Tökéletes szerver: Debian 8 (Jessie) V1.0 (3. oldal)

botond küldte be 2018. 05. 03., cs – 13:12 időpontban

Tartalom

 

Quota telepítése és beállítása

A Quota program segítségével tudunk tárhely korlátokat beállítani a felhasználóknak, amiket a rendszer nem enged túllépni. Telepítéséhez futtassuk az alábbi apt-get parancsot:

apt-get -y install quota quotatool

Szerkesszük a /etc/fstab fájlt, és pótoljuk a zölddel kiemelt résszel (",usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0") az alábbi módon:

# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
# / was on /dev/sda1 during installation
UUID=b20b97ad-0bcd-41e8-bcfa-9538c9f6a3ae / ext4 errors=remount-ro,usrjquota=quota.user,grpjquota=quota.group,jqfmt=vfsv0 0 1
# swap was on /dev/sda5 during installation
UUID=dc8dd9f2-3f97-4b81-9150-3255a1778da9 none            swap    sw              0       0
/dev/sr0        /media/cdrom0   udf,iso9660 user,noauto     0       0
/dev/sr1        /media/cdrom1   udf,iso9660 user,noauto     0       0

 

Természetesen ha másik mountolási ponton van szükség a kvótákra (például ha a /var/www külön van becsatolva), akkor azon a mountolási ponton kell elvégezni ezt a módosítást. Mivel én mindent egy partícióra telepítettem, így ezen a szerveren a "/" (gyökér) mountolási pontot kell beállítani a quota számára.

 

Ezután csatoljuk újra a módosított partíciót a mount paranccsal és engedélyezzük a kvótát:

mount -o remount /
quotacheck -avugm
quotaon -avug

Újra ellenőrízhetjük a quotacheck-el a kvóta rendszert:

quotacheck -avugmf

Normál esetben a kimenet valam ilyesmi:

quotacheck: Scanning /dev/sda1 [/] done
quotacheck: Checked 4998 directories and 50736 files

Tehát a kvóta rendszer készen áll. Később ezt szépen tudjuk majd szabályozni az ISPConfig felületéről (webtárhely / email tárhely / FTP / adatbázis kvóták formájában).

 

TIPP:
Éles használat esetén emiatt is célszerűbb például a webtárhely struktúrát (/var vagy /var/www) külön partícióra tenni, mert akkor csak arra kell alkalmazni a kvótákat, ami kevesebb rendszerterheléssel jár, mivel nem a teljes fájlrendszert kell figyelgetnie a Quota-nak.

 

 

BIND DNS szerver telepítése

A BIND DNS szervert egyszerűen telepíthetjük az alábbi paranccsal:

apt-get install bind9 dnsutils

 

Vlogger, Webalizer és AWStats telepítése

A naplózó és stat programokat így telepíthetjük:

apt-get -y install \
    vlogger webalizer awstats geoip-database \
    libclass-dbi-mysql-perl

Ezután nyissuk meg az awstats cron fájlját:

nano /etc/cron.d/awstats

És kommentezzük ki mindkét cron sorát (az ISPConfig fogja majd futtatni ezeket):

MAILTO=root

#*/10 * * * * www-data [ -x /usr/share/awstats/tools/update.sh ] && /usr/share/awstats/tools/update.sh

# Generate static reports:
#10 03 * * * www-data [ -x /usr/share/awstats/tools/buildstatic.sh ] && /usr/share/awstats/tools/buildstatic.sh

 

Jailkit telepítése

A Jailkit segítségével tudunk létrehozni egy komplett chroot környezetet az elzárt felhasználók számára, így a felhasználók nem tudnak hozzáférni egymás könyvtárstruktúrájához.

 

Fontos!
A Jailkit-et nem kötelező feltelepíteni, csak akkor szükséges, ha később szeretnénk chroot-olt SSH felhasználókat létrehozni. Később viszont már nem fog működni, ha az ISPConfig után telepítjük! Ezért most kell eldönteni, hogy fogjuk-e használni a későbbiekben!
Én javaslom a telepítését, mert sose lehet tudni, bármikor jól jöhet. Például ha tárhelyet adunk a szerverünkön egy idegen ügyfélnek, akkor nem fog fájni a biztonsági kérdések miatt a fejünk.

 

A Jailkit nem része a Debian disztribúciónak, ezért forrásból kell lefordítani, és telepíteni az elkészített telepítőcsomagot. Először telepítsük a fordításhoz szükséges segédprogramokat:

apt-get -y install \
    build-essential autoconf automake \
    libtool flex bison debhelper binutils

Ezután válasszuk ki a legfrissebb Jailkit forráscsomagot a készítő webhelyéről (nálam a 2.19-es a legfrissebb), töltsük le a wget paranccsal a /tmp könyvtárba és csomagoljuk ki:

cd /tmp
wget https://olivier.sessink.nl/jailkit/jailkit-2.19.tar.gz
tar -xvzf jailkit-2.19.tar.gz

Fordítsuk le a kicsomagolt forrást:

cd jailkit-2.19
./debian/rules binary

Gyorsan le is fordul. Ezután keressük meg az elkészített .deb telepítőcsomagot és telepítsük a dpkg parancs használatával:

cd ..
dpkg -i jailkit_2.19-1_amd64.deb

Végül takarítsuk el a szükségtelen dolgokat:

rm -rf /tmp/jailkit*

 

 

Fail2ban telepítése és bekonfigurálása

A Fail2Ban program egy nagyon hatékony védelmi eszköz, ami ügyesen tiltja a támadók IP címeit. Valamint az ISPConfig-ból is követhetjük a tevékenységét. Telepítsük a következő paranccsal:

apt-get -y install fail2ban

Majd állítsuk be, hogy figyelje a PureFTPd-t és a Dovecot-ot is. Hozzuk létre a következő fájlt:

nano /etc/fail2ban/jail.local

És tegyük bele a következő tartalmat:

[pureftpd]
enabled  = true
port     = ftp
filter   = pureftpd
logpath  = /var/log/syslog
maxretry = 3

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 5

[postfix-sasl]
enabled  = true
port     = smtp
filter   = postfix-sasl
logpath  = /var/log/mail.log
maxretry = 3

Ezután hozzunk létre két szűrőfájlt is az alattuk lévő tartalommal. A PureFTPd szűrőfájlja:

nano /etc/fail2ban/filter.d/pureftpd.conf
[Definition]
failregex = .*pure-ftpd: \(.*@<HOST>\) \[WARNING\] Authentication failed for user.*
ignoreregex =

És a Dovecot szűrője:

nano /etc/fail2ban/filter.d/dovecot-pop3imap.conf
[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P<host>\S*),.*
ignoreregex =

A postfix szűrője már megvan, ehhez csak adjunk hozzá egy sort:

echo "ignoreregex =" >> /etc/fail2ban/filter.d/postfix-sasl.conf

Végül indítsuk újra a fail2ban-t:

service fail2ban restart

 

 

Ez a leírás több oldalból áll: