O Servidor Perfeito - CentOS 6.1 x86_64 Com nginx [ISPConfig 3] - Página 6

18 Instalar PureFTPd

PureFTPd pode ser instalado com o seguinte comando:

yum install pure-ftpd

Em seguida, crie os links de inicialização do sistema e inicie o PureFTPd:

chkconfig –levels 235 pure-ftpd on
/etc/init.d/pure-ftpd start

Agora configuramos o PureFTPd para permitir sessões FTP e TLS. FTP é um protocolo muito inseguro porque todas as senhas e todos os dados são transferidos em texto claro. Ao usar TLS, toda a comunicação pode ser criptografada, tornando o FTP muito mais seguro.

OpenSSL é necessário para o TLS; para instalar o OpenSSL, simplesmente executamos:

yum install openssl

Abra /etc/pure-ftpd/pure-ftpd.conf…

vi /etc/pure-ftpd/pure-ftpd.conf

Se você quiser permitir sessões FTP e TLS, defina TLS como 1:

| [...] # Esta opção pode aceitar três valores : # 0 : desabilitar a camada de criptografia SSL/TLS (padrão). # 1 : aceitar tanto sessões tradicionais quanto criptografadas. # 2 : recusar conexões que não usam mecanismos de segurança SSL/TLS, # incluindo sessões anônimas. # Não _descomente_ isso cegamente. Certifique-se de que : # 1) Seu servidor foi compilado com suporte a SSL/TLS (--with-tls), # 2) Um certificado válido está em vigor, # 3) Apenas clientes compatíveis farão login. TLS 1 [...] |

Para usar TLS, devemos criar um certificado SSL. Eu o crio em /etc/ssl/private/, portanto, primeiro crio esse diretório:

mkdir -p /etc/ssl/private/

Depois, podemos gerar o certificado SSL da seguinte forma:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem 

Nome do País (código de 2 letras) [XX]: <– Insira o Nome do Seu País (por exemplo, “BR”).
Nome do Estado ou Província (nome completo) []: <– Insira o Nome do Seu Estado ou Província.
Nome da Localidade (por exemplo, cidade) [Cidade Padrão]: <– Insira Sua Cidade.
Nome da Organização (por exemplo, empresa) [Empresa Padrão Ltda]: <– Insira o Nome da Sua Organização (por exemplo, o nome da sua empresa).
Nome da Unidade Organizacional (por exemplo, seção) []: <– Insira o Nome da Sua Unidade Organizacional (por exemplo, “Departamento de TI”).
Nome Comum (por exemplo, seu nome ou o nome do host do seu servidor) []: <– Insira o Nome de Domínio Qualificado do sistema (por exemplo, “servidor1.exemplo.com”).
Endereço de E-mail []: <– Insira seu Endereço de E-mail.

Altere as permissões do certificado SSL:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Finalmente, reinicie o PureFTPd:

 /etc/init.d/pure-ftpd restart

É isso. Agora você pode tentar se conectar usando seu cliente FTP; no entanto, você deve configurar seu cliente FTP para usar TLS.

19 Instalar BIND

Podemos instalar o BIND da seguinte forma:

yum install bind bind-utils

Em seguida, abra /etc/sysconfig/named…

vi /etc/sysconfig/named

… e certifique-se de que a linha ROOTDIR=/var/named/chroot esteja comentada:

| # Opções do processo BIND named # ~~~~~~~~~~~~~~~~~~~~~~~~~~ # Atualmente, você pode usar as seguintes opções: # # ROOTDIR="/var/named/chroot" -- executará named em um ambiente chroot. # você deve configurar o ambiente chroot # (instalar o pacote bind-chroot) antes # de fazer isso. # NOTA: # Esses diretórios são montados automaticamente no chroot se estiverem # vazios no diretório ROOTDIR. Isso simplificará a manutenção do seu # ambiente chroot. # - /var/named # - /etc/pki/dnssec-keys # - /etc/named # - /usr/lib64/bind ou /usr/lib/bind (dependente da arquitetura) # # Esses arquivos também são montados se o arquivo de destino não existir em # chroot. # - /etc/named.conf # - /etc/rndc.conf # - /etc/rndc.key # - /etc/named.rfc1912.zones # - /etc/named.dnssec.keys # - /etc/named.iscdlv.key # # Não se esqueça de adicionar "$AddUnixListenSocket /var/named/chroot/dev/log" # linha ao seu arquivo /etc/rsyslog.conf. Caso contrário, seu registro se torna # quebrado quando o daemon rsyslogd é reiniciado (devido a uma atualização, por exemplo). # # OPÇÕES="qualquer" -- Essas opções adicionais serão passadas para named # na inicialização. Não adicione -t aqui, use ROOTDIR em vez disso. # # KEYTAB_FILE="/dir/file" -- Especificar arquivo de chave do serviço named (para GSS-TSIG) # # DISABLE_ZONE_CHECKING -- Por padrão, o script de inicialização chama a utilidade named-checkzone # para cada zona para garantir que todas as zonas sejam # válidas antes que o named inicie. Se você definir esta opção # como 'sim', então o script de inicialização não realizará essas # verificações. |

Faça um backup do arquivo /etc/named.conf existente e crie um novo da seguinte forma:

cp /etc/named.conf /etc/named.conf_bak
cat /dev/null > /etc/named.conf
vi /etc/named.conf

| // named.conf // // Fornecido pelo pacote bind da Red Hat para configurar o servidor DNS ISC BIND named(8) // como um servidor de nomes apenas em cache (apenas como um resolvedor DNS localhost). // // Veja /usr/share/doc/bind*/sample/ para arquivos de configuração de exemplo do named. // options { listen-on port 53 { any; }; listen-on-v6 port 53 { any; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { any; }; recursion no; allow-recursion { none; }; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "." IN { type hint; file "named.ca"; }; include "/etc/named.conf.local"; |

Crie o arquivo /etc/named.conf.local que é incluído no final de /etc/named.conf ( /etc/named.conf.local será posteriormente preenchido pelo ISPConfig se você criar zonas DNS no ISPConfig):

touch /etc/named.conf.local

Em seguida, criamos os links de inicialização e iniciamos o BIND:

chkconfig –levels 235 named on
/etc/init.d/named start

20 Instalar Vlogger, Webalizer e AWStats

Vlogger, webalizer e AWStats podem ser instalados da seguinte forma:

yum install webalizer awstats perl-DateTime-Format-HTTP perl-DateTime-Format-Builder

cd /tmp
wget http://n0rp.chemlab.org/vlogger/vlogger-1.3.tar.gz
tar xvfz vlogger-1.3.tar.gz
mv vlogger-1.3/vlogger /usr/sbin/
rm -rf vlogger*

21 Instalar Jailkit

Jailkit é necessário apenas se você quiser chrootar usuários SSH. Ele pode ser instalado da seguinte forma (importante: Jailkit deve ser instalado antes do ISPConfig - não pode ser instalado depois!):

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.14.tar.gz
tar xvfz jailkit-2.14.tar.gz
cd jailkit-2.14
./configure
make
make install
cd ..
rm -rf jailkit-2.14*

22 Instalar fail2ban

Isso é opcional, mas recomendado, porque o monitor do ISPConfig tenta mostrar o log:

yum install fail2ban

Devemos configurar o fail2ban para registrar no arquivo de log /var/log/fail2ban.log porque este é o arquivo de log que é monitorado pelo módulo Monitor do ISPConfig. Abra /etc/fail2ban/fail2ban.conf…

vi /etc/fail2ban/fail2ban.conf

… e comente a linha logtarget = SYSLOG e adicione logtarget = /var/log/fail2ban.log:

| [...] # Opção: logtarget # Notas.: Defina o alvo do log. Isso pode ser um arquivo, SYSLOG, STDERR ou STDOUT. # Apenas um alvo de log pode ser especificado. # Valores: STDOUT STDERR SYSLOG arquivo Padrão: /var/log/fail2ban.log # #logtarget = SYSLOG logtarget = /var/log/fail2ban.log [...] |

Em seguida, crie os links de inicialização do sistema para o fail2ban e inicie-o:

chkconfig –levels 235 fail2ban on
/etc/init.d/fail2ban start

23 Instalar rkhunter

rkhunter pode ser instalado da seguinte forma:

yum install rkhunter