Дифолт радње после инсталације VestaCP на ЦентОС-у

Ово су неке одмах-после-инсталације радње које радим након инсталације VestaCP-а како бих иницијално побољшао безбедност сервера, додатно конфигурисао PHP и инсталирао неке програмчиће.

Прво, улогујем се кроз VestaCP и на firewall делу додам нове портове које планирам да користим уместо дифолтних – да раде заједно са старим…мислим првенствено на Vesta порт који је 8083 а овде ћемо га променити на 44444, SSH порт који је 22 а овде ћемо га променити на 53535 и FTP порт које 21 а овде ћемо га променити на 50000…то радимо да би у старту избегли bruteforce скрипте које ботови користе за SSH и FTP.

# Бекап свега пре измена

mkdir -p ~/BEKAP
cd ~/BEKAP
cp /etc/ssh/sshd_config ./`date +%Y%m%d_`sshd_config
cp /etc/vsftpd/vsftpd.conf ./`date +%Y%m%d_`vsftpd.conf
cp /usr/local/vesta/nginx/conf/nginx.conf ./`date +%Y%m%d_`nginx.conf
cp /etc/php.ini ./`date +%Y%m%d_`php.ini
cp /etc/my.cnf ./`date +%Y%m%d_`my.cnf
cp /etc/httpd/conf.d/phpMyAdmin.conf ./`date +%Y%m%d_`phpMyAdmin.conf
cp /usr/local/vesta/web/templates/admin/list_db.html ./`date +%Y%m%d_`admin-list_db.html
cp /usr/local/vesta/web/templates/user/list_db.html ./`date +%Y%m%d_`user-list_db.html
cp /usr/local/vesta/web/add/db/index.php ./`date +%Y%m%d_`vesta-web-add-db-index.php
cp  /etc/fail2ban/jail.conf ./`date +%Y%m%d_`jail.conf
tar cvf vestabackup.tar.gz /usr/local/vesta
cd -
# Ажурирање Veste из Пециног репоа (Предраг Дамњановић из MyCity-Hostinga)
cd /root
yum install git -y
git clone https://github.com/dpeca/vesta.git
yes | cp -rf /root/vesta/* /usr/local/vesta
systemctl restart vesta
rm -rf /root/vesta

# Промена SSH порта
sed -i s/"#Port 22"/"Port 53535"/g /etc/ssh/sshd_config
service sshd restart

# Промена FTP порта
echo "ftp_data_port=50000" >> /etc/vsftpd/vsftpd.conf
echo "listen_port=50000" >> /etc/vsftpd/vsftpd.conf
service vsftpd restart

# Промена Vesta порта
sed -i s/"8083"/"44444"/g /usr/local/vesta/nginx/conf/nginx.conf
service vesta restart

# Након ових промена улоговати се у Vesta-u и 
# обрисати сувишне портове за FTP, SSH и Vesta

# Измене PHP подешавања /etc/php.ini
sed -i s/"max_execution_time = 30"/"max_execution_time = 90"/g /etc/php.ini
sed -i s/"post_max_size = 8M"/"post_max_size = 80M"/g /etc/php.ini
sed -i s/"upload_max_filesize = 2M"/"upload_max_filesize = 70M"/g /etc/php.ini
sed -i s/"default_socket_timeout = 60"/"default_socket_timeout = 90"/g /etc/php.ini
echo "Provera:" ; echo "---------" ; grep 'post_max_size\|upload_max_filesize\|memory_limit\|max_execution_time\|default_socket_timeout' /etc/php.ini
service httpd restart
# Гашење несигурних php функција (хвала Пеци на хинту)
sed -i s/"disable_functions ="/"disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,exec,system,passthru,shell_exec,proc_open,popen"/g /etc/php.ini
# Промена PhpMyAdmin дифолт линка
sed -i s/"Alias \/phpMyAdmin"/"#Alias \/phpMyAdmin"/g /etc/httpd/conf.d/phpMyAdmin.conf
sed -i s/"Alias \/phpmyadmin"/"Alias \/pristupbazi"/g /etc/httpd/conf.d/phpMyAdmin.conf
service httpd restart

sed -i s/"phpmyadmin"/"pristupbazi"/g /usr/local/vesta/web/templates/admin/list_db.html
sed -i s/"phpmyadmin"/"pristupbazi"/g /usr/local/vesta/web/templates/user/list_db.html
sed -i s/"phpmyadmin"/"pristupbazi"/g /usr/local/vesta/web/add/db/index.php
service vesta restart
# У fail2ban конфиг фајлу:  /etc/fail2ban/jail.conf
# - додати "enabled = true" где је потребно. Пазити на промењене портове
# - Додати потребан (свој) IP на ignoreip линији
# - Променити имејл адресе
# - action = %(action_)s променити у action = %(action_mwl)s
service fail2ban restart

# Изменити портове у /etc/fail2ban/jail.local у делу ACTION, нпр за SSH:
action = iptables[name=SSH, port=53535, protocol=tcp]
 sendmail-whois[name=SSH, dest=tvojmail@kompjuteraš.kom, sender=fail2ban@tvojserver.kompjuteraš.kom]
#
#
# За Vesta
action = iptables[name=VESTA, port=44444, protocol=tcp]
 sendmail-whois[name=SSH, dest=tvojmail@kompjuteraš.kom, sender=fail2ban@tvojserver.kompjuteraš.kom]

# Инсталација програма који ће нам некад требати можда
yum install mutt mlocate sysstat memcached nmap mtr p7zip rkhunter vim
# Измене за MySQL - ово само ако баш морате (више је као мени неку подсетник)
sed -i s/"read_buffer_size = 1M"/"read_buffer_size = 2M"/g /etc/my.cnf
sed -i s/"read_rnd_buffer_size = 4M"/"read_rnd_buffer_size = 16M"/g /etc/my.cnf
sed -i s/"myisam_sort_buffer_size = 64M"/"myisam_sort_buffer_size = 128MB"/g /etc/my.cnf
sed -i s/"thread_cache_size = 8"/"thread_cache_size = 32"/g /etc/my.cnf
sed -i s/"query_cache_size= 16M"/"query_cache_size= 64M"/g /etc/my.cnf
service mariadb restart

Повезано
Шта је CP? | Шта је ЦентОС? | VestaCP и HTTP/2 i ALPN i A+ оцена на SSL тесту