Categories
שרתים וירטואליים

ISPConfig

והחלילן מהמלין.

ISPConfig הינה מערכת קוד פתוח לניהול שרת ולאחסון אתרים בלינוקס, היא מאפשרת ניהול מספר שרתים מאותו ממשק כולל ניהול שרת ווב, ניהול שרת דוא"ל וניהול שרת DNS.

לאתרי אינטרנט עם מדיניות פרטיות מחמירה יש לבטל את אפשרות הסטטיסטיקות.

ליצירת נכסים עבור משתמש מסוים יש להשתמש באפשרות "התחבר כלקוח".

לשינוי קונפיגורציות השרת יש להשתמש בנתיב usr/local/ispconfig/server/conf-custom/ ושל הממשק בקובץ /usr/local/ispconfig/interface/lib/config.inc.local.php.

להפעלת SSL לאתר, תחילה הפעילו את ה-SSL ואז את ה-Let’s Encrypt SSL, בנוסף תוכלו להשתמש באופציות ההפניה מ-HTTP ל-HTTPS ומ-domain.ltd ל-www.domain.ltd (לאחר יצירת סאב דומיין אוטומטי www). לניקוי תעודת SSL ישנה השתמשו בפקודה (תעודה חדשה יותר תהה עם סיומת מספר גבוהה יותר):

certbot delete

להפעלת SSL באתר וורדפרס מאחורי רברס פרוקסי- להוסיף לקובץ wp-config.php את ההוראה:

$_SERVER['HTTPS'] = 'on';

לשימוש ב-ISPConfig מאחורי NAT, הפעילו את האפשרות Skip Lets Encrypt Check (System => Server Config => Web => SSL Settings), השתמשו ב-WAN IP בהגדרות ה-DNS ובהגדרות האתרים, וב-LAN IP בתצורת שרת ובכתובות IP של השרת.

להגדרת רברס פרוקסי השומר על כתובת המבקש המקורי ולא מעביר בקשות לתעודות SSL בשרת הווב אפאצ'י, השתמשו בהוראות:

ProxyPreserveHost On
ProxyPass /.well-known/acme-challenge !
ProxyPass /$PATH http://$LAN-IP:$PORT/$PATH
ProxyPassReverse /$PATH http://$LAN-IP:$PORT/$PATH
ProxyPass / http://$LAN-IP:$PORT/
ProxyPassReverse / http://$LAN-IP:$PORT/

לשיפור יציבות השרת השתמשו באפשרות rescue (תחת Server Config).

לשחזור אתר מסוים מגיבוי השרת- לייצא ולייבא את גיבוי קבצי האתר ובסיס הנתונים ואת רשומת הגיבוי הרלוונטי שבבסיס הנתונים של ISPConfig, להריץ ידנית של כל הגיבויים המוגדרים השתמשו בפקודה:

php /usr/local/ispconfig/server/cron_debug.php --cronjob=500-backup.inc.php

להקשחת מדיניות הדוא"ל ערכו את ההוראות בקובץ etc/postfix/main.cf/:

smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_recipient_domain, reject_non_fqdn_recipient, reject_unauth_destination, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_rbl_client cbl.abuseat.org,reject_rbl_client dul.dnsbl.sorbs.net,reject_rbl_client ix.dnsbl.manitu.net, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_destination
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_client_hostname, check_client_access mysql:/etc/postfix/mysql-virtual_client.cf

להגדרת PureFTP לשימוש ב-passive mode (מאפשר שימוש מאחורי חומת אש), השתמשו בהוראות:

echo "30510 30610" > /etc/pure-ftpd/conf/PassivePortRange
service pure-ftpd-mysql restart

להתמודדות עם חסימת CSRF בעת מחיקת משאבים כלשהם יש למחוק אותם ישירות בבסיס הנתונים.

כפי שבוודאי שמתם לב- התיאורים הכתובים העתיקים ביותר של סיפור החלילן מהמלין נוצרו בלינבורג, אותה העיירה בה מפותחת התוכנה ISPConfig.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *