Hallo zusammen,
nach ein paar Jahren mehrere VServer mit Plesk möchte ich nun meinen ersten "richtigen" Server hochziehen, der absolut manuell konfiguriert ist. Plesk und Co. sollen also garnicht erst eingesetzt werden. Ich habe bemerkt, dass Plesk 1. sehr ressourcenlastig und 2. schlecht fürs Eigenverständnis ist.
Da mir in den letzten Jahren in diesem Forum auch viel und kompetent geholfen wurde, würde ich gerne ein wenig was zurückgeben. Macht es für euch Sinn, wenn ich ein kleines HowTo schreibe? Oder vielleicht einen Eintrag in nem Wiki? Könnte ein kleines Use Case werden und von euch auch gerne ergänzt sowie kontrolliert werden.
Das Ziel ist also ein möglichst sicherer und performanter Server.
Voraussetzungen:
Was ich also bisher gemacht habe:
Was ich noch machen möchte, wenn ich es hinbekomme:
Fragen, die mir dabei noch einfallen:
Was muss noch beachtet werden, um einen möglichst performanten und sicheren Server zu bekommen?
nach ein paar Jahren mehrere VServer mit Plesk möchte ich nun meinen ersten "richtigen" Server hochziehen, der absolut manuell konfiguriert ist. Plesk und Co. sollen also garnicht erst eingesetzt werden. Ich habe bemerkt, dass Plesk 1. sehr ressourcenlastig und 2. schlecht fürs Eigenverständnis ist.
Da mir in den letzten Jahren in diesem Forum auch viel und kompetent geholfen wurde, würde ich gerne ein wenig was zurückgeben. Macht es für euch Sinn, wenn ich ein kleines HowTo schreibe? Oder vielleicht einen Eintrag in nem Wiki? Könnte ein kleines Use Case werden und von euch auch gerne ergänzt sowie kontrolliert werden.
Das Ziel ist also ein möglichst sicherer und performanter Server.
Voraussetzungen:
- VServer mit Ubuntu 10.04. Ich setze ein "minimales" Image ein, so dass keine Dienste reduziert werden müss(t)en
- Es soll ein reiner Webserver werden, der zwar Postfix drauf hat, aber keine Maildienste wie z.B. dovecote
- Die Umgebung soll auf den Einsatz mit TYPO3 optimiert sein (kleine Umgebung, bis max. 10-15 Websites)
Was ich also bisher gemacht habe:
- Einen weiteren Benutzer angelegt und in zu den Sudoers gesteckt
- Den Root-Accout für direkten SSH-Zugriff gesperrt
- In der sshd_config Protocol 1 zu Protocol 2 geändert (macht das Sinn? Wenn ja, warum?)
- Installation von Apache2, PHP5, MySQL
- libapache2-mod-evasive
- fail2ban installiert
- Den SSH Port verlegt (nicht mehr auf Port 80)
- Postfix installiert und für den reinen Einsatz für Mails mit php konfiguriert
- Einen VHost angelegt und getestet
- Eine Datenbank und einen zugehörigen Nutzer erstellt
- eAccelerator installiert
Was ich noch machen möchte, wenn ich es hinbekomme:
- Apache ggf. optimieren
- MySQL ggf. optimieren
- eAccelerator optimieren
- Unnötige Dienste (wenn vorhanden) abschalten bzw. löschen
- Traffic-Auswertungen per Cronjob, bezogen auf einzelne VHosts. Reports per Mail
Fragen, die mir dabei noch einfallen:
- Macht der Einsatz von denyhosts Sinn?
- Macht der Einsatz von chkrootkit Sinn?
- Macht der Einsatz von rkhunter Sinn?
- Was muss mit iptables noch bedacht werden?
- Warum wird in der sshd_conf Protocol 1 zu Protocol 2?
- Kann der root-Benutzer von MySQL umbenannt oder sogar gelöscht werden?
- Sollte der Einsatz von phpmyadmin aus Sicherheitsgründen vermieden werden? Wenn nein, wie kann man dies am besten absichern?
Was muss noch beachtet werden, um einen möglichst performanten und sicheren Server zu bekommen?