Difference between revisions of "Portal:FozzCom/fnc installLinux"
(19 intermediate revisions by the same user not shown) | |||
Line 20: | Line 20: | ||
<h2>Installera webmin</h2> | <h2>Installera webmin</h2> | ||
− | Starta SSH | + | Starta SSH via GleSys konsol mot servern och installera |
+ | |||
+ | Sedan installeras webmin enligt [https://www.digitalocean.com/community/tutorials/how-to-install-webmin-on-debian-10 https://www.digitalocean.com/community/tutorials/how-to-install-webmin-on-debian-10] | ||
+ | |||
+ | Installera en brandvägg UFW [https://wiki.debian.org/Uncomplicated%20Firewall%20%28ufw%29 https://wiki.debian.org/Uncomplicated%20Firewall%20%28ufw%29] | ||
'''OBS! Lägg till en virtuell server för domänen innan Apache installeras<br>''' | '''OBS! Lägg till en virtuell server för domänen innan Apache installeras<br>''' | ||
Line 33: | Line 37: | ||
[https://www.digitalocean.com/community/articles/how-to-install-linux-apache-mysql-php-lamp-stack-on-debian https://www.digitalocean.com/community/articles/how-to-install-linux-apache-mysql-php-lamp-stack-on-debian] | [https://www.digitalocean.com/community/articles/how-to-install-linux-apache-mysql-php-lamp-stack-on-debian https://www.digitalocean.com/community/articles/how-to-install-linux-apache-mysql-php-lamp-stack-on-debian] | ||
− | <h2>Sätt upp | + | <h2>Sätt upp apache så enbart TLS 1.2 användes</h2> |
+ | |||
+ | [http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol] | ||
+ | |||
+ | [http://unix.stackexchange.com/questions/162478/how-to-disable-sslv3-in-apache http://unix.stackexchange.com/questions/162478/how-to-disable-sslv3-in-apache] | ||
+ | |||
+ | [http://security.stackexchange.com/questions/43306/how-force-that-all-connections-to-my-apache-use-tlsv1-1-or-tlsv1-2 http://security.stackexchange.com/questions/43306/how-force-that-all-connections-to-my-apache-use-tlsv1-1-or-tlsv1-2] | ||
+ | |||
+ | Test att TLS 1.2 stöds genom att köra - openssl s_client -connect google.com:443 -tls1_2 | ||
+ | |||
+ | Kolla öppna portar med - netstat -lntup | ||
+ | |||
+ | <h2>Skapa TLS certifikat med Lets Encrypt + Certbot (webroot)</h2> | ||
+ | |||
+ | Öppna port 443 i brandväggen + virtual hosts. | ||
+ | |||
+ | Lets encrypt [https://letsencrypt.org/ https://letsencrypt.org/] | ||
− | + | och | |
− | + | [https://certbot.eff.org/ https://certbot.eff.org/] | |
− | + | Använd detta för att skapa upp en certifikat för en domän | |
− | + | cd /certbot<br> | |
+ | ./certbot-auto certonly --webroot -w /var/www/example/ -d www.example.com -d example.com | ||
− | + | Nedan som lite referens men vi kör inte så längre: | |
− | [ | + | [https://www.a2hosting.com/kb/security/ssl/securing-your-site-with-a-lets-encrypt-ssl-certificate https://www.a2hosting.com/kb/security/ssl/securing-your-site-with-a-lets-encrypt-ssl-certificate] |
− | + | Testa TLS med följande länk | |
− | [ | + | [https://www.ssllabs.com/ssltest/analyze.html?d=dlux.se https://www.ssllabs.com/ssltest/analyze.html?d=dlux.se] |
<h2>Installera rsync</h2> | <h2>Installera rsync</h2> | ||
Line 82: | Line 103: | ||
Gå till [Un-used Modules] i Webmin och installera. | Gå till [Un-used Modules] i Webmin och installera. | ||
+ | |||
+ | <h3>PTR</h3> | ||
+ | |||
+ | Ändra PTR pekare under IP adresser hos GleSys. | ||
+ | |||
+ | <h3>DKIM</h3> | ||
Man bör också sätta upp DMIK för varje domän. Läs mer nedan | Man bör också sätta upp DMIK för varje domän. Läs mer nedan | ||
Line 98: | Line 125: | ||
swaks -t check-auth2@verifier.port25.com -f info@snabbkassa.nu | swaks -t check-auth2@verifier.port25.com -f info@snabbkassa.nu | ||
+ | |||
+ | <h3>DMARC</h3> | ||
+ | |||
+ | En DMARC post bör också skapas, hur man gör finner man här | ||
+ | |||
+ | [https://dmarc.org/resources/deployment-tools/ https://dmarc.org/resources/deployment-tools/] | ||
<h2>mytop</h2> | <h2>mytop</h2> | ||
Line 121: | Line 154: | ||
<h2>MariaDB</h2> | <h2>MariaDB</h2> | ||
− | [http://www. | + | [http://www.tecmint.com/install-mariadb-in-debian/ http://www.tecmint.com/install-mariadb-in-debian/] |
<h2>MariaDB Galera</h2> | <h2>MariaDB Galera</h2> | ||
Line 186: | Line 219: | ||
grep "Failed password for" /var/log/auth.log | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" | sort | uniq -c | grep "Failed password for" /var/log/auth.log | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" | sort | uniq -c | ||
+ | |||
+ | <h2>Installera LMD - Linux Malware Detect</h2> | ||
+ | |||
+ | Installation | ||
+ | |||
+ | [http://www.2daygeek.com/install-linux-malware-detect-lmd-on-ubuntu-centos-debian-fedora-mint-rhel-opensuse/# http://www.2daygeek.com/install-linux-malware-detect-lmd-on-ubuntu-centos-debian-fedora-mint-rhel-opensuse/#] | ||
+ | |||
+ | Parametrar | ||
+ | |||
+ | [https://crybit.com/maldet-options/ https://crybit.com/maldet-options/] | ||
+ | |||
+ | <h2>Härda Linux</h2> | ||
+ | |||
+ | Hitta skrivrättigheter för alla | ||
+ | |||
+ | find /var/www -type d \( -perm -o+w \) -exec ls -adl {} \; | ||
+ | |||
+ | läs mer på | ||
+ | |||
+ | [http://www.techrepublic.com/blog/it-security/use-the-find-utility-to-scan-for-writable-directories/ http://www.techrepublic.com/blog/it-security/use-the-find-utility-to-scan-for-writable-directories/] |
Latest revision as of 09:16, 17 September 2019
Contents
- 1 GleSys - Debian - LAMP - webmin
- 1.1 Skapa en VPS hos GleSys
- 1.2 Installera webmin
- 1.3 Installera LAMP
- 1.4 Sätt upp apache så enbart TLS 1.2 användes
- 1.5 Skapa TLS certifikat med Lets Encrypt + Certbot (webroot)
- 1.6 Installera rsync
- 1.7 Installera cURL
- 1.8 Installera mcrypt
- 1.9 Installera ntp för datum/tid synkning
- 1.10 Installera PostFix mail server
- 1.11 mytop
- 1.12 mysqltuner
- 1.13 MariaDB
- 1.14 MariaDB Galera
- 1.15 ProFTPd + FTPS
- 1.16 scp - kopiera säkert mellan servrar
- 1.17 chroot to homedir for SSH user to allow SFTP access
- 1.18 Installera brandvägg (firewall) i Debian och webmin
- 1.19 Installera LMD - Linux Malware Detect
- 1.20 Härda Linux
GleSys - Debian - LAMP - webmin
Här följer en instruktion hur man installerar LAMP (Linux/Apache/MySQL/PHP) på en Debian server.
Denna instruktion gäller för en VPS installation hos GleSys.
Som administratörs gränssnitt användes webmin.
Skapa en VPS hos GleSys
Skapa en VPS hos GleSys med följande konfigurering (minimum):
- OpenVZ
- Debian 8 64-bitar
- Datacenter, välj i första hand Falkenberg, i andra Stockholm
- Hostname = server.domänen.xy
- Välj både en IPv4 och IPv6 adress.
- Hårdvaran + Transfer kan vara så liten som möjligt, men starta med RAM 2048 Mb
Installera webmin
Starta SSH via GleSys konsol mot servern och installera
Sedan installeras webmin enligt https://www.digitalocean.com/community/tutorials/how-to-install-webmin-on-debian-10
Installera en brandvägg UFW https://wiki.debian.org/Uncomplicated%20Firewall%20%28ufw%29
OBS! Lägg till en virtuell server för domänen innan Apache installeras
Lägg till server.domain.xyz i /etc/hosts
Installera LAMP
Installera LAMP (Linux, Apache, MySQL or MariaDB, PHP and/or Perl)
http://www.unixmen.com/install-lamp-server-apache-mysql-mariadb-php-ubuntu-14-1014-0413-10/
Sätt upp apache så enbart TLS 1.2 användes
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
http://unix.stackexchange.com/questions/162478/how-to-disable-sslv3-in-apache
Test att TLS 1.2 stöds genom att köra - openssl s_client -connect google.com:443 -tls1_2
Kolla öppna portar med - netstat -lntup
Skapa TLS certifikat med Lets Encrypt + Certbot (webroot)
Öppna port 443 i brandväggen + virtual hosts.
Lets encrypt https://letsencrypt.org/
och
Använd detta för att skapa upp en certifikat för en domän
cd /certbot
./certbot-auto certonly --webroot -w /var/www/example/ -d www.example.com -d example.com
Nedan som lite referens men vi kör inte så längre:
https://www.a2hosting.com/kb/security/ssl/securing-your-site-with-a-lets-encrypt-ssl-certificate
Testa TLS med följande länk
https://www.ssllabs.com/ssltest/analyze.html?d=dlux.se
Installera rsync
http://www.debiantutorials.com/remote-backups-using-rsync/
Installera cURL
Kolla om cURL är installerat
$ curl -V
Om inte installera med:
apt-get install curl
apt-get install php5-curl
Installera mcrypt
apt-get install php5-mcrypt
Installera ntp för datum/tid synkning
apt-get install ntp
kontrollera vilka ntp servrar man jobbar mot:
ntpq -p
Installera PostFix mail server
Gå till [Un-used Modules] i Webmin och installera.
PTR
Ändra PTR pekare under IP adresser hos GleSys.
DKIM
Man bör också sätta upp DMIK för varje domän. Läs mer nedan
http://www.cioby.ro/linux/configuring-opendkim-to-sign-postfix-emails.html
Testa DMIK här http://www.protodave.com/tools/dkim-key-checker/
Testa TXT record
läs mer här.
Testa DKIM med att mejla via
swaks -t check-auth2@verifier.port25.com -f info@snabbkassa.nu
DMARC
En DMARC post bör också skapas, hur man gör finner man här
https://dmarc.org/resources/deployment-tools/
mytop
mytop ger en bild av vad vilka SQL frågor som pågår, och viss status från MySQL.
apt-get install mytop
mytop -d test_db -u test_user -p your_pass
mysqltuner
mysqltuner är ett perl skript som visas status för MySQL och ger tips om vad som kan förbättras.
http://www.howtoforge.com/tuning-mysql-performance-with-mysqltuner
http://www.debianadmin.com/check-your-mysql-server-performance-with-mysqltuner.html
http://packages.debian.org/squeeze/mysqltuner
http://www.debianhelp.co.uk/mysqlperformance.htm
MariaDB
http://www.tecmint.com/install-mariadb-in-debian/
MariaDB Galera
Version 5
Version 10
Visa Galera status
mysql -u -p
SHOW STATUS LIKE 'wsrep%';
ProFTPd + FTPS
http://www.howtoforge.com/setting-up-proftpd-tls-on-ubuntu-12.10
scp - kopiera säkert mellan servrar
Bra läsning för att sätta upp scp/ssh mm
http://www.thegeekstuff.com/2008/06/perform-ssh-and-scp-without-entering-password-on-openssh/
Kopiera ett helt dir
scp -r /var/www/dlux/* root@31.192.225.125:/var/www/dlux/
chroot to homedir for SSH user to allow SFTP access
Skapa ny user (samma som dlux eller scrapfabriken).
I webmin editera /etc/ssh/sshd_config.
Alla dir i path måste ägas av root.
Läs mer här också FTP.
Installera brandvägg (firewall) i Debian och webmin
En lämplig brandvägg (firewall) som passar Debian och webmin
Installera och konfigurera shorewall i webadmin
https://wiki.debian.org/HowTo/shorewall
Stoppa iptables
kör som root /var/fc/iptables_stop.sh
Tips att upptäcka attacker mm
För att hitta attacker via ssh kör följande:
grep "Failed password for" /var/log/auth.log | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" | sort | uniq -c
Installera LMD - Linux Malware Detect
Installation
Parametrar
https://crybit.com/maldet-options/
Härda Linux
Hitta skrivrättigheter för alla
find /var/www -type d \( -perm -o+w \) -exec ls -adl {} \;
läs mer på
http://www.techrepublic.com/blog/it-security/use-the-find-utility-to-scan-for-writable-directories/