A HSTS fejléc használatával nagyobb biztonságban tudhatjuk weboldalainkat a man-in-the-middle típusú támadásokkal szemben. Ebben a rövid leírásban megnézzük hogyan állíthatjuk be ezt a HTTP fejlécet Apache alapú LAMP, vagy ISPConfig szerverkörnyezetünkben.

A HTTP/2 vagy HTTP2.0 protokoll gyorsabb webkiszolgálást tesz lehetővé kevesebb adatforgalom mellett. A 2015-ben megalkotott protokoll ugyan már jó pár éve elterjedt, azonban a webkiszolgálók többségében alapértelmezetten nincs bekapcsolva kompatibilitási okok miatt. Többek között nem támogatja a már elavult mod_php Apache modult, ami viszont még sok régi weboldalt működtet, ezért ennek a bekapcsolása, engedélyezése a rendszergazdákra van bízva. Ebben a rövid leírásban megnézzük, hogyan engedélyezhetjük a HTTP/2 protokoll használatát olyan Apache rendszerű webkiszolgálókon, ahol még a régi, HTTP/1.1 protokoll működik.

Többféle módja van a webszerverek és egyéb kiszolgálók távoli menedzselésének, amik közül az SSH a legelterjedtebb a parancssori megoldások közül. Az SSH protokoll egy titkosított csatornán kommunikál a kiszolgáló és a kliens között. Mint minden hasonló kommunikáció, az SSH is egy adott porton keresztül továbbítja az adatokat, ami alapértelmezetten a közismert 22-es tcp port. Mivel ennek a portnak a funkcióját nagyon sokan ismerik, emiatt a kiszolgálók rendszeres támadásnak vannak kitéve. Ezt úgy szokták elkerülni - vagy legalábbis csökkenteni a próbálkozások számát-, hogy ezt a jól ismert portot átállítják egy másik, ismeretlen portszámra, amit csak port letapogatással (port scanning) lehet kívülről felderíteni, ami időigényesebb feladat.
Ebben a leírásban megnézzük, hogyan állíthatjuk át az SSH ismert 22-es TCP portját egy egyedi portszámra, hogy minimalizáljuk az SSH-n keresztül történő támadási kísérletek számát.

A LAMP rendszerek segítségével dinamikus weboldalakat futtathatunk szerverünkön, vagy akár otthoni gépünkön. Ebben a leírásban a Debian 11 (Bullseye) operációs rendszeren készítünk el egy LAMP szervert, amelyre a következő összetevők kerülnek: Apache 2.4.54, MariaDB 10.5.15, PHP 7.4 és phpMyAdmin 5.0.4, UFW tűzfal.

Ha weboldalakat üzemeltetünk, akkor szerverünk, és a rajta működő weboldalak és szolgáltatások gyakran ki vannak téve a külső támadásoknak, ami alól MySQL/MariaDB adatbázis kiszolgálónk sem kivétel. Ha szerverünkön a Fail2Ban védelmi szoftver is rendelkezésre áll, akkor ebből a rövid leírásból megtudhatjuk, hogyan tehetjük biztonságosabbá szerverünket az "Access denied for user root@ip-cím (using password: YES/NO)" típusú adatbázis kiszolgálónkat érő támadásokkal szemben.

Ebben a hibaelhárítóban felgöngyölítünk egy Fail2Ban tiltást, amit egy "AH01630: client denied by server configuration" típusú Apache hiba vált ki, amit a Matomo webanalitikai rendszere okoz. A problémát végül az apache-auth Fail2Ban szűrőjének módosításával orvosoljuk.

Az ISPConfig különféle védelmi rendszereket alkalmaz, hogy biztonságos legyen, többek között az IDS (Intrusion Detection System) technológiát is. Előfordul azonban, hogy ennek a beállítása esetleg túl érzékeny, és minket is kitilt a kezelőpanelből. Ebben a kis hibaelhárítóban megnézzük, hogy mit tehetünk, ha az ISPConfig kezelőpanelünk nem enged be minket, hanem helyette kapunk egy "Possible attack detected. This action has been logged." hibaüzenetet.

A Drupal egy PHP nyelven írt ingyenes CMS rendszer, aminek a legújabb főverziója a 9, amely 2020. június 3-án került kiadásra. Ettől kezdve a Drupal 8.9 már csak javítócsomagokat kap, és a Drupal 8 – amiből ez az oldal is készült – támogatása 2021 november 2-án véget is ér, ezért ezt az oldalt legkésőbb eddig nekem is fel kell frissítenem a 9-es főverzióra. Ismerkedésképpen készítek egy friss Drupal 9 telepítést és körülnézek benne, hogy ne az utolsó pillanatban kelljen kapkodnom, hogy melyik modulom lesz kompatibilis vele, mennyire kell átvariálnom az oldalt, stb. És ha már telepítek, akkor készítek ebből is egy kis leírást, hátha másoknak is hasznos infókkal szolgálhatok. Korábban már készítettem egy útmutatót a Drupal 8 telepítéséről, ebben a leírásban a 9-es főverzió aktuális kiadását fogjuk telepíteni.

A LAMP rendszerek segítségével futtathatunk dinamikus weboldalakat szerverünkön, vagy akár otthoni gépünkön is. Korábban már készítettem LAMP szervereket Debian 8 (Jessie), Debian 9 (Stretch) és Ubuntu 18.04 LTS (Bionic Beaver) rendszerekre is, ebben a leírásban pedig az Ubuntu 20.04 LTS (Focal Fossa) Linux disztribúciójára fogjuk feltelepíteni a LAMP szerver részeit.

A mai napon (2020. október 15-én) került kiadásra az ISPConfig web hoszting kezelőpanel 3.2-es verziója. Ez a frissítés nem olyan szokványos, mint az al-verzió frissítések, hanem itt több újdonság is belekerült a kontroll panelbe. Ebben a leírásban átnézzük ezeket az újdonságokat, valamint frissítjük is a kezelőpanelt a nálam futó 3.1.15-ről a 3.2-re.