Categories
לינוקס

דביאן

וצעצוע של סיפור.

דביאן הינה הפצת לינוקס מהנפוצות ביותר לשרתים ונחשבת ליציבה מביניהן. בחוזה החברתי שלה מודגשים ערכים של שקיפות, תרומה לקהילה, והצמדות לעקרונות התוכנה החופשית.

לשיפור שיעורי השליחה המוצלחת של דוא"ל מהשרת, יש להגדיר לשמות המתחם: DMARC ,DKIM ,SPF ולוודא ששם השרת קיים בערכים: A record ,rDNS, ממשק ניהול השרת, בתצורת ה-MTA (כולל mailname), וה-Content filter שבשימוש.

להגדרת relay host ב-Postfix, השתמשו בפקודות:

apt-get install libsasl2-modules
postconf -e 'relayhost = $relay_host_ip'
postconf -e 'smtp_sasl_auth_enable = yes'
postconf -e 'smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd'
postconf -e 'smtp_sasl_security_options ='
echo "$relay_host_ip   yourEmail:yourPassword" > /etc/postfix/sasl_passwd
chown root:root /etc/postfix/sasl_passwd
chmod 600 /etc/postfix/sasl_passwd
postmap /etc/postfix/sasl_passwd
/etc/init.d/postfix restart

להגדרת סוגי אימות ב-SSH יש לערוך את הקובץ sshd_config.

לחסימת התחברות המשתמש root ב-SSH יש להוסיף לקובץ etc/ssh/sshd_config/ את ההוראה:

PermitRootLogin no

להגדרת מיקום שמירת הלוגים וצורתם יש לערוך את הקובץ  etc/rsyslog.conf/ לפי ההוראות.

להגדרת המערכת למניעת חדירות Fail2ban צרו את הקובץ etc/fail2ban/jail.local/ והשתמשו בהוראות, לדוגמא כדי להפעיל הגנה ממשוכת על SSH:

[recidive]
enabled = true

[sshd]
enabled = true

ולהגדרת מספר קבצי לוג:

logpath = /var/www/clients/client12/web*/log/access.log
          /var/www/clients/client13/web*/log/access.log

ולביטול חסימה שנוצרה השתמשו בפקודה:

 fail2ban-client set sshd unbanip $IP

להגדרת חוקי NAT ו-port forwarding עם iptables הוסיפו לקובץ etc/network/interfaces/ את ההוראות:

post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s '$LAN-IP-SUBNET' -o eno1 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '$LAN-IP-SUBNET' -o eno1 -j MASQUERADE
post-up iptables -t nat -A PREROUTING -i eno1 -p tcp -m multiport --dports $PORTS -j DNAT --to $DESTINATION-LAN-IP
post-down iptables -t nat -D PREROUTING -i eno1 -p tcp -m multiport --dports $PORTS -j DNAT --to $DESTINATION-LAN-IP

להגדרת רברס פרוקסי השומר על כתובת המבקש המקורי ולא מעביר בקשות לתעודות SSL בשרת הווב אפאצ'י, השתמשו בהוראות:

ProxyPreserveHost On
ProxyPass /.well-known/acme-challenge !
ProxyPass /$PATH http://$LAN-IP:$PORT/$PATH
ProxyPassReverse /$PATH http://$LAN-IP:$PORT/$PATH
ProxyPass / http://$LAN-IP:$PORT/
ProxyPassReverse / http://$LAN-IP:$PORT/

להגדרת PureFTP לשימוש ב-passive mode (מאפשר שימוש מאחורי חומת אש), השתמשו בהוראות:

echo "30510 30610" > /etc/pure-ftpd/conf/PassivePortRange
service pure-ftpd-mysql restart

להסתרת פרטי שרת הווב אפאצ'י, הוסיפו לקובץ etc/apache2/apache2.conf/ את ההוראות:

ServerTokens Prod
ServerSignature Off

כפי שבוודאי שמתם לב- באסטר, סטרץ', ג'סי וכל שמות הקוד האחרים של הפצות דביאן, הם שמות של דמויות מהסרט צעצוע של סיפור, בהשראת ברוס פרנס אשר עבד בפיקסר מלבד כהונתו כמוביל פרויקט דביאן.