Erweiterung des Perfect Servers - Debian Squeeze [ISPConfig 3]

5. multitail

In Debian installiere multitail über apt:

apt-get install multitail

Erstelle den Ordner /root/scripts (falls du das nicht bereits getan hast) und füge den Befehl ein, der es dir ermöglicht, mehrere Dateien gleichzeitig zu sehen:

mkdir /root/scripts
cd /root/scripts
nano mytail

Füge die Zeilen ein:

#!/bin/bash  
multitail -ci yellow -e "ailed" -n 1000 /var/log/auth.log  \
-ci red -e "Ban" -n 1000 -I /var/log/fail2ban.log \
-ci red -e "fw" -n 1000 -I /var/log/messages \
-ci green -e "Unban" -n 1000 -I /var/log/messages \
-ci blue -e "fail" -n 1000 -I /var/log/syslog

Speichere, verlasse und mache es ausführbar für root:

chmod 700 /root/scripts/mytail

Führe es aus (um die Ausgabe zu sehen) mit dem Befehl (drücke “q” zum Beenden):

/root/scripts/mytail

6. SSH über Port 50022

Bevor du einen Port auf etwas anderes als das Standardport änderst, VERGISS NICHT, den Port zu deiner Firewall hinzuzufügen. Wenn du die Standardwerte von ISPConfig verwendest, gehe zu System -> Firewall und füge den gewünschten Port hinzu (In diesem Handbuch verwenden wir 50000 für Webmin, 50443 für ISPConfig, 50022 für ssh). Speichere und ENTFERNE die alten Ports (8080, 10000, 22) NICHT, bis du dir absolut sicher bist, dass die neuen Ports funktionieren.

In Debian installierst du den SSH-Server (falls du ihn noch nicht hast) mit apt-get. Danach bearbeite die Konfigurationsdatei (/etc/ssh/sshd_config)

apt-get install ssh openssh-server openssh-client
nano /etc/ssh/sshd_config

Lasse “Port 22” und FÜGE “Port 50022” direkt nach “Port 22” hinzu. Speichere, verlasse und starte ssh neu:

/etc/init.d/ssh restart

VORSICHT: Du musst dich über ssh zu Port 50022 erneut anmelden. Nach der obigen Änderung wird sogar sftp über den Port 50022 zugänglich sein. Wenn du den Port 22 entfernst, kannst du ssh UND sftp NUR über den Port 50022 zugreifen.

Wenn du es schaffst, dich mit dem Port 50022 (mit dem folgenden Befehl) anzumelden, kannst du die Zeile “Port 22” aus /etc/ssh/sshd_config entfernen:

ssh -p 50022 [email protected]

Wenn du das oben Genannte getan hast, musst du das SSH-Jail überschreiben und den Port des fail2ban SSH-Jails (von ssh auf 50022) in /etc/fail2ban/jail.local ändern.

(Wenn du das Tutorial von Anfang an befolgt hast, hast du dies bereits im Fail2ban-Abschnitt getan.)

7. phpmyadmin unter anderer URL (+ SSL-Tipp)

Um phpmyadmin über SSL unter mydomaindb (oder einem anderen einzigartigen Namen) zuzugreifen, kannst du denselben Tipp wie bei roundcube (für den SSL-Teil) anwenden. Was die neue URL betrifft, musst du die /etc/apache2/conf.d/phpmyadmin.conf bearbeiten, den Alias von “/phpmyadmin” auf “/mydomaindb” ändern und sicherstellen, dass du die folgenden Zeilen darin hast (beachte die letzten Zeilen von bis…. , die verwendet werden, um auf SSL umzuleiten):

# phpMyAdmin Standard-Apache-Konfiguration  
  
Alias /mydomaindb /usr/share/phpmyadmin  
  
  
        Options FollowSymLinks  
        DirectoryIndex index.php  
  
          
                AddType application/x-httpd-php .php  
  
                php_flag magic_quotes_gpc Off  
                php_flag track_vars On  
                php_flag register_globals Off  
                php_value include_path .  
          
  
  
  
# Autorisierung für die Einrichtung  
  
      
    AuthType Basic  
    AuthName "phpMyAdmin Setup"  
    AuthUserFile /etc/phpmyadmin/htpasswd.setup  
      
    Require valid-user  
  
  
# Verweigere den Webzugriff auf Verzeichnisse, die es nicht benötigen  
  
    Order Deny,Allow  
    Deny from All  
  
  
    Order Deny,Allow  
    Deny from All  
  
  
  
    
      
      RewriteEngine on  
      RewriteCond %{HTTPS} !^on$ [NC]  
      RewriteRule . https://%{HTTP_HOST}:50443%{REQUEST_URI}  [L]

Starte danach Apache neu:

/etc/init.d/apache2 restart

Vergiss nicht, den Link von phpmyadmin in der ISPConfig 3 GUI zu ändern (Interface-Konfiguration -> Seiten (Tab)).

8. Installiere einen PHP-Beschleuniger (apc) und andere nützliche Apps.

In diesem Abschnitt werden wir apc (PHP-Beschleuniger) installieren, der von den Entwicklern von PHP und einigen Apps (htop, iptraf, logwatch, tiger) entwickelt wurde.

apt-get install php-apc htop iptraf logwatch tiger

Bearbeite /etc/php5/conf.d/apc.ini, um den Speicher-Cache zu erhöhen:

nano /etc/php5/conf.d/apc.ini

Und füge die folgende Zeile hinzu:

apc.shm_size=128

Starte schließlich Apache neu:

/etc/init.d/apache2 restart

Mit htop kannst du Systeminformationen besser sehen als mit top, mit iptraf kannst du Echtzeitstatistiken für deine Verbindung sehen, mit logwatch kannst du dir eine Zusammenfassung der Protokolldateien per E-Mail zusenden lassen und mit tiger kannst du dir regelmäßig einen Bericht über die Sicherheitsanfälligkeiten deines Systems (sofern vorhanden) per E-Mail zusenden lassen.

Da viele Skripte/Apps viele E-Mails an den Benutzer root senden, kannst du die E-Mail von root auf eine “echte” E-Mail-Adresse umleiten. Nachdem du eine “echte” E-Mail für deine example.com-Domain eingerichtet hast, kannst du die Aliase bearbeiten und einen Alias für den Benutzer root hinzufügen:

nano /etc/aliases

und ändere die Zeile

root:root

in etwas wie

root:[email protected]

Führe danach aus:

newaliases

Wenn du Drupal (oder ein anderes CMS) installieren möchtest, benötigst du wahrscheinlich uploadprogress und json. Um deren Installation zu erreichen, mache:

apt-get install php5-dev php-services-json
pecl install uploadprogress
touch /etc/php5/apache2/conf.d/uploadprogress.ini
nano /etc/php5/apache2/conf.d/uploadprogress.ini