Centos | Записки системного администратора

Обновление самоподписного SSL-сертификата на Centos

Январь 30th, 2015

Evgeniy Kamenev

При получении почтового сообщения типа указанного ниже необходимо продлить с помощью утилиты genkey если Ваш сертификат подписан Центром Сертификации CA (Certificate Authority) При использовании самоподписного сертифіката(self-signed) утилита genkey не поможет.Необходимо заново сгенерировать самоподписной сертификат.

################# SSL Certificate Warning ################
Certificate for hostname '<servername>', in file (or by nickname):
/etc/pki/tls/certs/localhost.crt
The certificate needs to be renewed; this can be done
using the 'genkey' program.
Browsers will not be able to correctly connect to this
web site using SSL until the certificate is renewed.
##########################################################
Generated by certwatch(1)

1

2

3

4

5

6

7

8

9

################# SSL Certificate Warning ################

Certificate for hostname '<servername>', in file (or by nickname):

/etc/pki/tls/certs/localhost.crt

The certificate needs to be renewed; this can be done

using the 'genkey' program.

Browsers will not be able to correctly connect to this

web site using SSL until the certificate is renewed.

##########################################################

Generated by certwatch(1)

1.Проверяем название файла и место, где находятся сертификат и ключ, используемые в Apache

# grep SSLCertificate /etc/httpd/conf.d/ssl.conf | grep -v \#

1	# grep SSLCertificate /etc/httpd/conf.d/ssl.conf \| grep -v \#

SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key

1 2	SSLCertificateFile /etc/pki/tls/certs/localhost.crt SSLCertificateKeyFile /etc/pki/tls/private/localhost.key

2.Проверем права […]

Опубликовано в рубрике Centos, Security, Web

Метки: centos, self-signed, SSL

Комментарии отключены

Настройка SFTP на Centos

Январь 29th, 2015

Evgeniy Kamenev

Предоставить FTP-доступ через SSH-соединение для пользователя без предоставления активной shell-оболочки и ограничив пользователя в его папке(chroot) 1.Создаем группу ,в которую будут входить пользователи с доступом по sftp

# groupadd ftpaccess

1	# groupadd ftpaccess

2.Настраиваем SSH для поддержки SFTP

# nano /etc/ssh/sshd_config

1	# nano /etc/ssh/sshd_config

#Subsystem     sftp   /usr/libexec/openssh/sftp-server
Subsystem sftp internal-sftp
Match group ftpaccess
ChrootDirectory %h
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp

1

2

3

4

5

6

7

#Subsystem sftp /usr/libexec/openssh/sftp-server

Subsystem sftp internal-sftp

Match group ftpaccess

ChrootDirectory %h

X11Forwarding no

AllowTcpForwarding no

ForceCommand internal-sftp

# sshd -t && systemctl restart sshd

1	# sshd -t && systemctl restart sshd

3.Добавляем пользователя для SFTP-доступа(с оболочкой /sbin/nologin)

# adduser -d /home/user/jake -s /sbin/nologin jake -g ftpaccess

1	# adduser -d /home/user/jake -s /sbin/nologin jake -g ftpaccess

# passwd jake

1	# passwd jake

# chown root /home/user/jake/

1	# chown root /home/user/jake/

# chmod 750 /home/user/jake/

1	# chmod 750 /home/user/jake/

# mkdir /home/user/jake/www

1	# mkdir /home/user/jake/www

# chown jake:ftpaccess /home/user/jake/www

1	# chown jake:ftpaccess /home/user/jake/www

4.Если […]

Опубликовано в рубрике Centos, FTP

Метки: centos, chroot, FTP, sftp

Комментарии отключены

Установка и включение iptables на Сentos 7

Январь 29th, 2015

Evgeniy Kamenev

Останавливаем и отключаем с автозагрузки firewalld

# systemctl stop firewalld

1	# systemctl stop firewalld

# systemctl disable firewalld

1	# systemctl disable firewalld

Устанавливаем iptables

# yum install iptables-services iptables

1	# yum install iptables-services iptables

Добавляем iptables в автозагрузку

# systemctl enable iptables

1	# systemctl enable iptables

Копируем init-скрипт для того, чтобы можно было сохранять правила командой /etc/init.d/iptables save

# cp /usr/libexec/iptables/iptables.init /etc/init.d/iptables

1	# cp /usr/libexec/iptables/iptables.init /etc/init.d/iptables

Проверяем, что сохраняются правила при остановке/перезапуске iptables, а также подгружаем модуль отслеживания состояний ftp-подключений.

# nano /etc/sysconfig/iptables-config

1	# nano /etc/sysconfig/iptables-config

IPTABLES_MODULES="nf_conntrack_ftp"
IPTABLES_SAVE_ON_STOP="yes"
IPTABLES_SAVE_ON_RESTART="yes"

1

2

3

IPTABLES_MODULES="nf_conntrack_ftp"

IPTABLES_SAVE_ON_STOP="yes"

IPTABLES_SAVE_ON_RESTART="yes"

После набора правил сохраняем правила и перезапускаем […]

Опубликовано в рубрике Centos, Security

Метки: centos 7, iptables

Комментарии отключены

Конфигурация Nginx для отладки

Январь 29th, 2015

Evgeniy Kamenev

После каждого изменения вирт.хоста или файла nginx.conf проверяем синтаксис и перезапуcкаем Nginx

# nginx -t && service nginx reload

1	# nginx -t && service nginx reload

1.Включение логирования rewrite-логов.

# nano /etc/nginx/conf.d/<sitename>.conf

1	# nano /etc/nginx/conf.d/<sitename>.conf

server {
……………
error_log   /var/log/nginx/error-<sitename>.log notice;
rewrite_log on;
……..}

1

2

3

4

5

server {

……………

error_log /var/log/nginx/error-<sitename>.log notice;

rewrite_log on;

……..}

Rewrite-логи пишутся в файл error_log с уровнем notice. Поэтому для того, чтобы увидеть rewrite-логи в файле error_log необходимо выставить уровень логирования notice для error_log 2.Включение уровня debug для подключений со всех адресов

# nano /etc/nginx/conf.d/<sitename>.conf

1	# nano /etc/nginx/conf.d/<sitename>.conf

server {
……………
error_log   /var/log/nginx/error-<sitename>.log debug;
……..}

1

2

3

4

server {

……………

error_log /var/log/nginx/error-<sitename>.log debug;

……..}

[…]

Опубликовано в рубрике Centos, Nginx

Метки: debug, Nginx

Комментарии отключены

Настройка Apache+SSL на Centos

Январь 7th, 2015

Evgeniy Kamenev

1.Установка необходимых пакетов

# yum install openssl mod_ssl

1	# yum install openssl mod_ssl

2. Генерирование сертификатов

# mkdir /etc/httpd/ssl

1	# mkdir /etc/httpd/ssl

# cd /etc/httpd/ssl

1	# cd /etc/httpd/ssl

Для вирт.хоста по умолчанию

# openssl req -new -x509 -days 3650 -nodes -out cert.perm -keyout cert.key

1	# openssl req -new -x509 -days 3650 -nodes -out cert.perm -keyout cert.key

Для вирт.хоста kamaok.org.ua

# openssl req -new -x509 -days 3650 -nodes -out kamaok.org.ua.perm -keyout kamaok.org.ua.key

1	# openssl req -new -x509 -days 3650 -nodes -out kamaok.org.ua.perm -keyout kamaok.org.ua.key

3. Настройка вирт.хоста по умолчанию

# nano /etc/httpd/conf.d/000default.conf

1	# nano /etc/httpd/conf.d/000default.conf

<VirtualHost *:443>
DocumentRoot /var/www/html
ServerName localhost
SSLEngine on
SSLCertificateFile /etc/httpd/ssl/cert.perm
SSLCertificateKeyFile /etc/httpd/ssl/cert.key

<Directory "/var/www/html">
Options   -Indexes
AllowOverride all
Allow from all
</Directory>

ErrorLog logs/default-ssl-error.log
#ErrorLog /dev/null
CustomLog logs/default-ssl-access.log combined
#CustomLog /dev/null combined
</VirtualHost>

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

DocumentRoot /var/www/html

ServerName localhost

SSLEngine on

SSLCertificateFile /etc/httpd/ssl/cert.perm

SSLCertificateKeyFile /etc/httpd/ssl/cert.key

Options -Indexes

AllowOverride all

Allow from all

</Directory>

ErrorLog logs/default-ssl-error.log

#ErrorLog /dev/null

CustomLog logs/default-ssl-access.log combined

#CustomLog /dev/null combined

</VirtualHost>

4.Настройка вирт.хоста kamaok.org.ua

# nano /etc/httpd/conf.d/kamaok.org.ua.conf

1	# nano /etc/httpd/conf.d/kamaok.org.ua.conf

<VirtualHost *:443>
DocumentRoot /path/to/documentroot
ServerName kamaok.org.ua
ServerAlias *.kamaok.org.ua
SSLEngine on
SSLCertificateFile /etc/httpd/ssl/kamaok.org.ua.perm
SSLCertificateKeyFile /etc/httpd/ssl/kamaok.org.ua.key

<Directory "/path/to/documentroot">
Options   -Indexes
AllowOverride all
Allow from all
</Directory>

ErrorLog logs/kamaok.org.ua-ssl-error.log
#ErrorLog /dev/null
CustomLog logs/kamaok.org.ua-ssl-access.log combined
#CustomLog /dev/null combined
</VirtualHost>

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

DocumentRoot /path/to/documentroot

ServerName kamaok.org.ua

ServerAlias *.kamaok.org.ua

SSLEngine on

SSLCertificateFile /etc/httpd/ssl/kamaok.org.ua.perm

SSLCertificateKeyFile /etc/httpd/ssl/kamaok.org.ua.key

Options -Indexes

AllowOverride all

Allow from all

</Directory>

ErrorLog logs/kamaok.org.ua-ssl-error.log

#ErrorLog /dev/null

CustomLog logs/kamaok.org.ua-ssl-access.log combined

#CustomLog /dev/null combined

</VirtualHost>

5. Включаем вирт.хостинг для https подключений

# nano /etc/httpd/conf/httpd.conf

1	# nano /etc/httpd/conf/httpd.conf

NameVirtualHost *:443

1	NameVirtualHost *:443

# apachectl configtest

1	# apachectl configtest

Syntax OK

1

Syntax OK

6.Отключаем вирт.хост по умолчанию,который активируется при установке модуля mod_ssl

# cp /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf~

1	# cp /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf~

[…]

Опубликовано в рубрике Centos, Web

Метки: apache, SSL

Комментарии отключены

Настройка Nginx+SSL на Centos

Январь 7th, 2015

Evgeniy Kamenev

Настройка Nginx+SSL на Centos 6/7 Имеем три виртуальных хоста и хост по умолчанию(“заглушка”) вирт.хосты joomla.us wordpress.us kamaok.us Хост по умолчанию=имя сервера(app01.kamaok.org.ua) 1.Генерирование сертификатов для всех вирт.хостов

# mkdir /etc/nginx/ssl

1	# mkdir /etc/nginx/ssl

# cd /etc/nginx/ssl

1	# cd /etc/nginx/ssl

# openssl req -new -x509 -days 3650 -nodes -out app01.kamaok.org.ua.pem -keyout app01.kamaok.org.ua.key

1	# openssl req -new -x509 -days 3650 -nodes -out app01.kamaok.org.ua.pem -keyout app01.kamaok.org.ua.key

# openssl req -new -x509 -days 3650 -nodes -out joomla.us.pem -keyout joomla.us.key

1	# openssl req -new -x509 -days 3650 -nodes -out joomla.us.pem -keyout joomla.us.key

# openssl req -new -x509 -days 3650 -nodes -out wordpress.us.pem -keyout wordpress.us.key

1	# openssl req -new -x509 -days 3650 -nodes -out wordpress.us.pem -keyout wordpress.us.key

# openssl req -new -x509 -days 3650 -nodes -out kamaok.us.pem -keyout kamaok.us.key

1	# openssl req -new -x509 -days 3650 -nodes -out kamaok.us.pem -keyout kamaok.us.key

# chown -R nginx:root /etc/nginx/ssl/

1	# chown -R nginx:root /etc/nginx/ssl/

# chmod -R 700 /etc/nginx/ssl

1	# chmod -R 700 /etc/nginx/ssl

2.Настройка Nginx для поддержки SSL

# nano /etc/nginx/ssl.conf

1	# nano /etc/nginx/ssl.conf

ssl_session_cache shared:SSL:20m;
ssl_session_timeout 1d;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
# ssl_ecdh_curve secp521r1;

## Improves TTFB by using a smaller SSL buffer than the nginx default
ssl_buffer_size 8k;

## Enables OCSP stapling
ssl_stapling on;
resolver 8.8.8.8;
ssl_stapling_verify on;

## Send header to tell the browser to prefer https to http traffic
#add_header Strict-Transport-Security max-age=31536000;

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

ssl_session_cache shared:SSL:20m;

ssl_session_timeout 1d;

ssl_prefer_server_ciphers on;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

#ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;

ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

ssl_dhparam /etc/nginx/ssl/dhparam.pem;

# ssl_ecdh_curve secp521r1;

## Improves TTFB by using a smaller SSL buffer than the nginx default

ssl_buffer_size 8k;

## Enables OCSP stapling

ssl_stapling on;

resolver 8.8.8.8;

ssl_stapling_verify on;

## Send header to tell the browser to prefer https to http traffic

#add_header Strict-Transport-Security max-age=31536000;

Создаем ключ Диффи-Хельмана

# openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

1	# openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

# nano /etc/nginx/conf.d/default.conf

1	# nano /etc/nginx/conf.d/default.conf

server {
listen       :80 default_server;
listen     :443 ssl default_server;
server_name localhost;
ssl_certificate         /etc/nginx/ssl/app01.kamaok.org.ua.pem;
ssl_certificate_key     /etc/nginx/ssl/app01.kamaok.org.ua.key;
include     /etc/nginx/ssl.conf;
……………
}

1

2

3

4

5

6

7

8

9

server {

listen :80 default_server;

listen :443 ssl default_server;

server_name localhost;

ssl_certificate /etc/nginx/ssl/app01.kamaok.org.ua.pem;

ssl_certificate_key /etc/nginx/ssl/app01.kamaok.org.ua.key;

include /etc/nginx/ssl.conf;

……………

}

[…]

Опубликовано в рубрике Centos, Nginx, Web

Метки: centos 7, Nginx, SSL

Комментарии отключены

Анализ Web-логов в реальном времени с помощью GoAccess

Ноябрь 18th, 2014

Evgeniy Kamenev

1.Установка необходимых зависимостей.

# yum install ncurses ncurses-libs ncurses-devel

1	# yum install ncurses ncurses-libs ncurses-devel

# yum install glib2 glib2-devel glib2-static

1	# yum install glib2 glib2-devel glib2-static

# yum install GeoIP GeoIP-devel

1	# yum install GeoIP GeoIP-devel

2.Скачивание и установка утилиты goaccess из исходников (через yum устанавливается устаревшая версия)

# wget http://tar.goaccess.io/goaccess-0.9.4.tar.gz

1	# wget http://tar.goaccess.io/goaccess-0.9.4.tar.gz

# tar xvfz goaccess-0.9.4.tar.gz

1	# tar xvfz goaccess-0.9.4.tar.gz

# cd goaccess-0.9.4

1	# cd goaccess-0.9.4

# ./configure --enable-geoip --enable-utf8

1	# ./configure --enable-geoip --enable-utf8

# make

1

# make

# make install

1	# make install

3.Создание резервной копии и настройка конфигурационного файла goaccess.conf

# cp /usr/local/etc/goaccess.conf /usr/local/etc/goaccess.conf~

1	# cp /usr/local/etc/goaccess.conf /usr/local/etc/goaccess.conf~

# nano /usr/local/etc/goaccess.conf

1	# nano /usr/local/etc/goaccess.conf

time-format %H:%M:%S
# Apache log date format. The following date format works with any of the Apache's log formats.
date-format %d/%b/%Y
# NCSA Combined Log Format
log-format %h %^[%d:%^] "%r" %s %b "%R" "%u"

1

2

3

4

5

time-format %H:%M:%S

# Apache log date format. The following date format works with any of the Apache's log formats.

date-format %d/%b/%Y

# NCSA Combined Log Format

log-format %h %^[%d:%^] "%r" %s %b "%R" "%u"

4.Использование GoAccess для анализа Web-логов Просмотр статистики и анализ Web-лога в реальном […]

Опубликовано в рубрике Centos, Nginx, Other, Other, Web, Web

Метки: apache, goaccess, Nginx, web logs parsing

Комментарии отключены

Оптимизация настроек ядра для высоконагруженных серверов и защиты от DDOS-атак

Ноябрь 10th, 2014

Evgeniy Kamenev

На просторах Интернета нашел толковое описание sysctl настроек ядра для оптимизации большого кол-ва подключений и защиты от DDOS-атак

net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 0

1

2

3

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.secure_redirects = 0

net.ipv4.conf.all.send_redirects = 0

Не принимать и не отправлять ICMP-пакеты перенаправления. ICMP-перенаправления могут быть использованы злоумышленником для изменения таблиц маршрутизации. Целесообразно выставить в «0». Единица имеет смысл только для хостов, использующихся в качестве маршрутизаторов.

net.ipv4.tcp_max_orphans = 65536

1	net.ipv4.tcp_max_orphans = 65536

Целочисленное значение параметра tcp_max_orphans […]

Опубликовано в рубрике Security, Security

Метки: DDoS, security, sysctl

Комментарии отключены

Анализ и защита от DDOS-атак

Ноябрь 7th, 2014

Evgeniy Kamenev

Диагностика DDOS-атаки Подсчет кол-ва подключений к серверу

# cat /proc/net/ip_conntrack | wc -l

1	# cat /proc/net/ip_conntrack \| wc -l

— для Centos5

# cat /proc/net/nf_conntrack | wc -l

1	# cat /proc/net/nf_conntrack \| wc -l

— для Centos6 SYN—flood Подсчет кол-ва попыток установить соединение

# netstat -nap | grep SYN_RECV | wc -l

1	# netstat -nap \| grep SYN_RECV \| wc -l

Просмотр кол-ва запросов с каждого адреса на установку соединений

# netstat -nap | grep SYN_RECV | awk {'print $5'} | awk -F: {'print $1'} | sort -rn | uniq -c | sort -rn

1	# netstat -nap \| grep SYN_RECV \| awk {'print $5'} \| awk -F: {'print $1'} \| sort -rn \| uniq -c \| sort -rn

Проверка кол-ва полузакрытых соединений

# netstat -an | grep FIN* | wc -l

1	# netstat -an \| grep FIN* \| wc -l

Просмотр кол-ва и типов установленных соединений

# netstat -np | awk '{print $6}'|awk -F: '{print $1}' | sort -rn | uniq -c | sort -rn | less

1	# netstat -np \| awk '{print $6}'\|awk -F: '{print $1}' \| sort -rn \| uniq -c \| sort -rn \| less

Просмотр кол-ва […]

Опубликовано в рубрике Security, Security

Метки: DDoS, flood, ipset, security, sysctl

Комментарии отключены

Поиск malware/вирусов на сайте

Ноябрь 6th, 2014

Evgeniy Kamenev

Использование внешних ресурсов 1.Проверка на сайтах http://antivirus-alarm.ru/ http://online.drweb.com/?url=1 http://xseo.in/viruscan http://2ip.ru/site-virus-scaner/ Проверка Google

http://www.google.com/safebrowsing/diagnostic?site=mysite.com

1	http://www.google.com/safebrowsing/diagnostic?site=mysite.com

Проверка ссылок/редиректов

http://www.websiteplanet.com/webtools/redirected

1	http://www.websiteplanet.com/webtools/redirected

2. Проверка утилитой ai-bolit http://www.revisium.com/ai/ 3. Проверка с помощью Linux Malware Detect https://www.rfxn.com/projects/linux-malware-detect/

# maldet -scan-all /home/sites/mysite.com

1	# maldet -scan-all /home/sites/mysite.com

4. WordPress-плагины Antivirus https://wordpress.org/plugins/antivirus/ Sucuri Security https://wordpress.org/plugins/sucuri-scanner/ Использование командной строки 1.Поиск файлов измененных за последнее время(например, за последние […]

Опубликовано в рубрике Security, Security, Security Tools

Метки: base64, malware, security

Комментарии отключены

Архивы рубрики ‘Centos’

Обновление самоподписного SSL-сертификата на Centos

Настройка SFTP на Centos

Установка и включение iptables на Сentos 7

Конфигурация Nginx для отладки

Настройка Apache+SSL на Centos

Настройка Nginx+SSL на Centos

Анализ Web-логов в реальном времени с помощью GoAccess

Оптимизация настроек ядра для высоконагруженных серверов и защиты от DDOS-атак

Анализ и защита от DDOS-атак

Поиск malware/вирусов на сайте

Страницы

Свежие записи

Архивы

Рубрики

Админ-панель