Sunucunuzda yapabileceğiniz güvenlik ve optimizasyon ayarları (Başlangıç Seviyesi)
Sunucunuzda yapabileceğiniz güvenlik ve optimizasyon ayarları (Başlangıç Seviyesi)
Merhaba,
Aşağıdaki yazımda elimden geldiğince saldırılara karşı kendinizi nasıl koruyacağınızı ve *NIX sunucunuzu optimize edeceğimizi anlatmaya çalışacağım.
* Sunucunuzda yapacağınız her işlem kendi sorumluluğunuz altındadır.
Kabul ediyorsanız dökümanı uygulamaya başlayabilirsiniz. Doğabilecek her türlü problemde sorumluluk kabul etmeyeceğimi, ancak aynı olayları manage ettiğimiz ve kendi kullandığımız sunucularda kullandığımızı bilmenizi isterim.
A) APF + BFD kurulum.
B) AntiDOS ve Brute Attack korunma ve bildirme yolu (BFD ile)
C) OpenDNS açıklarını kapatmak
D) Çift kademede ile root olma (SSH'da)
E) SIM kurulum ve ayarlama (cPanel için)
F) Birkaç küçük ayar
G) mySQL Optimizasyon (my.conf)
H) Zend Optimizer kurulum (cPanel için)
A) APF + BFD kurulumu
* Sunucumuza root olarak giriş yaptıktan sonra herhangi bir yerde (/root olabilir)
wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz komutunu çalıştırarak APF'nin şu anki sürümünü indiriyoruz.
* tar -xvzf apf-current.tar.gz
Komutu ile sıkıştırılmış dosyayı açıyoruz.
* cd apf-0.9.5-1
komutu ile klasöre giriş yapıyoruz (sürüm değişikse klasör adı değişik olabilir)
* ./install.sh
komutu ile kurulumu başlatıyoruz.
-------------------------------------------------------------------
Installing APF 0.9.5-1: Completed.
Installation Details:
Install path: /etc/apf/
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/
Other Details:
Listening TCP ports: 1,21,22,25,53,80,110,111,143,443,465,993,995,2082, 2083,2086,2087,2095,2096,3306
Listening UDP ports: 53,55880
Note: These ports are not auto-configured; they are simply presented for information purposes. You must manually configure all port options.
----------------------------------------------------------------------
Yukarıdaki yazıyı gördükten sonra, pico /etc/apf/conf.apf komutu ile konfigürasyon dosyasını düzenliyoruz.
USE_DS="0" satırını bulup USE_DS="1" şeklinde değiştiriyoruz. Konfigürasyon dosyasından bu satırları bulup, olduğu gibi değiştirin.
# Common ingress (inbound) TCP ports -3000_3500 = passive port range for Pure FTPD
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,2082,208 3, 2086,2087, 2095, 2096,3000_3500"
#
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS="53"
-----------------------------------------------------------------------
# Egress filtering [0 = Disabled / 1 = Enabled]
EGF="1"
# Common egress (outbound) TCP ports
EG_TCP_CPORTS="21,25,80,443,43,2089"
#
# Common egress (outbound) UDP ports
EG_UDP_CPORTS="20,21,53"
Daha sonra, CTRL + X tuşlarına basarak Y tuşu ile onaylayıp konfigürasyon dosyasını kaydedin..
/usr/local/sbin/apf -s komutunu çalıştırın, ardından pico /etc/apf/conf.apf komutu ile konfigürasyon dosyasını yeniden düzenlemeye açın. DEVM="1" satırını bulup, DEVM="0" olarak değiştirin..
/usr/local/sbin/apf -r komutu ile APF'yi yeniden başlatın ve firewall'ınız çalışmaya başlasın...
chkconfig --level 2345 apf on komutu ile APF'nizi başlangıca yerleştirin ki her reboot'tan sonra otomatik başlasın.
BFD Kurulumu
* Sunucumuza root olarak giriş yaptıktan sonra herhangi bir yerde (/root olabilir)
wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz komutunu çalıştırarak BFD'nin şu anki sürümünü indiriyoruz.
tar -xvzf bfd-current.tar.gz
cd bfd-0.7
./install.sh
Komutlarını sırayla çalıştırın, aşağıdaki yazıyı göreceksiniz..
.: BFD installed
Install path: /usr/local/bfd
Config path: /usr/local/bfd/conf.bfd
Executable path: /usr/local/sbin/bfd
Bu yazıyı gördükten sonra konfigürasyon dosyasını düzenlemeye geçiyoruz.
pico /usr/local/bfd/conf.bfd
ALERT_USR="0" satırını bulup ALERT_USR="1" olarak değiştirin.
EMAIL_USR="root" kısmındaki root'u silip mail adresinizi yazın (gmail, hotmail vb adresler kullanmanızı öneririm)
CTRL + X ve Y tuşlarına basarak konfigürasyon dosyasını kaydedin ve /usr/local/sbin/bfd -s komutu ile BFD'yi çalıştırın
Sunucunuzda yapabileceğiniz güvenlik ve optimizasyon ayarları (Başlangıç Seviyesi)
Merhaba,
Aşağıdaki yazımda elimden geldiğince saldırılara karşı kendinizi nasıl koruyacağınızı ve *NIX sunucunuzu optimize edeceğimizi anlatmaya çalışacağım.
* Sunucunuzda yapacağınız her işlem kendi sorumluluğunuz altındadır.
Kabul ediyorsanız dökümanı uygulamaya başlayabilirsiniz. Doğabilecek her türlü problemde sorumluluk kabul etmeyeceğimi, ancak aynı olayları manage ettiğimiz ve kendi kullandığımız sunucularda kullandığımızı bilmenizi isterim.
A) APF + BFD kurulum.
B) AntiDOS ve Brute Attack korunma ve bildirme yolu (BFD ile)
C) OpenDNS açıklarını kapatmak
D) Çift kademede ile root olma (SSH'da)
E) SIM kurulum ve ayarlama (cPanel için)
F) Birkaç küçük ayar
G) mySQL Optimizasyon (my.conf)
H) Zend Optimizer kurulum (cPanel için)
A) APF + BFD kurulumu
* Sunucumuza root olarak giriş yaptıktan sonra herhangi bir yerde (/root olabilir)
wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz komutunu çalıştırarak APF'nin şu anki sürümünü indiriyoruz.
* tar -xvzf apf-current.tar.gz
Komutu ile sıkıştırılmış dosyayı açıyoruz.
* cd apf-0.9.5-1
komutu ile klasöre giriş yapıyoruz (sürüm değişikse klasör adı değişik olabilir)
* ./install.sh
komutu ile kurulumu başlatıyoruz.
-------------------------------------------------------------------
Installing APF 0.9.5-1: Completed.
Installation Details:
Install path: /etc/apf/
Config path: /etc/apf/conf.apf
Executable path: /usr/local/sbin/apf
AntiDos install path: /etc/apf/ad/
AntiDos config path: /etc/apf/ad/conf.antidos
DShield Client Parser: /etc/apf/extras/dshield/
Other Details:
Listening TCP ports: 1,21,22,25,53,80,110,111,143,443,465,993,995,2082, 2083,2086,2087,2095,2096,3306
Listening UDP ports: 53,55880
Note: These ports are not auto-configured; they are simply presented for information purposes. You must manually configure all port options.
----------------------------------------------------------------------
Yukarıdaki yazıyı gördükten sonra, pico /etc/apf/conf.apf komutu ile konfigürasyon dosyasını düzenliyoruz.
USE_DS="0" satırını bulup USE_DS="1" şeklinde değiştiriyoruz. Konfigürasyon dosyasından bu satırları bulup, olduğu gibi değiştirin.
# Common ingress (inbound) TCP ports -3000_3500 = passive port range for Pure FTPD
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,2082,208 3, 2086,2087, 2095, 2096,3000_3500"
#
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS="53"
-----------------------------------------------------------------------
# Egress filtering [0 = Disabled / 1 = Enabled]
EGF="1"
# Common egress (outbound) TCP ports
EG_TCP_CPORTS="21,25,80,443,43,2089"
#
# Common egress (outbound) UDP ports
EG_UDP_CPORTS="20,21,53"
Daha sonra, CTRL + X tuşlarına basarak Y tuşu ile onaylayıp konfigürasyon dosyasını kaydedin..
/usr/local/sbin/apf -s komutunu çalıştırın, ardından pico /etc/apf/conf.apf komutu ile konfigürasyon dosyasını yeniden düzenlemeye açın. DEVM="1" satırını bulup, DEVM="0" olarak değiştirin..
/usr/local/sbin/apf -r komutu ile APF'yi yeniden başlatın ve firewall'ınız çalışmaya başlasın...
chkconfig --level 2345 apf on komutu ile APF'nizi başlangıca yerleştirin ki her reboot'tan sonra otomatik başlasın.
BFD Kurulumu
* Sunucumuza root olarak giriş yaptıktan sonra herhangi bir yerde (/root olabilir)
wget http://www.rfxnetworks.com/downloads/bfd-current.tar.gz komutunu çalıştırarak BFD'nin şu anki sürümünü indiriyoruz.
tar -xvzf bfd-current.tar.gz
cd bfd-0.7
./install.sh
Komutlarını sırayla çalıştırın, aşağıdaki yazıyı göreceksiniz..
.: BFD installed
Install path: /usr/local/bfd
Config path: /usr/local/bfd/conf.bfd
Executable path: /usr/local/sbin/bfd
Bu yazıyı gördükten sonra konfigürasyon dosyasını düzenlemeye geçiyoruz.
pico /usr/local/bfd/conf.bfd
ALERT_USR="0" satırını bulup ALERT_USR="1" olarak değiştirin.
EMAIL_USR="root" kısmındaki root'u silip mail adresinizi yazın (gmail, hotmail vb adresler kullanmanızı öneririm)
CTRL + X ve Y tuşlarına basarak konfigürasyon dosyasını kaydedin ve /usr/local/sbin/bfd -s komutu ile BFD'yi çalıştırın
