Apache em chroot + MySQL + PHP + mod_security + mod_evasive + vsftpd + Fail2ban + Debian Squeeze
Aqui abordarei a implementação de um Apache trabalhando em modo chroot, dando suporte a PHP 5, MySQL, Fail2ban, mod_security, mod_evasive e vsftpd.
[ Hits: 24.010 ]
Por: Douglas Q. dos Santos em 07/12/2012 | Blog: http://wiki.douglasqsantos.com.br
Configurando o Fail2ban e ajustando o Apache
# vim /etc/fail2ban/jail.conf
[DEFAULT]
ignoreip = 127.0.0.1, 10.0.0.0/23
bantime = 600
maxretry = 3
backend = polling
destemail = douglas@douglas.wiki.br
banaction = iptables-multiport
mta = sendmail
protocol = tcp
action_ = %(banaction)s[name=%(__name__)s, port=\"%(port)s\", protocol=\"%(protocol)s]
action_mw = %(banaction)s[name=%(__name__)s, port=\"%(port)s\", protocol=\"%(protocol)s]
%(mta)s-whois[name=%(__name__)s, dest=\"%(destemail)s\", protocol=\"%(protocol)s]
action_mwl = %(banaction)s[name=%(__name__)s, port=\"%(port)s\", protocol=\"%(protocol)s]
%(mta)s-whois-lines[name=%(__name__)s, dest=\"%(destemail)s\", logpath=%(logpath)s]
action = %(action_mwl)s
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
[pam-generic]
enabled = true
filter = pam-generic
port = all
banaction = iptables-allports
port = anyport
logpath = /var/log/auth.log
maxretry = 3
[ssh-ddos]
enabled = true
port = ssh
filter = sshd-ddos
logpath = /var/log/auth.log
maxretry = 3
[apache]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 3
[dominio.com.br]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/www/website/logs/*error.log
maxretry = 3
[vsftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log
maxretry = 3
[postfix]
enabled = true
port = smtp,ssmtp
filter = postfix
logpath = /var/log/mail.log
[sasl]
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = sasl
logpath = /var/log/mail.log
Reiniciar o serviço para que o nosso servidor esteja com um agente analisando os logs e bloqueando quando necessário:
# /etc/init.d/fail2ban restart
Agora vamos fazer mais alguns ajustes em nosso Apache. Abra e deixe como abaixo o arquivo /etc/apache2/conf.d/security:
# vim /etc/apache2/conf.d/security
ServerTokens Prod
[...]
ServerSignature Off
E na jaula também:
# vim /var/chroot/etc/apache2/conf.d/security
ServerTokens Prod
[...]
ServerSignature Off
Agora é só reiniciar o Apache:
# /etc/init.d/apache2 restart
E é só acessar o site em:
Referências
- Welcome to The Apache Software Foundation!
- Welcome! - The Apache HTTP Server Project
- FrontPage - Httpd Wiki
- FAQ - Httpd Wiki
- Reporting Security Problems with Apache - The Apache HTTP Server Project
- Apache HTTP Server Version 2.2
- PHP: Installation on Unix systems - Manual
- PHP: Installation and Configuration - Manual
- PHP: Apache 2.x on Unix systems - Manual
- MySQL :: The world's most popular open source database
- MySQL :: MySQL Downloads (Generally Available)
- MySQL :: Developer Zone
- MySQL :: MySQL Documentation: MySQL Reference Manuals
- vsftpd - Secure, fast FTP server for UNIX-like systems
- Index of /users/cevans/untar/vsftpd-2.3.4 on vsftpd.beasts.org:21
- Manpage of VSFTPD.CONF
- Aurium :: Usando Chroot
- Best Practices for UNIX chroot() Operations
- Criação de ambientes em chroot
- pt_BR/Debootstrap - Debian Wiki
- Installing new Debian systems with debootstrap
- Fail2ban.org
- MANUAL 0 8 - Fail2ban
Artigo também publicado em:
Espero ter ajudado. ;)
2. Adicionando suporte ao PHP, suporte ao mod_evasive e ao mod_security
3. Adicionando suporte ao MySQL e configurando o vsftpd
4. Configurando o Fail2ban e ajustando o Apache
Bind9 slave em chroot no Debian Lenny
Servidor Jabber com Openfire + MySQL + Debian Lenny
Bind9 em chroot no Debian Lenny
Debian + Postfix + MySQL + PostfixAdmin + MailScanner + Webmail + Quotas
Alta disponibilidade com Debian Lenny + Heartbeat + DRBD8 + OCFS2 + MONIT + LVS
Instalando e configurando o aMule (Debian)
Fuja da pirataria, use Last.fm
Ferramentas úteis para diagnóstico da rede
Blockmail: um filtro de anexos de e-mail
Muito Bom....So o script que não ta lá!!
Bom dia,
Desculpe o problema é que mudei o seu servidor para outra empresa e estou tento problemas com os scripts com isso estou disponibilizando ele em
http://www.douglas.wiki.br/doku.php?id=confinicialsqueeze
:D
Douglas, como posso fazer por exemplo, tenho um servidor web, quero liberar o ftp para o webdesigner publicar alterações no site, instalei o ftp, porém toda vez que ele publica as permissões ficam usuario.usuario, com isto ocorre erros quando vamos abrir a pagina, ae toda vez tenho que da um chown -Rf usuario.www-data pasta/ , como posso contornar isto ? Tem como o vsftp já atribuir a permissão desta forma ?
Patrocínio
Destaques
Artigos
Maquina modesta - a vez dos navegadores ferrarem o usuario
Fscrypt: protegendo arquivos do seu usuário sem a lentidão padrão de criptograr o disco
Faça suas próprias atualizações de pacotes/programas no Void Linux e torne-se um Contribuidor
Como rodar o Folding@home no Linux
Criando um painel de controle (Dashboard) para seu servidor com o Homepage
Dicas
Configurando o Cairo Dock individualmente em ambientes diferentes na mesma maquina
Calculadoras online gratuitas para o dia a dia do usuário Linux
Utilizando a Ferramenta xcheckrestart no Void Linux
Pisando no acelerador do Linux Mint: Kernel XanMod, zRAM e Ajustes de Swap
Tópicos
Isso acontece quando tento ajudar alguém (0)
Warsaw não é reconhecido no Google Chrome 147.0.7727.55 (4)
Governo da França vai trocar Windows por Linux (3)
Epson L3250 só imprime se remove e conectar o cabo usb (1)
VMWare Player não conecta na rede nem consigo intercambiar arquivos (4)
Top 10 do mês
-
Xerxes
1° lugar - 149.795 pts -
Fábio Berbert de Paula
2° lugar - 71.253 pts -
Buckminster
3° lugar - 48.481 pts -
Alberto Federman Neto.
4° lugar - 40.724 pts -
edps
5° lugar - 26.114 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 25.819 pts -
Sidnei Serra
7° lugar - 24.344 pts -
Mauricio Ferrari (LinuxProativo)
8° lugar - 22.825 pts -
Daniel Lara Souza
9° lugar - 22.650 pts -
Andre (pinduvoz)
10° lugar - 19.199 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
