VPS-info.nl

Security is key. Er bestaan geen publieke servers meer die niet blootgesteld worden aan de kwade buitenwereld. Server logs staan vol met pogingen om in te breken en kwaad te doen. Maar hoe kun je deze pogingen nu het beste tegengaan? In het onderstaande voorbeeld wordt uitgegaan van een vrij standaard VPS configuratie met CentOS 5 en een volledige DirectAdmin installatie (Custombuild). Het is wel een vrij algemene set tips, dus veel informatie zal uitwisselbaar zijn met andere opstellingen.

Een zeer goede en eenvoudige mogelijkheid is het installeren van het pakket ELS (Easy Linux Security), speciaal opgezet voor gebruik met zowel DirectAdmin als cPanel. Volg de onderstaande stappen (als root):

# cd /var/tmp
# wget -O installer.sh http://els.web4host.net/installer.sh; chmod +x installer.sh; sh installer.sh

ELS is erg uitgebreid en het is aan iedere server admin om te bepalen welke stappen hij wil ondernemen om zijn server goed te beveiligen. Heb je echter erg veel vertrouwen in de makers van ELS, voer dan gewoon het volgende commando uit (als root):

# els –vps
// Hierboven moeten dubbele streepjes staan, niet elke browser lijkt dat op de juiste manier over te nemen, type gewoon “els” voor een lijst met commando’s

Dan zullen alle veiligheidsmaatregelen passend bij een VPS voorgesteld worden. Je kunt zelf kiezen welke wel en welke niet geinstalleerd worden. Het gaat dan onder andere om een firewall, pakketten om rootkits op te sporen, een aantal applicaties worden beter geconfigureerd, belangrijke bestanden beschermd, directe root access wordt uitgeschakeld en meer. Een zeer handig pakket dat je veel werk kan schelen. Uiteraard hoeft ELS niet alles op de manier te doen waarop je het graag doet. Kies bijvoorbeeld je eigen firewall of configureer hem zoals jij dat wil. Trek echter wel lering uit alles wat ELS doet, elke maatregel heeft een reden.

E-mail virussen

Om virussen in e-mail tegen te gaan wordt vaak gebruik gemaakt van ClamAV. Dat doen we (op een CentOS server) als volgt (inloggen als root):

# cd /var/tmp
# wget http://packages.sw.be/clamav/ [de-laatste-clamav-versie] .rpm
# wget http://packages.sw.be/clamav/ [de-laatste-clamd-versie] .rpm
# rpm -Uvh clamav-versie.rpm
# rpm -Uvh clamd-versie.rpm
# nano /etc/crontab

voeg toe: 50 * * * * /usr/bin/freshclam –quiet (pas de 50 zo aan dat hij niet samenvalt met een andere cronjob)
ctrl-x -> y(es)

# clamd start
# chkconfig clamd on
# freshclam // hiermee update je de virusdefinities, niet noodzakelijk omdat de cronjob het ook al doet
# nano /etc/exim.conf

Voeg bovenaan toe (voor primary_hostname):
av_scanner = clamd:127.0.0.1 3310
Zoek dan (ctrl-W) naar:

# ACL that is used after the DATA command
check_message:
accept

en verander dat naar:

# ACL that is used after the DATA command
check_message:
# Virus Check
deny message = This message contains a virus or other malware ($malware_name)
demime = *
malware = *
accept

ctrl-x -> y

# service exim restart

Dat zou het moeten doen. Voor hulp bij problemen verwijs ik je naar de bron van bovenstaande handleiding.

Spam

Spam is de grootste “pain in the ass” waar moderne webhosts mee te maken hebben. Gelukkig kent DirectAdmin een zeer doeltreffend, specifiek voor DA ontwikkeld anti spam pakket om bijvoorbeeld naast de gebruikelijke SpamAssasin te gebruiken. Het heet SpamBlocker en is in feite een aangepaste exim.conf file specifiek bedoeld om spam te weren. Het is te gebruiken in combinatie met SpamAssassin, verwijder dan even de comment-tags voor de SpamAssassin regels in je exim.conf file. Alle domeinen die je wil laten scannen door SpamBlocker voeg je toe in /etc/virtual/use_rbl_domains.

LET OP: De meegeinstalleerde versie van SpamBlocker is op het moment van spreken achterhaald. Wil je echt up-to-date zijn, installeer dan zelf met behulp van de instructies de nieuwste SpamBlocker. Houd wel goed rekening met ClamAV, SpamAssassin en andere customisaties aan je huidige exim.conf.

Wees een goede sysadmin

Uiteindelijk ben je zelf altijd verantwoordelijk voor de veiligheid van de server. Denk niet dat je server 100% veilig is na het volgen van bovenstaande stappen. Ik ben hierboven ongetwijfeld zaken vergeten en daarnaast ontwikkelen ook kwaadwillenden zich altijd zo dat er weer nieuwe gaten in de muur gedicht moeten worden. Houd je systeem up-to-date en controleer je logs regelmatig. Een enkel onveilig (php-)script kan al voor enorme problemen zorgen. Weet wie je toelaat op je servers en zorg dat als zij er niets meer te zoeken hebben, zij ook geen toegang meer hebben. Verander al je eigen wachtwoorden regelmatig en deel ze met niemand.