CSF & LFD : Alerta de seguridad Check SSH PasswordAuthentication

-Check SSH PasswordAuthentication

Si no sabes como crear la clave SSH desde Putty he creado un pequeño tutorial que puedes ver AQUÍ

-Recuerda añadir nuestra clave pública al final del archivo.

vi /root/.ssh/authorized_keys2

Además debes configurar en tu cliente para que inicie la sesión con la privada.

-Editamos fichero

vi /etc/ssh/sshd_config
:/PubkeyAuthentication

Dejamos los parámetros del archivo así

PubkeyAuthentication yes
PasswordAuthentication no

-Reiniciamos

service sshd restart

Si has seguido más o menos todo lo mencionado, al volver a hacer el test deberíamos de tener 61~63/63

Tutorial – Instalación KLOXO 64bits sobre Centos 5.5 – KLOXO 64bits – IPTABLES – WEBMIN – CSF & LFD – MOD_EVASIVE – OCULTAR VERSIONES – TRUCOS – Montar servidor GRATUITO

Share



CSF & LFD : Alerta de seguridad DNS recursion restrictions

-DNS recursion restrictions

Para evitar la alerta DNS recursion restrictions añadimos allow-recursion { bla bla bla };
Recuerda cambiar tudns1 y tudns2 por la ip de tus dns.

Editamos el archivo de configuración

vi /var/named/chroot/etc/named.conf
options
{
  allow-recursion {
	127.0.0.1;
	TUDNS1_CAMBIALO_POR_SUIP
	TUDNS2_CAMBIALO_POR_SUIP
  };
};

-Reiniciamos

service named restart

Tutorial – Instalación KLOXO 64bits sobre Centos 5.5 – KLOXO 64bits – IPTABLES – WEBMIN – CSF & LFD – MOD_EVASIVE – OCULTAR VERSIONES – TRUCOS – Montar servidor GRATUITO

Share



CSF & LFD : Alerta de seguridad Check /var/tmp is mounted as a filesystem Check /dev/shm is mounted noexec,nosuid

Si no tenemos /var/tmp y /tmp en particiones separadas nos aparecen un par de mensajitos.

– Linkar /var/tmp a /tmp (Check /var/tmp is mounted as a filesystem)
Para no separarla en otra partición simplemente linkamos a /tmp y eliminamos

rm -rf /var/tmp
ln -s /tmp /var/tmp

– El aviso de /tmp filesystem desaparece creando una partición para /tmp (eso ya a gusto de cada cual)

Para solucionar los 2 avisos siguientes :

– Check /dev/shm is mounted noexec,nosuid
– Check /tmp is mounted as a filesystem

A) Tenemos la partición /tmp creada :
– Copia de seguridad por si la liamos

cp /etc/fstab /etc/fstab.bak

Cambiamos el modo a la línea de /tmp y /dev/shm, defaults por noexec,nosuid

vi /etc/fstab

Por si no sabes por donde te da el aire, debe quedar algo parecido a “/dev/xxx /tmp ext3 noexec,nosuid 1 2”
Detalles en http://es.wikipedia.org/wiki/Fstab y http://es.wikipedia.org/wiki/Mount#Opciones_del_comando_mount

Volvemos a montar

mount -o remount /tmp
mount -o remount /dev/shm

B) Para los que no tienen la partición creada os dejo lo siguiente, no lo he probado

Step 1: Securing /tmp
Step 1.1: Backup your fstab file

cp /etc/fstab /etc/fstab.bak

Step 1.2: Creating tmpmnt partition file (Around 1Gb in size)

cd /var
dd if=/dev/zero of=tmpMnt bs=1024 count=1048576

Step 1.3: Format the new partition

mkfs.ext3 -j /var/tmpMnt

Press Y when asked
Step 1.4: Making backup of old /tmp

cp -Rp /tmp /tmp_backup

Step 1.5: Mount the tmp filesystem

mount -o loop,noexec,nosuid,rw /var/tmpMnt /tmp

Step 1.6: Set the right permissions

chmod 0777 /tmp

Step 1.7: Copy the files back to new tmp folder

cp -Rp /tmp_backup/* /tmp/

Step 1.8: Adding new /tmp filesystem to fstab

echo “/var/tmpMnt /tmp ext3 loop,rw,noexec,nosuid,nodev 0 0” >> /etc/fstab

Step 2: No need for 2 tmp filesystems, so we symlink /var/tmp to /tmp

rm -rf /var/tmp/
ln -s /tmp/ /var/tmp

Tutorial – Instalación KLOXO 64bits sobre Centos 5.5 – KLOXO 64bits – IPTABLES – WEBMIN – CSF & LFD – MOD_EVASIVE – OCULTAR VERSIONES – TRUCOS – Montar servidor GRATUITO

Share



CSF & LFD : Alerta de seguridad ATD activo al reinicio ANACRON activo SAFECHAINUPDATE

Vamos a solucionar unos cuantos problemas sencillitos :
Alerta de seguridad ATD activo al reinicio, ANACRON activo y SAFECHAINUPDATE.

-ATD activo al reinicio

service atd stop
chkconfig atd off

-ANACRON activo

service anacron stop
chkconfig anacron off

-Ssh UseDSN no ( /etc/ssh/sshd_config )

vi /etc/ssh/sshd_config 
:/UseDNS   ( desmarcar )
UseDNS no

-SAFECHAINUPDATE
Se desactiva en /etc/csf/csf.conf o desde WEBMIN

Tutorial – Instalación KLOXO 64bits sobre Centos 5.5 – KLOXO 64bits – IPTABLES – WEBMIN – CSF & LFD – MOD_EVASIVE – OCULTAR VERSIONES – TRUCOS – Montar servidor GRATUITO

Share



CSF & LFD : Alerta de seguridad MySql load data

MySql load data :

vi /etc/my.cnf

Añadimos tras [mysqld]

local-infile=0

-Reiniciamos

service mysqld restart

Tutorial – Instalación KLOXO 64bits sobre Centos 5.5 – KLOXO 64bits – IPTABLES – WEBMIN – CSF & LFD – MOD_EVASIVE – OCULTAR VERSIONES – TRUCOS – Montar servidor GRATUITO

Share



Añadir CSF & LFD a WEBMIN

Opcionalmente podemos añadir CSF & LFD a WEBMIN para mayor comodidad.

Vamos a Webmin > Webmin Configuration > Webmin Modules >
From local file > /etc/csf/csfwebmin.tgz > Install Module

-Ahora podemos entrar a ConfigServer Security & Firewall
-Entramos a Firewall Security Level y ponemos High o a nuestras necesidades.

Reiniciamos CSF & LFD y pulsamos sobre Check Server Segurity para ver las posibles alertas de seguridad.
Tal y como vamos si has hecho todo lo que he dicho andarás en un 53/64


A continuación vamos a solucionar las alertas de seguridad para lograr el 64/64 😀

Tutorial – Instalación KLOXO 64bits sobre Centos 5.5 – KLOXO 64bits – IPTABLES – WEBMIN – CSF & LFD – MOD_EVASIVE – OCULTAR VERSIONES – TRUCOS – Montar servidor GRATUITO

Share



Instalar CSF & LFD

CSF & LFD es un firewall (cortafuegos y un anti-fuerza-bruta) que controla los logs en busca de posibles atacantes para bloquearles el acceso, es muy potente, flexible y sobre todo fácil de configurar. Saber más sobre CSF & LFD

-Descargar

cd /tmp
wget http://www.configserver.com/free/csf.tgz

-Descomprimimos

tar -xzf csf.tgz

-Instalamos

cd csf
sh install.sh

-Configurar

vi /etc/csf/csf.conf

Para detalles sobre puertos abiertos :
http://www.mysql-apache-php.com/ports.htm
http://www.mysql-apache-php.com/csf-firewall.htm

nmap fuser localhost

Modifica los valores de TCP_IN, TCP_OUT, UDP_IN, UDP_OUT a tus necesidades.

Tutorial – Instalación KLOXO 64bits sobre Centos 5.5 – KLOXO 64bits – IPTABLES – WEBMIN – CSF & LFD – MOD_EVASIVE – OCULTAR VERSIONES – TRUCOS – Montar servidor GRATUITO

Share



Instalación KLOXO 64bits sobre Centos 5.5 – KLOXO 64bits – IPTABLES – WEBMIN – CSF & LFD – MOD_EVASIVE – OCULTAR VERSIONES – TRUCOS

Tutorial – Instalación KLOXO 64bits sobre Centos 5.5 – KLOXO 64bits – IPTABLES – WEBMIN – CSF & LFD – MOD_EVASIVE – OCULTAR VERSIONES – TRUCOS

He creado un tutorial que nos indica paso a paso cómo montar y configurar un servidor con los servicios más generales, (apache, php, mysql, phpmyadmin, mail, webmail … etc …) de forma GRATUITA, es decir, con coste 0.

Además vamos a instalar un panel de control gratuito que nos va a facilitar las tareas de configuración, administración y nos va a otorgar la opción de reseller, es decir de vendedor. Y por si fuera poco se podría escalar fácilmente con más máquinas.

Bueno, antes que nada os aviso, no tengo apenas experiencia (2 años trasteando) sobre gestionar servidores por lo que la guía pretende ser orientativa.
Comparto con ustedes la información que he ido recopilando desde que ando metido en esto.

Vamos a utilizar la distribución de linux Centos 5.5 de 64 bits como base para el servidor, doy por hecho que ya tenemos un servidor, lo hemos particionado y hemos instalado el sistema operativo (¿No lo tienes?, visita la guía de instalación ). Sobre ella vamos a montar un panel de control llamado Kloxo para facilitar las tareas de gestión y venta a clientes, WebAdmin para facilitar las tareas de administración de nuestro servidor, para servir nuestras páginas web Apache (Apache Web Server) aunque podremos alternar su uso en un par de clicks con Lighttpd, como base de datos vamos a utilizar MySQL, para servir contenido dinámico vamos a instalar PHP, para gestionar la base de datos online PHPMyAdmin, para el envío y recepción de e-mails utilizaremos Qmail (Qmail Mail Server) y Courier Pop/Imap Server , como servidor dns utilizaremos Bind aunque podremos alternarlo con DjbDns. Para brindar al servidor de seguridad vamos a actualizar el poderoso cortafuegos IpTables además instalaremos CSF & LFD (firewall-antiddos) y para conectarnos internamente el servidor utilizaremos SSH con llaves de seguridad.

Seguro que me dejo muchas cosas, así que te insto a que ojees el índice y lo veas por ti mismo 😀

Dejando a un lado la instalación concreta de KLOXO, en temas de seguridad el proceso es ampliable a cualquier tipo de panel de administración.
Recomiendo hacer los pasos en orden.
Instalarlo todo cuesta aproximadamente ~30 minutos 😛
Se aceptan de buen grado sugerencias, consejos y correcciones 😀
Por supuesto si creen que falta algo para hacerlo todavía más seguro me encantaría saberlo para ponerme con ello.
Poco a poco intentaré ir mejorando la guía (espero que con su ayuda)

OpcionalActualizar repositorios Centos 5.5 64 bits

1º – Instalación KLOXO 64 bits
2º – Solucionar problemas de KLOXO en entornos de 64bits
– Solucionar : Carga incorrectamente las librerías.
– Solucionar : Carga incorrectamente IONCUBE
– Solucionar : Carga incorrectamente ZEN
3º – Instalar/Actualizar IPTABLES
4º – Instalar WEBMIN (panel administrador de servidor web)
5º – Instalar y configurar CSF & LFD (firewall-antiddos)
– Añadir CSF & LFD a WEBMIN
– Solucionar : MySql load data
– Solucionar : ATD activo al reinicio
– Solucionar : ANACRON activo
– Solucionar : Ssh UseDSN no
– Solucionar : SAFECHAINUPDATE
– CSF & LFD Solucionar : DNS recursion restrictions
– CSF & LFD Solucionar : Check /var/tmp is mounted as a filesystem
– CSF & LFD Solucionar : Check /tmp is mounted as a filesystem
– CSF & LFD Solucionar : Check /dev/shm is mounted noexec,nosuid
– CSF & LFD Solucionar : Check /tmp is mounted as a filesystem
– CSF & LFD Solucionar : Check SSH PasswordAuthentication
6º – Generar clave/llave de conexión para SSH desde pc
7º – Ocultar versiones de programas
– Ocultar versión Apache
– Ocultar versión PHP
– Ocultar versión BIND
– Ocultar versión ProFTPD
Instalar y configurar mod_evasive
– Parámetros de mod_evasive
– ¿Fallo de programación en mod_evasive?

– Otras cositas
– Consejo sobre Kloxo, eliminar usuarios MySQL no necesarios y/o remotos
– Codificación de idioma Apache

Espero que el tutorial les sirva de ayuda para montar o configurar su servidor.

Sus comentarios serán bien recibidos 😀

Share