Ответы на Вопросы

Ответы на Вопросы
Навигация: Главная Страница | Просмотреть Все | Вернуться Назад

Слово:  Категория:  Где Ищем:

1. Заблокировать все соединения по 25 порту
2. Список резервных копий
3. Обновление PhpMyAdmin в ISPmanager на CentOS
4. Планировщик (cron)
5. В bpanel ошибка "1038Out of sort memory; increase server sort buffer size"
6. Установка IonCube Loader на CentOS
7. Поиск файлов юзера или группы
8. Защита SSH от брута путем установки Fail2Ban
9. Отключить PHP функцию MAIL
10. CentOS: управление запуском сервисов
11. Очистка очередей в postfix
12. Основные команды YUM
13. Ограничение отправки писем за временной интервал в postfix
14. Закрыть relay в postfix
15. Редирект всех страниц сайта через htaccess

В: Заблокировать все соединения по 25 порту
О: Иногда необходимо бывает заблокировать все соединения по конкретному порту.
Мне нужно было заблокировать все входящие/исходящие соединения по 25 порту.

Проверить активные соединение можно так:

netstat -apn | grep ':25'

Чтобы заблокировать в файл
etc/sysconfig/iptables

добавил:
## tcp port 25 (smtp) ##
-A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT
## tcp port 110 (pop3) ##
-A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT

Перегрузил:
service iptables restart

Если ошибок нет, то длжно работать.

Показать очередь писем
mailq

Удалить все письма:
postsuper -d ALL
К: CentOS и ISP Manager и BPanel | 30-04-2015 09:12:56

В: Список резервных копий
О: Иногда бывает необходимость почистить списки резервных копий. Не всегода удаление копии очищает список.

Списки резервных копий хрянтся тут:

/usr/local/ispmgr/var/.backup/
К: CentOS и ISP Manager и BPanel | 30-04-2015 09:14:12

В: Обновление PhpMyAdmin в ISPmanager на CentOS
О: Если у вас на сервере стоит панель ISP manager и туда по умолчанию поставился старый PhpMyAdmin, то обновить его можно следующим способом...

1. Зайдите в панель ISP manager под пользователем root и перейдите в раздел Настройки сервера - Возможности. Удалите старый PhpMyAdmin.

2. Зайдите на сервер по SSH (например через Putty) и выполните следующие команды:

# rpm -Uhv http://rpms.famillecollet.com/enterprise/remi-release-6.rpm
# yum makecache
# /usr/local/ispmgr/sbin/pkgctl cache

Первая команда добавит новый репозиторий, остальные обновят кэш программ.

3. Снова зайдите в панель, в раздел Возможности, и установите PhpMyAdmin. Перед установкой он спросит какую версию ставить, выбирайте самую последнюю.
К: CentOS и ISP Manager и BPanel | 30-04-2015 09:15:12

В: Планировщик (cron)
О: Часто нужно бывает запускать выполнение скрипта по рассписанию. Панель ipsManager позволяет это сделать.

Заметил, что указав отностильный путь до скрипта не всегда помогает. Т.е. задача не выполняется.

На форму разработчиков поднимался этот вопрос.
Вот решил выложить тут решение, которым я пользуюсь уже давно и оно 100% работчее.

Ка настраивать время выполнениея писать не буду, разберетесь сами.

/usr/bin/wget -O /dev/null http://ADRES.SITE/cron.php

Если у вас папка защищена паролем, решение такое:

/usr/bin/wget -O /dev/null --user=UserLogin --password=UserPassw http://ADRES.SITE/folder/cron.php
К: CentOS и ISP Manager и BPanel | 30-04-2015 09:17:12

В: В bpanel ошибка "1038Out of sort memory; increase server sort buffer size"
О: В биллинг панели BPANEL иногда появлятся ошибка:
"1038Out of sort memory; increase server sort buffer size"

Решение:
в файле my.cfg увеличить значение у параметра
sort_buffer_size

К примеру "sort_buffer_size = 256K"
К: CentOS и ISP Manager и BPanel | 30-04-2015 09:19:55

В: Установка IonCube Loader на CentOS
О: Скачиваем нужный нам пакет с официального сайта http://www.ioncube.com/loaders.php

Закачиваем нужные файлы в папку /usr/local/ioncube

В моем случае, у меня PHP 5.3, я закачал в эту папку файлы:
ioncube_loader_lin_5.3.so
ioncube_loader_lin_5.3_ts.so

Теперь подключаем:

Не надо мусорить в файле php.ini

Создаем в папке etc/php.d файл ioncube.ini

В него прописываем:

zend_extension = /usr/local/ioncube/ioncube_loader_lin_5.3.so
zend_extension_ts = /usr/local/ioncube/ioncube_loader_lin_5.3_ts.so

Перегружаем apache
service httpd restart

Проверяем
php -m
К: CentOS и ISP Manager и BPanel | 30-04-2015 09:22:35

В: Поиск файлов юзера или группы
О: find / -user имяюзера
find / -group имягруппы
К: CentOS и ISP Manager и BPanel | 30-04-2015 09:23:24

В: Защита SSH от брута путем установки Fail2Ban
О: Многих интересует вопрос после открытия в глобал порта с SSH. Смена пота на какой-либо другой это конечно верный шаг, но не совсем надежный. Единственный способ защититься от подбора паролей по SSH – это блокировать такие подключения. Рассмотрим программу для защиты сервера от брутфорса паролей – Fail2Ban.

Fail2Ban – инструмент позволяющий защитить сервер от брутфорса таких сервисов как SSH, FTP, Apache и т.д. ОН производит анализ логов программ и в случае превышения лимита на неудачные логины банит IP адрес злоумышленника при помощи правил iptables, при «бане» администратору высылается оповещение.

Официальный сайт Fail2Ban: http://www.fail2ban.org

Рассматривать будем установку Fail2Ban на сервер с ОС Centos и настраивать защиту будем только для ssh и ftp. В стандартном репозитории есть только старая версия, поэтому лучше всего сразу подключить альтернативный RPMForge.

Установка:
yum install fail2ban

Настройка:
Открываем файл /etc/fail2ban/jail.conf и меняем стандартные значения на необходимые нам:

Для ssh
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=root, sender=fail2ban]
logpath = /var/log/secure
maxretry = 5

Для ftp (на примере vsftpd, обратите внимание, есть ещё proftpd)
[vsftpd-iptables]
enabled = true
filter = vsftpd
action = iptables[name=VSFTPD, port=ftp, protocol=tcp]
sendmail-whois[name=VSFTPD, dest=root, sender=fail2ban]
logpath = /var/log/secure
maxretry = 6
bantime = 600

Описание параметров:
ignoreip – это разделенный пробелами список ip-адресов, которые не могут быть блокированы fail2ban. Сюда можно занести свою локальную машину или комьютер, с которого будут проводится эксперименты над системой
bantime – время в секунда, на которое блокируется хост.
maxretry – максимальное число ошибочных попыток доступа к сервису, прежде чем хост будет заблокирован fail2ban.
filter – имя соответствующего файла-фильтра в /etc/fail2ban/filter.d, без конечного .conf
action – имя соответствующего файла-реакции на срабатывание фильтра в /etc/fail2ban/action.d
logpath – файл логов, мониторинг которого осуществляет fail2ban, для проверки попыток атак.
enabled – может принимать значение true или false. Включено,выключено правило.
dest – кому слать оповещения о «забаненных»
sender – «отправитель» письма
maxretry – количество повторных «ошибочных» попыток логина

Запуск fail2ban:
service fail2ban start

Ну и конечно добавляем в автозагрузку:
chkconfig fail2ban on

Если вы указали в конфигах в параметрах dest правильный email, то через некоторое время на него вы начнёте получать сообщения о заблокированных товарищах. Проверить все блокировки можно введя в консоли команду
iptables -L

Если всё настроено правильно, то вы увидите, что ваш лог подключений перестал разрастаться с такой скоростью, как раньше. Проверить работу можно в принципе блокнув себя, правда при блоке в ssh вы некоторое время не попадёте на сервер, ну а вообще сбросить блокировки можно командой
iptables –F

Да и проверка того как ломились к нам на сервак
sudo cat /var/log/secure* | grep ‘Failed password’ | grep sshd | awk ‘{print $1,$2}’ | sort -k 1,1M -k 2n | uniq -c

А теперь маленькая, но очень важная подсказка:
Предположим, что SSH у вас на другом порту висит (пример 32312)и естественно открыт через selinux. И тут головная боль — чтобы вы не делали, какие бы вы порты не прописывали в
action = iptables[name=SSH, port=ssh, protocol=tcp]
пахать господа он у вас не будет :) Ну а теперь подсказка — идем сюда /etc/services и меняем порт 22 на наш рабочий (пример 32312). Ну и собственно рестарт Fail2Ban. Запашет…

Источник: http://centos-server.ru/ssh-fail2ban/
К: CentOS и ISP Manager и BPanel | 30-04-2015 09:23:59

В: Отключить PHP функцию MAIL
О: Возникла необходимость полностью отключить на сервере php функцию mail.

Причина: взламыют сайты на joomla и некоторые другие и рассылают спам. Не все клиенты адекватно воспринимают информацию, что надо обновить, вылечить, защитить сайты.

Поэтому решил на корню отрезать почту.

в
etc/php.ini

Добавил строку

disable_functions = mail

если у ког-то она уже есть, в нее дописать mail

Перегружаем apache

service httdp restart

Конечно это не идеальное решиние, можно конектится по SMTP и слать письма. Но..., как вариант. Писем не стало - это факт.
К: CentOS и ISP Manager и BPanel | 30-04-2015 09:24:43

В: CentOS: управление запуском сервисов
О: Грубо говоря — это утилита для управления автозагрузкой при старте сервера.

Что бы проверить — какие сервисы запускаются и на каком уровне runlevel — выполняем:
# chkconfig --list

Для поиска необходимого сервиса — можно воспользоваться стандартными утилитами:
# chkconfig --list | grep send

sendmail 0:off 1:off 2:off 3:off 4:off 5:off 6:off

Что бы включить sendmail — выполняем:
# chkconfig --add sendmail

Проверяем:
# chkconfig --list | grep send
sendmail 0:off 1:off 2:on 3:on 4:on 5:on 6:off

Выключить:
# chkconfig --del sendmail
К: CentOS и ISP Manager и BPanel | 30-04-2015 09:31:18

В: Очистка очередей в postfix
О: Иногда у системных администраторов, а также владельцев выделенных серверов возникает необходимость очистить все очереди почтовых сообщений. Например, когда в результате взлома какого-либо уязвимого скрипта, спамеры пытаются разослать спам с выделенного сервера. К вам приходит куча Абузов, и вы не знаете что делать. Приведу несколько команд применительно к postfix.

Первым делом посоветую набрать команду:
mailq

Если в результате вы видите что-то типа
Mail queue is empty

либо в очереди лежит несколько сообщений, то значит с вашей почтой все в порядке. Если же в результате выводится порядка нескольких сотен, тысяч, миллионов почтовых сообщений, значит срочно нужно бить тревогу.

В такой ситуации необходимо отключить почтовый сервер:
service postfix stop

чтобы больше не рассылать спам. Затем, конечно, необходимо разобраться в самом взломе, выявить уязвимый скрипт, либо нечистоплотного клиента вашего сервера, либо провести ряд мероприятий по улучшению безопасности вашего сервера. Тут тема очень широка и в формат простой заметки она никак не войдет.

И, затем, необходимо очистить все очереди почтовых сообщений командой:
postsuper -d ALL

После чего вновь запустить почтовый сервер:
service postfix start
К: CentOS и ISP Manager и BPanel | 30-04-2015 09:31:52

В: Основные команды YUM
О: Yellow dog Updater, Modified (YUM) — открытый консольный менеджер RPM-пакетов. Позволяет облегчить каскадное обновление Linux систем с отслеживанием взаимосвязей RPM-пакетов.

Основные команды YUM:

yum install пакет - установка пакета.
yum update пакет - обновление пакета, если без указания пакетов, то будут обновлены все пакеты.
yum upgrade - полное обновление системы.
yum remove - удаление указанных пакетов из системы
yum list - информация о доступных пакетах в репозитариях yum.
yum info - описание и общая информации о пакетах.
yum clean packages удалить все пакеты из кэша этой системы. После скачивания пакеты не удаляются из кэша.

/etc/yum.conf - файл конфигурации yum
/var/cache/yum/ - пакеты в кэше
К: CentOS и ISP Manager и BPanel | 30-04-2015 09:32:14

В: Ограничение отправки писем за временной интервал в postfix
О: Часто бывает необходимость ограничить количество исходящих писем.

конфиг — /etc/postfix/main.cf

За данную опцию в postfix отвечают два параметра :
anvil_rate_time_unit
Измеряется в секундах ( s ) , минутах ( m ) , часах ( h ) , днях ( d ) , неделях ( w )
Стандартное значение — 60s
smtpd_client_message_rate_limit
Измеряется в единицах
Стандартное значение — 0 ( безлимит )

Формула :
писем / сек = smtpd_client_message_rate_limit / anvil_rate_time_unit

Пример :
anvil_rate_time_unit = 60s
smtpd_client_message_rate_limit = 100
При данных параметрах с одного ящика можно отправить не более 100 писем за 60 секунд.

Ограничение на количество получателей
default_recipient_limit
К: CentOS и ISP Manager и BPanel | 30-04-2015 09:32:37

В: Закрыть relay в postfix
О: Открытые почтовые серверы (open relays) – это ночной кошмар адми нистратора почтового сервера. При любой установке по умолчанию ретрансляция в Postfix ограничена. В типовой конфигурации Postfix будет отправлять только сообщения, полученные от IP адресов собст венной сети. Сетевые адреса Postfix получает из настроенных вами на сервере интерфейсов.

http://www.e-reading-lib.org/bookreader.php/142101/Gil'debrand_-_Postfix_-_podrobnoe_rukovodstvo.pdf

раздел «Установка разрешений на пересылку почты из своей сети»

- - - -

В main.cf добавить mynetworks_style = host
К: CentOS и ISP Manager и BPanel | 30-04-2015 09:33:29

В: Редирект всех страниц сайта через htaccess
О: Иногда необходимо бывает переправить все запросы с одного сайта на другой сайт или на другую страницу. В данном примере как раз есть решение.

В самом начале файла

.htaccess

указываем

RewriteEngine on
RewriteBase /
RewriteRule ^(.*) http://www.rk.ua/spam/index.html

Теперь по любому запросу к сайту все будут перенаправляться на http://www.rk.ua/spam/index.html

Проверено, работает.
К: CentOS и ISP Manager и BPanel | 30-04-2015 09:34:03

Вход в Панель | Регистрация | Калькулятор | Конструктор Тарифов | Ответы на Вопросы | Наши Клиенты | Обратная Связь