Estendendo o Servidor Perfeito - Debian Squeeze [ISPConfig 3]

5. multitail

No Debian, instale o multitail via apt:

apt-get install multitail

Crie a pasta /root/scripts (se você ainda não fez isso) e insira o comando que permitirá ver vários arquivos simultaneamente:

mkdir /root/scripts
cd /root/scripts
nano mytail

Cole as linhas:

#!/bin/bash  
multitail -ci yellow -e "ailed" -n 1000 /var/log/auth.log  \
-ci red -e "Ban" -n 1000 -I /var/log/fail2ban.log \
-ci red -e "fw" -n 1000 -I /var/log/messages \
-ci green -e "Unban" -n 1000 -I /var/log/messages \
-ci blue -e "fail" -n 1000 -I /var/log/syslog

Salve, saia e torne-o executável para o root:

chmod 700 /root/scripts/mytail

Execute-o (para ver a saída) com o comando (pressione “q” para sair):

/root/scripts/mytail

6. SSH na porta 50022

Antes de mudar uma porta para algo diferente do padrão, NÃO se esqueça de adicionar a porta ao seu firewall. Se você estiver usando os padrões do ISPConfig, vá para Sistema -> Firewall e adicione a porta que deseja (Neste manual, usaremos 50000 para Webmin, 50443 para ISPConfig, 50022 para ssh). Salve e NÃO remova portas antigas (8080, 10000, 22) até ter certeza absoluta de que as novas portas estão funcionando.

No debian, você instala o servidor ssh (se ainda não o tiver) com apt-get. Depois disso, edite o arquivo de configuração (/etc/ssh/sshd_config)

apt-get install ssh openssh-server openssh-client
nano /etc/ssh/sshd_config

Deixe “Port 22” e ADICIONE “Port 50022” logo após “Port 22”. Salve, saia e reinicie o ssh:

/etc/init.d/ssh restart

CUIDADO: Você precisa fazer login novamente via ssh na porta 50022. Após a modificação acima, até o sftp estará acessível pela porta 50022. Se você remover a porta 22, então você pode acessar ssh E sftp SOMENTE pela porta 50022.

Se você conseguir fazer login usando a porta 50022 (com o seguinte comando), você pode remover a linha “Port 22” do /etc/ssh/sshd_config:

ssh -p 50022 [email protected]

Se você fez o acima, então você precisa substituir a prisão ssh e mudar a porta da prisão SSH do fail2ban (de ssh para 50022) em /etc/fail2ban/jail.local.

(Se você seguiu o tutorial desde o início, você já fez isso na seção Fail2ban.)

7. phpmyadmin sob uma URL diferente (+ dica de ssl)

Para acessar o phpmyadmin via ssl sob mydomaindb, (ou outro nome único) você pode aplicar a mesma dica que com o roundcube (para a parte ssl). Quanto à nova url, você precisa editar o /etc/apache2/conf.d/phpmyadmin.conf, mudar o Alias de “/phpmyadmin” para “/mydomaindb” e garantir que você tenha as seguintes linhas nele (Note as últimas linhas de até…. que são usadas para redirecionar para SSL):

# phpMyAdmin configuração padrão do Apache  
  
Alias /mydomaindb /usr/share/phpmyadmin  
  
  
        Options FollowSymLinks  
        DirectoryIndex index.php  
  
          
                AddType application/x-httpd-php .php  
  
                php_flag magic_quotes_gpc Off  
                php_flag track_vars On  
                php_flag register_globals Off  
                php_value include_path .  
          
  
  
  
# Autorizar para configuração  
  
      
    AuthType Basic  
    AuthName "phpMyAdmin Setup"  
    AuthUserFile /etc/phpmyadmin/htpasswd.setup  
      
    Require valid-user  
  
  
# Proibir acesso web a diretórios que não precisam  
  
    Order Deny,Allow  
    Deny from All  
  
  
    Order Deny,Allow  
    Deny from All  
  
  
  
    
      
      RewriteEngine on  
      RewriteCond %{HTTPS} !^on$ [NC]  
      RewriteRule . https://%{HTTP_HOST}:50443%{REQUEST_URI}  [L]

Após isso, reinicie o Apache

/etc/init.d/apache2 restart

Não se esqueça de mudar o link do phpmyadmin na interface do ISPConfig 3 (Configuração da Interface -> Sites (aba).

8. Instalar um acelerador php (apc) e outros aplicativos úteis.

Nesta seção, instalaremos o apc (acelerador php), que é desenvolvido pelos caras que desenvolvem o php e alguns aplicativos (htop, iptraf, logwatch, tiger).

apt-get install php-apc htop iptraf logwatch tiger

Edite /etc/php5/conf.d/apc.ini, para aumentar o cache de memória:

nano /etc/php5/conf.d/apc.ini

E adicione a seguinte linha:

apc.shm_size=128

Finalmente, reinicie o Apache:

/etc/init.d/apache2 restart

Com o htop, você pode ver informações do sistema de uma maneira melhor do que com o top, com o iptraf você pode ver estatísticas em tempo real para sua conexão, com o logwatch você pode ter seu sistema enviando um resumo dos arquivos de log e com o tiger você pode receber um relatório periódico das vulnerabilidades de segurança do seu sistema (se existirem).

Como muitos scripts/aplicativos enviam muitos e-mails para o usuário root, você pode aliasar o e-mail do root para um endereço de e-mail mais ‘real’. Assim, depois de configurar um e-mail ‘real’ para seu domínio example.com, você pode editar os aliases e adicionar um alias para o usuário root:

nano /etc/aliases

e mudar a linha

root:root

para algo como

root:[email protected]

Após isso, execute:

newaliases

Se você quiser instalar o Drupal (ou outro cms), provavelmente precisará do uploadprogress e json. Para realizar a instalação deles, faça:

apt-get install php5-dev php-services-json
pecl install uploadprogress
touch /etc/php5/apache2/conf.d/uploadprogress.ini
nano /etc/php5/apache2/conf.d/uploadprogress.ini