Guia de montar dedicado i proteger el server full proteccion

Teklis

Teklis Baneado Última edición por

os dejo esta guia que con esta guia podreis proteger el server full e.e comrpobado por mi

Hola a todos primero quiero decir que esta guia es 100%testeada y estara muy bien explicada.Empecemos:

Los servidores dedicados para los que no saben se manejan con putty el cual se los dejare en adjunto.
Entramos a putty y accedemos a el dedicado. Escribimos lo siguiente:

CÓDIGO: SELECCIONAR TODO
# portsnap fetch extract

Esperamos un rato a que termine y luego ponemos lo siguiente:
CÓDIGO: SELECCIONAR TODO
# cd /usr/ports/databases/mysql55-server/
# make install clean

Nos saldra un menu que hacemos
bueno apretamos escape empesara a cargar y volvera el mismo menu,
iremos a cancel, cargara devuelta y cuando termine ponemos lo siguiente:

CÓDIGO: SELECCIONAR TODO
# ee /etc/rc.conf

Vamos avajo del todo con la flechita y en una nueva linea escribiremos
CÓDIGO: SELECCIONAR TODO
# mysql_enable="YES"

Apretamos escape 2 veces la "A" asi se guarda y escribimos:

CÓDIGO: SELECCIONAR TODO
# reboot

Ahora accedemos al sevidor devuelta escribimos lo siguiente:

CÓDIGO: SELECCIONAR TODO
# sysinstall

Nos saldrá un menu esten atentos adonde iremos:
CÓDIGO: SELECCIONAR TODO
configure-> distributions->lib32>FTP>Main site. apretamos yes.

#su = activa en el mod ssh admin

Las que estan dentro de la carpeta usrlib32 ira en cd /usr/lib32.
Las que estan dentro de la carpeta usrlib iran en cd /usr/lib.
Las que estan dentro de libxec iran en cd /libxec.

Bueno una ves que las ayamos puesto escribimos en putty lo siguiente:
# cd /usr/ports/misc/compat7x
# make install clean

Intalacion de mysql
cd /usr/ports/databases/mysql51-server/
make install WITH_XCHARSET=all clean
/usr/local/bin/mysql_install_db
chown -R mysql /var/db/mysql/
chgrp -R mysql /var/db/mysql/

Host# mysqladmin -u root password 12345

mysql -u root -p

mysql> GRANT ALL PRIVILEGES ON *.* TO root@"%" IDENTIFIED BY '12345' WITH GRANT OPTION;

FLUSH PRIVILEGES;

exit;

Proteccion firewall

Bueno como algunos sabran hace tiempo postee un firewall llamado ipfw, pero el proceso se les hacia complicado a muchas personas, y recibi muchos mp, ademas de que algunos archivos caducaron los enlaces y no tengo copias de respaldo, por esa razón vengo a postear esta protección, para que sus servidores esten los mejor protegidos posible.

La protección que les voy a enseñar en este post consta de el firewall normal del FreeBSD configurado de la manera más efectiva para servidores de metin2 en conjunto con el PF (Packet Filter) el cual mediante varios tipos de instrucciones es un gran aliado, y talvez la mejor protección en FreeBSD.

Lo primero que debemos hacer es editar el kernel, escribiendo lo siguiente en la maquina virtual :

ee /usr/src/sys/i386/conf/GENERIC

Ahora cuando estemos en el archivo del kernel, vamos al final de todo lo más abajo, y escriben esto :

#PF Firewall
device pf
device pflog
device pfsync
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=1000
options IPDIVERT
options IPFIREWALL_DEFAULT_TO_ACCEPT
options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_PRIQ
options ALTQ_NOPCC

La primera linea es solo para identificar que esa parte es del PF, y los espacios entre device y lo demas se hacen presionando dos veces tabulador.

Ahora debemos compilar el kernel, lo cual hacemos de la siguiente forma :

cd /usr/src
make buildkernel KERNCONF=GENERIC
cuando les permita escribir denuevo ponene esto
cd /usr/src
make installkernel KERNCONF=GENERIC

Ahora pasamos a editar el archivo de rc.conf escribiendo esto en la maquina :

ee /etc/rc.conf

Ya dentro de este archivo vamos al final lo más abajo y escribimos esto :

pf_enable="YES"
pflogd_enable="YES"
pflog_logfile="/var/log/pflog"
pf_rules="/etc/pf.conf"
firewall_enable="YES"
firewall_script="/etc/firewall.rules"

Una vez escrito esto presionamos Esc y tecleamos dos veces a para guardar los cambios.

Ahora debemos pasar a crear los archivos firewall.rules y pf.conf en la carpeta etc, Yo aca les dejare los archivos con las reglas que me que convenian más, solo transfieran lso archivos via ftp a su servidor.

firewall.rules : en este archivo tome en cuenta la protección de todos los puertos de juego ademas de todos los posibles puertos extra utilizados, como el 80 por si tienen la web en el mismo servidor, el 22 y 21 para ftp y ssh .

IPF="ipfw -q add"
ipfw -q -f flush

##Custom-Rules
#P2P Ports
$IPF 4 allow all from me to any 14000
$IPF 5 allow all from 127.0.0.0/8 to any 14000
$IPF 6 deny all from any to me 14000
$IPF 7 allow all from me to any 14001
$IPF 8 allow all from 127.0.0.0/8 to any 14001
$IPF 9 deny all from any to me 14001
$IPF 10 allow all from me to any 14099
$IPF 11 allow all from 127.0.0.0/8 to any 14099
$IPF 12 deny all from any to me 14099
$IPF 13 allow all from me to any 12000
$IPF 14 allow all from 127.0.0.0/8 to any 12000
$IPF 15 deny all from any to me 12000
#Game Ports
$IPF 16 allow all form any to me 11002
$IPF 17 allow all from any to me 13000
$IPF 18 allow all from any to me 13001
$IPF 19 allow all from any to me 13099
#Dienste
$IPF 20 allow all from any to me 3306
$IPF 21 allow all from any to me 80
$IPF 22 allow all from any to me 21

##Standart Regeln
$IPF 10000 allow all from any to any via lo0
$IPF 20000 deny all from any to 127.0.0.0/8
$IPF 30000 deny all from 127.0.0.0/8 to any
$IPF 40000 allow all from any to any

Si alguien tiene una sugerencia hágala llegar y la tomare en cuenta.

pf.conf : Aca he intentado llegar a la configuración que tenga una mayor vigilancia sobre todos los posibles puertos en uso en el servidor, no creo que sea perfecta pero hice lo que pude XD recolecte gran cantidad de información y pues edite según lo que crei más conveniente, si quieren mejorar la configuración ustedes mismos y entender la que ya esta, leanse esto :
[http://www.openbsd.org/faq/pf/es/config.html][0]">[http://www.openbsd.org/faq/pf/es/config.html][1]

Aca el archivo :

### INTERFACES ###
if = "{ em0 }"

#Intra
table { 127.0.0.1 }
pass in quick from to any keep state

#Network
table persist
block quick from
pass in on $if proto tcp from any to any \
keep state (max-src-conn 100, max-src-conn-rate 15/1, \
overload flush global)

Luego de meter este archivo en al carpeta etc, hacen este comando en al maquina virtual para cargarlo :

pfctl -f /etc/pf.conf

Por ultimo deben crear dos archivos, primero el que servira de log para el pf, solo creen un archivo llamado pflog(asi sin ninguna extensión) en la ruta /var/log/ y crean un archivo llamado blacklist en la ruta /var/db/ .

Hecho esto hacen reboot y deberia estar todo listo.

Y como ya dije cualquier sugerencia en las reglas, son bien aceptadas ya que no soy la ultima palabra en esto, cualquier mejora es bein recibida.

instalar _ apache
[http://foro.universojuegos.es/viewtopic.php?f=68&t=6967][0]">viewtopic.php?f=68&t=6967

instalar apache

Freebsd 8.x: Como instalar apache con php.
Bien vamos hacer esto que es algo comun de encontrar, apache con php.

Aqui nos vamos a ir por apache22 /usr/ports/www/apache22 y /usr/ports/lang/php5.

Para apache cuando les aparezca la pantalla de configuracion para make, elijan las opciones que crean convenientes, existen muchas que el puro nombre nos dice la funcion que van a llevar a cabo, yo en lo personal aun no veo la necesidad de usar IPv6 asi que la desmarco.

Una vez hecho esto dejamos que continue el proceso de instalacion.

Aqui necesitamos hacer 2 cosas:

1; Configurar el archivo httpd.conf.
2; Configurar rc.conf.

httpd.conf esta en? donde instala FreeBSD la configuracion de sus ports?...

/usr/local/etc/

Apache dentro de esta ruta coloca un folder con su nombre "apache22", ahi dentro encontramos todos sus archivos de configuracion.

Abrimos el httpd.conf y editamos estas opciones:

Listen 192.168.50.125:80

Aqui colocamos el IP de nuestro servidor, como podran ver ahi esta el mio.

ServerName hostname.mi dominio:80

Aqui tenemos 2 cosas, si tienen un dns y tienen esta maquina registrada adelante aqui pongan el nombre, yo uso pfsense como fw asi que el tiene esa funcion habilitada por ello la puedo usar. De lo contrario si no tiene registrado el nombre en su red, solo denlo de alta en /etc/hosts y aqui pongan su IP en vez del nombre.

Listo, ahora para que FreeBSD pueda arrancar apache cada que reiniciemos el sistema debemos dar de alta ciertos parametros en /etc/rc.conf, asi:

apache22_enable="YES"

Si abren el archivo /usr/local/etc/rc.d/apache22 van a encontrar en la cabecera mas parametros, si los conocen usenlos, de lo contrario cuando entiendan su funcion ya saben donde deben de usarlos (/etc/rc.conf).

Ya con esto podemos arrancar apache asi:

/usr/local/etc/rc.d/apache22 start

Checamos:

bsd8# sockstat -4 USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS www httpd 2516 3 tcp4 192.168.50.125:80 *:* www httpd 2515 3 tcp4 192.168.50.125:80 *:* www httpd 2514 3 tcp4 192.168.50.125:80 *:* www httpd 2513 3 tcp4 192.168.50.125:80 *:* www httpd 2512 3 tcp4 192.168.50.125:80 *:* www httpd 2511 3 tcp4 192.168.50.125:80 *:* www httpd 2510 3 tcp4 192.168.50.125:80 *:* www httpd 2509 3 tcp4 192.168.50.125:80 *:*
Ahi esta en operacion apache.

Ahora sigue php5, en los ports existe uno de nombre php5-extensions localizado en:

/usr/ports/lang/

Este fue creado para administrar todos los modulos habidos y por haber de phpx (4/5), asi que vamos sobre el.

cd /usr/ports/lang/php5-extensions
make install clean

Lo mismo que apache, cuando les aparezca el menu de opciones activen y desactiven las convenientes, esto puede tardar segun sus elecciones y ademas los ports necesarios pueden tener las propias en especial php5-gd.

Cuando el sistema llegue a la instalacion de php5, no se les vaya a pasar activar la opcion que dice:

APACHE Build Apache module

De lo contrario no se compilara el modulo php para apache.

Una vez que haya terminado todo el proceso, debemos llevar a cabo ciertos pasos, nada es sencillo pero es necesario conocer como opera todo y mas cuando estan en tus manos servidores 7x24.

Ahora nos vamos de nuevo a /usr/local/etc/, ahi tenemos estos archivos:

php.conf
php.ini-recommended php --> directorio php.ini-dist
php.ini-recommended

Necesitamos el php.ini que es la configuracion general de php, para ello la vamos a sacar de php.ini-recommended.

cp php.ini-recommended php.ini

En este archivo vamos a editar solo 1 parametro el cual nos va a permitir a nosotros codificar nuestros scripts php en la forma:

NOTA:blogger no me permite usar codigo php, ustedes saben como van.

Abran php.ini y coloquen este parametro asi:

short_open_tag = On

Salven el archivo y ahora seguimos con apache, abran de nuevo el archivo httpd.conf y vamos a agregar los siguientes parametros.

1; Busquen esta linea, aqui nos indica si php instalo el modulo para apache:

LoadModule php5_module libexec/apache22/libphp5.so

Si no existe la agregan a el final de todos los modulos aproximadamente linea 104.

2; Busquen el parametro DirectoryIndex y agreguen index.php, algo asi:

DirectoryIndex index.php index.html index.htm

Aproximadamente linea 216.

3; Ahora busquen los mime_modules ya agreguen a el final esto:

AddType application/x-httpd-php .php AddType application/x-httpd-php-source .phps

Listo, ahora necesitamos reiniciar apache y probar php. Para probar creamos un archivito de nombre test.php y lo colocamos en nuestro documentroot(/usr/local/www/apache22/data), el archivo solo debe llevar esta funcion:

phpinfo();

NOTA: Entre llaves para codigo php de favor.

Reiniciamos apache y probamos en su navegador el archivo, nos debe arrojar los modulos de php habilitados, algo asi:

Claro que esto es solo parte de la salida.

Si por alguna razon rara no les aparece esto y el navegador se queda en blanco, les recomiendo apagar apache y iniciarlo de nuevo, o sea:

/usr/local/etc/rc.d/apache22 stop
/usr/local/etc/rc.d/apache22 start

Le intentan de nuevo, si aun siguen con problemas.

Abran el log de apache(/var/log/httpd-error.log) para ver si les arroja algun error, aun no tenido errores con esto, pero si ustedes ven algo raro hagamenlo saber, el mio solo dice

[Mon Jan 25 08:11:41 2010] [notice] Apache/2.2.14 (FreeBSD) mod_ssl/2.2.14 OpenSSL/0.9.8k DAV/2 PHP/5.2.12 with Suhosin-Patch configured -- resuming normal operations

Si ustedes tiene el mismo mensaje, bueno como ultimo recurso, que no deberia pero me ha pasado, reinicien su equipo...

Saludos!!!

Instalando Mod evasive

cd /usr/ports/www/mod_evasive

make install clean

ya una vez instalado el mod evasive se añade una linea en httpd.conf

LoadModule evasive20_module /usr/lib/httpd/modules/mod_evasive20.so

DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10

ver quien ase un ataqeu ddos a tu host local

netstat -na | awk '{print $5}' | cut -d. -f1-4 | sort -n | uniq -c | sort -n

Instalar php5

Paso 1 INSTALANDO APACHE (el servidor web)
cd /usr/ports/www/apache22
make install clean

ee /etc/rc.conf
agregar:
apache22_enable="YES"
Escape luego dos veces a (para salir y guardar)

paso 2 INSTALANDO PHP (lenguaje para las web desarrollados en php) index.php

cd /usr/ports/lang/php52
make install clean
activar el modulo de apache

al terminar instalamos las extensiones
cd /usr/ports/lang/php52-extensions
make install clean
activar lo que necesites o simplemente sigues por defecto

Para generar php ini
cp /usr/local/etc/php.ini-dist /usr/local/etc/php.ini

PARA TERMINAR
ee /usr/local/etc/apache22/httpd.conf

modificar o remplazar
DirectoryIndex index.html
por
DirectoryIndex index.php index.html

Agregar
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps

Escape luego dos veces a (para salir y guardar)

EN
ee /usr/local/etc/apache22/extra/httpd-languages.conf
AGREGAR
AddDefaultCharset On

Escape luego dos veces a (para salir y guardar)

Si tienes instalado el gnome como indico en mi anterior guia de ENTORNO DE ESCRITORIO EN FREEBSD
solo ve a la carpeta de cada archivo y realiza los cambios que se necesita
ejemplo
ee /etc/rc.conf
en la carpeta etc se encuentra el archivo rc.conf
y agrego o modifico el archivo que contiene rc.conf

ee /usr/local/etc/apache22/httpd.conf
httpd.conf
se encuentra dentro de apache22
apache22 esta dentro de etc
atc esta dentro de local
local esta dentro de usr

osea empiezas desde usr hasta llegar a la carpeta de apache22

alguna duda o sugerencia no tenga miedo pregunte

¿Donde colocar el archivo de la web?
en cd /usr/local/www/pache22/data/ (dentro de ella puedes colocar tu web)

Los file de daroo tienen apache php instaladado, los de kay331 no los probe nunca: pero si sale un error al instalar debe de estar instalado solo ve a la carpeta cd /usr/locale/etc/ dentro de ella encontraras los archivos de php verifica si esta php.ini sino esta
debe de haber un arhivo o un par de archivos php.ini-dist php.ini-example u otro con esa caracteristicas php.ini-xxxxx donde xxxxx es cualquer frase al momento de crear atravez del terminal
cp /usr/local/etc/php.ini-xxxxx /usr/local/etc/php.ini
aplicas esto para crear el php.ini
ahora sino se sabe que php easta instalado yo utelice el php52 del port
ve a cada carpeta donde se encuentra el php
Ej:
cd /usr/ports/lang/php5
make deinstall clean
para desinstalar
cd /usr/ports/lang/php5-extensions
make deinstall clean
para desinstalar
cd /usr/ports/lang/php52
make deinstall clean
para desinstalar
cd /usr/ports/lang/php52-extensions
make deinstall clean
para desinstalar
recuerda

[0]: <a href=
[1]: http://www.openbsd.org/faq/pf/es/config.html

luis291997

luis291997 Última edición por

MEN NO LE HE PROBADO PERO SE VE QEU ESTA BIEN EXPLICADO GRACIAS

Delicious

Delicious Última edición por

Muy bien hecha, se ven pocos post bien explicados, un saludo!