VPSblog

konfiguracja i administracja serwerami VPS

System pocztowy – instalacja Postfix

SMTP jest protokołem wymiany poczty. Dzięki SMTP wysyłamy oraz przyjmujemy wiadomości. Mogłoby się wydawać, że na tym system pocztowy już się kończy. Otóż nie. To dopiero pierwszy etap, jaki musi przejść wiadomość, zanim trafi do adresata.

Warto zobaczyć

Zapraszam do obejrzenia porównania serwerów VPS będących w ofercie dwóch polskich firm oraz porównania skryptów Joomla i Wordpress.

Hosti.pl już wystartowało

Pod koniec maja 2014 roku wystartowała nowa firma hostingowa Hosti.pl. W ofercie nie ma jeszcze serwerów VPS. Otrzymaliśmy informację, że serwery VPS będą dostępne w formie "hostingu dedykowanego" z zainstalowanym panelem DirectAdmin oraz opieką administratora.

OpenVPN

Najczęstszym zastosowaniem OpenVPN na serwerze VPS jest chęć zaszyfrowania i przepuszczenia całego ruchu przez serwer. Aby uruchomić serwer OpenVPN na serwerze VPS, konieczne jest włączenie obsługi tun/tap na serwerze-matce. Większość usługodawców tego nie oferuje.

System pocztowy – wprowadzenie

Jeżeli nigdy jeszcze nie konfigurowaliście serwera pocztowego i zostawiliście to sobie na koniec myśląc, że to najprostszy element systemu – byliście w błędzie. Aby system pocztowy działał sprawnie, musi współgrać ze sobą kilka programów. Jak wiemy, system GNU/Linux składa się z „cegiełek” – każdy program robi ściśle określoną rzecz, ale za to robi ją bardzo dobrze i daje się go zintegrować z innymi programami. Na przykładzie systemu pocztowego będzie to bardzo dobrze widać.

Zabezpieczenie serwera SSH

SSH jest usługą o jaką należy szczególnie zadbać na serwerze VPS, ponieważ gdy zostanie źle skonfigurowana, możemy zostać zmuszeni do włamywania się na własny serwer. Jednocześnie dostęp do powłoki systemu jest na tyle sprawą atrakcyjną, że znajdzie się wielu chętnych do prób ataku.

Serwer SSH zabezpieczymy na kilka sposobów. Zmienimy port na którym nasłuchuje, zablokujemy ataki brute-force oraz możliwość zalogowania na konto root.

Fail2Ban – automatyczne blokowanie adresów IP

Jedną z rzeczy, które najbardziej lubię w administracji serwerami jest automatyzacja. Z czasem zauważasz jakie zadania w Twojej pracy się powtarzają i znajdujesz lub samodzielnie piszesz narzędzia, które pozwolą na zautomatyzowanie tych zadań. Dzięki temu możesz skupić się na innych zadaniach, które z czasem też zautomatyzujesz.

Dzisiejsze zadanie do zautomatyzowania to blokada adresów IP, które usiłują coś nabroić w naszym systemie. Na przykład zaczynają wykonywać ataki słownikowe na któreś z kont na serwerze, albo szukają skryptów z lukami bezpieczeństwa.

Shorewall – bardziej złożona konfiguracja

W większości przypadków funkcjonalność zapory ogniowej ogranicza się do wycięcia wszystkich połączeń przychodzących i dopuszczenia tylko tych usług, które są świadczone przez serwer. Taka konfiguracja została opisana już wcześniej. W niniejszym wpisie opiszę, jak za pomocą Shorewall obsłużyć bardziej skomplikowane reguły, zwiększając tym samym bezpieczeństwo.

Shorewall – najprostszy firewall

Instalujemy oprogramowanie do obsługi zapory, Shorewall jest oczywiście nakładką na systemową zaporę ogniową iptables:

aptitude install shorewall

Oraz usuwamy pakiet module-init-tools (i tak nie mamy możliwości ładowania modułów w technologii OpenVZ):

aptitude purge module-init-tools

Kopiujemy konfigurację z katalogu dokumentacji, do najprostszej konfiguracji wystarczą nam cztery pliki konfiguracyjne:

cp /usr/share/doc/shorewall/default-config/{zones,interfaces,policy,rules} /etc/shorewall/

Zdalny pulpit

Zdalny pulpit nie jest potrzebny, aby skonfigurować serwer VPS. Instalujmy go tylko wtedy, jeżeli go naprawdę potrzebujemy, tzn. jeżeli chcemy zdalnie uruchomić aplikacje posiadające graficzny interfejs użytkownika.

Poniższe instrukcje są przeznaczone dla systemu Debian Lenny. Dystrybucja Ubuntu od wersji 8.04 nie działa zbyt dobrze jako zdalny pulpit. Powłoka Unity zabiera zbyt wiele pamięci RAM a w wersji 8.10 w ogóle nie raczy się uruchomić.

Bezpieczeństwo PHP od strony serwera

PHP uchodzi za mało bezpieczne. W praktyce jednak okazuje się, że jest równie bezpieczne co Python lub Ruby, jest natomiast często wykorzystywane przez programistów-amatorów, którzy mniejszą uwagę przykładają do bezpieczeństwa lub nie przykładają tej uwagi w ogóle.

W niniejszym artykule skupimy się na konfiguracji PHP od strony serwera. Zabezpieczymy skrypty konfiguracją w taki sposób, aby osoba, która będzie mogła wykonać dowolny kod na naszej maszynie wyrządziła jak najmniejsze szkody.

Apache + Python + Django – instalacja

Założenia poniższej konfiguracji:

  • chcemy móc zainstalować witrynę opartą o najnowszą wersję Django, pod serwerem Apache, z możliwością korzystania z modułu panelu administracyjnego Django
  • chcemy dla domeny wydzielić osobnego użytkownika systemowego
  • chcemy, aby skrypty działały z uprawnieniami użytkownika
  • chcemy mieć kontrolę nad wydajnością tego rozwiązania, móc ustalić liczbę możliwych do utworzenia procesów i wątków

Previous Posts