การตั้งค่าโฮสพื้นฐานสำหรับ VPS – DirectAdmin

http://www.youtube.com/watch?v=B2aiGBzzKXU&feature=related

ตั้งค่าชื่อโฮส 

ตั้งที่ manage.unixbsd (Control Panel จัดการ VPS) / ตั้งที่ shell  hostname vps.xxx.com / ตั้งใน DirectAdmin

/usr/local/directadmin/scripts/hostname.sh

ตั้งค่า DirectAdmin 

user view > Domain Admin เพิ่มโดเมนเข้าไป
re seller view > Name server ตั้งค่า ip / Name server หลัก – ไปเพิ่ม name server ของโฮสใหม่นี้ที่ registrar (อย่างเพิ่ม ns1.ourdomain.com ตรง add ด้านล่างของ godaddy)
admin view > Admin Setting : Brute force / Default nameserver

ตั้งค่า Security / Update พื้นฐาน

http://help.directadmin.com/item.php?id=247

Custombuild 

Custombuild คือตัวสคริปช่วยจัดการของ DirectAdmin ในการลงโปรแกรมเพิ่ม เอาคอมโพเนนต์ออก อัพเดต ใช้ผ่านตัวนี้จะสดวกกว่ามานั่งทำเองทีละตัว
จะอยู่ที่ usr/local/directadmin/custombuild/
โดยมีไฟล์สำคัญในการจะใช้เป็นตัว Config Custombuild คือ options.conf
 พอเข้ามาที่พาธ ก็แก้ไขเปิด options.conf แก้ว่าจะเปิดจะปิดชิ้นส่วนไหนของระบบ
คำสั่งที่ใช้ เกี่ยวกับการ Build เช่น
./build cron (แก้ไข options.conf แล้วจะสั่ง build เฉพาะส่วน)
./build clean
./build zend
./build ioncube
./build update
./build all d
./build update_versions 

ลง Zend / Ioncube ด้วย Custombuild แก้ options.conf แล้วก็สั่ง build
php -v ดูผล
ลง xcache ช่วยเพิ่มความเร็วจัด - การโหลด php 
โหลด
wget http://xcache.lighttpd.net/pub/Releases/2.0.1/xcache-2.0.1.tar.gz
แตกไฟล์ 
tar xzf xcache-2.0.1.tar.gz
เข้าไปข้างใน
cd xcache-2.0.1
ลง autoconf ก่อน (ใช้ phpize)
yum install autoconf -y
phpize
./configure --enable-xcache --enable-xcache-optimizer
make install clean
เอาคอนฟิคของ xcache.ini ไปต่อกับ /etc/php.ini หรือบางทีก็ /usr/local/lib/php.ini
cat xcache.ini >> /etc/php.ini
cat xcache.ini >> /usr/local/lib/php.ini

แก้ php.ini ดูตอนท้ายของไฟล์ ดูส่วนของการเรียก Zend / Ioncube ให้เรียก xcache ก่อน
(แก้ไขพาธให้ถูกเวลาเรียกหาไฟล์ xcache ด้วย) ส่วนที่ซ้ำกัน แล้วเรียกพาธผิด ใน [xcache-common] เอาออกด้วย
พาธที่เอาไปใส่ zend_extension =/usr/local/lib/php/extensions/no-debug-non-zts-200xxxxxx/xcache.so
แก้ตรง xxxxxx ด้วย

สั่ง apache restart
service httpd restart
http://www.ireallyhost.com/kb/server/78

ลง SpamAssassin Custombuild

http://www.ireallyhost.com/kb/server/72

http://help.directadmin.com/item.php?id=36

cd /usr/local/directadmin/custombuild

./build clean
./build update_data
./build set spamassassin yes
./build spamassassin

นานมาก หากต้องติดตั้งตัวอื่นด้วย

ลง clamav Antivirus

 

./build set clamav yes
./build update_data

ลง Munin
wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.i386.rpm
rpm -Uvh rpmforge-release-0.3.6-1.el5.rf.i386.rpm
yum install munin munin-node -y
chkconfig –levels 235 munin-node on
/etc/init.d/munin-node start
chown -R munin:munin /var/www/munin
ตรงนี้บางทีชอบมีปัญหา ใช้วิธีย้าย /munin ไปใส่แทน /html/munin แล้วแก้ config munin เอาก็ได้
ln -s /var/www/munin/ /var/www/html/munin

service httpd restart && service crond restart

ย้ายที่อยู่ของการแสดงผล munin
mv /var/www/munin /var/www/html/

 

Hardening /tmp บางโฮสทำไม่ได้ (VPS) 

 

ลง CSF Firewall

ที่นิยมใช้และลงมาให้แล้วคือ iptables
วิธีเชคว่าลงไว้หรือยัง ปกติจะลง default สำหรับ CentOS 3+ อยู่แล้ว

rpm -q iptables

หากอยากใช้งานง่ายขึ้น ลงตัวช่วยจัดการ - APF / CSF
ลง CSF
http://www.directadmin.com/forum/showthread.php?p=142884

wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

perl

หากเจอ You need to install the LWP perl module (libwww-perl) and then install csf ก็ลง

yum install perl-libwww-perl

แล้วค่อย install ใหม่

สำหรับ DA/Cpanel สามารถจัดการ CSF ผ่านหน้าจอระบบได้เลย Config ค่าต่างๆตามสมควร
แนวการตั้งค่า http://www.hosttook.com/wwd/announcements.php?id=21

การตั้งค่า ขั้นสุดท้ายสำหรับ CSF บางอันอาจโหดเกินไป อ่านก่อนตั้งค่าด้วย

directadmin  / “ConfigServer Firewall&Security” / firewall configuration

บล็อก Port Scan Tracking
PS_INTERVAL = 1
PS_LIMIT = 3

ปิดปิง # Allow incoming PING ป้องกันการโจมตีแบบ DoS Attack (Denial of Service)

ICMP_IN = 0

3. SYNFLOOD Blocked
SYNFLOOD = 1

4. ตั้งบล็อก connection พอร์ต 80 เอาแค่ 20 connection ก็พอ ใคร connect เข้ามาเกิน 20 connโดนหามส่งโรงงาน csf ไปเลย อิอิ

แบบโหด CONNLIMIT = “80;20”  ป้องกันการโจมตีแบบ DoS Attack (Denial of Service)

5. ตั้งบล็อกถาวร แบบโหด
LF_PERMBLOCK =1
LF_NETBLOCK = 1 (บล็อกทั้งคลาส * อันนี้แบบโหดมาก * ตั้งเฉพาะช่วงจำเป็น เช่น ช่วงกำลังถูกโจมตีอย่างหนัก เป็นต้น ถ้าช่วงปกติ ให้แก้กลับเป็น 0 ก็พอค่ะ)

6. ตั้งค่าการบล็อก Login Failure Blocking and Alerts ให้โอกาสเดาผิด 3 ครั้งก็พอ
LF_EMAIL_ALERT = 1 — ตั้งให้ส่งอีเมลบอก ถ้าไม่ต้องการให้แจ้งใส่ 0
LF_SSHD = 3
LF_FTPD = 3
LF_SMTPAUTH = 3
LF_POP3D = 3
LF_IMAPD = 3
LF_HTACCESS = 3
LF_MODSEC = 3

เปลี่ยน port ssh ข้อนี้ต้องเข้าใจว่ากำลังทำอะไร ไม่งั้นเข้า ssh ไม่ได้แล้วจะซวย 

เลือก port ที่อยากจะเปลี่ยน แล้วไปเพิ่มใน csf config (Firewall) ก่อน ไม่งั้นหากเปลี่ยน port แล้ว firewall มันบล๊อค port จะเข้า ssh ไม่ได้ แก้แล้วสั่ง restart firewall (ทำได้จากหน้า DirectAdmin)

เปลี่ยน port โดยไปแก้ไฟล์ /etc/ssh/sshd_config

ตรงชื่อไฟล์ดูดีๆ มันมีสองไฟล์ ssh_config / sshd_config

เอา # ออก port 22 > port xxxx ตั้งอะไรก็ว่าไป (ที่ไปแก้ใน Firewall ให้ allow ไว้แล้ว)

protocal แก้เอาแค่ 2

Protocol 2

เซฟแล้วรัน sshd ใหม่

service sshd restart

อย่าเพิ่งออกจากระบบ ให้เทสโดยการสร้างการเชื่อมต่อใหม่มาก่อน ด้วย config port ใหม่ (จะได้ชัวร์ว่าเข้าได้)

 

Check list

Config SSHD โฮสลง เราเปลี่ยน port / เลือก protocal

Install Screen
Setup DirectAdmin โฮสทำให้
Install ZendOptimizer
Install eAccelerator / xcache
ClamAV ตัวแอนตี้ไวรัส
Config Exim to ClamAV (exim_clam)
Install MRTG / Munin
Config Firewall Rules อันนี้เลือกใช้ CSF (DirectAdmin)
Install Spamassassin (./spam.sh) ตัวกันแสปมเมล์ / ลงนาน อาจต้องลง perl lib เพิ่ม
Config Spamassassin (exim.conf)
Dovecot – Exim หากไม่ได้ใช้ก็ปิด service ไปเลย (ส่งเมล์)

Install Freetype
Install GD
PHP.INI Disable_functions
Mod_Security
Mod_Evasive
Mod Perl
Chkrootkit / Rkhunter
BFD Monitoring Tool with Firewall Integrated
Config Webmail support Thai
Webmail.Domainname.com
enable realtime blocklists (RBLs)
enable Spamassin for new accounts
Log 90 Day http ftp access
Tune Apache
Tune MySql

http://duntuk.com/new-server-checklist-directadmin-2009

เนื้อหาที่เกี่ยวข้อง :

Leave a Reply

Your email address will not be published. Required fields are marked *