|
Serwer www w spadku - Instalacja i konfiguracja Debiana
desk00 - 03-11-2009 20:56
Witam. Chciałbym z Wami podyskutować na temat mojego problemu. Zacznijmy od początku. Ostatnio natknąłem się na pewną ofertę pracy, a mianowicie administrowanie ,,drobnym'' serwerem pewnej szkoły. Wydaję się, że praca wręcz idealna dla mnie, ponieważ na co dzień się jeszcze uczę. Linuksa poznawałem na własną rękę, czytając, używając na co dzień, uczestnicząc w forach. Myślę, że administrowanie Linuksa na poziomie ,,domowego komputera'' opanowałem dosyć dobrze. Dlatego pomyślałem, że taka praca dałaby mi dodatkowe doświadczenie w bardziej ,,zaawansowanym'' używaniu Linuksa. Poszedłem na rozmowę i dostałem się na okres próbny. Poprzedni admin pokazał mi pobieżnie co i jak:l- serwer www jest na Fedorze 11, - ma zainstalowane środowisko graficzne (gnome), - zainstalowana jest już na nim platforma Moodle, którą też miałbym się zajmować, - ustawiony jest dostęp poprzez ssh (także mogę się logować poprzez putty z domu), - daemony resetują się co 12h.l
Jednak osoba, która się tym serwerem zajmowała (nie jest informatykiem, raczej ,,adminem z przymusu'') opowiedziała mi, że czasami serwer sam się wyłącza i wtedy trzeba go ręcznie włączyć. Następnie utworzył mi użytkownika, przekazał wszystkie potrzebne hasła. Następnego dnia zasiadłem do tego serwera i chciałem zobaczyć co i jak. Troszkę popracowałem już w tym moodle (póki co to jest priorytet, żeby działało). Wszystko ładnie, pięknie chodzi, aż tu pewnego dnia serwer padł, czyli stało się to o czym mi opowiadano. Długo myślałem nad tym, co może być przyczyną, przejrzałem logi systemowe i zauważyłem, że były próby logowania się z IP z Chin, Tajlandii, RPA. Próbowali, próbowali, aż pewnie się im udało, przez co serwer leży. Nie wiem czy to słuszna diagnoza? Jak myślicie? Zapewne serwer był niezabezpieczony.
Dlatego chciałbym się do tego wszystkiego zabrać od nowa:l- zainstalować Debiana (bardziej mi podpada, wydaje mi się, że lepiej spełnia się na serwerze, no i ma myślę większe wsparcie techniczne), - pozbyć się środowiska graficznego, - zainstalowanie apache, MySQL, PHP, - zainstalowanie moodle.l
To myślę, że pójdzie mi bez problemu. Chciałem natomiast Was zapytać, w jaki sposób zabezpieczyć ten serwer, żeby nikt mi się na niego nie włamywał (prosiłbym o pomoc przy firewallu, ustawianiu ,,restartu deamonów'', uniemożliwieniu włamania się). Myślicie, że jak sobie już z tym poradzę, to problem padającego serwera zniknie? Czy to raczej wina czegoś innego (ewentualnie w jakich logach szukać wskazówki)? Aha i czy mogę w jakiś sposób zachować bieżący serwer i w razie czego znowu do niego powrócić?
Prosiłbym Was o opinie, rady i pomoc. Pozdrawiam i z góry dziękuję.
KeFaS - 04-11-2009 02:06
Poczytaj o iptables (dobrze by było, jakbyś sam umiał napisać skrypt firewalla dla Twojego serwera, w sieci jest pełno przykładów) i o fail2ban. Ustaw też serwer SSH, żeby nasłuchiwał na jakimś wysokim porcie. Dzięki temu trochę odciążysz serwer z "lame skanerów", które sprawdzają tylko na standardowym 22, a takiego np. 19673 już nie. No i odetnij bezpośredni dostęp do roota przez SSH (czyli w pliku konfiguracyjnym serwera SSH ustaw PermitRootLogin "no"). Będziesz się wtedy logować przez SSH tylko na zwykłego użytkownika, a później w razie potrzeby na roota przez su.
Ister - 04-11-2009 09:01
Istnieją różne narzędzia do tworzenia kopii/obrazu dysku, które w razie czego pozwalają odtworzyć system w stanie sprzed "rozrabiania". Na początek przychodzą mi do głowy dd i partimage. Szczególnie to drugie, polecam poczytać tu. Do tego spisz sobie dokładnie tablicę partycji i będziesz w stanie odtworzyć idealnie system.
Oczywiście wszelkie tego typu zmiany (tzn przeinstalowanie całego systemu, wprowadzania drobnych zabezpieczeń w stylu firewall nie musisz) uzgadniasz z dyrekcją? ;-)
Utumno - 04-11-2009 17:46
Przede wszystkim radze Ci ze wszystkiego dokładnie utworzyć kopie zapasowe. Po przeinstalowaniu zawsze się okazuje, że na poprzednim systemie jednak było parę plików, które teraz przydałyby się jak diabli :)
I po instalacji Debiana, gorąco polecam aby pierwszą rzeczą jaką zrobisz też było uruchomienie tworzenia kopii zapasowej danych i upewnienie się, że działa.
zanotowane.pldoc.pisz.plpdf.pisz.plminister.pev.pl
|