Der perfekte Server - CentOS 6.1 x86_64 mit nginx [ISPConfig 3] - Seite 6

18 Installieren Sie PureFTPd

PureFTPd kann mit dem folgenden Befehl installiert werden:

yum install pure-ftpd

Dann erstellen Sie die Systemstartlinks und starten Sie PureFTPd:

chkconfig –levels 235 pure-ftpd on
/etc/init.d/pure-ftpd start

Jetzt konfigurieren wir PureFTPd, um FTP- und TLS-Sitzungen zuzulassen. FTP ist ein sehr unsicheres Protokoll, da alle Passwörter und alle Daten im Klartext übertragen werden. Durch die Verwendung von TLS kann die gesamte Kommunikation verschlüsselt werden, wodurch FTP viel sicherer wird.

OpenSSL wird von TLS benötigt; um OpenSSL zu installieren, führen wir einfach aus:

yum install openssl

Öffnen Sie /etc/pure-ftpd/pure-ftpd.conf…

vi /etc/pure-ftpd/pure-ftpd.conf

Wenn Sie FTP- und TLS-Sitzungen zulassen möchten, setzen Sie TLS auf 1:

| [...] # Diese Option kann drei Werte annehmen : # 0 : deaktivieren Sie die SSL/TLS-Verschlüsselungsschicht (Standard). # 1 : akzeptieren Sie sowohl traditionelle als auch verschlüsselte Sitzungen. # 2 : verweigern Sie Verbindungen, die keine SSL/TLS-Sicherheitsmechanismen verwenden, # einschließlich anonymer Sitzungen. # Kommentieren Sie dies _nicht_ blind aus. Stellen Sie sicher, dass : # 1) Ihr Server mit SSL/TLS-Unterstützung kompiliert wurde (--with-tls), # 2) Ein gültiges Zertifikat vorhanden ist, # 3) Nur kompatible Clients sich anmelden. TLS 1 [...] |

Um TLS zu verwenden, müssen wir ein SSL-Zertifikat erstellen. Ich erstelle es in /etc/ssl/private/, daher erstelle ich zuerst dieses Verzeichnis:

mkdir -p /etc/ssl/private/

Anschließend können wir das SSL-Zertifikat wie folgt generieren:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem 

Landname (2-Buchstaben-Code) [XX]: <– Geben Sie Ihren Landnamen ein (z.B. “DE”).
Bundesland oder Provinzname (vollständiger Name) []: <– Geben Sie den Namen Ihres Bundeslandes oder Ihrer Provinz ein.
Ortsname (z.B. Stadt) [Standardstadt]: <– Geben Sie Ihre Stadt ein.
Organisationsname (z.B. Firma) [Standardfirma GmbH]: <– Geben Sie den Namen Ihrer Organisation ein (z.B. den Namen Ihres Unternehmens).
Name der organisatorischen Einheit (z.B. Abteilung) []: <– Geben Sie den Namen Ihrer organisatorischen Einheit ein (z.B. “IT-Abteilung”).
Allgemeiner Name (z.B. Ihr Name oder der Hostname Ihres Servers) []: <– Geben Sie den vollqualifizierten Domainnamen des Systems ein (z.B. “server1.example.com”).
E-Mail-Adresse []: <– Geben Sie Ihre E-Mail-Adresse ein.

Ändern Sie die Berechtigungen des SSL-Zertifikats:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Starten Sie schließlich PureFTPd neu:

 /etc/init.d/pure-ftpd restart

Das war’s. Sie können jetzt versuchen, sich mit Ihrem FTP-Client zu verbinden; Sie sollten jedoch Ihren FTP-Client so konfigurieren, dass er TLS verwendet.

19 Installieren Sie BIND

Wir können BIND wie folgt installieren:

yum install bind bind-utils

Öffnen Sie als Nächstes /etc/sysconfig/named…

vi /etc/sysconfig/named

… und stellen Sie sicher, dass die Zeile ROOTDIR=/var/named/chroot auskommentiert ist:

| # BIND named Prozessoptionen # ~~~~~~~~~~~~~~~~~~~~~~~~~~ # Derzeit können Sie die folgenden Optionen verwenden: # # ROOTDIR="/var/named/chroot" -- wird named in einer chroot-Umgebung ausgeführt. # Sie müssen die chroot-Umgebung einrichten # (installieren Sie das bind-chroot-Paket), bevor # Sie dies tun. # HINWEIS: # Diese Verzeichnisse werden automatisch in chroot gemountet, wenn sie # im ROOTDIR-Verzeichnis leer sind. Es vereinfacht die Wartung Ihrer # chroot-Umgebung. # - /var/named # - /etc/pki/dnssec-keys # - /etc/named # - /usr/lib64/bind oder /usr/lib/bind (architekturabhängig) # # Diese Dateien werden ebenfalls gemountet, wenn die Zieldatei nicht # in chroot vorhanden ist. # - /etc/named.conf # - /etc/rndc.conf # - /etc/rndc.key # - /etc/named.rfc1912.zones # - /etc/named.dnssec.keys # - /etc/named.iscdlv.key # # Vergessen Sie nicht, die Zeile "$AddUnixListenSocket /var/named/chroot/dev/log" # zu Ihrer /etc/rsyslog.conf-Datei hinzuzufügen. Andernfalls wird Ihr Logging # beschädigt, wenn der rsyslogd-Daemon neu gestartet wird (z.B. aufgrund eines Updates). # # OPTIONEN="whatever" -- Diese zusätzlichen Optionen werden beim Start an named # übergeben. Fügen Sie hier nicht -t hinzu, verwenden Sie stattdessen ROOTDIR. # # KEYTAB_FILE="/dir/file" -- Geben Sie die Keytab-Datei des named-Dienstes an (für GSS-TSIG) # # DISABLE_ZONE_CHECKING -- Standardmäßig ruft das Initskript das named-checkzone # Dienstprogramm für jede Zone auf, um sicherzustellen, dass alle Zonen # gültig sind, bevor named gestartet wird. Wenn Sie diese Option # auf 'ja' setzen, führt das Initskript diese Überprüfungen nicht durch. |

Machen Sie eine Sicherung der vorhandenen /etc/named.conf-Datei und erstellen Sie eine neue wie folgt:

cp /etc/named.conf /etc/named.conf_bak
cat /dev/null > /etc/named.conf
vi /etc/named.conf

| // named.conf // // Bereitgestellt vom Red Hat bind-Paket zur Konfiguration des ISC BIND named(8) DNS // Servers als nur Caching-Namensserver (nur als localhost-DNS-Resolver). // // Siehe /usr/share/doc/bind*/sample/ für Beispiel-named-Konfigurationsdateien. // options { listen-on port 53 { any; }; listen-on-v6 port 53 { any; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { any; }; recursion no; allow-recursion { none; }; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "." IN { type hint; file "named.ca"; }; include "/etc/named.conf.local"; |

Erstellen Sie die Datei /etc/named.conf.local, die am Ende von /etc/named.conf enthalten ist ( /etc/named.conf.local wird später von ISPConfig gefüllt, wenn Sie DNS-Zonen in ISPConfig erstellen):

touch /etc/named.conf.local

Dann erstellen wir die Startlinks und starten BIND:

chkconfig –levels 235 named on
/etc/init.d/named start

20 Installieren Sie Vlogger, Webalizer und AWStats

Vlogger, Webalizer und AWStats können wie folgt installiert werden:

yum install webalizer awstats perl-DateTime-Format-HTTP perl-DateTime-Format-Builder

cd /tmp
wget http://n0rp.chemlab.org/vlogger/vlogger-1.3.tar.gz
tar xvfz vlogger-1.3.tar.gz
mv vlogger-1.3/vlogger /usr/sbin/
rm -rf vlogger*

21 Installieren Sie Jailkit

Jailkit wird nur benötigt, wenn Sie SSH-Benutzer chrooten möchten. Es kann wie folgt installiert werden (wichtig: Jailkit muss vor ISPConfig installiert werden - es kann danach nicht installiert werden!):

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.14.tar.gz
tar xvfz jailkit-2.14.tar.gz
cd jailkit-2.14
./configure
make
make install
cd ..
rm -rf jailkit-2.14*

22 Installieren Sie fail2ban

Dies ist optional, aber empfohlen, da das ISPConfig-Monitor versucht, das Protokoll anzuzeigen:

yum install fail2ban

Wir müssen fail2ban so konfigurieren, dass es in die Protokolldatei /var/log/fail2ban.log protokolliert, da dies die Protokolldatei ist, die vom ISPConfig Monitor-Modul überwacht wird. Öffnen Sie /etc/fail2ban/fail2ban.conf…

vi /etc/fail2ban/fail2ban.conf

… und kommentieren Sie die Zeile logtarget = SYSLOG aus und fügen Sie logtarget = /var/log/fail2ban.log hinzu:

| [...] # Option: logtarget # Hinweise.: Setzen Sie das Protokollziel. Dies könnte eine Datei, SYSLOG, STDERR oder STDOUT sein. # Es kann nur ein Protokollziel angegeben werden. # Werte: STDOUT STDERR SYSLOG Datei Standard: /var/log/fail2ban.log # #logtarget = SYSLOG logtarget = /var/log/fail2ban.log [...] |

Erstellen Sie dann die Systemstartlinks für fail2ban und starten Sie es:

chkconfig –levels 235 fail2ban on
/etc/init.d/fail2ban start

23 Installieren Sie rkhunter

rkhunter kann wie folgt installiert werden:

yum install rkhunter