Evgeniy Kamenev | Записки системного администратора

Архивы автора

Установка и настройка собственного облака на основе owncloud на Centos

Февраль 8th, 2015

Evgeniy Kamenev

1.Устанавливаем необходимые пакеты

# yum install httpd php php-mysql sqlite php-dom php-mbstring php-gd php-pdo wget

1	# yum install httpd php php-mysql sqlite php-dom php-mbstring php-gd php-pdo wget

2.Скачиваем и распаковываем дистрибутив owncloud

# wget https://download.owncloud.org/community/owncloud-7.x.x.tar.bz2

1	# wget https://download.owncloud.org/community/owncloud-7.x.x.tar.bz2

# tar xvfj owncloud-7.x.x.tar.bz2 -C /home/users/username/sitename/

1	# tar xvfj owncloud-7.x.x.tar.bz2 -C /home/users/username/sitename/

# mv /home/users/username/sitename/owncloud/* /home/users/username/sitename/

1	# mv /home/users/username/sitename/owncloud/* /home/users/username/sitename/

3.Временно выставляем права 777 для установки owncloud

# chown -R username:username /home/users/username/sitename/

1	# chown -R username:username /home/users/username/sitename/

# chmod -R 777 /home/users/username/sitename/

1	# chmod -R 777 /home/users/username/sitename/

4.Создаем базу и пользователя с доступом к этой базе

MariaDB [(none)]> create database cloud;

1	MariaDB [(none)]> create database cloud;

MariaDB [(none)]> grant all privileges on cloud.* to 'clouduser'@'localhost' identified by 'cloudpassword';

1	MariaDB [(none)]> grant all privileges on cloud.* to 'clouduser'@'localhost' identified by 'cloudpassword';

MariaDB [(none)]> flush privileges;

1	MariaDB [(none)]> flush privileges;

5.Настройка Web-сервера Если используется Nginx+PHP-FPM

# nano /etc/nginx/conf.d/sitename.conf

1	# nano /etc/nginx/conf.d/sitename.conf

upstream php-handler {
server unix:/var/run/php5-fpm.username.sock;
}

server {
listen 80;
server_name sitename;
# enforce https
return 301 https://$server_name$request_uri;
}


server {
listen 443 ssl;
server_name sitename;
ssl_certificate         /etc/nginx/ssl/sitename.pem;
ssl_certificate_key     /etc/nginx/ssl/sitename.key;
access_log /var/log/nginx/sitename.access.log main;
error_log /var/log/nginx/sitename.error.log;

# Path to the root of your installation
root /home/user/username/sitename;

# set max upload size
client_max_body_size 10G;

fastcgi_buffers 64 4K;
fastcgi_busy_buffers_size 192K;

rewrite ^/caldav(.*)$ /remote.php/caldav$1 redirect;
rewrite ^/carddav(.*)$ /remote.php/carddav$1 redirect;
rewrite ^/webdav(.*)$ /remote.php/webdav$1 redirect;

index index.php;

error_page 403 /core/templates/403.php;
error_page 404 /core/templates/404.php;

location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}

location ~ ^/(?:\.htaccess|data|config|db_structure\.xml|README){
deny all;
}
location / {
# The following 2 rules are only needed with webfinger
rewrite ^/.well-known/host-meta /public.php?service=host-meta last;
rewrite ^/.well-known/host-meta.json /public.php?service=host-meta-json last;
rewrite ^/.well-known/carddav /remote.php/carddav/ redirect;
rewrite ^/.well-known/caldav /remote.php/caldav/ redirect;
rewrite ^(/core/doc/[^\/]+/)$ $1/index.html;

try_files $uri $uri/ /index.php;
}

location ~ \.php(?:$|/) {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_param HTTPS on;
fastcgi_pass php-handler;
fastcgi_index index.php;
}

# Optional: set long EXPIRES header on static assets

location ~* \.(?:jpg|jpeg|gif|bmp|ico|png|css|js|swf)$ {
expires 30d;
# Optional: Don't log access to assets
access_log off;
}
}

upstream php-handler {

server unix:/var/run/php5-fpm.username.sock;

}

server {

listen 80;

server_name sitename;

# enforce https

return 301 https://$server_name$request_uri;

}

server {

listen 443 ssl;

server_name sitename;

ssl_certificate /etc/nginx/ssl/sitename.pem;

ssl_certificate_key /etc/nginx/ssl/sitename.key;

access_log /var/log/nginx/sitename.access.log main;

error_log /var/log/nginx/sitename.error.log;

# Path to the root of your installation

root /home/user/username/sitename;

# set max upload size

client_max_body_size 10G;

fastcgi_buffers 64 4K;

fastcgi_busy_buffers_size 192K;

rewrite ^/caldav(.*)$ /remote.php/caldav$1 redirect;

rewrite ^/carddav(.*)$ /remote.php/carddav$1 redirect;

rewrite ^/webdav(.*)$ /remote.php/webdav$1 redirect;

index index.php;

error_page 403 /core/templates/403.php;

error_page 404 /core/templates/404.php;

location = /robots.txt {

allow all;

log_not_found off;

access_log off;

}

location ~ ^/(?:\.htaccess|data|config|db_structure\.xml|README){

deny all;

}

location / {

# The following 2 rules are only needed with webfinger

rewrite ^/.well-known/host-meta /public.php?service=host-meta last;

rewrite ^/.well-known/host-meta.json /public.php?service=host-meta-json last;

rewrite ^/.well-known/carddav /remote.php/carddav/ redirect;

rewrite ^/.well-known/caldav /remote.php/caldav/ redirect;

rewrite ^(/core/doc/[^\/]+/)$ $1/index.html;

try_files $uri $uri/ /index.php;

}

location ~ \.php(?:$|/) {

fastcgi_split_path_info ^(.+\.php)(/.+)$;

include fastcgi_params;

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

fastcgi_param PATH_INFO $fastcgi_path_info;

fastcgi_param HTTPS on;

fastcgi_pass php-handler;

fastcgi_index index.php;

}

# Optional: set long EXPIRES header on static assets

location ~* \.(?:jpg|jpeg|gif|bmp|ico|png|css|js|swf)$ {

expires 30d;

# Optional: Don't log access to assets

access_log off;

}

Если используется Apache Apache(слушает 443 порт) Проверка версии Apache

# apachectl -v | grep version

1	# apachectl -v \| grep version

[…]

Опубликовано в рубрике Centos, Other

Метки: cloud, owncloud

Комментарии отключены

Установка и настройка безопасного ProFTPD-сервера TLS/SSL на Centos 6/7

Февраль 4th, 2015

Evgeniy Kamenev

1.Настройка небезопасного ProFTPD -сервера

# yum install proftpd proftpd-utils

1	# yum install proftpd proftpd-utils

# cp /etc/proftpd.conf /etc/proftpd.conf~

1	# cp /etc/proftpd.conf /etc/proftpd.conf~

# nano /etc/proftpd.conf

1	# nano /etc/proftpd.conf

ServerName                     "My FTP server"
ServerIdent                     off
ServerAdmin                     root@localhost
DefaultServer                   on
DefaultRoot                     ~ !adm
AuthPAMConfig                   proftpd
AuthOrder                       mod_auth_pam.c* mod_auth_unix.c
UseReverseDNS                   off
UseIPv6                         off
IdentLookups                    off
User                           nobody
Group                           nobody
TimeoutNoTransfer 600
TimeoutStalled 600
TimeoutIdle 1200
MaxInstances                   20
MaxClientsPerHost 5
MaxClientsPerUser 5
MaxHostsPerUser 5
MaxLoginAttempts 3
UseSendfile                     off
LogFormat                       default "%h %l %u %t \"%r\" %s %b"
LogFormat                      auth   "%v [%P] %h %t \"%r\" %s"
SystemLog                       /var/log/proftpd/proftpd.log
TransferLog                     /var/log/proftpd/xfer.log
ExtendedLog                     /var/log/proftpd/auth.log AUTH auth

<Global>
Umask                        022
AllowOverwrite               yes
<Limit ALL SITE_CHMOD>

AllowAll

</Limit>
</Global>

ServerName "My FTP server"

ServerIdent off

ServerAdmin root@localhost

DefaultServer on

DefaultRoot ~ !adm

AuthPAMConfig proftpd

AuthOrder mod_auth_pam.c* mod_auth_unix.c

UseReverseDNS off

UseIPv6 off

IdentLookups off

User nobody

Group nobody

TimeoutNoTransfer 600

TimeoutStalled 600

TimeoutIdle 1200

MaxInstances 20

MaxClientsPerHost 5

MaxClientsPerUser 5

MaxHostsPerUser 5

MaxLoginAttempts 3

UseSendfile off

LogFormat default "%h %l %u %t \"%r\" %s %b"

LogFormat auth "%v [%P] %h %t \"%r\" %s"

SystemLog /var/log/proftpd/proftpd.log

TransferLog /var/log/proftpd/xfer.log

ExtendedLog /var/log/proftpd/auth.log AUTH auth

Umask 022

AllowOverwrite yes

AllowAll

</Limit>

</Global>

# proftpd –t

1	# proftpd –t

Centos 6

# chkconfig --level 2345 proftpd on

1	# chkconfig --level 2345 proftpd on

# /etc/init.d/proftpd start

1	# /etc/init.d/proftpd start

Centos 7

# systemctl enable proftpd

1	# systemctl enable proftpd

# systemctl start proftpd

1	# systemctl start proftpd

Настройка firewall Iptables

# iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

1	# iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

1	# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

# nano /etc/sysconfig/iptables-config

1	# nano /etc/sysconfig/iptables-config

IPTABLES_MODULES="ip_conntrack_ftp"

1	IPTABLES_MODULES="ip_conntrack_ftp"

# /etc/init.d/iptables save

1	# /etc/init.d/iptables save

Firewalld

# firewall-cmd --permanent --add-port=21/tcp

1	# firewall-cmd --permanent --add-port=21/tcp

# firewall-cmd --reload

1	# firewall-cmd --reload

2.Настройка ProFTPD на использование TLS/SSL протокола

# mkdir /etc/ssl/proftpd

1	# mkdir /etc/ssl/proftpd

# openssl req -x509 -days 3650 -nodes -newkey rsa:1024 -keyout /etc/ssl/proftpd/proftpd.key -out /etc/ssl/proftpd/proftpd.crt

1	# openssl req -x509 -days 3650 -nodes -newkey rsa:1024 -keyout /etc/ssl/proftpd/proftpd.key -out /etc/ssl/proftpd/proftpd.crt

# chmod 600 /etc/ssl/proftpd/proftpd.key

1	# chmod 600 /etc/ssl/proftpd/proftpd.key

# nano /etc/proftpd.conf

1	# nano /etc/proftpd.conf

PassivePorts 49152 65534

1	PassivePorts 49152 65534

<IfDefine TLS>

TLSEngine                     on
#TLSRequired                 on
TLSRSACertificateFile         /etc/ssl/proftpd/proftpd.crt
TLSRSACertificateKeyFile     /etc/ssl/proftpd/proftpd.key
TLSCipherSuite               ALL:!ADH:!DES
TLSOptions                   NoCertRequest
TLSVerifyClient               off
#TLSRenegotiate               ctrl 3600 data 512000 required off timeout 300
TLSLog                       /var/log/proftpd/tls.log

<IfModule mod_tls_shmcache.c>
TLSSessionCache             shm:/file=/var/run/proftpd/sesscache

</IfModule>
</IfDefine>

TLSEngine on

#TLSRequired on

TLSRSACertificateFile /etc/ssl/proftpd/proftpd.crt

TLSRSACertificateKeyFile /etc/ssl/proftpd/proftpd.key

TLSCipherSuite ALL:!ADH:!DES

TLSOptions NoCertRequest

TLSVerifyClient off

#TLSRenegotiate ctrl 3600 data 512000 required off timeout 300

TLSLog /var/log/proftpd/tls.log

TLSSessionCache shm:/file=/var/run/proftpd/sesscache

</IfModule>

</IfDefine>

Если расскоментировать опцию #TLSRequired on ,тогда только TLS/SSL соединения будут разрешены. Чтобы […]

Опубликовано в рубрике Centos, FTP

Метки: centos 7, profptd, SSL, TLS

Комментарии отключены

Защита wp-login.php от bruteforce-атак средствами Nginx

Февраль 3rd, 2015

Evgeniy Kamenev

1.Определяем имя(requests),размер(10m) зоны и кол-во запросов в секунду(1 запрос в секунду) Также определяем тип ошибки при срабатывании правил(по умолчанию стоит 503).Изменим статус на 444. Параметр limit_req_status можно указывать как глобально в секции http {..} , так и локально для конкретного location {..}. В данном случае указано глобально.

# nano /etc/nginx/nginx.conf

1	# nano /etc/nginx/nginx.conf

http {
…..
limit_req_zone $binary_remote_addr zone=requests:10m rate=1r/s;
limit_req_log_level warn;
limit_req_status 444;
}

http {

…..

limit_req_zone $binary_remote_addr zone=requests:10m rate=1r/s;

limit_req_log_level warn;

limit_req_status 444;

}

2.В вирт.хосте Nginx для WordPress […]

Опубликовано в рубрике Nginx, Security, Security, Web

Метки: bruteforce, Nginx, wordpress, wp-login.php

Комментарии отключены

Использование lsof

Февраль 2nd, 2015

Evgeniy Kamenev

# lsof

# lsof

— Список всех открытых файлов.

# lsof /path/to/file

1	# lsof /path/to/file

– просмотр процессов,использующих файл

# lsof /path/to/file1 /path/to/file2

1	# lsof /path/to/file1 /path/to/file2

просмотр процессов,использующих файлы

# lsof +D /path/to/directory

1	# lsof +D /path/to/directory

— рекурсивный просмотр всех открытых файлов в директории и ее поддиректориях

# lsof +d /path/to/directory

1	# lsof +d /path/to/directory

— нерекурсивный просмотр всех открытых файлов в директории (без ее поддиректорий)

# lsof -u <username>

1	# lsof -u <username>

— просмотр всех файлов,открытых пользователем Опции Lsof могут комбинироваться. Действие по умолчанию между опциями определяется […]

Опубликовано в рубрике Command Line Interface, Linux/Unix General, Network tools

Метки: lsof

Комментарии отключены

Обновление самоподписного SSL-сертификата на Centos

Январь 30th, 2015

Evgeniy Kamenev

При получении почтового сообщения типа указанного ниже необходимо продлить с помощью утилиты genkey если Ваш сертификат подписан Центром Сертификации CA (Certificate Authority) При использовании самоподписного сертифіката(self-signed) утилита genkey не поможет.Необходимо заново сгенерировать самоподписной сертификат.

################# SSL Certificate Warning ################
Certificate for hostname '<servername>', in file (or by nickname):
/etc/pki/tls/certs/localhost.crt
The certificate needs to be renewed; this can be done
using the 'genkey' program.
Browsers will not be able to correctly connect to this
web site using SSL until the certificate is renewed.
##########################################################
Generated by certwatch(1)

################# SSL Certificate Warning ################

Certificate for hostname '<servername>', in file (or by nickname):

/etc/pki/tls/certs/localhost.crt

The certificate needs to be renewed; this can be done

using the 'genkey' program.

Browsers will not be able to correctly connect to this

web site using SSL until the certificate is renewed.

##########################################################

Generated by certwatch(1)

1.Проверяем название файла и место, где находятся сертификат и ключ, используемые в Apache

# grep SSLCertificate /etc/httpd/conf.d/ssl.conf | grep -v \#

1	# grep SSLCertificate /etc/httpd/conf.d/ssl.conf \| grep -v \#

SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key

1 2	SSLCertificateFile /etc/pki/tls/certs/localhost.crt SSLCertificateKeyFile /etc/pki/tls/private/localhost.key

2.Проверем права […]

Опубликовано в рубрике Centos, Security, Web

Метки: centos, self-signed, SSL

Комментарии отключены

Настройка SFTP на Centos

Январь 29th, 2015

Evgeniy Kamenev

Предоставить FTP-доступ через SSH-соединение для пользователя без предоставления активной shell-оболочки и ограничив пользователя в его папке(chroot) 1.Создаем группу ,в которую будут входить пользователи с доступом по sftp

# groupadd ftpaccess

1	# groupadd ftpaccess

2.Настраиваем SSH для поддержки SFTP

# nano /etc/ssh/sshd_config

1	# nano /etc/ssh/sshd_config

#Subsystem     sftp   /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp
Match group ftpaccess
ChrootDirectory %h
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp

#Subsystem sftp /usr/libexec/openssh/sftp-server

Subsystem sftp internal-sftp

Match group ftpaccess

ChrootDirectory %h

X11Forwarding no

AllowTcpForwarding no

ForceCommand internal-sftp

# sshd -t && systemctl restart sshd

1	# sshd -t && systemctl restart sshd

3.Добавляем пользователя для SFTP-доступа(с оболочкой /sbin/nologin)

# adduser -d /home/user/jake -s /sbin/nologin jake -g ftpaccess

1	# adduser -d /home/user/jake -s /sbin/nologin jake -g ftpaccess

# passwd jake

1	# passwd jake

# chown root /home/user/jake/

1	# chown root /home/user/jake/

# chmod 750 /home/user/jake/

1	# chmod 750 /home/user/jake/

# mkdir /home/user/jake/www

1	# mkdir /home/user/jake/www

# chown jake:ftpaccess /home/user/jake/www

1	# chown jake:ftpaccess /home/user/jake/www

4.Если […]

Опубликовано в рубрике Centos, FTP

Метки: centos, chroot, FTP, sftp

Комментарии отключены

Установка и включение iptables на Сentos 7

Январь 29th, 2015

Evgeniy Kamenev

Останавливаем и отключаем с автозагрузки firewalld

# systemctl stop firewalld

1	# systemctl stop firewalld

# systemctl disable firewalld

1	# systemctl disable firewalld

Устанавливаем iptables

# yum install iptables-services iptables

1	# yum install iptables-services iptables

Добавляем iptables в автозагрузку

# systemctl enable iptables

1	# systemctl enable iptables

Копируем init-скрипт для того, чтобы можно было сохранять правила командой /etc/init.d/iptables save

# cp /usr/libexec/iptables/iptables.init /etc/init.d/iptables

1	# cp /usr/libexec/iptables/iptables.init /etc/init.d/iptables

Проверяем, что сохраняются правила при остановке/перезапуске iptables, а также подгружаем модуль отслеживания состояний ftp-подключений.

# nano /etc/sysconfig/iptables-config

1	# nano /etc/sysconfig/iptables-config

IPTABLES_MODULES="nf_conntrack_ftp"
IPTABLES_SAVE_ON_STOP="yes"
IPTABLES_SAVE_ON_RESTART="yes"

IPTABLES_MODULES="nf_conntrack_ftp"

IPTABLES_SAVE_ON_STOP="yes"

IPTABLES_SAVE_ON_RESTART="yes"

После набора правил сохраняем правила и перезапускаем […]

Опубликовано в рубрике Centos, Security

Метки: centos 7, iptables

Комментарии отключены

Конфигурация Nginx для отладки

Январь 29th, 2015

Evgeniy Kamenev

После каждого изменения вирт.хоста или файла nginx.conf проверяем синтаксис и перезапуcкаем Nginx

# nginx -t && service nginx reload

1	# nginx -t && service nginx reload

1.Включение логирования rewrite-логов.

# nano /etc/nginx/conf.d/<sitename>.conf

1	# nano /etc/nginx/conf.d/<sitename>.conf

server {
……………
error_log   /var/log/nginx/error-<sitename>.log notice;
rewrite_log on;
……..}

server {

……………

error_log /var/log/nginx/error-<sitename>.log notice;

rewrite_log on;

……..}

Rewrite-логи пишутся в файл error_log с уровнем notice. Поэтому для того, чтобы увидеть rewrite-логи в файле error_log необходимо выставить уровень логирования notice для error_log 2.Включение уровня debug для подключений со всех адресов

# nano /etc/nginx/conf.d/<sitename>.conf

1	# nano /etc/nginx/conf.d/<sitename>.conf

server {
……………
error_log   /var/log/nginx/error-<sitename>.log debug;
……..}

server {

……………

error_log /var/log/nginx/error-<sitename>.log debug;

……..}

[…]

Опубликовано в рубрике Centos, Nginx

Метки: debug, Nginx

Комментарии отключены

Настройка Apache+SSL на Centos

Январь 7th, 2015

Evgeniy Kamenev

1.Установка необходимых пакетов

# yum install openssl mod_ssl

1	# yum install openssl mod_ssl

2. Генерирование сертификатов

# mkdir /etc/httpd/ssl

1	# mkdir /etc/httpd/ssl

# cd /etc/httpd/ssl

1	# cd /etc/httpd/ssl

Для вирт.хоста по умолчанию

# openssl req -new -x509 -days 3650 -nodes -out cert.perm -keyout cert.key

1	# openssl req -new -x509 -days 3650 -nodes -out cert.perm -keyout cert.key

Для вирт.хоста kamaok.org.ua

# openssl req -new -x509 -days 3650 -nodes -out kamaok.org.ua.perm -keyout kamaok.org.ua.key

1	# openssl req -new -x509 -days 3650 -nodes -out kamaok.org.ua.perm -keyout kamaok.org.ua.key

3. Настройка вирт.хоста по умолчанию

# nano /etc/httpd/conf.d/000default.conf

1	# nano /etc/httpd/conf.d/000default.conf

<VirtualHost *:443>
DocumentRoot /var/www/html
ServerName localhost
SSLEngine on
SSLCertificateFile /etc/httpd/ssl/cert.perm
SSLCertificateKeyFile /etc/httpd/ssl/cert.key

<Directory "/var/www/html">
Options   -Indexes
AllowOverride all
Allow from all
</Directory>

ErrorLog logs/default-ssl-error.log
#ErrorLog /dev/null
CustomLog logs/default-ssl-access.log combined
#CustomLog /dev/null combined
</VirtualHost>

DocumentRoot /var/www/html

ServerName localhost

SSLEngine on

SSLCertificateFile /etc/httpd/ssl/cert.perm

SSLCertificateKeyFile /etc/httpd/ssl/cert.key

Options -Indexes

AllowOverride all

Allow from all

</Directory>

ErrorLog logs/default-ssl-error.log

#ErrorLog /dev/null

CustomLog logs/default-ssl-access.log combined

#CustomLog /dev/null combined

</VirtualHost>

4.Настройка вирт.хоста kamaok.org.ua

# nano /etc/httpd/conf.d/kamaok.org.ua.conf

1	# nano /etc/httpd/conf.d/kamaok.org.ua.conf

<VirtualHost *:443>
DocumentRoot /path/to/documentroot
ServerName kamaok.org.ua
ServerAlias *.kamaok.org.ua
SSLEngine on
SSLCertificateFile /etc/httpd/ssl/kamaok.org.ua.perm
SSLCertificateKeyFile /etc/httpd/ssl/kamaok.org.ua.key

<Directory "/path/to/documentroot">
Options   -Indexes
AllowOverride all
Allow from all
</Directory>

ErrorLog logs/kamaok.org.ua-ssl-error.log
#ErrorLog /dev/null
CustomLog logs/kamaok.org.ua-ssl-access.log combined
#CustomLog /dev/null combined
</VirtualHost>

DocumentRoot /path/to/documentroot

ServerName kamaok.org.ua

ServerAlias *.kamaok.org.ua

SSLEngine on

SSLCertificateFile /etc/httpd/ssl/kamaok.org.ua.perm

SSLCertificateKeyFile /etc/httpd/ssl/kamaok.org.ua.key

Options -Indexes

AllowOverride all

Allow from all

</Directory>

ErrorLog logs/kamaok.org.ua-ssl-error.log

#ErrorLog /dev/null

CustomLog logs/kamaok.org.ua-ssl-access.log combined

#CustomLog /dev/null combined

</VirtualHost>

5. Включаем вирт.хостинг для https подключений

# nano /etc/httpd/conf/httpd.conf

1	# nano /etc/httpd/conf/httpd.conf

NameVirtualHost *:443

1	NameVirtualHost *:443

# apachectl configtest

1	# apachectl configtest

Syntax OK

Syntax OK

6.Отключаем вирт.хост по умолчанию,который активируется при установке модуля mod_ssl

# cp /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf~

1	# cp /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf~

[…]

Опубликовано в рубрике Centos, Web

Метки: apache, SSL

Комментарии отключены

Настройка Nginx+SSL на Centos

Январь 7th, 2015

Evgeniy Kamenev

Настройка Nginx+SSL на Centos 6/7 Имеем три виртуальных хоста и хост по умолчанию(“заглушка”) вирт.хосты joomla.us wordpress.us kamaok.us Хост по умолчанию=имя сервера(app01.kamaok.org.ua) 1.Генерирование сертификатов для всех вирт.хостов

# mkdir /etc/nginx/ssl

1	# mkdir /etc/nginx/ssl

# cd /etc/nginx/ssl

1	# cd /etc/nginx/ssl

# openssl req -new -x509 -days 3650 -nodes -out app01.kamaok.org.ua.pem -keyout app01.kamaok.org.ua.key

1	# openssl req -new -x509 -days 3650 -nodes -out app01.kamaok.org.ua.pem -keyout app01.kamaok.org.ua.key

# openssl req -new -x509 -days 3650 -nodes -out joomla.us.pem -keyout joomla.us.key

1	# openssl req -new -x509 -days 3650 -nodes -out joomla.us.pem -keyout joomla.us.key

# openssl req -new -x509 -days 3650 -nodes -out wordpress.us.pem -keyout wordpress.us.key

1	# openssl req -new -x509 -days 3650 -nodes -out wordpress.us.pem -keyout wordpress.us.key

# openssl req -new -x509 -days 3650 -nodes -out kamaok.us.pem -keyout kamaok.us.key

1	# openssl req -new -x509 -days 3650 -nodes -out kamaok.us.pem -keyout kamaok.us.key

# chown -R nginx:root /etc/nginx/ssl/

1	# chown -R nginx:root /etc/nginx/ssl/

# chmod -R 700 /etc/nginx/ssl

1	# chmod -R 700 /etc/nginx/ssl

2.Настройка Nginx для поддержки SSL

# nano /etc/nginx/ssl.conf

1	# nano /etc/nginx/ssl.conf

ssl_session_cache shared:SSL:20m;
ssl_session_timeout 1d;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
# ssl_ecdh_curve secp521r1;

## Improves TTFB by using a smaller SSL buffer than the nginx default
ssl_buffer_size 8k;

## Enables OCSP stapling
ssl_stapling on;
resolver 8.8.8.8;
ssl_stapling_verify on;

## Send header to tell the browser to prefer https to http traffic
#add_header Strict-Transport-Security max-age=31536000;

ssl_session_cache shared:SSL:20m;

ssl_session_timeout 1d;

ssl_prefer_server_ciphers on;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

#ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;

ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

ssl_dhparam /etc/nginx/ssl/dhparam.pem;

# ssl_ecdh_curve secp521r1;

## Improves TTFB by using a smaller SSL buffer than the nginx default

ssl_buffer_size 8k;

## Enables OCSP stapling

ssl_stapling on;

resolver 8.8.8.8;

ssl_stapling_verify on;

## Send header to tell the browser to prefer https to http traffic

#add_header Strict-Transport-Security max-age=31536000;

Создаем ключ Диффи-Хельмана

# openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

1	# openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

# nano /etc/nginx/conf.d/default.conf

1	# nano /etc/nginx/conf.d/default.conf

server {
listen       :80 default_server;
listen     :443 ssl default_server;
server_name localhost;
ssl_certificate         /etc/nginx/ssl/app01.kamaok.org.ua.pem;
ssl_certificate_key     /etc/nginx/ssl/app01.kamaok.org.ua.key;
include     /etc/nginx/ssl.conf;
……………
}

server {

listen :80 default_server;

listen :443 ssl default_server;

server_name localhost;

ssl_certificate /etc/nginx/ssl/app01.kamaok.org.ua.pem;

ssl_certificate_key /etc/nginx/ssl/app01.kamaok.org.ua.key;

include /etc/nginx/ssl.conf;

……………

}

[…]

Опубликовано в рубрике Centos, Nginx, Web

Метки: centos 7, Nginx, SSL

Комментарии отключены

Архивы автора

Установка и настройка безопасного ProFTPD-сервера TLS/SSL на Centos 6/7

Использование lsof

Обновление самоподписного SSL-сертификата на Centos

Настройка SFTP на Centos

Установка и включение iptables на Сentos 7

Конфигурация Nginx для отладки

Настройка Apache+SSL на Centos

Настройка Nginx+SSL на Centos

Страницы

Свежие записи

Архивы

Рубрики

Админ-панель