Difference between revisions of "Portal:FozzCom/fnc installLinux"

From Wiki
Jump to navigationJump to search
 
(19 intermediate revisions by the same user not shown)
Line 20: Line 20:
 
<h2>Installera webmin</h2>
 
<h2>Installera webmin</h2>
  
Starta SSH (tex med [http://www.putty.org/ Putty]) mot servern och installera webmin enligt [http://www.webmin.com/deb.html http://www.webmin.com/deb.html]
+
Starta SSH via GleSys konsol mot servern och installera
 +
 
 +
Sedan installeras webmin enligt [https://www.digitalocean.com/community/tutorials/how-to-install-webmin-on-debian-10 https://www.digitalocean.com/community/tutorials/how-to-install-webmin-on-debian-10]
 +
 
 +
Installera en brandvägg UFW [https://wiki.debian.org/Uncomplicated%20Firewall%20%28ufw%29 https://wiki.debian.org/Uncomplicated%20Firewall%20%28ufw%29]
  
 
'''OBS! Lägg till en virtuell server för domänen innan Apache installeras<br>'''
 
'''OBS! Lägg till en virtuell server för domänen innan Apache installeras<br>'''
Line 33: Line 37:
 
[https://www.digitalocean.com/community/articles/how-to-install-linux-apache-mysql-php-lamp-stack-on-debian https://www.digitalocean.com/community/articles/how-to-install-linux-apache-mysql-php-lamp-stack-on-debian]
 
[https://www.digitalocean.com/community/articles/how-to-install-linux-apache-mysql-php-lamp-stack-on-debian https://www.digitalocean.com/community/articles/how-to-install-linux-apache-mysql-php-lamp-stack-on-debian]
  
<h2>Sätt upp SSL med TLS enbart</h2>
+
<h2>Sätt upp apache så enbart TLS 1.2 användes</h2>
 +
 
 +
[http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol]
 +
 
 +
[http://unix.stackexchange.com/questions/162478/how-to-disable-sslv3-in-apache http://unix.stackexchange.com/questions/162478/how-to-disable-sslv3-in-apache]
 +
 
 +
[http://security.stackexchange.com/questions/43306/how-force-that-all-connections-to-my-apache-use-tlsv1-1-or-tlsv1-2 http://security.stackexchange.com/questions/43306/how-force-that-all-connections-to-my-apache-use-tlsv1-1-or-tlsv1-2]
 +
 
 +
Test att TLS 1.2 stöds genom att köra - openssl s_client -connect google.com:443 -tls1_2
 +
 
 +
Kolla öppna portar med - netstat -lntup
 +
 
 +
<h2>Skapa TLS certifikat med Lets Encrypt + Certbot (webroot)</h2>
 +
 
 +
Öppna port 443 i brandväggen + virtual hosts.
 +
 
 +
Lets encrypt [https://letsencrypt.org/ https://letsencrypt.org/]
  
Hur man sätter upp så enbart TLS 1.2 användes
+
och
  
Test att TLS 1.2 stöds genom att köra
+
[https://certbot.eff.org/ https://certbot.eff.org/]
  
openssl s_client -connect google.com:443 -tls1_2
+
Använd detta för att skapa upp en certifikat för en domän
  
[http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol]
+
cd /certbot<br>
 +
./certbot-auto certonly --webroot -w /var/www/example/ -d www.example.com -d example.com
  
[http://unix.stackexchange.com/questions/162478/how-to-disable-sslv3-in-apache http://unix.stackexchange.com/questions/162478/how-to-disable-sslv3-in-apache]
+
Nedan som lite referens men vi kör inte så längre:
  
[http://security.stackexchange.com/questions/43306/how-force-that-all-connections-to-my-apache-use-tlsv1-1-or-tlsv1-2 http://security.stackexchange.com/questions/43306/how-force-that-all-connections-to-my-apache-use-tlsv1-1-or-tlsv1-2]
+
[https://www.a2hosting.com/kb/security/ssl/securing-your-site-with-a-lets-encrypt-ssl-certificate https://www.a2hosting.com/kb/security/ssl/securing-your-site-with-a-lets-encrypt-ssl-certificate]
  
<h2>Skapa självsignerat ssl certifikat</h2>
+
Testa TLS med följande länk
  
[http://www.microhowto.info/howto/create_a_self_signed_ssl_certificate.html http://www.microhowto.info/howto/create_a_self_signed_ssl_certificate.html]
+
[https://www.ssllabs.com/ssltest/analyze.html?d=dlux.se https://www.ssllabs.com/ssltest/analyze.html?d=dlux.se]
  
 
<h2>Installera rsync</h2>
 
<h2>Installera rsync</h2>
Line 82: Line 103:
  
 
Gå till [Un-used Modules] i Webmin och installera.
 
Gå till [Un-used Modules] i Webmin och installera.
 +
 +
<h3>PTR</h3>
 +
 +
Ändra PTR pekare under IP adresser hos GleSys.
 +
 +
<h3>DKIM</h3>
  
 
Man bör också sätta upp DMIK för varje domän. Läs mer nedan
 
Man bör också sätta upp DMIK för varje domän. Läs mer nedan
Line 98: Line 125:
  
 
swaks -t check-auth2@verifier.port25.com -f info@snabbkassa.nu
 
swaks -t check-auth2@verifier.port25.com -f info@snabbkassa.nu
 +
 +
<h3>DMARC</h3>
 +
 +
En DMARC post bör också skapas, hur man gör finner man här
 +
 +
[https://dmarc.org/resources/deployment-tools/ https://dmarc.org/resources/deployment-tools/]
  
 
<h2>mytop</h2>
 
<h2>mytop</h2>
Line 121: Line 154:
 
<h2>MariaDB</h2>
 
<h2>MariaDB</h2>
  
[http://www.debianadmin.com/how-to-install-mariadb-on-debian-7-wheezy.html http://www.debianadmin.com/how-to-install-mariadb-on-debian-7-wheezy.html]
+
[http://www.tecmint.com/install-mariadb-in-debian/ http://www.tecmint.com/install-mariadb-in-debian/]
  
 
<h2>MariaDB Galera</h2>
 
<h2>MariaDB Galera</h2>
Line 186: Line 219:
  
 
grep "Failed password for" /var/log/auth.log | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" | sort | uniq -c
 
grep "Failed password for" /var/log/auth.log | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" | sort | uniq -c
 +
 +
<h2>Installera LMD - Linux Malware Detect</h2>
 +
 +
Installation
 +
 +
[http://www.2daygeek.com/install-linux-malware-detect-lmd-on-ubuntu-centos-debian-fedora-mint-rhel-opensuse/# http://www.2daygeek.com/install-linux-malware-detect-lmd-on-ubuntu-centos-debian-fedora-mint-rhel-opensuse/#]
 +
 +
Parametrar
 +
 +
[https://crybit.com/maldet-options/ https://crybit.com/maldet-options/]
 +
 +
<h2>Härda Linux</h2>
 +
 +
Hitta skrivrättigheter för alla
 +
 +
find /var/www -type d \( -perm -o+w \) -exec ls -adl {} \;
 +
 +
läs mer på
 +
 +
[http://www.techrepublic.com/blog/it-security/use-the-find-utility-to-scan-for-writable-directories/ http://www.techrepublic.com/blog/it-security/use-the-find-utility-to-scan-for-writable-directories/]

Latest revision as of 09:16, 17 September 2019

GleSys - Debian - LAMP - webmin

Här följer en instruktion hur man installerar LAMP (Linux/Apache/MySQL/PHP) på en Debian server.

Denna instruktion gäller för en VPS installation hos GleSys.

Som administratörs gränssnitt användes webmin.

Skapa en VPS hos GleSys

Skapa en VPS hos GleSys med följande konfigurering (minimum):

  • OpenVZ
  • Debian 8 64-bitar
  • Datacenter, välj i första hand Falkenberg, i andra Stockholm
  • Hostname = server.domänen.xy
  • Välj både en IPv4 och IPv6 adress.
  • Hårdvaran + Transfer kan vara så liten som möjligt, men starta med RAM 2048 Mb

Installera webmin

Starta SSH via GleSys konsol mot servern och installera

Sedan installeras webmin enligt https://www.digitalocean.com/community/tutorials/how-to-install-webmin-on-debian-10

Installera en brandvägg UFW https://wiki.debian.org/Uncomplicated%20Firewall%20%28ufw%29

OBS! Lägg till en virtuell server för domänen innan Apache installeras
 Lägg till server.domain.xyz i /etc/hosts

Installera LAMP

Installera LAMP (Linux, Apache, MySQL or MariaDB, PHP and/or Perl)

http://www.unixmen.com/install-lamp-server-apache-mysql-mariadb-php-ubuntu-14-1014-0413-10/

https://www.digitalocean.com/community/articles/how-to-install-linux-apache-mysql-php-lamp-stack-on-debian

Sätt upp apache så enbart TLS 1.2 användes

http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol

http://unix.stackexchange.com/questions/162478/how-to-disable-sslv3-in-apache

http://security.stackexchange.com/questions/43306/how-force-that-all-connections-to-my-apache-use-tlsv1-1-or-tlsv1-2

Test att TLS 1.2 stöds genom att köra - openssl s_client -connect google.com:443 -tls1_2

Kolla öppna portar med - netstat -lntup

Skapa TLS certifikat med Lets Encrypt + Certbot (webroot)

Öppna port 443 i brandväggen + virtual hosts.

Lets encrypt https://letsencrypt.org/

och

https://certbot.eff.org/

Använd detta för att skapa upp en certifikat för en domän

cd /certbot
./certbot-auto certonly --webroot -w /var/www/example/ -d www.example.com -d example.com

Nedan som lite referens men vi kör inte så längre:

https://www.a2hosting.com/kb/security/ssl/securing-your-site-with-a-lets-encrypt-ssl-certificate

Testa TLS med följande länk

https://www.ssllabs.com/ssltest/analyze.html?d=dlux.se

Installera rsync

http://www.debiantutorials.com/remote-backups-using-rsync/

Installera cURL

Kolla om cURL är installerat

$ curl -V

Om inte installera med:

apt-get install curl

apt-get install php5-curl

Installera mcrypt

apt-get install php5-mcrypt

Installera ntp för datum/tid synkning

apt-get install ntp

kontrollera vilka ntp servrar man jobbar mot:

ntpq -p

Installera PostFix mail server

Gå till [Un-used Modules] i Webmin och installera.

PTR

Ändra PTR pekare under IP adresser hos GleSys.

DKIM

Man bör också sätta upp DMIK för varje domän. Läs mer nedan

https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy

http://www.cioby.ro/linux/configuring-opendkim-to-sign-postfix-emails.html

Testa DMIK här http://www.protodave.com/tools/dkim-key-checker/

Testa TXT record

läs mer här.

Testa DKIM med att mejla via

swaks -t check-auth2@verifier.port25.com -f info@snabbkassa.nu

DMARC

En DMARC post bör också skapas, hur man gör finner man här

https://dmarc.org/resources/deployment-tools/

mytop

mytop ger en bild av vad vilka SQL frågor som pågår, och viss status från MySQL.

apt-get install mytop

mytop -d test_db -u test_user -p your_pass

mysqltuner

mysqltuner är ett perl skript som visas status för MySQL och ger tips om vad som kan förbättras.

http://www.howtoforge.com/tuning-mysql-performance-with-mysqltuner

http://www.debianadmin.com/check-your-mysql-server-performance-with-mysqltuner.html

http://packages.debian.org/squeeze/mysqltuner

http://www.debianhelp.co.uk/mysqlperformance.htm

MariaDB

http://www.tecmint.com/install-mariadb-in-debian/

MariaDB Galera

Version 5

https://mariadb.com/kb/en/mariadb/mariadb-documentation/replication-cluster-multi-master/galera/getting-started-with-mariadb-galera-cluster/

https://www.digitalocean.com/community/tutorials/how-to-configure-a-galera-cluster-with-mariadb-on-ubuntu-12-04-servers

Version 10

https://mariadb.com/kb/en/mariadb/documentation/getting-started/binary-packages/installing-mariadb-deb-files/

Visa Galera status

mysql -u -p

SHOW STATUS LIKE 'wsrep%';

ProFTPd + FTPS

http://www.howtoforge.com/setting-up-proftpd-tls-on-ubuntu-12.10

scp - kopiera säkert mellan servrar

Bra läsning för att sätta upp scp/ssh mm

http://www.thegeekstuff.com/2008/06/perform-ssh-and-scp-without-entering-password-on-openssh/

Kopiera ett helt dir

scp -r /var/www/dlux/* root@31.192.225.125:/var/www/dlux/

chroot to homedir for SSH user to allow SFTP access

Skapa ny user (samma som dlux eller scrapfabriken).

I webmin editera /etc/ssh/sshd_config.

Alla dir i path måste ägas av root.

Läs mer här också FTP.

Installera brandvägg (firewall) i Debian och webmin

En lämplig brandvägg (firewall) som passar Debian och webmin

http://www.shorewall.net/

Installera och konfigurera shorewall i webadmin

https://wiki.debian.org/HowTo/shorewall

http://www.itnotes.eu/?p=521

Stoppa iptables

kör som root /var/fc/iptables_stop.sh

Tips att upptäcka attacker mm

För att hitta attacker via ssh kör följande:

grep "Failed password for" /var/log/auth.log | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" | sort | uniq -c

Installera LMD - Linux Malware Detect

Installation

http://www.2daygeek.com/install-linux-malware-detect-lmd-on-ubuntu-centos-debian-fedora-mint-rhel-opensuse/#

Parametrar

https://crybit.com/maldet-options/

Härda Linux

Hitta skrivrättigheter för alla

find /var/www -type d \( -perm -o+w \) -exec ls -adl {} \;

läs mer på

http://www.techrepublic.com/blog/it-security/use-the-find-utility-to-scan-for-writable-directories/

Retrieved from "https://www.fozzcom.se/wiki/index.php?title=Portal:FozzCom/fnc_installLinux&oldid=12051"