Apache em chroot + MySQL + PHP + mod_security + mod_evasive + vsftpd + Fail2ban + Debian Squeeze
Aqui abordarei a implementação de um Apache trabalhando em modo chroot, dando suporte a PHP 5, MySQL, Fail2ban, mod_security, mod_evasive e vsftpd.
[ Hits: 23.603 ]
Por: Douglas Q. dos Santos em 07/12/2012 | Blog: http://wiki.douglasqsantos.com.br
Configurando o Fail2ban e ajustando o Apache
# vim /etc/fail2ban/jail.conf
[DEFAULT]
ignoreip = 127.0.0.1, 10.0.0.0/23
bantime = 600
maxretry = 3
backend = polling
destemail = douglas@douglas.wiki.br
banaction = iptables-multiport
mta = sendmail
protocol = tcp
action_ = %(banaction)s[name=%(__name__)s, port=\"%(port)s\", protocol=\"%(protocol)s]
action_mw = %(banaction)s[name=%(__name__)s, port=\"%(port)s\", protocol=\"%(protocol)s]
%(mta)s-whois[name=%(__name__)s, dest=\"%(destemail)s\", protocol=\"%(protocol)s]
action_mwl = %(banaction)s[name=%(__name__)s, port=\"%(port)s\", protocol=\"%(protocol)s]
%(mta)s-whois-lines[name=%(__name__)s, dest=\"%(destemail)s\", logpath=%(logpath)s]
action = %(action_mwl)s
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
[pam-generic]
enabled = true
filter = pam-generic
port = all
banaction = iptables-allports
port = anyport
logpath = /var/log/auth.log
maxretry = 3
[ssh-ddos]
enabled = true
port = ssh
filter = sshd-ddos
logpath = /var/log/auth.log
maxretry = 3
[apache]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 3
[dominio.com.br]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/www/website/logs/*error.log
maxretry = 3
[vsftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log
maxretry = 3
[postfix]
enabled = true
port = smtp,ssmtp
filter = postfix
logpath = /var/log/mail.log
[sasl]
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = sasl
logpath = /var/log/mail.log
Reiniciar o serviço para que o nosso servidor esteja com um agente analisando os logs e bloqueando quando necessário:
# /etc/init.d/fail2ban restart
Agora vamos fazer mais alguns ajustes em nosso Apache. Abra e deixe como abaixo o arquivo /etc/apache2/conf.d/security:
# vim /etc/apache2/conf.d/security
ServerTokens Prod
[...]
ServerSignature Off
E na jaula também:
# vim /var/chroot/etc/apache2/conf.d/security
ServerTokens Prod
[...]
ServerSignature Off
Agora é só reiniciar o Apache:
# /etc/init.d/apache2 restart
E é só acessar o site em:
Referências
- Welcome to The Apache Software Foundation!
- Welcome! - The Apache HTTP Server Project
- FrontPage - Httpd Wiki
- FAQ - Httpd Wiki
- Reporting Security Problems with Apache - The Apache HTTP Server Project
- Apache HTTP Server Version 2.2
- PHP: Installation on Unix systems - Manual
- PHP: Installation and Configuration - Manual
- PHP: Apache 2.x on Unix systems - Manual
- MySQL :: The world's most popular open source database
- MySQL :: MySQL Downloads (Generally Available)
- MySQL :: Developer Zone
- MySQL :: MySQL Documentation: MySQL Reference Manuals
- vsftpd - Secure, fast FTP server for UNIX-like systems
- Index of /users/cevans/untar/vsftpd-2.3.4 on vsftpd.beasts.org:21
- Manpage of VSFTPD.CONF
- Aurium :: Usando Chroot
- Best Practices for UNIX chroot() Operations
- Criação de ambientes em chroot
- pt_BR/Debootstrap - Debian Wiki
- Installing new Debian systems with debootstrap
- Fail2ban.org
- MANUAL 0 8 - Fail2ban
Artigo também publicado em:
Espero ter ajudado. ;)
2. Adicionando suporte ao PHP, suporte ao mod_evasive e ao mod_security
3. Adicionando suporte ao MySQL e configurando o vsftpd
4. Configurando o Fail2ban e ajustando o Apache
Bind9 slave em chroot no Debian Lenny
Alta disponibilidade com Debian Lenny + Heartbeat + DRBD8 + OCFS2 + MONIT + LVS
Bonding para Heartbeat + Bonding para DRBD + OCFS2 + Debian Squeeze
Debian + Postfix + MySQL + PostfixAdmin + MailScanner + Webmail + Quotas
Debian Lenny com Kernel 2.6.28 + Layer7 + Firewall
Instalando o Apache + PHP + MySQL no Slackware
Mascarando conexões VPN com iptables
Imspector, um proxy para mensageiros instantâneos no Linux
Como verificar conexões abertas no Linux
Aplicações remotas: um exemplo com o Octave
Muito Bom....So o script que não ta lá!!
Bom dia,
Desculpe o problema é que mudei o seu servidor para outra empresa e estou tento problemas com os scripts com isso estou disponibilizando ele em
http://www.douglas.wiki.br/doku.php?id=confinicialsqueeze
:D
Douglas, como posso fazer por exemplo, tenho um servidor web, quero liberar o ftp para o webdesigner publicar alterações no site, instalei o ftp, porém toda vez que ele publica as permissões ficam usuario.usuario, com isto ocorre erros quando vamos abrir a pagina, ae toda vez tenho que da um chown -Rf usuario.www-data pasta/ , como posso contornar isto ? Tem como o vsftp já atribuir a permissão desta forma ?
Patrocínio
Destaques
Artigos
Monitorando o Preço do Bitcoin ou sua Cripto Favorita em Tempo Real com um Widget Flutuante
IA Turbina o Desktop Linux enquanto distros renovam forças
Como extrair chaves TOTP 2FA a partir de QRCODE (Google Authenticator)
Dicas
Como realizar um ataque de força bruta para desobrir senhas?
Como usar Gpaste no ambiente Cinnamon
Atualizando o Fedora 42 para 43
Tópicos
Erro ao instalar programa, "você tem pacotes retidos quebrados&qu... (10)
VOL já não é mais como antes? (15)
Como personalizar o lxde? [RESOLVIDO] (5)
Flatpaks não funcionam após atualizar pelo Gerenciador de Atualizações... (3)
Top 10 do mês
-
Xerxes
1° lugar - 116.059 pts -
Fábio Berbert de Paula
2° lugar - 86.775 pts -
Mauricio Ferrari
3° lugar - 25.104 pts -
Alberto Federman Neto.
4° lugar - 24.857 pts -
edps
5° lugar - 22.689 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 21.038 pts -
Daniel Lara Souza
7° lugar - 20.679 pts -
Buckminster
8° lugar - 20.475 pts -
Andre (pinduvoz)
9° lugar - 19.202 pts -
Diego Mendes Rodrigues
10° lugar - 16.586 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
