Server Administration

Ein Schritt zur Absicherung eines Servers (egal ob vServer, vds oder dedizierter Server) ist es, regelmäßig Tools laufen zu lassen, die nach s.g. Rootkits suchen. Wir möchten hier die Installation und Konfiguration von 2 bekannten Vertretern dieser “Rootkit-Hunter” vorstellen:

2. RKhunter installieren

# ggf. alte Dateien entfernen
cd /usr/local/src
rm -fR rkhunter*

# rkhunter herunterladen + entpacken
wget http://ovh.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.2.9.tar.gz
tar zxfv rkhunter-1.2.9.tar.gz

# Rechte auf root ändern
chown -R root.root rkhunter-1.2.9

# rkhunter installieren
cd rkhunter-1.2.9
./installer.sh

# Update ausführen, um ggf. die aktuellste Version zu laden
rkhunter --update

# RKhunter das erste Mal ausführen
/usr/local/bin/rkhunter -c --nocolors --createlogfile --skip-keypress

Auf einem “jungfräulichen” System sollte rkhunter keine Probleme oder Infektionen finden!

Es ist empfehlenswert, rkhunter regelmäßig laufen zu lassen, am besten als Cronjob einrichten:

# crontab editieren
crontab -e

# ganz unten eine neue Zeile einfügen und folgendes einfügen:
@hourly rkhunter --update; /usr/local/bin/rkhunter -c --cronjob --nocolors --report-mode --createlogfile --skip-keypress | mail -s "[servername] rkhunter output" mail@serveradmin

# speichern und beenden
[esc] :wq [enter]

Ein Schritt zur Absicherung eines Servers (egal ob vServer, vds oder dedizierter Server) ist es, regelmäßig Tools laufen zu lassen, die nach s.g. Rootkits suchen. Wir möchten hier die Installation und Konfiguration von 2 bekannten Vertretern dieser “Rootkit-Hunter” vorstellen:

1. chkrootkit installieren

# Verzeichnis zum Download erstellen
mkdir -p /usr/local/src
cd /usr/local/src

# ggf. vorhandenes älteres Archiv löschen
rm -f chkrootkit.tar.gz

# download chkrootkit und entpacken
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxfv chkrootkit.tar.gz

# Dateirechte einstellen auf root
chown -R root.root chkrootkit-0.48

# chkrootkit installieren
cd chkrootkit-0.48
make sense

# alten symlink entfernen + neuen setzen
cd ..
rm -f chkrootkit
ln -s chkrootkit-0.48 chkrootkit

# alte Versions Dateien und Archiv löschen, wird nicht mehr benötigt
rm -rf chkrootkit-0.47
rm -f chkrootkit.tar.gz

# chkrootkit zum ersten Mal ausführen
cd chkrootkit
./chkrootkit

Auf einem “jungfräulichen” System sollte chkrootkit keine Probleme oder Infektionen finden!

Es ist empfehlenswert, chkrootkit regelmäßig laufen zu lassen, am besten als Cronjob einrichten:

# crontab editieren
crontab -e

# ganz unten eine neue Zeile einfügen und folgendes einfügen:
@hourly cd /usr/local/src/chkrootkit; ./chkrootkit | mail -s "[servername] chkrootkit output" mail@serveradmin

# speichern und beenden
[esc] :wq [enter]

Wenn beim Ausführen des DNS Administrations Tools eazydns folgende Fehlermeldung angezeigt wird…

server:~# /root/eazydns/eazydns
Can't load '/tmp/DBI.so' for module DBI: /tmp/DBI.so: failed to map segment from shared object: Operation not permitted at PERL2EXE_STORAGE/DynaLoader.pm line 229.
at PERL2EXE_STORAGE/DBI.pm line 250
BEGIN failed--compilation aborted at PERL2EXE_STORAGE/DBI.pm line 250.
Compilation failed in require at /root/eazydns/eazydns line 24.
BEGIN failed--compilation aborted at /root/eazydns/eazydns line 24.


… hat dies zumeist als Ursache, dass die /tmp Partition des Webservers auf noexec gemountet ist und somit keine Scripte im temporären Verzeichnis ausgeführt werden können. Nun erfolgt das Mounten von /tmp auf noexec nicht von ungefähr,
(more…)

Folgende Einstellungen haben sich aus unserer Erfahrung heraus für die einzelnen v-hosts der Kunden Webs als sinnvoll erwiesen. Vorgenommen werden können sie als Confixx Administrator unter Einstellungen > httpd Spezial in der Confixx Oberfläche:

php_admin_flag safe_mode Off
php_admin_flag register_globals Off
php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f webmaster@##domain##"
php_admin_value open_basedir /var/www/##user##
php_admin_value session.save_path /var/www/##user##/phptmp
php_admin_value disable_functions system,exec,passthru,popen,escapeshellcmd

Hier eine kurze Erläuterung der einzelnen Einstellungen:
(more…)