Difolt radnje posle instalacije VestaCP na CentOS-u

Ovo su neke odmah-posle-instalacije radnje koje radim nakon instalacije VestaCP-a kako bih inicijalno poboljšao bezbednost servera, dodatno konfigurisao PHP i instalirao neke programčiće.

Prvo, ulogujem se kroz VestaCP i na firewall delu dodam nove portove koje planiram da koristim umesto difoltnih – da rade zajedno sa starim…mislim prvenstveno na Vesta port koji je 8083 a ovde ćemo ga promeniti na 44444, SSH port koji je 22 a ovde ćemo ga promeniti na 53535 i FTP port koje 21 a ovde ćemo ga promeniti na 50000…to radimo da bi u startu izbegli bruteforce skripte koje botovi koriste za SSH i FTP.

# Bekap svega pre izmena mkdir -p ~/BEKAP cd ~/BEKAP cp /etc/ssh/sshd_config ./`date +%Y%m%d_`sshd_config cp /etc/vsftpd/vsftpd.conf ./`date +%Y%m%d_`vsftpd.conf cp /usr/local/vesta/nginx/conf/nginx.conf ./`date +%Y%m%d_`nginx.conf cp /etc/php.ini ./`date +%Y%m%d_`php.ini cp /etc/my.cnf ./`date +%Y%m%d_`my.cnf cp /etc/httpd/conf.d/phpMyAdmin.conf ./`date +%Y%m%d_`phpMyAdmin.conf cp /usr/local/vesta/web/templates/admin/list_db.html ./`date +%Y%m%d_`admin-list_db.html cp /usr/local/vesta/web/templates/user/list_db.html ./`date +%Y%m%d_`user-list_db.html cp /usr/local/vesta/web/add/db/index.php ./`date +%Y%m%d_`vesta-web-add-db-index.php cp  /etc/fail2ban/jail.conf ./`date +%Y%m%d_`jail.conf tar cvf vestabackup.tar.gz /usr/local/vesta cd - 
# Ažuriranje Veste iz Pecinog repoa (Predrag Damnjanović iz MyCity-Hostinga) cd /root yum install git -y git clone https://github.com/dpeca/vesta.git yes | cp -rf /root/vesta/* /usr/local/vesta systemctl restart vesta rm -rf /root/vesta # Promena SSH porta sed -i s/"#Port 22"/"Port 53535"/g /etc/ssh/sshd_config service sshd restart # Promena FTP porta echo "ftp_data_port=50000" >> /etc/vsftpd/vsftpd.conf echo "listen_port=50000" >> /etc/vsftpd/vsftpd.conf service vsftpd restart # Promena Vesta porta sed -i s/"8083"/"44444"/g /usr/local/vesta/nginx/conf/nginx.conf service vesta restart # Nakon ovih promena ulogovati se u Vesta-u i # obrisati suvišne portove za FTP, SSH i Vesta 
# Izmene PHP podešavanja /etc/php.ini sed -i s/"max_execution_time = 30"/"max_execution_time = 90"/g /etc/php.ini sed -i s/"post_max_size = 8M"/"post_max_size = 80M"/g /etc/php.ini sed -i s/"upload_max_filesize = 2M"/"upload_max_filesize = 70M"/g /etc/php.ini sed -i s/"default_socket_timeout = 60"/"default_socket_timeout = 90"/g /etc/php.ini echo "Provera:" ; echo "---------" ; grep 'post_max_size\|upload_max_filesize\|memory_limit\|max_execution_time\|default_socket_timeout' /etc/php.ini service httpd restart
# Gašenje nesigurnih php funkcija (hvala Peci na hintu) sed -i s/"disable_functions ="/"disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,exec,system,passthru,shell_exec,proc_open,popen"/g /etc/php.ini
# Promena PhpMyAdmin difolt linka sed -i s/"Alias \/phpMyAdmin"/"#Alias \/phpMyAdmin"/g /etc/httpd/conf.d/phpMyAdmin.conf sed -i s/"Alias \/phpmyadmin"/"Alias \/pristupbazi"/g /etc/httpd/conf.d/phpMyAdmin.conf service httpd restart sed -i s/"phpmyadmin"/"pristupbazi"/g /usr/local/vesta/web/templates/admin/list_db.html sed -i s/"phpmyadmin"/"pristupbazi"/g /usr/local/vesta/web/templates/user/list_db.html sed -i s/"phpmyadmin"/"pristupbazi"/g /usr/local/vesta/web/add/db/index.php service vesta restart
# U fail2ban konfig fajlu:  /etc/fail2ban/jail.conf # - dodati "enabled = true" gde je potrebno. Paziti na promenjene portove # - Dodati potreban (svoj) IP na ignoreip liniji # - Promeniti imejl adrese # - action = %(action_)s promeniti u action = %(action_mwl)s service fail2ban restart # Izmeniti portove u /etc/fail2ban/jail.local u delu ACTION, npr za SSH: action = iptables[name=SSH, port=53535, protocol=tcp] sendmail-whois[name=SSH, dest=tvojmail@kompjuteraš.kom, sender=fail2ban@tvojserver.kompjuteraš.kom] # # # Za Vesta action = iptables[name=VESTA, port=44444, protocol=tcp] sendmail-whois[name=SSH, dest=tvojmail@kompjuteraš.kom, sender=fail2ban@tvojserver.kompjuteraš.kom] 
# Instalacija programa koji će nam nekad trebati možda yum install mutt mlocate sysstat memcached nmap mtr p7zip rkhunter vim
# Izmene za MySQL - ovo samo ako baš morate (više je kao meni neku podsetnik) sed -i s/"read_buffer_size = 1M"/"read_buffer_size = 2M"/g /etc/my.cnf sed -i s/"read_rnd_buffer_size = 4M"/"read_rnd_buffer_size = 16M"/g /etc/my.cnf sed -i s/"myisam_sort_buffer_size = 64M"/"myisam_sort_buffer_size = 128MB"/g /etc/my.cnf sed -i s/"thread_cache_size = 8"/"thread_cache_size = 32"/g /etc/my.cnf sed -i s/"query_cache_size= 16M"/"query_cache_size= 64M"/g /etc/my.cnf service mariadb restart

Povezano
Šta je CP? | Šta je CentOS? | VestaCP i HTTP/2 i ALPN i A+ ocena na SSL testu