Apache em chroot + MySQL + PHP + mod_security + mod_evasive + vsftpd + Fail2ban + Debian Squeeze
Aqui abordarei a implementação de um Apache trabalhando em modo chroot, dando suporte a PHP 5, MySQL, Fail2ban, mod_security, mod_evasive e vsftpd.
[ Hits: 23.404 ]
Por: Douglas Q. dos Santos em 07/12/2012 | Blog: http://wiki.douglasqsantos.com.br
Configurando o Fail2ban e ajustando o Apache
# vim /etc/fail2ban/jail.conf
[DEFAULT]
ignoreip = 127.0.0.1, 10.0.0.0/23
bantime = 600
maxretry = 3
backend = polling
destemail = douglas@douglas.wiki.br
banaction = iptables-multiport
mta = sendmail
protocol = tcp
action_ = %(banaction)s[name=%(__name__)s, port=\"%(port)s\", protocol=\"%(protocol)s]
action_mw = %(banaction)s[name=%(__name__)s, port=\"%(port)s\", protocol=\"%(protocol)s]
%(mta)s-whois[name=%(__name__)s, dest=\"%(destemail)s\", protocol=\"%(protocol)s]
action_mwl = %(banaction)s[name=%(__name__)s, port=\"%(port)s\", protocol=\"%(protocol)s]
%(mta)s-whois-lines[name=%(__name__)s, dest=\"%(destemail)s\", logpath=%(logpath)s]
action = %(action_mwl)s
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
[pam-generic]
enabled = true
filter = pam-generic
port = all
banaction = iptables-allports
port = anyport
logpath = /var/log/auth.log
maxretry = 3
[ssh-ddos]
enabled = true
port = ssh
filter = sshd-ddos
logpath = /var/log/auth.log
maxretry = 3
[apache]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 3
[dominio.com.br]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/www/website/logs/*error.log
maxretry = 3
[vsftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log
maxretry = 3
[postfix]
enabled = true
port = smtp,ssmtp
filter = postfix
logpath = /var/log/mail.log
[sasl]
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = sasl
logpath = /var/log/mail.log
Reiniciar o serviço para que o nosso servidor esteja com um agente analisando os logs e bloqueando quando necessário:
# /etc/init.d/fail2ban restart
Agora vamos fazer mais alguns ajustes em nosso Apache. Abra e deixe como abaixo o arquivo /etc/apache2/conf.d/security:
# vim /etc/apache2/conf.d/security
ServerTokens Prod
[...]
ServerSignature Off
E na jaula também:
# vim /var/chroot/etc/apache2/conf.d/security
ServerTokens Prod
[...]
ServerSignature Off
Agora é só reiniciar o Apache:
# /etc/init.d/apache2 restart
E é só acessar o site em:
Referências
- Welcome to The Apache Software Foundation!
- Welcome! - The Apache HTTP Server Project
- FrontPage - Httpd Wiki
- FAQ - Httpd Wiki
- Reporting Security Problems with Apache - The Apache HTTP Server Project
- Apache HTTP Server Version 2.2
- PHP: Installation on Unix systems - Manual
- PHP: Installation and Configuration - Manual
- PHP: Apache 2.x on Unix systems - Manual
- MySQL :: The world's most popular open source database
- MySQL :: MySQL Downloads (Generally Available)
- MySQL :: Developer Zone
- MySQL :: MySQL Documentation: MySQL Reference Manuals
- vsftpd - Secure, fast FTP server for UNIX-like systems
- Index of /users/cevans/untar/vsftpd-2.3.4 on vsftpd.beasts.org:21
- Manpage of VSFTPD.CONF
- Aurium :: Usando Chroot
- Best Practices for UNIX chroot() Operations
- Criação de ambientes em chroot
- pt_BR/Debootstrap - Debian Wiki
- Installing new Debian systems with debootstrap
- Fail2ban.org
- MANUAL 0 8 - Fail2ban
Artigo também publicado em:
Espero ter ajudado. ;)
2. Adicionando suporte ao PHP, suporte ao mod_evasive e ao mod_security
3. Adicionando suporte ao MySQL e configurando o vsftpd
4. Configurando o Fail2ban e ajustando o Apache
IDS com Snort + Guardian + Debian Lenny
Alta disponibilidade com Debian Lenny + Heartbeat + DRBD8 + OCFS2 + MONIT + LVS
Bonding para Heartbeat + Bonding para DRBD + OCFS2 + Debian Squeeze
Servidor Jabber com Openfire + MySQL + Debian Lenny
Debian + Postfix + MySQL + PostfixAdmin + MailScanner + Webmail + Quotas
Instalar, configurar e navegar com softmodem no Slackware
Operadoras de Banda Larga com Medição de Velocidade
Configurando wireless no Ubuntu 7.04 e compartilhando a conexão
CoyoteLinux :: Compartilhando internet com um disquete
Configurando BIND 9 + chroot sem mistérios
Muito Bom....So o script que não ta lá!!
Bom dia,
Desculpe o problema é que mudei o seu servidor para outra empresa e estou tento problemas com os scripts com isso estou disponibilizando ele em
http://www.douglas.wiki.br/doku.php?id=confinicialsqueeze
:D
Douglas, como posso fazer por exemplo, tenho um servidor web, quero liberar o ftp para o webdesigner publicar alterações no site, instalei o ftp, porém toda vez que ele publica as permissões ficam usuario.usuario, com isto ocorre erros quando vamos abrir a pagina, ae toda vez tenho que da um chown -Rf usuario.www-data pasta/ , como posso contornar isto ? Tem como o vsftp já atribuir a permissão desta forma ?
Patrocínio
Destaques
Artigos
Conciliando o uso da ZRAM e SWAP em disco na sua máquina
Servidor de Backup com Ubuntu Server 24.04 LTS, RAID e Duplicati (Dell PowerEdge T420)
Visualizar câmeras IP ONVIF no Linux sem necessidade de instalar aplicativos
Dicas
Realizar overclock no Miyoo Mini (plus ou normal)
Otimização de memória para máquinas modestas
Tópicos
Google Crhome não abre desde que eu atualizei pelo "program... (13)
Dúvidas sobre a originalidade de conteúdos online (6)
Monitoramento pfsense com zabbix (0)
como instalar o amdgpu no linux manjaro no linux, pelo o repo e comand... (4)
Top 10 do mês
-
Xerxes
1° lugar - 59.258 pts -
Fábio Berbert de Paula
2° lugar - 35.263 pts -
Buckminster
3° lugar - 18.349 pts -
Mauricio Ferrari
4° lugar - 13.022 pts -
Sidnei Serra
5° lugar - 12.896 pts -
Alberto Federman Neto.
6° lugar - 11.765 pts -
Daniel Lara Souza
7° lugar - 11.643 pts -
edps
8° lugar - 10.670 pts -
Andre (pinduvoz)
9° lugar - 9.927 pts -
Diego Mendes Rodrigues
10° lugar - 9.837 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
