WHERE username='%1$s' \
            AND login_enabled = 'Y' \
            LIMIT 1
getpwent    SELECT username,'x',uid,gid,'MySQL User',homedir,shell \
            FROM ftp_users
getspent    SELECT username,password,FLOOR(UNIX_TIMESTAMP()/86400-1),'1','99999','7','-1','-1','0' \
            FROM ftp_users
getgrnam    SELECT groupname,'x',gid \
            FROM ftp_groups \
            WHERE groupname='%1$s' \
            LIMIT 1
getgrgid    SELECT groupname,'x',gid \
            FROM ftp_groups \
            WHERE gid='%1$u' \
            LIMIT 1
getgrent    SELECT groupname,'x',gid \
            FROM ftp_groups
memsbygid   SELECT username \
            FROM ftp_users \
            WHERE gid='%1$u'
gidsbymem   SELECT gid \
            FROM ftp_users \
            WHERE username='%1$s'

host        127.0.0.1
database    froxlor
username    froxlor
password    MYSQL_PASSWORD
port        3306

Code:

 vim /etc/libnss-mysql-root.cfg

Inhalt löschen und folgendes hinzufügen:

 Spoiler

Das MYSQL_PASSWORD sollte durch das Passwort des MySQL Benutzernamens für die Froxlor Datenbank ersetzt werden.

Code:

username    froxlor
password    MYSQL_PASSWORD

Code:

 vim /etc/nsswitch.conf

Inhalt löschen und folgendes hinzufügen:

 Spoiler

Das MYSQL_PASSWORD sollte durch das Passwort des MySQL Benutzernamens für die Froxlor Datenbank ersetzt werden.

Code:

# Make sure that `passwd`, `group` and `shadow` have mysql in their lines 
# You should place mysql at the end, so that it is queried after the other mechanisams
#
passwd:         compat mysql
group:          compat mysql
shadow:         compat mysql

hosts:       files dns
networks:    files dns

services:    db files
protocols:   db files
rpc:         db files
ethers:      db files
netmasks:    files
netgroup:    files
bootparams:  files

automount:   files
aliases:     files

Dienst neustarten:

Code:

service nscd restart

PHP-FPM für Froxlor aktivieren und konfigurieren

Links im Menü Einstellungen PHP-FPM aktivieren, anschließend erscheint rechts daneben in der Leiste ein Link zu dem PHP5-FPM Einstellungen,
diese bitte wie folgt übernehmen:

 Spoiler

Standarconfig entfernen, Gruppe/User anlegen und Rechte erteilen:

Code:

rm /etc/php5/fpm/pool.d/www.conf
rm /etc/nginx/sites-enabled/default.conf
groupadd -f froxlorlocal
useradd -s /bin/false -g froxlorlocal froxlorlocal
chown -R froxlorlocal:froxlorlocal /var/www/htdocs/froxlor/

Initscript bearbeiten:

Code:

vim /etc/init.d/php5-fpm

Code:

# Required-Start:    $remote_fs $network mysql nscd

Cronjob ausführen, damit alle Änderungen übernommen werden

Code:

/usr/bin/php5 -q /var/www/htdocs/froxlor/scripts/froxlor_master_cronjob.php --force

Nginx und php5-fpm neustarten:

Code:

service nginx restart && service php5-fpm restart

Froxlor sollte nun sauber starten und über FPM laufen!


Installation der restlichen Software

Die Konfiguration von Froxlor ist relativ simpel, auf der linken Seite befindet sich der Menüpunkt Konfiguration.
Das MYSQL_PASSWORD sollte durch das Passwort des MySQL Benutzernamens für die Froxlor Datenbank ersetzt werden.



Dort wählt man oben zunächst die Distribution aus, anschließend den Service und den dazugehörigen Daemon.
In unserem Fall ist es Debian 7.0 (Wheezy).

Die restlichen Dienste können mit Hilfe der Froxlor Installationsanweisung ganz einfach installiert werden.
Grundsätzlich kann man jeglichen Inhalt löschen und mit dem in der Anleitung vorgeschlagenem Code ersetzen.
Außnahmen werden mit einem roten * markiert, dort sollte man die Anweisung etwas genauer lesen, bzw.
stehen wichtige Informationen und Änderungen dabei.
Folgende Dienste müssen installiert werden:

Debian 7.0 (Wheezy) » Nameserver (DNS) » Bind9

Debian 7.0 (Wheezy) » Mailserver (SMTP) » Postfix/Dovecot*
Bei der Anleitung gibt es einen kleinen Fehler in der /etc/postfix/main.cf. Folgende Zeile sollte kommentiert werden, sonst gibt es Probleme bei der MYSQL Anmeldung

Code:

#mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain

Debian 7.0 (Wheezy) » Mailserver (SMTP) » Postfix MX-Access (anti spam)*
Folgenden Parameter sollte man in der /etc/postfix/main.cf noch deaktivieren, da dieser nicht genutzt wird:

Code:

#smtpd_relay_restrictions=

Debian 7.0 (Wheezy) » Mailserver (IMAP/POP3) » Dovecot
Debian 7.0 (Wheezy) » FTP-Server » Pure FTPd
Debian 7.0 (Wheezy) » Sonstige (System) » Awstats
Debian 7.0 (Wheezy) » Sonstige (System) » Logrotate

Cronjob ausführen, damit alle Änderungen übernommen werden

Code:

/usr/bin/php5 -q /var/www/htdocs/froxlor/scripts/froxlor_master_cronjob.php --force

Nun wird der Master Cronjob automatisiert:
Debian 7.0 (Wheezy) » Sonstige (System) » Crond (cronscript)
(Kleiner Tipp: Crontab verlässt man wieder mit [STRG] + [x], dann [y] oder [j] und [Enter])



[#5 Absicherung]


Das Grundgerüst bietet uns Arno-Iptables-Firewall mit perfektionierter LOG Funktion und umfangreicher Konfigurationsmöglichkeit. DDOS Schutz wird durch intelligente Iptable Regeln, Software wie Deflate und Fail2ban (DNS, HTTP, SYN, UDP, uvm.) gewährleistet. PSAD und FWSNORT bilden zusammen außerdem ein mächtiges NIDS (Network intrusion detection system - Wikipedia, the free encyclopedia) und bieten Schutz gegen jegliche Art von Scans. DNScrypt schützt uns vor eavesdropping und MITM-Attacken, da der gesamte DNS Traffic verschlüsselt übertragen wird. SSH Login ist nur noch durch einen zufällig generierten 1024 Bit Schlüssel möglich. Software wie ClamAV, Amavis, SpamAssassin, Pyzor und Razor filtern eingehende und ausgehende E-Mails an Hand von großen Blacklisten und Regeln nach Viren und Spam. ZB Block schützt die Webpräsenz vor Bots, Spam, SQL-Injections, Website Defacement, XSS, RFI, überprüft Blacklists, blockt IPs, Domains und User Agents. Der Kernel wird systemseitig abgehärtet, rkhunter scannt nach bekannten Rootkits und Signaturen solcher.

Allerdings darf man jedoch nicht vergessen, dass eine Software Protection nichts gegen größere Angriffe ausrichten kann, wenn die Bandbreite weniger bietet als der Angreifer oder der Server zu schwach ist, um die Möglichkeit zu bekommen Regeln anzuwenden. Sollte man keinen Schutz durch den Anbieter bekommen und wird der Server öfters mal attackiert, empfiehlt sich ein Dienst wie Cloudflare, etc. Sicherlich gibt es immer gewisse Grenzen, ab einer bestimmten Größe bringt auch die beste Infrastruktur nichts. Euer Server ist in jedem Fall ohne weitere Kostenpunkte ziemlich robust abgesichert und sollte, falls die Bandbreite es hergibt, binnen weniger Minuten die meisten Angriffe abwehren können.


#5.1 Firewall, FWSNORT und PSAD

Firewall installieren und konfigurieren:

Code:

aptitude install arno-iptables-firewall psad fwsnort

Installationsanleitung mit Screenshots bei Bedarf:

 Spoiler

Ports die unbedingt notwendig sind, werden werden mit einem roten * markiert. Bei Bedarf können weitere Ports hinzugefügt werden.
Eine Liste der standardisierten Ports findet man hier: Liste der standardisierten Ports ? Wikipedia
Ports können nach der Installation auch hier noch editiert werden: /etc/arno-iptables firewall/conf.d/00debconf.conf
Die gängigsten Ports auf einem Blick:
TCP:

Port	Beschreibung
21	FTP*
22	SSH*
25	SMTP*
53	DNS*
80	HTTP*
110	POP3*
143	IMAP*
443	HTTPS
465	SMTPS
993	IMAPS
995	POP3S

UDP:

Port	Beschreibung
53	DNS*

Firewall konfigurieren:

Code:

vim /etc/arno-iptables-firewall/firewall.conf

Code:

DRDOS_PROTECT=0

### Nur, wenn IPV6 eingesetzt wird ###
IPV6_SUPPORT=1
### Nur, wenn IPV6 eingesetzt wird ###

ECHO_IGNORE=1
IP_FORWARDING=0
IPV6_AUTO_CONFIGURATION=0

PSAD konfigurieren:

Code:

vim /etc/psad/psad.conf

Code:

EMAIL_ADDRESSES             ;
HOSTNAME                    HOSTNAME;
ENABLE_PERSISTENCE          N;
EMAIL_ALERT_DANGER_LEVEL    3;
IPT_SYSLOG_FILE             /var/log/arno-iptables-firewall;
IMPORT_OLD_SCANS            Y;
ENABLE_AUTO_IDS             Y;

### Nach Bedarf anpassen, Standard 5 ###
AUTO_IDS_DANGER_LEVEL       4;
### Nach Bedarf anpassen, Standard 5 ###

ENABLE_AUTO_IDS_REGEX       Y;
ENABLE_AUTO_IDS_EMAILS      N;
FLUSH_IPT_AT_INIT           N;
TCPWRAPPERS_BLOCK_METHOD    Y;
DISK_MAX_PERCENTAGE         80;

PSAD neustarten

Code:

service psad restart

PSAD ist so konzipiert, dass jede gebannte oder verdächtige IP, deren danger level sich für diese erhöht hat, per E-Mail gemeldet wird. Wer dies aus irgendwelchen Gründen auch immer nicht möchte, kann diese Funktion ausschalten: ALERTING_METHODS noemail;

ip6tables Regeln

Code:

vim /etc/arno-iptables-firewall/custom-rules

Code:

ip6tables -A INPUT -j LOG
ip6tables -A FORWARD -j LOG

Firewall neustarten und Regeln aktualisieren

Code:

service arno-iptables-firewall restart

PSAD updaten:

Code:

psad --sig-update
psad -H

Prüfen, ob PSAD Regeln korrekt sind. Sollte so aussehen: [+] Firewall config looks good.

Code:

psad --fw-analyze

FWSNORT konfigurieren:

FWSNORT updaten

Code:

/usr/sbin/fwsnort --update-rules
/usr/sbin/fwsnort
/var/lib/fwsnort/fwsnort.sh

Bei der Erstellung der iptables Regeln müsste zurzeit folgende Fehlermeldung ausgespuckt werden.
Dazu gibt es im weiteren Verlauf eine Lösung bzw. mehr Informationen.

Code:

[+] Splicing fwsnort 9225 rules into the iptables policy...
iptables-restore v1.4.14: Invalid hex char '|'
Error occurred at line: 9xxx

FWSNORT Signaturen beim Booten automatisch zu den iptables Regeln hinzufügen:

Code:

vim /etc/init.d/fwsnort

Code:

#!/bin/bash
#
### BEGIN INIT INFO
# Provides:          fwsnort
# Required-Start:    $network
# Required-Stop:     $network
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: 
# Description:       update-rc.d -f fwsnort defaults 
### END INIT INFO
/var/lib/fwsnort/fwsnort.sh
exit 0

Code:

chmod +x /etc/init.d/fwsnort && update-rc.d -f fwsnort defaults

FWSNORT und PSAD automatisch updaten:

FWSNORT und PSAD updaten sich leider nicht von alleine, dafür muss ein kleines Script erstellt werden.
ACHTUNG. FWSNORT hat aktuell fehlerhafte Regeln, sodass Updates zwar geladen, diese jedoch von iptables nicht akzeptiert werden. Alle kaputte Regeln müssten entfernt werden, das ist bei knapp 9500 Einträgen etwas blöd und müsste nach einem Update erneut manuell bearbeitet werden. Bitte nutzt das Script vorerst NICHT!
Alternative weiter unten!

 Spoiler

ACHTUNG, das Script vorerst nicht nutzen!
Alternative weiter unten!

Script anlegen

Code:

vim /etc/fwsnort/autoupdate

Code:

#!/bin/bash
/usr/sbin/fwsnort --update-rules
/usr/sbin/fwsnort
/var/lib/fwsnort/fwsnort.sh
echo "FWSNORT Signaturen wurden aktualisiert"
psad --sig-update
psad -H
echo "PSAD Signaturen wurden aktualisiert"

Script ausführbar machen

Code:

chmod +x vim /etc/fwsnort/autoupdate

Update wöchentlich ausführen

Code:

crontab -e

Code:

0 12 * * 5 /etc/fwsnort/autoupdate 2>&1 >> /var/log/fwsnort_update.log

Alternative:
Ich habe die FWSNORT Signaturen aktualisiert und alle fehlerhaften Regeln entfernt (Stand 23.11.2013)
Die bearbeitet Datei habe ich hochgeladen. Diese mit der defekten Datei wie folgt ersetzen:

Code:

cd /var/lib/fwsnort/ && rm fwsnort.save && wget https://www.dropbox.com/s/arh2y67un76lcxq/fwsnort.save && /var/lib/fwsnort/fwsnort.sh

Nun sollten die Regeln korrekt hinzugefügt sein. Bestätigt wird das mit einem simplen Done.

Da die Updates für PSAD sauber funktionieren, kann man dafür trotz allem ein Script anlegen..

Script anlegen

Code:

vim /etc/fwsnort/autoupdate

Code:

#!/bin/bash
psad --sig-update
psad -H
echo "PSAD Signaturen wurden aktualisiert"

Script ausführbar machen

Code:

chmod +x vim /etc/fwsnort/autoupdate

Update wöchentlich ausführen

Code:

crontab -e

Code:

0 12 * * 5 /etc/fwsnort/autoupdate 2>&1 >> /var/log/fwsnort_update.log

#5.2 E-Mail Schutz

Software installieren

Code:

aptitude install amavisd-new spamassassin clamav-daemon libnet-dns-perl libmail-spf-perl pyzor razor

Clamav aktualisieren und starten

Code:

freshclam && service clamav-daemon start

 Spoiler

Eine Meldung weist euch darauf hin, dass die aktuelle Version von Clamav OUTDATED ist. Leider habe ich es bisher nicht erfolgreich geschafft die neuste Version zu kompilieren, da diese anscheinend noch nicht alle Systeme unterstützt. Aus diesem Grund taucht sie auch noch nicht in den stable Repos von Wheezy auf. Gedulden wir uns also etwas, bis ein frisches Update kommt.. die Virusdatenbank ist in jedem Fall immer up to date

Optional können folgende Pakete installiert werden, damit angehängte Archive besser gescannt werden können (empfohlen)

Code:

aptitude install arj bzip2 cabextract cpio file gzip nomarch pax rar unrar unzip zip zoo

Konfiguration der einzelnen Software:

Code:

adduser clamav amavis && adduser amavis clamav

Spamassassin konfigurieren und starten

Code:

vim /etc/default/spamassassin

Code:

ENABLED=1
CRON=1

Code:

service spamassassin start

Amavis konfigurieren

Code:

vim /etc/amavis/conf.d/15-content_filter_mode

Inhalt bearbeiten, damit es wie folgt aussieht:

 Spoiler

Code:

use strict;

# You can modify this file to re-enable SPAM checking through spamassassin
# and to re-enable antivirus checking.

#
# Default antivirus checking mode
# Uncomment the two lines below to enable it
#

@bypass_virus_checks_maps = (
   \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);


#
# Default SPAM checking mode
# Uncomment the two lines below to enable it
#

@bypass_spam_checks_maps = (
   \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);

1;  # insure a defined return

Neustarten

Code:

service amavis restart

Schreibrechte

Code:

chmod 777 /var/mail

Postfix konfigurieren und anpassen

Code:

vim /etc/postfix/main.cf

Am Ende einfügen

Code:

content_filter = smtp-amavis:[127.0.0.1]:10024

Code:

vim /etc/postfix/master.cf

Folgende Zeile suchen

Code:

pickup    fifo  n       -       -       60      1       pickup

Diese beiden Zeilen direkt danach einfügen, inklusive der pickup Zeile sollte es so aussehen:

Code:

pickup    fifo  n       -       -       60      1       pickup
         -o content_filter=
         -o receive_override_options=no_header_body_checks

Folgenden Text ganz am Ende der Datei einfügen

 Spoiler

Code:

smtp-amavis     unix    -       -       -       -       2       smtp
        -o smtp_data_done_timeout=1200
        -o smtp_send_xforward_command=yes
        -o disable_dns_lookups=yes
        -o max_use=20

127.0.0.1:10025 inet    n       -       -       -       -       smtpd
        -o content_filter=
        -o local_recipient_maps=
        -o relay_recipient_maps=
        -o smtpd_restriction_classes=
        -o smtpd_delay_reject=no
        -o smtpd_client_restrictions=permit_mynetworks,reject
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=permit_mynetworks,reject
        -o smtpd_data_restrictions=reject_unauth_pipelining
        -o smtpd_end_of_data_restrictions=
        -o mynetworks=127.0.0.0/8
        -o smtpd_error_sleep_time=0
        -o smtpd_soft_error_limit=1001
        -o smtpd_hard_error_limit=1000
        -o smtpd_client_connection_count_limit=0
        -o smtpd_client_connection_rate_limit=0
        -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks

Postfix Konfigurationsdateien neu laden

Code:

service postfix reload

Blacklist eintragen

Code:

vim /etc/postfix/main.cf

Folgende Zeile suchen smtpd_client_restrictions und entsprechend editieren:

Code:

smtpd_client_restrictions = permit_mynetworks,
        permit_sasl_authenticated,
        reject_unknown_client_hostname,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client bl.spamcop.net

#5.3 DDOS, Authfails

Fail2ban installieren und konfigurieren

Fail2ban überwacht Logs und bannt, sobald eine nicht gewollte Aktivität entdeckt wird. Es schützt vor Bruteforce-Attacken, kann SQLInjections erkennen und DDoS verhindern. Die Konfigurationsdatei findet man in /etc/fail2ban/jail.conf und das dazugehörige Init-Script unter /etc/init.d/fail2ban

Fail2ban installieren

Code:

aptitude install fail2ban

Grundkonfiguration, die Zeilen entsprechend editieren

 Spoiler

Code:

vim /etc/fail2ban/jail.conf

Code:

ignoreip = 127.0.0.1/8
bantime  = 3600
maxretry = 3

[ssh-ddos]
enabled  = true

[pure-ftpd]
enabled  = true

[postfix]
enabled  = true

[dovecot]
enabled = true

DNS DDOS Schutz:

Verzeichnis erstellen

Code:

mkdir /var/log/named && chmod a+w /var/log/named

Logging aktivieren

Code:

vim /etc/bind/named.conf.local

Am Ende der Datei hinzufügen:

Code:

logging {
    channel security_file {
        file "/var/log/named/security.log" versions 3 size 30m;
        severity dynamic;
        print-time yes;
    };
    category security {
        security_file;
    };
};

Bind9 neustarten

Code:

service bind9 restart

Fail2ban mitteilen, damit die Logs gescannt werden sollen

Code:

vim /etc/fail2ban/jail.conf

Code:

[named-refused-udp]

enabled  = true
port     = domain,953
protocol = udp
filter   = named-refused
logpath  = /var/log/named/security.log

[named-refused-tcp]

enabled  = true
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log

Fail2ban neustarten

Code:

service fail2ban restart

Logcheck installieren:
(Diese Software ist optional! Logcheck hilft dabei, automatisch Probleme und Sicherheitsverletzungen in den Protokolldateien zu erkennen und sendet die Ergebnisse per E-Mail zu. Wer daran interessiert ist seine Filter zu optimieren um ggf. einzelne Regeln in Fail2ban anzupassen, sollte sich gelegentlich eine Auswertung der Logs zuschicken. Es können auch andere Logs in die Liste hinzugefügt werden, z. Bsp. psad.log. Wer kein Interesse daran hat, kann diesen Schritt überspringen).

 Spoiler

Code:

aptitude install logcheck

Logs zu logcheck hinzufügen

Code:

vim /etc/logcheck/logcheck.logfiles

Inhalt löschen und folgende Zeilen hinzufügen

Code:

/var/log/named/security.log
/var/log/fail2ban.log

Logcheck konfigurieren

Code:

vim /etc/logcheck

Log als gzip verschicken, bei bedarf Info lesen und entsprechend anpassen

Code:

# Send the results as attachment or not.
# 0=not as attachment; 1=as attachment; 2=as gzip attachment
# Default is 0

MAILASATTACH=1

Normalerweise verschickt logcheck jede Stunde eine E-Mail mit den aktuellen Logs als Anhang. Da es mir persönlich etwas zu häufig ist, habe ich es auf 7:00 täglich geändert. Bitte ändern falls dir das nicht passt.

Code:

vim /etc/cron.d/logcheck

Code:

0 7 * * *       logcheck    if [ -x /usr/sbin/logcheck ]; then nice -n10 /usr/sbin/logcheck; fi

Cron neustarten

Code:

service crond restart

Falls jemand nicht versteht wie Cron funktioniert, kann sich hier einen netten Guide anschauen:

SPOILER ENDE

Fail2Ban für die restlichen Programme und Ports aktivieren:

HTTP GET/POST Regeln

Code:

vim /etc/fail2ban/jail.conf

Am Ende der Datei hinzufügen
(Erklärung: Wenn jemand 50 GET/POST Anfragen in 300 Sekunden an euren Webserver schickt, wird die IP für 2 Stunden gebannt. Dies bitte je nach Bedarf anpassen bzw. überwachen)

Code:

[http-get-dos]
enabled = true   
port = http,https
filter = http-get-dos
logpath = /var/log/nginx/access.log
maxretry = 50    
findtime = 300   
bantime = 7200
action = %(action_mwl)s

Filter anlegen
(Erklärung: Der Filter sucht nacht GET/POST Einträgen in der logfile. Wenn diese Werte das Kriterium der in der jail.conf hinterlegten Werte erfüllen, wird die Regel ausgeführt. Unter ignoreregex können User Agents wie der Googlebot davon ausgeschlossen werden. Dies bitte je nach Bedarf anpassen bzw. überwachen)

Code:

vim /etc/fail2ban/filter.d/http-get-dos.conf

Code:

[Definition]
failregex = ^<HOST> -.*\"(GET|POST).*

ignoreregex = ^<HOST> -.*\"(GET|POST).*Googlebot

Schutz gegen Bots:

Sicherlich kennt das jeder der schon einmal einen eigenen Webserver betrieben hat: Bots versuchen nach Sicherheitslücken zu scannen, solche Aktionen sehen in den Logfiles anschließend so aus:

Code:

2013/11/22 20:52:37 [error] 19003#0: *20 open() "/var/www/htdocs/cgi-bin/php" failed (2: No such file or directory), client: xx
2013/11/23 00:50:07 [error] 25724#0: *65 open() "/var/www/htdocs/cgi-bin/php5" failed (2: No such file or directory), client: xx
2013/11/23 07:16:05 [error] 4434#0: *76 open() "/var/www/htdocs/cgi-bin/php" failed (2: No such file or directory), client: xx

oder

2013/11/23 08:04:13 [error] 5508#0: *234170 user "test" was not found in "/var/www/.htpasswd", client: xx
2013/11/23 08:05:14[error] 5508#0: *234170 user "admin": password mismatch, client: xx

Da wir oder normale User nie auf die Idee kommen würden nach Pfaden zu suchen oder Daten mehr als 5x falsch einzugeben, werden all diejenigen die es versuchen einfach gebannt. Die Liste kann sich natürlich erweitern, je nachdem wie umfangreich der Bot ist, welche Art von Software eingesetzt wird und natürlich ob jemand gezielt versucht anzugreifen.

Config anpassen

Code:

vim /etc/fail2ban/jail.conf

Folgende Zeilen entsprechend anpassen

Code:

enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /var/log/nginx/error.log
maxretry = 5

Filter anpassen

Code:

vim /etc/fail2ban/filter.d/apache-auth.conf

Inhalt löschen und folgendes hinzufügen

Code:

[Definition]

failregex = user .* password mismatch, client: <HOST>
            user .* was not found in .*, client: <HOST>
        .*/(/var/www/htdocs/cgi-bin/php)" (is not found|failed) \(2: No such file or directory\), client: <HOST>
        .*/(/var/www/htdocs/cgi-bin/php5)" (is not found|failed) \(2: No such file or directory\), client: <HOST>

ignoreregex =

In diesem Beispiel habe ich /var/www/htdocs/cgi-bin/php und /var/www/htdocs/cgi-bin/php5 genommen. Wie oben bereits geschrieben, können sich diese Regeln immer wieder erweitern. Das sollte in der Anfangsphase überwacht und vervollständigt werden. Wer noch ein paar aufgefallene Beispiele hat, immer her damit :-)


#5.4 SSH & System

Damit unser SSH Server so sicher wie nur möglich ist, wird die standardmäßige Authentifizierung per Username + Passwort deaktiviert und durch eine Authentifizierung mit einem 1024 langen Schlüssel ersetzt. Dieser Schlüssel wird wiederum durch ein Passwort geschützt, sodass wir die bestmögliche Sicherheit kriegen.

Zunächst müssen zwei kleine Programme von der PuTTY Hauptseite heruntergeladen werden:


PuTTYgen (Damit erstellen wir unseren Schlüssel):


Pageant (Authentifiziert uns automatisch mit dem Passwort, dies ist alternativ und kann auch weggelassen werden. Dadurch müsste man jedes Mal das Passwort eintippen.. kann also jeder für sich selber entscheiden):


Jetzt wird der Schlüssel generiert, dafür wird PuTTYgen gestartet. Anschließend klickt man auf Generate und erstellt einen public/private Key. (Die Maus in dem vorgesehenen Fenster wild hin und her bewegen, bis der Key erstellt wird. Nicht vergessen ein Passwort zu vergeben!

 Spoiler

Nachdem der Schlüssel generiert wurde, muss der private Key auf unserem Computer gespeichert werden:

 Spoiler

Nun wird der Schlüssel getestet. Zunächst müssen wir uns aber erst ohne Schlüssel einloggen, den Server für eine Keybasierte Authentifizierung vorbereiten und den Benutzer in PuTTY eintagen:

 Spoiler

Nun ganz normal mit dem Server verbinden und im Rootverzeichnis den Ordner und den Key anlegen:

Code:

mkdir ~/.ssh && chmod 700 ~/.ssh && vim ~/.ssh/authorized_keys2

In die Datei wird unser Public Key eingefügt (findet man im oberen Abschnitt von PuTTYgen)

 Spoiler

Beispiel aus :

Damit diese Datei nur von dem User root gelesen/beschrieben darf, muss diese gesichert werden

Code:

chmod 600 ~/.ssh/authorized_keys2

Putty schließen und das Profil für den Server laden, den private Key hinzufügen und anschließend das Profil wieder speichern:

 Spoiler

Nun startet man Pageant und fügt den private Key hinzu, das Passwort muss bestätigt werden. Ab jetzt übernimmt Pageant die Eingabe des Passworts beim Login, das Programm muss dafür natürlich im Hintergrund aktiv sein, ansonsten wird einfach das Passwort erfragt.

So sieht es dann aus, wenn man sich erfolgreich mit dem Schlüssel anmelden konnte:

Code:

Using username "root".
Authenticating with public key "rsa-key-20131124" from agent

Wenn es bei euch auch so aussieht, kann der SSH Server konfiguriert werden

Code:

vim /etc/ssh/sshd_config

Folgende Zeilen entsprechend verändern

Code:

Protocol 2
PasswordAuthentication no
UsePAM no

Dienst neustarten

Code:

service ssh restart

System abhärten:

Code:

vim vim /etc/sysctl.conf

Folgenden Inhalt am Ende der Datei hinzufügen:

 Spoiler

Code:

net.ipv4.tcp_syncookies=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv6.conf.default.autoconf=0
net.ipv6.conf.default.accept_dad=0
net.ipv6.conf.default.accept_ra=0
net.ipv6.conf.default.accept_ra_defrtr=0
net.ipv6.conf.default.accept_ra_rtr_pref=0
net.ipv6.conf.default.accept_ra_pinfo=0
net.ipv6.conf.default.accept_source_route=0
net.ipv6.conf.default.accept_redirects=0
net.ipv6.conf.default.forwarding=0
net.ipv6.conf.all.autoconf=0
net.ipv6.conf.all.accept_dad=0
net.ipv6.conf.all.accept_ra=0
net.ipv6.conf.all.accept_ra_defrtr=0
net.ipv6.conf.all.accept_ra_rtr_pref=0
net.ipv6.conf.all.accept_ra_pinfo=0
net.ipv6.conf.all.accept_source_route=0
net.ipv6.conf.all.accept_redirects=0
net.ipv6.conf.all.forwarding=0

Änderungen übernehmen

Code:

sysctl -p

#6.5 ZB Block

ZB Block ist ein php security script und bietet Schutz vor Bots, SQLInjections, Website defacement, XSS, RFI, überprüft externe Blacklists und blockt unerwünschte Domains, IPs und User Agents. Mehr Informationen zu ZB Block findet man hier:

Installation:

1. Die .zip, .7z, or .tar.gz. Datei runterladen
2. Entpacken und den Inhalt des entpackten Ordners ins root Verzeichnis, also /<rootverzeichnis>/zbblock/
3. aufrufen
4. Ab hier den Setup befolgen und die ZB_Block_Manual.pdf aus dem zbblock Ordner lesen

Die Installation an sich ist sehr simpel, nimmt kaum Zeit in Anspruch und schützt eure PHP Seiten.


[#6 Tipps & Tricks]

Wie stelle ich eine Verbindung zum MySQL Server her, wenn dieser nur Verbindungen von localhost erlaubt? Die Antwort ist PuTTY

 Spoiler

PuTTY starten und mit SSH verbinden. Nun kann man sich ganz einfach über 127.0.0.1:3306 auf dem MySQL Server einloggen. Mein persönlicher Favorit unter den MySQL-Datenbank Tools ist SQLyog.

 Spoiler

Persönliche Daten sichern und verwalten

Benutze einen Keymanager, um Logindaten und Passwörter sicher zu speichern. Der Vorteil ist klar: Man muss sich nur ein einziges Kenntwort merken. Jeder kennt das, man hat dutzende Seiten, jede Menge Logindaten und muss sich sehr viele Passwörter merken. Das Problem ensteht schnell.. man benutzt leichte Passwörter und meist das selbe für mehrere Accounts. Dadurch wird die Sicherheit sehr beeinträchtigt.
Ich empfehle euch KeeyPassX oder ein ähnliches Programm. Es kann sichere Passwörter generieren und hilft euch bei der Verwaltung von sensiblen Daten. Die Datenbank wird selbstverständlich verschlüsselt, man kann das Ganze auch auf eine externe Schlüsseldatei erweitern, die beim Einloggen zusätzlich zum Passwort benötigt wird. Diese kann bequem auf einen USB-Stick gepackt werden und schützt so zusätzlich vor fremdem Zugriff.

Webseite:



#6.1 Domain als Hostname eintragen

Seid ihr im Besitz einer Domain, die bereits alle nötigen A und MX Records besitzt, könnt ihr diese als Hostname für euren Server eintragen.

Code:

vim /etc/hostname

Den Inhalt löschen und eure Domain dort eintragen. Zum Bsp.:

Code:

your-domain.net

Code:

vim /etc/hosts

Ganz am Ende einfügen:

Code:

xxx.xxx.xxx.xxx your-domain.net your-domain

Befehl ausführen:

Code:

/etc/init.d/hostname.sh

Jetzt sollte hostname -f folgendes ausgeben: your-domain.net

Evtl. noch den Eintrag host-name in /etc/dhcp/dhclient.conf entfernen, sollte er aus irgendeinem Grund dort stehen.
Normalerweise sollte das aber nicht der Fall sein.

Da der Mailserver die Domains aus der froxlor MySQL Datenbank ausliest, muss man mydestination nicht mehr konfigurieren.

Der E-Mail Header sieht nach der Änderung dann so aus:

 Spoiler

Return-Path: <>
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on your-domain.net
X-Spam-Level:
X-Spam-Status: No, score=-1.0 required=5.0 tests=ALL_TRUSTED,HTML_MESSAGE,
MIME_HTML_MOSTLY autolearn=ham version=3.3.1
Delivered-To:
Received: from adminPC (p5xxxxxxxxx.dip.t-dialin.net [91.10.xx.xx])
by your-domain.net (Postfix) with ESMTPSA id AC60917FD77
for <>; Wed, 27 Mar 2013 14:23:23 +0100 (CET)
From: =?iso-8859-1?Q?Max_Mustermann?= <>
To: <>
Subject: test
Date: Wed, 27 Mar 2013 14:23:25 +0100
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0019_01CE2AF6.A51B6340"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: Ac4q7kAwKPcllCU1RWGaLymym249OA==
Content-Language: de

[Zypr]

.

[Zypr]

.

[tidust]

das gleiche gibt es hier auch

[Zypr]

Gut erkannt 007, das bin auch ich.

Grüße

[leonor]

Moin, ein sehr schönes tutorial!

Eine sache würde ich aber anders machen, SSH login via schlüssel paare und dann login via User + PW ausschalten.

[Zypr]

Hey, danke für dein Feedback! Kann man natürlich auch machen, aber egal mit welcher Methode - in diesem Leben kommt da niemand durch, wenn man es mit fail2ban absichert.

Gruß

[Zypr]

Großes Update auf Debian 7 Wheezy! Der perfekte Server mit allem was dazugehört!

Schaut euch den ersten Post einfach mal an :-)


Grüße

[マリブ]

Quote:

Originally Posted by .interp

Großes Update auf Debian 7 Wheezy! Der perfekte Server mit allem was dazugehört!

Schaut euch den ersten Post einfach mal an :-)


Grüße

Was soll man dazu groß sagen, einfach ein Perfektes Tutorial, für neueinsteiger in Linux.

Greez iMalibu.

[kenshin52]

Super update Daumen hoch für ein ausführliches Tutorial, was auch noch mit der Zeit gepflegt wird.

[4bedah]

Super Tutorial ... hat soweit auch alles gefunzt wäre da nicht das froxlor-update gewesen!

beim Punkt: PHP-FPM für Froxlor aktivieren und konfigurieren
ist noch eine neue Option hinzu gekommen: FastCGI IPC Verzeichnis : /var/run/nginx/ (default)
hier muss noch das Verzeichniss angelegt werden: mkdir -p /var/run/nginx

DANKE nochmal für den freundlichen Support!

[TommyLikesInvasion]

Quote:

Originally Posted by 4bedah

Super Tutorial ... hat soweit auch alles gefunzt wäre da nicht das froxlor-update gewesen!

beim Punkt: PHP-FPM für Froxlor aktivieren und konfigurieren
ist noch eine neue Option hinzu gekommen: FastCGI IPC Verzeichnis : /var/run/nginx/ (default)
hier muss noch das Verzeichniss angelegt werden: mkdir -p /var/run/nginx

DANKE nochmal für den freundlichen Support!

Danke, da wollte ich auch nochmal nachhaken! Ich kann leider seit einem System-Restart (und nach erstellen deines o.g. Verzeichnisses) nicht auf das Froxlor-CP zugreifen: "502 Bad Gateway".

Wer ne Idee?

//EDIT:
Ich könnte natürlich auch Hilfestellung leisten. Errorlog seht ihr unten, schlau werde ich daraus aber trotzdem nciht ganz:

Code:

2013/12/29 22:42:29 [crit] 3520#0: *9 connect() to unix:/var/run/nginx/froxlor.panel-SUB.DOM.AIN-php-fpm.socket failed (2: No such file or directory) while connecting to upstream, client: 85.XX.XX.XX, server: SUB.DOM.AIN, request: "GET /froxlor/ HTTP/1.1", upstream: "fastcgi://unix:/var/run/nginx/froxlor.panel-SUB.DOM.AIN-php-fpm.socket:", host: "SUB.DOM.AIN"

Domain und meine IP hab ich aus Gründen der Privatssphäre entfernt.

[Zypr]

Ich überarbeite das mal die Tage, das neue Froxlor Update scheint das wohl alles zerschossen zu haben.

Quote:

Originally Posted by TommyLikesInvasion

Danke, da wollte ich auch nochmal nachhaken! Ich kann leider seit einem System-Restart (und nach erstellen deines o.g. Verzeichnisses) nicht auf das Froxlor-CP zugreifen: "502 Bad Gateway".

Wer ne Idee?

//EDIT:
Ich könnte natürlich auch Hilfestellung leisten. Errorlog seht ihr unten, schlau werde ich daraus aber trotzdem nciht ganz:

Code:

2013/12/29 22:42:29 [crit] 3520#0: *9 connect() to unix:/var/run/nginx/froxlor.panel-SUB.DOM.AIN-php-fpm.socket failed (2: No such file or directory) while connecting to upstream, client: 85.XX.XX.XX, server: SUB.DOM.AIN, request: "GET /froxlor/ HTTP/1.1", upstream: "fastcgi://unix:/var/run/nginx/froxlor.panel-SUB.DOM.AIN-php-fpm.socket:", host: "SUB.DOM.AIN"

Domain und meine IP hab ich aus Gründen der Privatssphäre entfernt.

Nachdem der Ordner angelegt ist den Cronjob erneut per Hand ausführen und anschließend den Dient neustarten:

Code:

/usr/bin/php5 -q /var/www/htdocs/froxlor/scripts/froxlor_master_cronjob.php --force

Code:

service php5-fpm restart

Grüße

[TommyLikesInvasion]

Quote:

Originally Posted by .interp

Nachdem der Ordner angelegt ist den Cronjob erneut per Hand ausführen und anschließend den Dient neustarten:

Code:

/usr/bin/php5 -q /var/www/htdocs/froxlor/scripts/froxlor_master_cronjob.php --force

Code:

service php5-fpm restart

Grüße

Hmm, danke - klingt nachvollziehbar. Allerdings spielt jetzt php5-fpm rum und ich kann es mir nicht erklären...

Code:

[FAIL] Restarting PHP5 FastCGI Process Manager: php5-fpm failed!