Der Perfekte Server - CentOS 6.1 x86_64 mit nginx [ISPConfig 3] - Seite 6

18 Installation von PureFTPd

PureFTPd kann mit dem folgenden Befehl installiert werden:

yum install pure-ftpd

Erstellen Sie dann die Systemstartlinks und starten Sie PureFTPd:

chkconfig --levels 235 pure-ftpd on
/etc/init.d/pure-ftpd start

Sie müssen nun PureFTPd konfigurieren, um FTP und TLS Sitzungen zu erlauben. FTP ist ein sehr unsicheres Protokoll, weil alle Passwörter und Daten in reinem Text übertragen werden. Durch die Benutzung von TLS kann die gesamte Kommunikation verschlüsselt werden, um so FTP sehr viel sicherer zu machen.

Für TLS wird OpenSSL gebraucht; um dieses zu installieren benutzen sie einfach:

yum install openssl

Öffnen Sie /etc/pure-ftpd/pure-ftpd.conf...

vi /etc/pure-ftpd/pure-ftpd.conf

Wenn Sie FTP und TLS Sitzungen erlauben wollen, setzen Sie TLS auf 1::
[...]
# This option can accept three values : # 0 : disable SSL/TLS encryption layer (default). # 1 : accept both traditional and encrypted sessions. # 2 : refuse connections that don't use SSL/TLS security mechanisms, # including anonymous sessions. # Do _not_ uncomment this blindly. Be sure that : # 1) Your server has been compiled with SSL/TLS support (--with-tls), # 2) A valid certificate is in place, # 3) Only compatible clients will log in. TLS 1 [...]
Um TLS verwenden zu können, müssen Sie ein SSL Zertifikat erstellen. Ich erstelle es im /etc/ssl/private/ Verzeichnis, welches ich erst erstellen muss:

mkdir -p /etc/ssl/private/

Darauf folgend können Sie das SSL Zertifikat wie folgt generieren:

openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Country Name (2 letter code) [XX]: <-- Geben Sie den Namen Ihres Landes ein (z.B. "DE"). State or Province Name (full name) []: <-- Geben Sie den Namen Ihres Bundesstaates oder Ihrer Provinz ein. Locality Name (eg, city) [Default City]: <-- Geben Sie Ihre Stadt ein. Organization Name (eg, company) [Default Company Ltd]: <-- Geben Sie den Namen Ihrer Organisation ein (z.B. den Namen Ihrer Firma). Organizational Unit Name (eg, section) []: <-- Geben Sie Ihre Organisationsabteilung ein (z.B. "IT Department"). Common Name (eg, your name or your server's hostname) []: <-- Geben Sie den vollen Domainnamen Ihres Systems ein (z.B. "server1.example.com"). Email Address []: <-- Geben Sie Ihre Email Adresse ein.

Ändern Sie die Zugriffsberechtigungen des SSL Zertifikats folgendermaßen:

chmod 600 /etc/ssl/private/pure-ftpd.pem

Starten Sie PureFTPd neu:

/etc/init.d/pure-ftpd restart

Sie können nun versuchen den FTP Client zur Verbindung zu benutzen, sollten diesen jedoch so konfigurieren, dass er TLS verwendet.

19 Installation von BIND

Installieren Sie BIND wie folgt:

yum install bind bind-utils

Öffnen Sie als nächstes /etc/sysconfig/named...

vi /etc/sysconfig/named

... und stellen Sie sicher, dass die Zeile ROOTDIR=/var/named/chroot auskommentiert ist:
# BIND named process options
# ~~~~~~~~~~~~~~~~~~~~~~~~~~ # Currently, you can use the following options: # # ROOTDIR="/var/named/chroot" -- will run named in a chroot environment. # you must set up the chroot environment # (install the bind-chroot package) before # doing this. # NOTE: # Those directories are automatically mounted to chroot if they are # empty in the ROOTDIR directory. It will simplify maintenance of your # chroot environment. # - /var/named # - /etc/pki/dnssec-keys # - /etc/named # - /usr/lib64/bind or /usr/lib/bind (architecture dependent) # # Those files are mounted as well if target file doesn't exist in # chroot. # - /etc/named.conf # - /etc/rndc.conf # - /etc/rndc.key # - /etc/named.rfc1912.zones # - /etc/named.dnssec.keys # - /etc/named.iscdlv.key # # Don't forget to add "$AddUnixListenSocket /var/named/chroot/dev/log" # line to your /etc/rsyslog.conf file. Otherwise your logging becomes # broken when rsyslogd daemon is restarted (due update, for example). # # OPTIONS="whatever" -- These additional options will be passed to named # at startup. Don't add -t here, use ROOTDIR instead. # # KEYTAB_FILE="/dir/file" -- Specify named service keytab file (for GSS-TSIG) # # DISABLE_ZONE_CHECKING -- By default, initscript calls named-checkzone # utility for every zone to ensure all zones are # valid before named starts. If you set this option # to 'yes' then initscript doesn't perform those # checks.
Erstellen Sie ein Backup der /etc/named.conf Datei und legen Sie folgendermaßen eine neue an:

cp /etc/named.conf /etc/named.conf_bak
cat /dev/null > /etc/named.conf
vi /etc/named.conf


//
// named.conf // // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS // server as a caching only nameserver (as a localhost DNS resolver only). // // See /usr/share/doc/bind*/sample/ for example named configuration files. // options { listen-on port 53 { any; }; listen-on-v6 port 53 { any; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { any; }; recursion yes; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "." IN { type hint; file "named.ca"; }; include "/etc/named.conf.local";
Erstellen Sie die Datei /etc/named.conf.local, welche am Ende von /etc/named.conf integriert ist (/etc/named.conf.local wird später von ISPConfig benutzt werden, wenn Sie mit ISPConfig DNS Zonen erstellen):

touch /etc/named.conf.local

Dann erstellen Sie die Systemstartlinks und starten BIND:

chkconfig --levels 235 named on
/etc/init.d/named start


20 Installation von Vlogger, Webalizer und AWStats

Vlogger, webalizer und AWStats können folgendermaßen installiert werden:

yum install webalizer awstats
perl-DateTime-Format-HTTP perl-DateTime-Format-Builder

cd /tmp
wget http://n0rp.chemlab.org/vlogger/vlogger-1.3.tar.gz
tar xvfz vlogger-1.3.tar.gz
mv vlogger-1.3/vlogger /usr/sbin/
rm -rf vlogger*


21 Installation von Jailkit

Jailkit wird nur benötigt wenn sie chroot auf SSH Benutzer anwenden möchten. Es kann wie folgt installiert werden (wichtig: Jailkit muss vor ISPConfig installiert werden - es kann nicht im nachhinein installiert werden!):

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.14.tar.gz
tar xvfz jailkit-2.14.tar.gz
cd jailkit-2.14
./configure
make
make install
cd ..
rm -rf jailkit-2.14*


22 Installation von fail2ban

Diese Installation ist nicht notwendig, jedoch empfohlen, da der ISPConfig Monitor versucht, den Verlauf anzuzeigen:

yum install fail2ban

Fail2ban muss so konfiguriert werden, dass es seine Logs in die Datei /var/log/fail2ban.log schreibt, da diese Datei vom ISPConfig Monitor-Modul überwacht wird. Öffnen Sie /etc/fail2ban/fail2ban.conf...

vi /etc/fail2ban/fail2ban.conf

... kommentieren Sie die Zeile logtarget = SYSLOG aus und fügen Sie logtarget = /var/log/fail2ban.log hinzu:
[...]
# Option: logtarget # Notes.: Set the log target. This could be a file, SYSLOG, STDERR or STDOUT. # Only one log target can be specified. # Values: STDOUT STDERR SYSLOG file Default: /var/log/fail2ban.log # #logtarget = SYSLOG logtarget = /var/log/fail2ban.log [...]
Erstellen Sie dann die Systemstartlinks für fail2ban und starten es:

chkconfig --levels 235 fail2ban on
/etc/init.d/fail2ban start


23 Installation von rkhunter

rkhunter kann folgendermaßen installiert werden:

yum install rkhunter


0 Kommentar(e)

Zum Posten von Kommentaren bitte