Estensione del Server Perfetto - Debian Squeeze [ISPConfig 3]

5. multitail

In Debian installa multitail tramite apt:

apt-get install multitail

Crea la cartella /root/scripts (se non lo hai già fatto) e inserisci il comando che ti permetterà di vedere più file contemporaneamente:

mkdir /root/scripts
cd /root/scripts
nano mytail

Incolla le righe:

#!/bin/bash  
multitail -ci yellow -e "ailed" -n 1000 /var/log/auth.log  \
-ci red -e "Ban" -n 1000 -I /var/log/fail2ban.log \
-ci red -e "fw" -n 1000 -I /var/log/messages \
-ci green -e "Unban" -n 1000 -I /var/log/messages \
-ci blue -e "fail" -n 1000 -I /var/log/syslog

Salva, esci e rendilo eseguibile per root:

chmod 700 /root/scripts/mytail

Eseguilo (per vedere l’output) con il comando (premi “q” per uscire):

/root/scripts/mytail

6. SSH sulla porta 50022

Prima di cambiare una porta in qualcosa di diverso dal predefinito, NON dimenticare di aggiungere la porta al tuo firewall. Se stai usando i predefiniti di ISPConfig, vai su Sistema -> Firewall e aggiungi la porta che desideri (In questo manuale useremo 50000 per Webmin, 50443 per ISPConfig, 50022 per ssh). Salva e NON rimuovere le vecchie porte (8080, 10000, 22) fino a quando non sei assolutamente sicuro che le nuove porte funzionino.

In debian installi il server ssh (se non lo hai già) con apt-get. Dopo di che modifica il file di configurazione (/etc/ssh/sshd_config)

apt-get install ssh openssh-server openssh-client
nano /etc/ssh/sshd_config

Lascia “Port 22” e AGGIUNGI “Port 50022” subito dopo “Port 22”. Salva, esci e riavvia ssh:

/etc/init.d/ssh restart

ATTENZIONE: Devi riconnetterti tramite ssh alla porta 50022. Dopo la modifica sopra anche sftp sarà accessibile sulla porta 50022. Se rimuovi la porta 22, allora puoi accedere a ssh E sftp SOLO sulla porta 50022.

Se riesci a effettuare il login utilizzando la porta 50022 (con il seguente comando) puoi rimuovere la riga “Port 22” da /etc/ssh/sshd_config:

ssh -p 50022 [email protected]

Se hai fatto quanto sopra, allora devi sovrascrivere la prigione ssh e cambiare la porta della prigione SSH di fail2ban (da ssh a 50022) in /etc/fail2ban/jail.local.

(Se hai seguito il tutorial dall’inizio, lo hai già fatto nella sezione Fail2ban.)

7. phpmyadmin sotto un URL diverso (+ consiglio ssl)

Per accedere a phpmyadmin tramite ssl sotto mydomaindb, (o un altro nome unico) puoi applicare lo stesso consiglio di roundcube (per la parte ssl). Per quanto riguarda il nuovo URL devi modificare il /etc/apache2/conf.d/phpmyadmin.conf, cambiare l’Alias da “/phpmyadmin” a “/mydomaindb” e assicurarti di avere le seguenti righe in esso (Nota le ultime righe da a…. che vengono utilizzate per reindirizzare a SSL):

# phpMyAdmin configurazione predefinita di Apache  
  
Alias /mydomaindb /usr/share/phpmyadmin  
  
  
        Options FollowSymLinks  
        DirectoryIndex index.php  
  
          
                AddType application/x-httpd-php .php  
  
                php_flag magic_quotes_gpc Off  
                php_flag track_vars On  
                php_flag register_globals Off  
                php_value include_path .  
          
  
  
  
# Autorizza per la configurazione  
  
      
    AuthType Basic  
    AuthName "phpMyAdmin Setup"  
    AuthUserFile /etc/phpmyadmin/htpasswd.setup  
      
    Require valid-user  
  
  
# Negare l'accesso web a directory che non ne hanno bisogno  
  
    Order Deny,Allow  
    Deny from All  
  
  
    Order Deny,Allow  
    Deny from All  
  
  
  
    
      
      RewriteEngine on  
      RewriteCond %{HTTPS} !^on$ [NC]  
      RewriteRule . https://%{HTTP_HOST}:50443%{REQUEST_URI}  [L]

Dopo questo, riavvia Apache

/etc/init.d/apache2 restart

Non dimenticare di cambiare il link di phpmyadmin nell’interfaccia ISPConfig 3 (Configurazione Interfaccia -> Siti (tab).

8. Installa un acceleratore php (apc) e altre app utili.

In questa sezione installeremo apc (acceleratore php), che è sviluppato dai ragazzi che sviluppano php e alcune app (htop, iptraf, logwatch, tiger).

apt-get install php-apc htop iptraf logwatch tiger

Modifica /etc/php5/conf.d/apc.ini, in modo da aumentare la memoria cache:

nano /etc/php5/conf.d/apc.ini

E aggiungi la seguente riga:

apc.shm_size=128

Infine riavvia Apache:

/etc/init.d/apache2 restart

Con htop puoi vedere le informazioni di sistema in un modo migliore rispetto a top, con iptraf puoi vedere statistiche in tempo reale per la tua connessione, con logwatch puoi avere il tuo sistema che ti invia un riepilogo dei file di log e con tiger puoi ricevere un rapporto periodico sulle vulnerabilità di sicurezza del tuo sistema (se esistono).

Poiché molti script/app inviano molte email all’utente root, puoi aliasare la mail di root, a un indirizzo email più ‘reale’. Quindi, dopo aver impostato una mail ‘reale’ per il tuo dominio example.com, puoi modificare gli alias e aggiungere un alias all’utente root:

nano /etc/aliases

e cambia la riga

root:root

in qualcosa del tipo

root:[email protected]

Dopo questo esegui:

newaliases

Se vuoi installare Drupal (o altri cms) probabilmente avrai bisogno di uploadprogress e json. Per completare la loro installazione, fai:

apt-get install php5-dev php-services-json
pecl install uploadprogress
touch /etc/php5/apache2/conf.d/uploadprogress.ini
nano /etc/php5/apache2/conf.d/uploadprogress.ini