drupal.be server beheer
Het beheren van de server waar drupal.be op draait zal ook door de community moeten gebeuren. Ik zal mij hier wat mee gaan bezighouden (met nog andere mensen).
Het eerste wat zou moeten gebeuren is deze wat goed configureren zodat we hopelijk door de hackers wat met rust gelaten worden. Hieronder een lijst van wat ik zou willen doen:
1. ssh op andere poort laten draaien: De meeste scripten zoeken rechstreeks op poort 22 voor ssh toegang en beginnen dan te attacken. Dit is eenvoudig te omzeilen door ssh op een andere poort te zetten. Deze stap zorgt voor tenminste 90% minder login attempts (ik zou het eens moeten nakijken).
2. server in "stealth" mode zetten: Veel servers antwoorden op ping of weigeren een tcp connectie als deze binnenkomt op een poort waar geen service achter draait. Maar als iemand ziet dat een connectie wordt geweigerd weet die dat er een machine is die dat geweigerd heeft en je server is ontdekt! Een port scan op een server die paketten weigert is ook een stuk sneller dan op één die ze gewoon negeert. Ik stel voor van de volgende iptables regels toe te voegen zodat de server alles negeert:
# Generated by iptables-save v1.3.6 on Mon Feb 16 10:12:58 2009
*filter
:INPUT DROP [6501:813133]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [45349:6168540]
# Accept incoming http connections.
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
# Accept incoming ssh connections (ssh listens on 1234).
-A INPUT -p tcp -m tcp --dport 1234 -j ACCEPT
# Accept incoming packets on established connections.
-A INPUT -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon Feb 16 10:12:58 2009
3. server up-to-date houden: Als iemand een Nagios install heeft kunnen we deze server eraan toe voegen. Via een tcp request kan je zien of de up is en via nrpe kunnen we check_apt activeren zodat de nagios installatie kan zien of er critical updates zijn. Wie heeft er een Nagios installatie beschikbaar waar deze server aan kan toegevoegd worden en die mij automatisch een mail kan sturen als er updates zijn?
4. Andere zaken zoals fail2ban, tripwire vind ik persoonlijk minder belangrijk maar ik hoor graag jullie suggesties.
5. Debian Lenny is ook net uitgekomen maar ik stel voor van tenminste nog enkele maanden op etch te blijven. Security updates voor etch zijn er nog tot 15 februari 2010.
Actuele inhoud
08 feb 2012
- , Vacature Webdeveloper , (Forumonderwerp) , JoHo Processen ...
- , node id opslaan in database , (Forumonderwerp) , Noikes , Reacties: 5
07 feb 2012
- , Civi en Drupal installatie gevraagd! , (Forumonderwerp) , Koen van Hees
- , kan niet meer inloggen na verhuizing website , (Forumonderwerp) , meppel001
- , Image slider/banner maken in Dp7 , (Forumonderwerp) , CrazyFly , Reacties: 1
- , migrate van subdir naar main directory , (Forumonderwerp) , Jaap3D
- , Filter criteria , (Forumonderwerp) , Lambert de Groot , Reacties: 2
06 feb 2012
- , Activity map aanmaken , (Forumonderwerp) , Samuël2013
- , Weergave forums beperken tot containers die dan uitklapbaar zijn , (Forumonderwerp) , vdwaetsy
- , - , (Forumonderwerp) , karel3s
- , Tokens weergeven in een node , (Forumonderwerp) , Mindhunter , Reacties: 1
05 feb 2012
- , content type, manage fields, veld tonen naar gelang van item selected , (Forumonderwerp) , LLMM
04 feb 2012
- , stappenplan maken.... , (Forumonderwerp) , Mindhunter
- , Afbeeldingsstijl met afbeelding hierbovenop? , (Forumonderwerp) , kwertie , Reacties: 2
03 feb 2012
- , Applicatiebeheerder , (Forumonderwerp) , Andrea
Jax@drupal.org
16 February, 2009 - 10:38
Permalink
6. Password policies
Op de sprint heb ik ook gemerkt dat sommige van de passwords heel simpel waren. Je kan er dus niet op vertrouwen dat gebruikers vanzelf strong passwords kiezen. Ik kijk even na hoe strong passwords kunnen verplicht worden op debian.
Jax@drupal.org
16 February, 2009 - 10:44
Permalink
7. APC installeren & configureren
Om de snelheid van de site wat op te drijven kan teven APC geïnstalleerd en geconfigureerd worden. De laatste keer dat ik dat gedaan heb op een server met 256MB RAM liep dat niet helemaal goed en moest ik de configuratie wat tweaken. Je had ook niet het volledige voordeel van APC maar ik doe mijn best.
Bart Jansens
16 February, 2009 - 16:09
Permalink
een paar suggesties
- Voor remote management zou ik eigelijk gewoon alle paswoord access uit zetten en iedereen verplichten SSH keys te gebruiken.
- geef mensen sudo access, niet de root account. Als er heel wat moeten op inloggen, zet de permissions strikt genoeg zodat ze niet per ongeluk iets fout kunnen doen.
- Logwatch kan wel interessant zijn om informatie te krijgen over speciale gebeurtenissen op de server.
- In plaats van een volledige nagios check te doen kan je voor updates ook gewoon een pakket installeren dat hetzelfde doet. Ik dacht dat cron-apt zoiets kon doen. Automatisch updates installeren lijkt me wat gevaarlijk :)
- yes, install APC in voor PHP, maakt een enorm verschil
- Let op met uw memory_limit in PHP. Developers hebben nogal eens de neiging dat absurd hoog in te stellen (128M ofzo), duw die zover mogelijk naar beneden. Remember dat PHP geheugen gebruikt en niet meer vrij geeft, dus probeer te vermijden dat de server gaat swappen door het aantal apache processes beperkt te houden. Het is een beetje telwerk maar het laatste dat je wil is dat de server er onderuit gaat als er een paar bezoekers komen.
- Inderdaad, blijf voorlopig nog even bij debian etch. Nieuwe releases krijgen typisch in het begin nog heel veel updates, dus ik zou een paar maandjes wachten om dat te laten stabiliseren.
- Zet een schone motd op de server met de laatste aanpassingen in, kan handig zijn als je met meerdere die server beheert.
- Kijk de mailserver config na en zorg dat deze de juiste naam enzo gebruikt, kwestie van geen mails tegen te laten houden door spamfilters.
hm, ik ga stoppen want mijn lijstje is hier uit de hand aan het lopen :)