Виртуальная многосерверная среда с выделенными веб-серверами и MySQL, почтовыми и DNS-серверами на Debian Squeeze с ISPConfig 3 - Страница 5

7.2.7 Установка fail2ban

Расширьте файл jail.local, который предлагает фалько в The Perfect Server - Debian Squeeze (Debian 6.0) с BIND и Courier [ISPConfig 3]: /etc/fail2ban/jail.local

nano /etc/fail2ban/jail.local

Вам нужно добавить или отредактировать следующее:

[roundcube]  
enabled  = true  
port     = http  
filter   = roundcube  
logpath  = /var/log/roundcube/userlogins  
maxretry = 5

Последнее (и очень важно) не забудьте создать файл roundcube.conf /etc/fail2ban/filter.d/roundcube.conf.

nano /etc/fail2ban/filter.d/roundcube.conf

с следующим содержимым:

[Definition]
failregex = FAILED login for .*. from 
ignoreregex =

Перезапустите fail2ban:

/etc/init.d/fail2ban restart

Вы можете проверить, что все тюрьмы активны, с помощью команды:

iptables -L -n 

7.2.8 Установка mod_evasive с поддержкой fail2ban

mod_evasive - это модуль Apache для обработки DDoS-атак. Мы установим его и настроим fail2ban для автоматической блокировки/разблокировки зарегистрированных атак.

apt-get install libapache2-mod-evasive
mkdir /var/lock/mod-evasive
chown www-data /var/lock/mod-evasive
ln -s /etc/alternatives/mail /bin/mail
nano /etc/apache2/mods-available/mod-evasive.conf

и вставьте:

   DOSHashTableSize 3097
   DOSPageCount 3
   DOSSiteCount 60
   DOSPageInterval 1
   DOSSiteInterval 2
   DOSBlockingPeriod 15
   DOSEmailNotify [email protected]
   DOSLogDir "/var/lock/mod_evasive"

После этого мы активируем модуль и перезапускаем apache

a2enmod mod-evasive
/etc/init.d/apache2 restart

mod_evasive не будет обнаруживать DDoS-атаки. Чтобы заблокировать их с помощью IPTables, нам нужно создать файл: /etc/fail2ban/filter.d/apache-dosevasive.conf:

# Fail2Ban configuration file
#
# Author: Xela
#
# $Revision: 728 $
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the Forbidden log entrys in apache error.log
#          maybe (but not only) provided by mod_evasive
#
# Values:  TEXT
#
failregex = ^\[[^\]]*\]\s+\[error\]\s+\[client \] client denied by server configuration:\s

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

и в /etc/fail2ban/jail.local мы добавляем:

[apache-dosevasive]

enabled = true
filter  = apache-dosevasive
action = iptables-allports[name=dos]
logpath = /var/log/apache*/*error.log
bantime = 600
maxretry = 10

7.3 Расширение почтового сервера

7.3.1 Улучшенная защита от СПАМА

Команда ниже включает более строгую обработку СПАМА для postfix на серверах ISPConfig 3.

postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_recipient_domain, reject_non_fqdn_recipient, reject_unauth_destination, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_rbl_client cbl.abuseat.org,reject_rbl_client dul.dnsbl.sorbs.net,reject_rbl_client ix.dnsbl.manitu.net, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_destination'

Затем перезапустите postfix:

/etc/init.d/postfix restart

7.3.2 Установка Postgrey

Postgrey устранит 99% всех спам-писем, которые вы получаете. Чтобы установить его, выполните следующие команды:

apt-get install postgrey
/etc/init.d/postgrey start

Конфигурационные файлы Postfix находятся в /etc/postfix. Отредактируйте /etc/postfix/main.cf и добавьте check_policy_service inet:127.0.0.1:60000 к smtpd_recipient_restrictions.

Затем перезагрузите конфигурацию postfix:

postfix reload

7.4 Защита серверов с помощью SSL

Последнее, но не менее важное, вы должны следовать этому руководству: https://www.howtoforge.com/securing-your-ispconfig-3-installation-with-a-free-class1-ssl-certificate-from-startssl. Не забудьте выполнить команды на правильном сервере!

8 Поддержка наших серверов

Вы должны регулярно выполнять это, чтобы поддерживать ваши серверы в актуальном состоянии:

apt-get update && apt-get -y upgrade && apt-get -y dist-upgrade

9 Ссылки/Кредиты/Источники

Поскольку большинство из этого не от меня, вот все ссылки, использованные для этого руководства:

• http://www.faqforge.com/linux/enhanced-e-mail-spam-protection-in-ispconfig-3/
• https://www.howtoforge.com/greylisting_postfix_postgrey
• https://www.howtoforge.com/extending-perfect-server-debian-squeeze-ispconfig-3-p4
• http://spielwiese.la-evento.com/xelasblog/archives/56-Apache-DOS-Attacken-erschweren-mit-mod_evasive.html
• http://www.faqforge.com/linux/apache-mod-security-installation-on-debian-6-0-squeeze/
• http://forum.whmcs.com/showpost.php?s=f876c3e3a7d56bd2f325685a80d746cf&p=16768&postcount=4
• https://www.howtoforge.com/extending-perfect-server-debian-squeeze-ispconfig-3-p3
• http://debian.nimmervoll.eu/tag/debian-logwatch-einrichten/
• http://www.debian-administration.org/articles/530
• https://www.howtoforge.com/securing-your-ispconfig-3-installation-with-a-free-class1-ssl-certificate-from-startssl
• https://www.howtoforge.com/multiserver-setup-with-dedicated-web-email-dns-and-mysql-database-servers-on-debian-squeeze-with-ispconfig-3
• http://debian.nimmervoll.eu/archey-debian-installation/
• http://ajenti.org/
• http://code.google.com/p/ovz-web-panel/wiki/Installation
• https://www.howtoforge.com/installing-and-using-openvz-on-debian-squeeze-amd64