drupal.be server beheer

Het beheren van de server waar drupal.be op draait zal ook door de community moeten gebeuren. Ik zal mij hier wat mee gaan bezighouden (met nog andere mensen).

Het eerste wat zou moeten gebeuren is deze wat goed configureren zodat we hopelijk door de hackers wat met rust gelaten worden. Hieronder een lijst van wat ik zou willen doen:

1. ssh op andere poort laten draaien: De meeste scripten zoeken rechstreeks op poort 22 voor ssh toegang en beginnen dan te attacken. Dit is eenvoudig te omzeilen door ssh op een andere poort te zetten. Deze stap zorgt voor tenminste 90% minder login attempts (ik zou het eens moeten nakijken).

2. server in "stealth" mode zetten: Veel servers antwoorden op ping of weigeren een tcp connectie als deze binnenkomt op een poort waar geen service achter draait. Maar als iemand ziet dat een connectie wordt geweigerd weet die dat er een machine is die dat geweigerd heeft en je server is ontdekt! Een port scan op een server die paketten weigert is ook een stuk sneller dan op één die ze gewoon negeert. Ik stel voor van de volgende iptables regels toe te voegen zodat de server alles negeert:


# Generated by iptables-save v1.3.6 on Mon Feb 16 10:12:58 2009
*filter
:INPUT DROP [6501:813133]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [45349:6168540]
# Accept incoming http connections.
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
# Accept incoming ssh connections (ssh listens on 1234).
-A INPUT -p tcp -m tcp --dport 1234 -j ACCEPT
# Accept incoming packets on established connections.
-A INPUT -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon Feb 16 10:12:58 2009

3. server up-to-date houden: Als iemand een Nagios install heeft kunnen we deze server eraan toe voegen. Via een tcp request kan je zien of de up is en via nrpe kunnen we check_apt activeren zodat de nagios installatie kan zien of er critical updates zijn. Wie heeft er een Nagios installatie beschikbaar waar deze server aan kan toegevoegd worden en die mij automatisch een mail kan sturen als er updates zijn?

4. Andere zaken zoals fail2ban, tripwire vind ik persoonlijk minder belangrijk maar ik hoor graag jullie suggesties.

5. Debian Lenny is ook net uitgekomen maar ik stel voor van tenminste nog enkele maanden op etch te blijven. Security updates voor etch zijn er nog tot 15 februari 2010.

Auteur: 
Jax@drupal.org
Datum van inzending: 
maandag 16 februari 2009 - 10:28
Door Jax@drupal.org op 16 februari, 2009 - 10:38

Op de sprint heb ik ook gemerkt dat sommige van de passwords heel simpel waren. Je kan er dus niet op vertrouwen dat gebruikers vanzelf strong passwords kiezen. Ik kijk even na hoe strong passwords kunnen verplicht worden op debian.

Door Jax@drupal.org op 16 februari, 2009 - 10:44

Om de snelheid van de site wat op te drijven kan teven APC geïnstalleerd en geconfigureerd worden. De laatste keer dat ik dat gedaan heb op een server met 256MB RAM liep dat niet helemaal goed en moest ik de configuratie wat tweaken. Je had ook niet het volledige voordeel van APC maar ik doe mijn best.

Door Bart Jansens op 16 februari, 2009 - 16:09

- Voor remote management zou ik eigelijk gewoon alle paswoord access uit zetten en iedereen verplichten SSH keys te gebruiken.
- geef mensen sudo access, niet de root account. Als er heel wat moeten op inloggen, zet de permissions strikt genoeg zodat ze niet per ongeluk iets fout kunnen doen.
- Logwatch kan wel interessant zijn om informatie te krijgen over speciale gebeurtenissen op de server.
- In plaats van een volledige nagios check te doen kan je voor updates ook gewoon een pakket installeren dat hetzelfde doet. Ik dacht dat cron-apt zoiets kon doen. Automatisch updates installeren lijkt me wat gevaarlijk :)
- yes, install APC in voor PHP, maakt een enorm verschil
- Let op met uw memory_limit in PHP. Developers hebben nogal eens de neiging dat absurd hoog in te stellen (128M ofzo), duw die zover mogelijk naar beneden. Remember dat PHP geheugen gebruikt en niet meer vrij geeft, dus probeer te vermijden dat de server gaat swappen door het aantal apache processes beperkt te houden. Het is een beetje telwerk maar het laatste dat je wil is dat de server er onderuit gaat als er een paar bezoekers komen.
- Inderdaad, blijf voorlopig nog even bij debian etch. Nieuwe releases krijgen typisch in het begin nog heel veel updates, dus ik zou een paar maandjes wachten om dat te laten stabiliseren.
- Zet een schone motd op de server met de laatste aanpassingen in, kan handig zijn als je met meerdere die server beheert.
- Kijk de mailserver config na en zorg dat deze de juiste naam enzo gebruikt, kwestie van geen mails tegen te laten houden door spamfilters.

hm, ik ga stoppen want mijn lijstje is hier uit de hand aan het lopen :)

Bookmark and Share

Over deze website

Deze website is voor Nederlandstalige Drupal-fans en wordt onderhouden door een groep Belgische en Nederlandse vrijwilligers. Iedereen kan meewerken aan deze site.

Fouten of onjuistheden kun je melden melden via het forum

De site draait op Drupal 7 en wordt gehost door Pantheon.

Druppelaars

  • afbeelding van belba
  • afbeelding van Niek Kloots
  • afbeelding van duoweb
  • afbeelding van jo.w
  • afbeelding van joker
  • afbeelding van jordys
  • afbeelding van Pinokkio
  • afbeelding van Kristina
alle druppelaars

Drupal is een geregistreerd merk van Dries Buytaert. | Powered by Pantheon.

Drupal.be/Drupal.nl is de website van de Nederlandstalige Drupalgemeenschap.

onomatopee