Apache em chroot + MySQL + PHP + mod_security + mod_evasive + vsftpd + Fail2ban + Debian Squeeze
Aqui abordarei a implementação de um Apache trabalhando em modo chroot, dando suporte a PHP 5, MySQL, Fail2ban, mod_security, mod_evasive e vsftpd.
[ Hits: 21.196 ]
Por: Douglas Q. dos Santos em 07/12/2012 | Blog: http://wiki.douglasqsantos.com.br
Configurando o Fail2ban e ajustando o Apache
# vim /etc/fail2ban/jail.conf
[DEFAULT]
ignoreip = 127.0.0.1, 10.0.0.0/23
bantime = 600
maxretry = 3
backend = polling
destemail = [email protected]
banaction = iptables-multiport
mta = sendmail
protocol = tcp
action_ = %(banaction)s[name=%(__name__)s, port=\"%(port)s\", protocol=\"%(protocol)s]
action_mw = %(banaction)s[name=%(__name__)s, port=\"%(port)s\", protocol=\"%(protocol)s]
%(mta)s-whois[name=%(__name__)s, dest=\"%(destemail)s\", protocol=\"%(protocol)s]
action_mwl = %(banaction)s[name=%(__name__)s, port=\"%(port)s\", protocol=\"%(protocol)s]
%(mta)s-whois-lines[name=%(__name__)s, dest=\"%(destemail)s\", logpath=%(logpath)s]
action = %(action_mwl)s
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
[pam-generic]
enabled = true
filter = pam-generic
port = all
banaction = iptables-allports
port = anyport
logpath = /var/log/auth.log
maxretry = 3
[ssh-ddos]
enabled = true
port = ssh
filter = sshd-ddos
logpath = /var/log/auth.log
maxretry = 3
[apache]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 3
[dominio.com.br]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/www/website/logs/*error.log
maxretry = 3
[vsftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log
maxretry = 3
[postfix]
enabled = true
port = smtp,ssmtp
filter = postfix
logpath = /var/log/mail.log
[sasl]
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = sasl
logpath = /var/log/mail.log
Reiniciar o serviço para que o nosso servidor esteja com um agente analisando os logs e bloqueando quando necessário:
# /etc/init.d/fail2ban restart
Agora vamos fazer mais alguns ajustes em nosso Apache. Abra e deixe como abaixo o arquivo /etc/apache2/conf.d/security:
# vim /etc/apache2/conf.d/security
ServerTokens Prod
[...]
ServerSignature Off
E na jaula também:
# vim /var/chroot/etc/apache2/conf.d/security
ServerTokens Prod
[...]
ServerSignature Off
Agora é só reiniciar o Apache:
# /etc/init.d/apache2 restart
E é só acessar o site em:
Referências
- Welcome to The Apache Software Foundation!
- Welcome! - The Apache HTTP Server Project
- FrontPage - Httpd Wiki
- FAQ - Httpd Wiki
- Reporting Security Problems with Apache - The Apache HTTP Server Project
- Apache HTTP Server Version 2.2
- PHP: Installation on Unix systems - Manual
- PHP: Installation and Configuration - Manual
- PHP: Apache 2.x on Unix systems - Manual
- MySQL :: The world's most popular open source database
- MySQL :: MySQL Downloads (Generally Available)
- MySQL :: Developer Zone
- MySQL :: MySQL Documentation: MySQL Reference Manuals
- vsftpd - Secure, fast FTP server for UNIX-like systems
- Index of /users/cevans/untar/vsftpd-2.3.4 on vsftpd.beasts.org:21
- Manpage of VSFTPD.CONF
- Aurium :: Usando Chroot
- Best Practices for UNIX chroot() Operations
- Criação de ambientes em chroot
- pt_BR/Debootstrap - Debian Wiki
- Installing new Debian systems with debootstrap
- Fail2ban.org
- MANUAL 0 8 - Fail2ban
Artigo também publicado em:
Espero ter ajudado. ;)
2. Adicionando suporte ao PHP, suporte ao mod_evasive e ao mod_security
3. Adicionando suporte ao MySQL e configurando o vsftpd
4. Configurando o Fail2ban e ajustando o Apache
Bind9 em chroot no Debian Lenny
Debian Lenny com Kernel 2.6.28 + Layer7 + Firewall
Alta disponibilidade com Debian Lenny + Heartbeat + DRBD8 + OCFS2 + MONIT + LVS
Servidor Jabber com Openfire + MySQL + Debian Lenny
IDS com Snort + Guardian + Debian Lenny
FreeBSD 6.2 com MySQL 5 + Apache 2 + PHP 5 + phpMyAdmin
Newsbeuter Feed Reader - Instalação e configuração
Servidor IM interno em 5 minutos (jabber)
Configurando wireless no Ubuntu 7.04 e compartilhando a conexão
Muito Bom....So o script que não ta lá!!
Bom dia,
Desculpe o problema é que mudei o seu servidor para outra empresa e estou tento problemas com os scripts com isso estou disponibilizando ele em
http://www.douglas.wiki.br/doku.php?id=confinicialsqueeze
:D
Douglas, como posso fazer por exemplo, tenho um servidor web, quero liberar o ftp para o webdesigner publicar alterações no site, instalei o ftp, porém toda vez que ele publica as permissões ficam usuario.usuario, com isto ocorre erros quando vamos abrir a pagina, ae toda vez tenho que da um chown -Rf usuario.www-data pasta/ , como posso contornar isto ? Tem como o vsftp já atribuir a permissão desta forma ?
Patrocínio
Destaques
Artigos
Criando um Arch Linux de bolso a partir de qualquer distribuição
Instale uma distro dentro de outra
Montando HD, Pendrive ou Pasta de Rede para Gravações de Ligações do Elastix e Módulo de Call Center
Dicas
Inserindo Scripts Durante a Inicialização e o Desligamento do Sistema no KDE
FBReader - Leitor de e-books simples e rápido
O que fazer após instalar Fedora 34
ffmpeg - como girar vídeos no sentido horário ou anti-horário
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 98.276 pts -
Fábio Berbert de Paula
2° lugar - 77.804 pts -
Clodoaldo Santos
3° lugar - 56.642 pts -
Mauricio Ferrari
4° lugar - 38.860 pts -
Daniel Lara Souza
5° lugar - 30.845 pts -
Diego Mendes Rodrigues
6° lugar - 27.648 pts -
Alberto Federman Neto.
7° lugar - 21.978 pts -
Lisandro Guerra
8° lugar - 20.320 pts -
edps
9° lugar - 19.408 pts -
Robson Fernando Gomes
10° lugar - 18.514 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
