Ovo su neke odmah-posle-instalacije radnje koje radim nakon instalacije VestaCP-a kako bih inicijalno poboljšao bezbednost servera, dodatno konfigurisao php i instalirao neke programčiće.

Prvo, ulogujem se kroz VestaCP i na firewall delu dodam nove portove koje planiram da koristim umesto difoltnih – da rade zajedno sa starim…mislim prvenstveno na Vesta port koji je 8083 a ovde ćemo ga promeniti na 44444, ssh port koji je 22 a ovde ćemo ga promeniti na 53535 i  ftp port koje 21 a ovde ćemo ga promeniti na 50000…to radimo da bi u startu izbegli bruteforce skripte koje botovi koriste za ssh i ftp.

# Pre bilo cega bekapujemo fajlove koje cemo da menjamo
mkdir -p ~/BEKAP
cd ~/BEKAP
cp /etc/ssh/sshd_config ./`date +%Y%m%d_`sshd_config
cp /etc/vsftpd/vsftpd.conf ./`date +%Y%m%d_`vsftpd.conf
cp /usr/local/vesta/nginx/conf/nginx.conf ./`date +%Y%m%d_`nginx.conf
cp /etc/php.ini ./`date +%Y%m%d_`php.ini
cp /etc/my.cnf ./`date +%Y%m%d_`my.cnf
cp /etc/httpd/conf.d/phpMyAdmin.conf ./`date +%Y%m%d_`phpMyAdmin.conf
cp /usr/local/vesta/web/templates/admin/list_db.html ./`date +%Y%m%d_`admin-list_db.html
cp /usr/local/vesta/web/templates/user/list_db.html ./`date +%Y%m%d_`user-list_db.html
cp /usr/local/vesta/web/add/db/index.php ./`date +%Y%m%d_`vesta-web-add-db-index.php
cp  /etc/fail2ban/jail.conf ./`date +%Y%m%d_`jail.conf
cd -
# Promena difoltnog SSH porta
sed -i s/"#Port 22"/"Port 53535"/g /etc/ssh/sshd_config
service sshd restart

# Promena difoltnog FTP porta
echo "ftp_data_port=50000" >> /etc/vsftpd/vsftpd.conf
echo "listen_port=50000" >> /etc/vsftpd/vsftpd.conf
service vsftpd restart

# Promena difoltnog Vesta porta
sed -i s/"8083"/"44444"/g /usr/local/vesta/nginx/conf/nginx.conf
service vesta restart

# Nakon ovih izmena ponovo se ulogovati u Vestu i 
# obrisati suvisne porove za firewalla za FTP, SSH i Vesta

# Ukoliko ima servisa koje ste instalirali a nece vam trebati neko vreme 
# ubijte ih kroz samu Vestu, da se ne cimate kroz service i cli
# Izmene u fajlu /etc/php.ini
sed -i s/"max_execution_time = 30"/"max_execution_time = 90"/g /etc/php.ini
sed -i s/"post_max_size = 8M"/"post_max_size = 80M"/g /etc/php.ini
sed -i s/"upload_max_filesize = 2M"/"upload_max_filesize = 70M"/g /etc/php.ini
sed -i s/"default_socket_timeout = 60"/"default_socket_timeout = 90"/g /etc/php.ini
echo "Provera:" ; echo "---------" ; grep 'post_max_size\|upload_max_filesize\|memory_limit\|max_execution_time\|default_socket_timeout' /etc/php.ini
service httpd restart
# Gasenje nesigurnih php funkcija (hvala Predragu Damnjanovicu na hintu)
sed -i s/"disable_functions ="/"disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,exec,system,passthru,shell_exec,proc_open,popen"/g /etc/php.ini
# Promena PhpMyAdmin difolt linka
sed -i s/"Alias \/phpMyAdmin"/"#Alias \/phpMyAdmin"/g /etc/httpd/conf.d/phpMyAdmin.conf
sed -i s/"Alias \/phpmyadmin"/"Alias \/pristupbazi"/g /etc/httpd/conf.d/phpMyAdmin.conf
service httpd restart

# Promena linka u samoj Vesti (da ne ostane stara)
sed -i s/"phpmyadmin"/"pristupbazi"/g /usr/local/vesta/web/templates/admin/list_db.html
sed -i s/"phpmyadmin"/"pristupbazi"/g /usr/local/vesta/web/templates/user/list_db.html
sed -i s/"phpmyadmin"/"pristupbazi"/g /usr/local/vesta/web/add/db/index.php
service vesta restart
# U fail2banu u fajlu:  /etc/fail2ban/jail.conf
# - dodati "enabled = true" gde je potrebno. Paziti na promenjene portove
# - Dodati potreban IP na ignoreip liniji
# - Promeniti email adrese
# - action = %(action_)s promeniti u action = %(action_mwl)s
service fail2ban restart
# Instalirati programcice koji ce mi mozda trebati nekad
yum install mutt mlocate sysstat memcached nmap mtr p7zip rkhunter

Povezano
Šta je VestaCP? | Šta je CentOS?