Идеальный сервер - CentOS 6.1 x86_64 с nginx [ISPConfig 3] - Страница 6

18 Установка PureFTPd

PureFTPd можно установить с помощью следующей команды:

yum install pure-ftpd

Затем создайте ссылки для автозагрузки системы и запустите PureFTPd:

chkconfig –levels 235 pure-ftpd on
/etc/init.d/pure-ftpd start

Теперь мы настраиваем PureFTPd для разрешения FTP и TLS-сессий. FTP - это очень небезопасный протокол, так как все пароли и все данные передаются в открытом виде. Используя TLS, всю коммуникацию можно зашифровать, что делает FTP гораздо более безопасным.

OpenSSL необходим для TLS; чтобы установить OpenSSL, просто выполните:

yum install openssl

Откройте /etc/pure-ftpd/pure-ftpd.conf…

vi /etc/pure-ftpd/pure-ftpd.conf

Если вы хотите разрешить FTP и TLS-сессии, установите TLS в 1:

| [...] # Эта опция может принимать три значения : # 0 : отключить уровень шифрования SSL/TLS (по умолчанию). # 1 : принимать как традиционные, так и зашифрованные сессии. # 2 : отклонять соединения, которые не используют механизмы безопасности SSL/TLS, # включая анонимные сессии. # Не _разкомментируйте_ это бездумно. Убедитесь, что : # 1) Ваш сервер был скомпилирован с поддержкой SSL/TLS (--with-tls), # 2) Действительный сертификат установлен, # 3) Только совместимые клиенты смогут войти. TLS 1 [...] |

Чтобы использовать TLS, мы должны создать SSL-сертификат. Я создаю его в /etc/ssl/private/, поэтому сначала создаю этот каталог:

mkdir -p /etc/ssl/private/

После этого мы можем сгенерировать SSL-сертификат следующим образом:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem 

Название страны (2 буквы) [XX]: <– Введите название вашей страны (например, “DE”).
Название штата или провинции (полное название) []: <– Введите название вашего штата или провинции.
Название населенного пункта (например, город) [Default City]: <– Введите ваш город.
Название организации (например, компания) [Default Company Ltd]: <– Введите название вашей организации (например, название вашей компании).
Название организационного подразделения (например, отдел) []: <– Введите название вашего организационного подразделения (например, “IT-отдел”).
Общее название (например, ваше имя или имя вашего сервера) []: <– Введите полное доменное имя системы (например, “server1.example.com”).
Адрес электронной почты []: <– Введите ваш адрес электронной почты.

Измените права доступа к SSL-сертификату:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Наконец, перезапустите PureFTPd:

 /etc/init.d/pure-ftpd restart

Вот и все. Теперь вы можете попробовать подключиться с помощью вашего FTP-клиента; однако вам следует настроить ваш FTP-клиент для использования TLS.

19 Установка BIND

Мы можем установить BIND следующим образом:

yum install bind bind-utils

Далее откройте /etc/sysconfig/named…

vi /etc/sysconfig/named

… и убедитесь, что строка ROOTDIR=/var/named/chroot закомментирована:

| # Опции процесса BIND named # ~~~~~~~~~~~~~~~~~~~~~~~~~~ # В настоящее время вы можете использовать следующие опции: # # ROOTDIR="/var/named/chroot" -- будет запускать named в окружении chroot. # вы должны настроить окружение chroot # (установить пакет bind-chroot) перед # тем, как это сделать. # ЗАМЕТКА: # Эти директории автоматически монтируются в chroot, если они # пусты в директории ROOTDIR. Это упростит обслуживание вашего # окружения chroot. # - /var/named # - /etc/pki/dnssec-keys # - /etc/named # - /usr/lib64/bind или /usr/lib/bind (в зависимости от архитектуры) # # Эти файлы также монтируются, если целевой файл не существует в # chroot. # - /etc/named.conf # - /etc/rndc.conf # - /etc/rndc.key # - /etc/named.rfc1912.zones # - /etc/named.dnssec.keys # - /etc/named.iscdlv.key # # Не забудьте добавить "$AddUnixListenSocket /var/named/chroot/dev/log" # строку в ваш файл /etc/rsyslog.conf. В противном случае ваше логирование # будет нарушено, когда демон rsyslogd будет перезапущен (например, из-за обновления). # # OPTIONS="whatever" -- Эти дополнительные опции будут переданы named # при запуске. Не добавляйте -t здесь, используйте ROOTDIR вместо. # # KEYTAB_FILE="/dir/file" -- Укажите файл ключа службы named (для GSS-TSIG) # # DISABLE_ZONE_CHECKING -- По умолчанию, скрипт инициализации вызывает утилиту named-checkzone # для каждой зоны, чтобы убедиться, что все зоны являются # действительными перед запуском named. Если вы установите эту опцию # в 'yes', то скрипт инициализации не будет выполнять эти # проверки. |

Создайте резервную копию существующего файла /etc/named.conf и создайте новый следующим образом:

cp /etc/named.conf /etc/named.conf_bak
cat /dev/null > /etc/named.conf
vi /etc/named.conf

| // named.conf // // Предоставлено пакетом bind от Red Hat для настройки ISC BIND named(8) DNS // сервера как кэшируемого только nameserver (только как локальный DNS-резольвер). // // См. /usr/share/doc/bind*/sample/ для примеров конфигурационных файлов named. options { listen-on port 53 { any; }; listen-on-v6 port 53 { any; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { any; }; recursion no; allow-recursion { none; }; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "." IN { type hint; file "named.ca"; }; include "/etc/named.conf.local"; |

Создайте файл /etc/named.conf.local, который включается в конце /etc/named.conf (файл /etc/named.conf.local позже будет заполнен ISPConfig, если вы создадите DNS-зоны в ISPConfig):

touch /etc/named.conf.local

Затем создаем ссылки для автозагрузки и запускаем BIND:

chkconfig –levels 235 named on
/etc/init.d/named start

20 Установка Vlogger, Webalizer и AWStats

Vlogger, webalizer и AWStats можно установить следующим образом:

yum install webalizer awstats perl-DateTime-Format-HTTP perl-DateTime-Format-Builder

cd /tmp
wget http://n0rp.chemlab.org/vlogger/vlogger-1.3.tar.gz
tar xvfz vlogger-1.3.tar.gz
mv vlogger-1.3/vlogger /usr/sbin/
rm -rf vlogger*

21 Установка Jailkit

Jailkit необходим только в том случае, если вы хотите chroot пользователей SSH. Его можно установить следующим образом (важно: Jailkit должен быть установлен до ISPConfig - его нельзя установить после!):

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.14.tar.gz
tar xvfz jailkit-2.14.tar.gz
cd jailkit-2.14
./configure
make
make install
cd ..
rm -rf jailkit-2.14*

22 Установка fail2ban

Это необязательно, но рекомендуется, поскольку монитор ISPConfig пытается показать журнал:

yum install fail2ban

Мы должны настроить fail2ban для записи в файл журнала /var/log/fail2ban.log, так как это файл журнала, который отслеживается модулем мониторинга ISPConfig. Откройте /etc/fail2ban/fail2ban.conf…

vi /etc/fail2ban/fail2ban.conf

… и закомментируйте строку logtarget = SYSLOG и добавьте logtarget = /var/log/fail2ban.log:

| [...] # Опция: logtarget # Примечания.: Установите целевой журнал. Это может быть файл, SYSLOG, STDERR или STDOUT. # Можно указать только одну целевую запись журнала. # Значения: STDOUT STDERR SYSLOG file По умолчанию: /var/log/fail2ban.log # #logtarget = SYSLOG logtarget = /var/log/fail2ban.log [...] |

Затем создайте системные ссылки для автозагрузки fail2ban и запустите его:

chkconfig –levels 235 fail2ban on
/etc/init.d/fail2ban start

23 Установка rkhunter

rkhunter можно установить следующим образом:

yum install rkhunter