Extendiendo Perfect Server - Debian Squeeze [ISPConfig 3]

5. multitail

En Debian instala multitail a través de apt:

apt-get install multitail

Crea la carpeta /root/scripts (si no lo hiciste antes) e inserta el comando que te permitirá ver múltiples archivos simultáneamente:

mkdir /root/scripts
cd /root/scripts
nano mytail

Pega las líneas:

#!/bin/bash  
multitail -ci yellow -e "ailed" -n 1000 /var/log/auth.log  \
-ci red -e "Ban" -n 1000 -I /var/log/fail2ban.log \
-ci red -e "fw" -n 1000 -I /var/log/messages \
-ci green -e "Unban" -n 1000 -I /var/log/messages \
-ci blue -e "fail" -n 1000 -I /var/log/syslog

Guarda, sal y hazlo ejecutable para root:

chmod 700 /root/scripts/mytail

Ejecuta (para ver la salida) con el comando (presiona “q” para salir):

/root/scripts/mytail

6. SSH sobre el puerto 50022

Antes de cambiar un puerto a algo diferente del predeterminado, NO olvides agregar el puerto a tu firewall. Si estás usando los valores predeterminados de ISPConfig, ve a Sistema -> Firewall y agrega el puerto que deseas (En este manual usaremos 50000 para Webmin, 50443 para ISPConfig, 50022 para ssh). Guarda y NO elimines los puertos antiguos (8080, 10000, 22) hasta que estés absolutamente seguro de que los nuevos puertos están funcionando.

En Debian instalas el servidor ssh (si no lo tienes ya) con apt-get. Después de eso edita el archivo de configuración (/etc/ssh/sshd_config)

apt-get install ssh openssh-server openssh-client
nano /etc/ssh/sshd_config

Deja “Port 22” y AÑADE “Port 50022” justo después de “Port 22”. Guarda, sal y reinicia ssh:

/etc/init.d/ssh restart

PRECAUCIÓN: Tienes que volver a iniciar sesión a través de ssh en el puerto 50022. Después de la modificación anterior, incluso sftp será accesible a través del puerto 50022. Si eliminas el puerto 22, entonces solo podrás acceder a ssh Y sftp a través del puerto 50022.

Si logras iniciar sesión usando el puerto 50022 (con el siguiente comando) puedes eliminar la línea “Port 22” de /etc/ssh/sshd_config:

ssh -p 50022 [email protected]

Si hiciste lo anterior, entonces tienes que anular la cárcel de ssh y cambiar el puerto de la cárcel de fail2ban SSH (de ssh a 50022) en /etc/fail2ban/jail.local.

(Si seguiste el tutorial desde el principio, ya lo has hecho en la sección de Fail2ban.)

7. phpmyadmin bajo una URL diferente (+ consejo ssl)

Para acceder a phpmyadmin a través de ssl bajo mydomaindb, (o otro nombre único) puedes aplicar el mismo consejo que con roundcube (para la parte ssl). En cuanto a la nueva URL, tienes que editar el /etc/apache2/conf.d/phpmyadmin.conf, cambiar el Alias de “/phpmyadmin” a “/mydomaindb” y asegurarte de que tienes las siguientes líneas en él (Nota las últimas líneas de a…. que se utilizan para redirigir a SSL):

# phpMyAdmin configuración predeterminada de Apache  
  
Alias /mydomaindb /usr/share/phpmyadmin  
  
  
        Options FollowSymLinks  
        DirectoryIndex index.php  
  
          
                AddType application/x-httpd-php .php  
  
                php_flag magic_quotes_gpc Off  
                php_flag track_vars On  
                php_flag register_globals Off  
                php_value include_path .  
          
  
  
  
# Autorizar para la configuración  
  
      
    AuthType Basic  
    AuthName "phpMyAdmin Setup"  
    AuthUserFile /etc/phpmyadmin/htpasswd.setup  
      
    Require valid-user  
  
  
# Denegar acceso web a directorios que no lo necesitan  
  
    Order Deny,Allow  
    Deny from All  
  
  
    Order Deny,Allow  
    Deny from All  
  
  
  
    
      
      RewriteEngine on  
      RewriteCond %{HTTPS} !^on$ [NC]  
      RewriteRule . https://%{HTTP_HOST}:50443%{REQUEST_URI}  [L]

Después de esto, reinicia Apache

/etc/init.d/apache2 restart

No olvides cambiar el enlace de phpmyadmin en la GUI de ISPConfig 3 (Configuración de Interfaz -> Sitios (pestaña).

8. Instalar un acelerador de php (apc) y otras aplicaciones útiles.

En esta sección instalaremos apc (acelerador de php), que es desarrollado por los chicos que desarrollan php y algunas aplicaciones (htop, iptraf, logwatch, tiger).

apt-get install php-apc htop iptraf logwatch tiger

Edita /etc/php5/conf.d/apc.ini, para aumentar la memoria caché:

nano /etc/php5/conf.d/apc.ini

Y agrega la siguiente línea:

apc.shm_size=128

Finalmente reinicia Apache:

/etc/init.d/apache2 restart

Con htop puedes ver la información del sistema de una mejor manera que con top, con iptraf puedes ver estadísticas en tiempo real para tu conexión, con logwatch puedes hacer que tu sistema te envíe un resumen de los archivos de registro y con tiger puedes recibir un informe periódico sobre las vulnerabilidades de seguridad de tu sistema (si existen).

Como muchos scripts/aplicaciones envían muchos correos al usuario root, puedes aliasar el correo de root a una dirección de correo más ‘real’. Así que, después de configurar un correo ‘real’ para tu dominio example.com, puedes editar los alias y agregar un alias al usuario root:

nano /etc/aliases

y cambiar la línea

root:root

a algo como

root:[email protected]

Después de esto ejecuta:

newaliases

Si deseas instalar Drupal (u otro cms) probablemente necesitarás uploadprogress y json. Para lograr su instalación, haz:

apt-get install php5-dev php-services-json
pecl install uploadprogress
touch /etc/php5/apache2/conf.d/uploadprogress.ini
nano /etc/php5/apache2/conf.d/uploadprogress.ini