CSF Firewall

Om je server optimaal te beveiligen kan je een Firewall installeren zoals CSF.

Deze software is geheel gratis en de meeste mensen maken gebruik van deze software omdat het een simpele interface heeft. In CSF kan je alles zelf naar behoren instellen zodat je server maximaal beveiligd is!

Fail2Ban zorgt ervoor dat de IP-adressen die proberen in te loggen automatisch geblokkeerd word na 5 of meer foutieve inlogpogingen (deze limiet kan je zelf instellen).

CSF

  • Installeer CSF (ConfigServer, Security & Firewall) – Login met PuTTy SSH als root en installeer CSF met de volgende commands:
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

Zodra je dat hebt gedaan dan zie je in DirectAdmin ConfigServer Firewall&Security onder het kopje Extra Features.

step1

Nu is CSF geïnstalleerd op je server en kan je de beveiliging configureren naar je eigen wensen. Je kunt ook een server check uitvoeren in CSF, als je op Check Server Security klikt, dan zie je de status van je beveilig en hoe je dit kan aanpassen.

step2

Let op! CSF is nu nog niet actief; Vergeet niet om TESTING = 1 in 0 te veranderen onder Firewall Configuration, zodra je dat heb gewijzigd is CSF wel actief. Herstart daarna CSF.

Fail2Ban

Login met PuTTy SSH of met de Console in het controlepaneel als root en installeer Fail2Ban via de volgende stappen:

  • Download de rpm repository voor Fail2Ban:
rpm -Uhv http://mirrors.ircam.fr/pub/fedora/epel/6/i386/epel-release-6-8.noarch.rpm
OF
yum install epel-release

yum install fail2ban

Type Y en dan klik je vervolgens op enter. Nu is Fail2Ban geïnstalleerd op je server, maar nog niet geconfigureerd en gestart.

Je kunt het configuratie bestand openen met een door jezelf gewenste editor, bijvoorbeeld nano:

nano /etc/fail2ban/jail.conf

Een aantal zaken zijn handig om naar eigen wens in te stellen, waaronder de volgende waardes. ignoreip – bantime – findtime – maxretry

In de jail.conf kan je fail2ban activeren voor diverse functies zoals: SSH, FTP, SMTP etc. In dit geval activeren we Fail2Ban voor SSH.

Scroll naar beneden totdat je ssh-iptables ziet en wijzig enabled naar true en je email adres, zo krijg je automatisch een email wanneer een IP geblokt is, als maxretry kan je invullen na hoeveel inlogpogingen een IP-adres geblokkeerd word.

step3

Als je klaar bent, sla je het bestand op met CTRL+X en vervolgens Y voor Yes en druk je op enter. Nu je terug bent in de console start je de service fail2ban:

service fail2ban start

Nu is Fail2Ban actief! Elk IP-adres dat 5 keer foutief inlogt wordt vanaf nu automatisch in de firewall opgenomen.

Links

SSL

Apache SSL Certificaat aanmaken

Genereren van key file

openssl genrsa -des3 -out server.key 1024

Remove passphase

openssl rsa -in server.key -out server.key.unsecure

Create a Certificate Signing Request (CSR) with the server RSA private key (output will be PEM formatted): Make sure you enter the FQDN (“Fully Qualified Domain Name”) of the server when OpenSSL prompts you for the “CommonName”

openssl req -new -key server.key -out server.csr

Bekijk info:

openssl req -noout -text -in server.csr

Nu opsturen, of Self-Signed Certificate maken

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Beheer DirectAdmin

Beheer

Updaten van software packages van DirectAdmin

cd /usr/local/directadmin/custombuild
./build set php5_ver 5.4
./build set mysql 5.1
./build update
./build clean
./build apache d
./build php d

Onderstaande wel risico, wordt eerst wel dump gemaakt van mysql database, maar liever ook zelf eerst een dump voor backup maken

./build mysql d

Als mysql hebt geupdate, daarna onderstaande uitvoeren:

./build php n

Na het upgraden Apache naar 2.4 moet je ook de onderstaande weillicht uitvoeren:

./build rewrite_confs

Om X-Mailer header in te schakelen, moet je “mail.add_x_header” op “1” zetten in het bestand “php.ini”

./build set mail-header-patch yes

Kernel compileren

Installeren

Eerst moet de source code opgehaald worden:

# pkg_add -r cvsup-without-gui

Maak de volgende bestand aan:

# ee /etc/stable-supfile

Het volgende moet erin komen staan:

*default host=cvsup.nl.FreeBSD.org 
*default base=/var/db 
*default prefix=/usr 
*default release=cvs tag=RELENG_6_1 
*default delete use-rel-suffix 
*default compress 
src-all 
#ports-all tag=.

Daarna:

exit

Dan het volgende commando voor CVS checkout uitvoeren:

# echo 'X11BASE=${LOCALBASE}' >> /etc/make.conf
# cvsup -g -L 2 /etc/stable-supfile

Instellen

Dan moet de standaard kernel bestand aangepast worden:

cd /usr/src/sys/i386/conf  
cp GENERIC MYHOSTING 

Edit het bestand, verander GENERIC naar MYHOSTING

ident           MYHOSTING

Options toevoegen PLUS andere extra’s die je wilt hebben nog

options         SMP                     # Symmetric MultiProcessor Kernel 
options         QUOTA 

extra toevoeging voor bijvoorbeeld CARP:

device          carp

Nu kan de kernel gecompileerd worden:

# cd /usr/src 
# make buildkernel KERNCONF=MYHOSTING
# make installkernel KERNCONF=MYHOSTING

Daarna moet de server gereboot worden.

Om te controleren of de kernel is geladen voer de volgende commando in:

uname -v