Questo post non vuol essere un How-To ma una semplicissima guida per poter inserire alcune ottimizzazioni per il Vostro server Cpanel

Passi da seguire per installare alcuni add-on per aiutare il Vs server a lavorare in modo più sicuro

Dopo aver installato il Cpanel su una Centos 5.* tramite i seguenti comandi shell

Installiamo il controllo rootkits (script non simpatici)

cd /usr/src
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvzf chkrootkit.tar.gz
rm -f chkrootkit.tar.gz
cd chkrootkit*
make sense
./chkrootkit
crontab -e
e inserire
0 1 * * * (cd /usr/local/chkrootkit; ./chkrootkit 2>&1 | mail -s “chkrootkit output” youremail@xxxxxxxxx.xx)

Installiamo logwatch, utile per monitorare il server e si esegue tramite cron (tentativi di Intrusione, di attività sul sistema e di eventi anomali.)

cd /usr/src
wget ftp://ftp.kaybee.org/pub/redhat/RPMS/noarch/logwatch-7.3.6-1.noarch.rpm
rpm -Uvf logwatch-7.3.6-1.noarch.rpm

Installiamo il controllo dei processi dando successivamente dei valori standard. Il software killa in automatico quei processi che utilizzano un tot di risorse per un x periodo
I valori sono soggettivi e personalizzabili

cd /usr/src
wget http://www.r-fx.ca/downloads/prm-current.tar.gz
tar xvfz prm-current.tar.gz
rm -f prm-current.tar.gz
cd prm*
./install.sh
replace “MAXPS=”10″” “MAXPS=”30″” — /usr/local/prm/rules/exim
replace “MAXMEM=”15″” “MAXMEM=”30″” — /usr/local/prm/rules/exim
replace “MAXPS=”150″” “MAXPS=”350″” — /usr/local/prm/rules/httpd
replace “MAXMEM=”25″” “MAXMEM=”50″” — /usr/local/prm/rules/httpd
replace “MAXPS=”10″” “MAXPS=”30″” — /usr/local/prm/rules/pure-ftpd
replace “MAXMEM=”5″” “MAXMEM=”10″” — /usr/local/prm/rules/pure-ftpd
replace “MAXPS=”8″” “MAXPS=”16″” — /usr/local/prm/rules/cppop
replace “MAXMEM=”5″” “MAXMEM=”10″” — /usr/local/prm/rules/cppop
/usr/local/prm/prm -s

Installiano spri utile per dare ad ogni tipologia di processo un valore di importanza.
esempio: voglio che il MySql proc abbia un valore di importanza superiore o inferiore al proc httpd
Edittare come di seguito i valori con le proprie personali richieste

cd /usr/src
wget http://www.r-fx.ca/downloads/spri-current.tar.gz
tar xvfz spri-current.tar.gz
rm -f spri-current.tar.gz
cd spri*
./install.sh
cd /usr/local/spri/prios
pico low
pico med
pico med-high
pico high
pico low
spri -v

Ci sarebbe da lavorare per fare un lavoro valido sul routing del kernel ma essneo complicato e non di facile inserimento, soprattutto per molte stringhe da edittare, sorvoliamo

Un passo importante è quello di modificare tutti quei moduli non togliere dal server. Normalmente facendo un installazione BASe del centos questi moduli non vengono installati, però per sicurezza lanciamo il comando

rpm -e talk talk-server radvd inews inn ucd-snmp ucd-snmp-utils ucd-snmp-devel dhcpcd finger finger-server ipchains lokkit LPRng pnm2ppa mpage Omni Omni-foomatic foomatic ghostscript cups-drivers-pnm2ppa gnome-print cups-drivers-hpijs ghostscript-fonts cups-drivers gtkhtml balsa redhat-config-printer redhat-config-printer-gui gimp-print cups hpijs redhat-lsb printconf

Andiamo poi a bloccare i servizi e a bloccarli

chmod 750 /usr/bin/rcp
chmod 750 /usr/bin/wget
chmod 750 /usr/bin/lynx
chmod 750 /usr/bin/links
chmod 750 /usr/bin/scp
chmod 0750 `which fetch` 2>&-; chmod 0750 `which wget` 2>&-
chmod 000 /etc/httpd/proxy/
chmod 000 /var/spool/samba/
chmod 000 /var/mail/vbox/
service avahi-daemon stop
chkconfig –del avahi-daemon
chkconfig –del avahi-dnsconfd
service cups stop
chkconfig cups off
chkconfig –del cups
service nfslock stop
chkconfig nfslock off
chkconfig –del nfslock
service rpcidmapd stop
chkconfig rpcidmapd off
chkconfig –del rpcidmapd
service anacron stop
chkconfig anacron off
chkconfig –del anacron
service xfs stop
chkconfig xfs off
chkconfig –del xfs
service auditd stop
chkconfig –del auditd
service atd stop
chkconfig atd off
chkconfig –del atd
service pcscd stop
chkconfig pcscd off
chkconfig –del pcscd

Installiamo una risorse che potrebbe tornare utile per controllare il top del mysql
Dobbiamo ricordarci la password di root del mysql

wget http://freshmeat.net/redir/mytop/6933/url_tgz/mytop-1.6.tar.gz
tar -zxvf mytop-1.6.tar.gz
cd mytop-1.6
perl Makefile.PL
make
make test
make install
cat /root/.my.cnf
touch /root/.mytop
chmod 600 /root/.mytop
pico -w /root/.mytop

Ricordiamoci di aggiungere l’spf per lmx di default

echo %domain%. IN TXT “v=spf1 a mx ptr ip4:%ftpip% a:%nameserver% a:%nameserver2% -all” >> /var/cpanel/zonetemplates/standard
echo %domain%. IN TXT “v=spf1 a mx ptr ip4:%ftpip% a:%nameserver% a:%nameserver2% -all” >> /var/cpanel/zonetemplates/standardvirtualftp

Identifichiamo le slow queries del MySql

pico /etc/my.cnf

aggiungere

log-slow-queries = /var/log/mysql-slow.log
long_query_time = 3 (oppure 2)
SALVARE
touch /var/log/mysql-slow.log
chown mysql.root /var/log/mysql-slow.log
service mysql restart

Visto che stiamo parlando di mysql, alcuni consigliano di installare il TUNG PRIMER SCRIPT per farci aiutare nelle impostazioni del MySql

cd /root/
mkdir download
wget http://day32.com/MySQL/tuning-primer.sh
chmod 755 tuning-primer.sh
./tuning-primer.sh

leggere i suggerimenti

Installiamo una risorsa assolutamente importante come il firewall

wget http://www.r-fx.ca/downloads/apf-current.tar.gz
gzip -d apf-current.tar.gz
tar -xf apf-current.tar
cd apf-0.*/
./install.sh

A questo punto possiamo lavorare da shell oppure aprire il WHM e gestire il firewall da WHM controllando soprattutto le porte lasciate aperte in UDP e TCP
esempio

TCP_IN  20,21,SSH(PORTA PERSONALE),25,53,80,110,143,443,465,953,993,995,2077,2078,2083,2087,2096,2095,2082

TCP_OUT  21,25,37,43,53,80,110,113,443,587,873,953,2087,2089,2703

Le porte sono personali. Potrebbe essere necessario aprire la porta ddel whois domini, una porta secondaria smtp, una porta mysql,etcc