OVH Community, your new community space.

Instalación KLOXO 64bits sobre Centos 5.5 (IPTABLES - WEBMIN - CSF & LFD - MOD_EVASI)


Demiurgo
13/12/2011, 12:40
Al parecer ya dan soporte oficial a KLOXO 64 bits para centos 5 y pronto también para centos 6
Demiurgo
15/05/2011, 00:23
para actualizar mysql (y las versiones de php) hay que hacerlo manualmente ya que anda en uso y no detiene el servicio (yo lo considero una actualización crítica, backup de todo ... configuraciones ... archivos ... dump ...);
desde webmin también ocurre salvo que después de varios intentos las ignora;

si te fijas anda intentando instalar una versión mysql de 32bits (desactualizada) en vez de la de 64bits (les recuerdo que kloxo no da todavía soporte para 64bits)
chencho
12/05/2011, 16:26
Parece que hay algún problema con el Kloxo en Centos 5.6:

Código:
Transaction Check Error:
  file /etc/my.cnf from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/charsets/Index.xml from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/charsets/cp1250.xml from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/charsets/cp1251.xml from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/czech/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/danish/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/dutch/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/english/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/estonian/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/french/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/german/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/greek/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/hungarian/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/italian/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/japanese/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/korean/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/norwegian-ny/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/norwegian/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/polish/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/portuguese/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/romanian/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/russian/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/serbian/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/slovak/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/spanish/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/swedish/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
  file /usr/share/mysql/ukrainian/errmsg.sys from install of mysql-5.0.77-4.el5_6.6.i386 conflicts with file from package mysql-libs-5.5.9-1.x86_64
Entra en un bucle de intentar instalar, pero nanai.
Power
01/02/2011, 08:16
Cita Publicado inicialmente por Demiurgo
es el archivo de /etc/my.cnf (debes reiniciar mysql para que surta efecto)

Código:
service mysqld restart
¿desde dónde lo configuras? yo lo hago manualmente sobre el archivo de etc y nunca se me ha reseteado la configuración
Hola,

Ojo. En mis servidores (también CentOS 5.5) el servicio de MySQL se llama mysql y no mysqld.
Debo hacer:
Código:
service mysql restart
Saludos
Demiurgo
31/01/2011, 22:43
es el archivo de /etc/my.cnf (debes reiniciar mysql para que surta efecto)

Código:
service mysqld restart
¿desde dónde lo configuras? yo lo hago manualmente sobre el archivo de etc y nunca se me ha reseteado la configuración
Rbsmarte
31/01/2011, 10:02
Hola Demiurgo, en primer lugar gracias por la guia me ha sido de gran ayuda, y en segundo lugar, sabrias decirme donde guarda kloxo o webmin la configuracion de mysql, si modifico en mi server /etc/my.cnf no coge la configuracion, y si modifico MySQL System Variables en webmin si, pero si reinicio el server se desconfigura de nuevo.Saludos y Gracias
Demiurgo
27/01/2011, 21:18
por cierto la nueva versión Kloxo 6.1.0 ya es opensource
chencho
20/11/2010, 12:55
Joder, muchas gracias por la info, de verdad.
Demiurgo
20/11/2010, 12:19
Codificación idioma apache
- Por defecto la codificación de idioma de apache es utf-8 (creo)
Para cambiarla en determinados dominios se puede hacer creando un archivo .htaccess :
Código:

Código:
AddDefaultCharset IS0-8859-1
sino en el archivo de configuración general lo puedes cambiar, si no muestra algo seguramente el theme otorgue errores, parece más un problema de configuración/programación que de kloxo
racamet
20/11/2010, 04:12
Despues de varias pruebas, no he conseguido hacer que funcione.
He probado tambien con el instalador de aplicaciones que trae Kloxo, y funciona bien hasta que intento cambiar de "tema", es cuado ya no muestra alguas cosas.

Creo que puede deberse a la codificacion UTF-8 o ISO-xxx

¿Habeis probado a instalar un wordpress?, ¿No os ha dado problemas?
Demiurgo
17/11/2010, 12:04
los warnings que muestras se deben a que la ip de SSL es compartida por todos los dominios, en principio nada crítico

en el log de errores del dominio en cuestión ¿qué te dice?
como no me ha tocado instalar ningún worpress, te recomiendo preguntar también en el foro de kloxo http://forum.lxcenter.org/index.php?t=thread&frm_id=47& que fijo a alguien más le ha ocurrido
racamet
16/11/2010, 20:13
Aqui te dejo las ultimas lineas de error.log, a ver por donde "atacamos"

Código:
[Tue Nov 16 14:54:43 2010] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Tue Nov 16 14:54:43 2010] [warn] RSA server certificate wildcard CommonName (CN) `*.lxlabs.com' does NOT match server name!?
[Tue Nov 16 14:54:43 2010] [warn] RSA server certificate wildcard CommonName (CN) `*.lxlabs.com' does NOT match server name!?
[Tue Nov 16 14:54:43 2010] [warn] Init: SSL server IP/port conflict: srv3.racamet.eu:443 (/etc/httpd/conf/kloxo/ssl.conf:3) vs. WEB:443 (/home/httpd/WEB/conf/kloxo.WEB:71)
[Tue Nov 16 14:54:43 2010] [warn] Init: You should not use name-based virtual hosts in conjunction with SSL!!
[Tue Nov 16 14:54:43 2010] [notice] Digest: generating secret for digest authentication ...
[Tue Nov 16 14:54:43 2010] [notice] Digest: done
[Tue Nov 16 14:54:43 2010] [warn] RSA server certificate wildcard CommonName (CN) `*.lxlabs.com' does NOT match server name!?
[Tue Nov 16 14:54:43 2010] [warn] RSA server certificate wildcard CommonName (CN) `*.lxlabs.com' does NOT match server name!?
[Tue Nov 16 14:54:43 2010] [warn] Init: SSL server IP/port conflict: srv3.racamet.eu:443 (/etc/httpd/conf/kloxo/ssl.conf:3) vs. WEB:443 (/home/httpd/WEB/conf/kloxo.WEB:71)
[Tue Nov 16 14:54:43 2010] [warn] Init: You should not use name-based virtual hosts in conjunction with SSL!!
[Tue Nov 16 14:54:43 2010] [notice] Apache/2.2.3 (CentOS) configured -- resuming normal operations
Gracias.
Demiurgo
16/11/2010, 19:44
Cita Publicado inicialmente por racamet
He seguido tu guia pero no consigo hacer funcionar wordpress; la pagina de login se queda en blanco.

¿has tenido este problema?, ¿como lo has solucionado?


Gracias.
si no te funciona wordpress mira los logs de apache para ver los errores
racamet
16/11/2010, 19:25
He seguido tu guia pero no consigo hacer funcionar wordpress; la pagina de login se queda en blanco.

¿has tenido este problema?, ¿como lo has solucionado?


Gracias.
toni2
10/08/2010, 22:19
Increible!

Es justo lo que buscaba!!
crises
07/08/2010, 11:10
Gracias Demiurgo, aunque utilizo la versión de 32 bits hay ciertas cositas en tu guía que me serán útiles.
luis_sanz
07/08/2010, 00:03
fantasticooo!!

HOW-TO como esten son lo que necesita este foro, genialmente explicado

muy currado

por cierto hay una version de iptables nueva, del 6de agost 1.4.9.1

por cierto genial hypervm, no lo conocia.. estoy pensando en probarlo, parece una opcion muy buena a proxmox
Demiurgo
06/08/2010, 21:25
Otras cositas

Eliminar usuarios MySQL no necesarios y/o remotos
- No se olviden de eliminar los usuarios con acceso % de la base de datos ya que entonces estamos permitiendo conexiones remotas.

Desde phpMyAdmin mismamente se puede hacer.
Dejar solamente los usuarios localhost (o los que necesiten) por defecto KLOXO crea una base de datos con el nombre del usuario y le da acceso y control total.
Recomiendo que cada uno se cree sus propias bases de datos, usuarios y privilegios.


Codificación idioma apache
- Por defecto la codificación de idioma de apache es utf-8 (creo)
Para cambiarla en determinados dominios se puede hacer creando un archivo .htaccess :
Código:
AddDefaultCharset IS0-8859-1

Actualizar RTM de ovh a su última versión (estadísticas servidor)
- Actualizamos RTM ( http://guias.ovh.es/printPage/RealTimeMonitoring )
cd /usr/src/
wget ftp://ftp.ovh.net/made-in-ovh/rtm/install_rtm.sh -O install_rtm.sh
sh install_rtm.sh
rm -f install_rtm.sh


(Opcional) Permitir el acceso a servidores OVH de control y RTM
- Debemos añadir las ips a los archivos csf.allow y csf.ignore para permitir el acceso a servicios de OVH (comprueben estado del servidor, para que resuelvan posibles averías, recopilación de estadísticas ... http://guias.ovh.es/printPage/FireWall) :

Código:
213.186.33.13
213.186.50.100
213.186.50.98
213.186.45.4
213.251.184.9
*En la documentación en algunos lugares aparece proxy.rbx.ovh.net - 213.251.184.9 y en otros proxy.rbx2.ovh.net - 91.121.150.4 , supongo que con añadir uno de los dos es más que suficiente.

- Para el RTM (estadísticas) debes añadir la ip de tu servidor terminada en .250 y .251 :

Código:
IpTuServidor.250
IpTuServidor.251
Demiurgo
06/08/2010, 21:18
Instalar y configurar mod_evasive

-Descargamos
Código:
cd /usr/src
wget http://www.zdziarski.com/blog/wp-content/uploads/2010/02/mod_evasive_1.10.1.tar.gz
tar -zxf mod_evasive_*.tar.gz
cd mod_evasive
-Instalar
Código:
apxs -cia mod_evasive20.c
-¿Problemas? apxs no instalado Solución :
Código:
yum install httpd-devel
-Configurar
Código:
vi /etc/httpd/conf/httpd.conf
Añadimos
Código:

    DOSHashTableSize    3097
    DOSPageCount        2
    DOSSiteCount        50
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   3600
    DOSEmailNotify tuemaildenotificación@loquesea
Podemos añadir más cositas

Código:

 DOSHashTableSize 3097
 DOSPageCount 1
 DOSSiteCount 50
 DOSPageInterval 1
 DOSSiteInterval 1



 DOSHashTableSize 3097
 DOSPageCount 5
 DOSSiteCount 100
 DOSPageInterval 2
 DOSSiteInterval 2

Detalles de los parámetros


DOSHashTableSize
Cuanto más grande sea el tamaño de la tabla de Hash, más memoria requerirá, pero el rastreo de Ips será más rápido.
Es útil aumentar su tamaño si nuestro servidor recibe una gran cantidad de peticiones, pero así mismo la memoria del servidor deberá ser también mayor.

DOSPageCount
Número de peticiones a una misma página para que una IP sea añadida a la lista de bloqueo
, dentro del intervalo de bloqueo en segundos especificado en el parámetro DOSPageInterval

DOSSiteCount
Igual que ‘DOSPageCount’, pero corresponde al número de peticiones al sitio en general, usa el intervalo de segundos especificado en ‘DOSSiteInterval’.

DOSPageInterval
Intervalo en segundos para el parámetro umbral de DOSPageCount.

DOSSiteInterval
Intervalo en segundos para el parámetro umbral DOSSiteCount.

DOSBlockingPeriod
Periodo de bloqueo para una IP si se supera alguno de los umbrales anteriores.
El usuario recibirá un error403 (Forbidden) cuando sea bloqueado, si el atacante lo sigue intentando, este contador se reseteará automáticamente, haciendo que siga más tiempo bloqueada la IP.

DOSEmailNotify
Dirección de correo electrónico que recibirá información sobre los ataques.

DosWhitelist
Podemos especificar una IP o rango que será excluido del rastreo por mod_evasive.


* Algo que he leído y todavía no he verificado por lo que no estoy muy seguro de opinar, ¿fallo de programación en el módulo? => http://el-blog-de-thor.blogspot.com/...odevasive.html
Demiurgo
06/08/2010, 21:09
Ocultar versiones de programas

-Apache ( http://programandopasoapaso.blogspot...-servidor.html )
Código:
vi /etc/httpd/conf/httpd.conf
:/ServerSignature
ServerSignature Off
:/Tokens 
ServerTokens ProductOnly
-Reiniciamos
Código:
service httpd restart
-PHP
Código:
vi /etc/php.ini
:/expose_php
expose_php = Off
-BIND ( named.conf ) dns1 dns2
Editamos el archivo de configuración
Código:
vi /var/named/chroot/etc/named.conf
Para cambiar la version es la línea de version "loquequierasponer";
Para evitar la alerta DNS recursion restrictions el allow-recursion { bla bla bla }; Recuerda cambiar tudns2 y tudns2 por la ip de tus dns.
Código:
options
{
  version "CHISPUM";
  allow-recursion {
	127.0.0.1;
	TUDNS1_CAMBIALO_POR_SUIP
	TUDNS2_CAMBIALO_POR_SUIP
  };
};
-Reiniciamos
Código:
service named restart
- ProFTPD
Buscamos el archivo de configuración
Código:
locate proftpd.conf
Lo editamos poniendo
Código:
vi rutahastadelarchivo
Si no existe la opción la añadimos al archivo
Código:
ServerIdent On "Servidor de FTP"
- PURE-FTPD
No he encontrado como hacerlo, si alguien lo sabe que lo comparta
Demiurgo
06/08/2010, 20:41
Generar clave/llave de conexión para SSH desde pc

En http://www.rubenortiz.es/2009/05/07/...tificados-ssh/ lo explica con detalle, pero a mi desde un pc no me funcionaba lo de cargar la frase automática por lo que tardaba más en entrar que con user y pass.

Lo he hecho así :

-----GENERAR LA CLAVE
-Para conectar mediante putty desde pc, descargamos generador de llaves => http://the.earth.li/%7Esgtatham/putt...6/puttygen.exe
-Iniciamos, movemos el ratón (va generando la llave al moverlo... xD), (la frase es opcional), guardamos clave pública y privada (archivos de clave *.ppk)
-Nos conectamos al servidor
-Añadimos la clave pública que nos da el keygen al final del archivo
Código:
vi /root/.ssh/authorized_keys2
Si no existe el archivo lo creamos
Código:
ssh-keygen -t rsa
-Cargamos en nuestra configuración local de Putty los datos de nuestra conexión, vamos a Connection/SSH/Auth seleccionamos y cargamos archivo clave privada que hemos generado antes.
-Volvemos a Session => save
Demiurgo
06/08/2010, 20:38
Instalar CSF & LFD

Información sobre CSF & LFD en http://www.configserver.com/cp/csf.html

-Descargar
Código:
cd /tmp
wget http://www.configserver.com/free/csf.tgz
-Descomprimimos
Código:
tar -xzf csf.tgz
-Instalamos
Código:
cd csf
sh install.sh
-Configurar
Código:
vi /etc/csf/csf.conf
Para detalles sobre puertos abiertos :
http://www.mysql-apache-php.com/ports.htm
http://www.mysql-apache-php.com/csf-firewall.htm
Código:
nmap fuser localhost
Modificar valores de TCP_IN, TCP_OUT, UDP_IN, UDP_OUT a tus necesidades.

Opcionalmente se puede añadir a WEBMIN ( http://foros.ovh.es/showthread.php?p=17358#post17358 )
Vas a Webmin > Webmin Configuration > Webmin Modules >
From local file > /etc/csf/csfwebmin.tgz > Install Module
-Ahora podemos entrar a ConfigServer Security & Firewall
-Entramos a Firewall Security Level y ponemos High o a nuestras necesidades.

Reiniciamos CSF & LFD y pulsamos sobre Check Server Segurity para ver las posibles alertas de seguridad.
Tal y como vamos si has hecho todo lo que he dicho andarás en un 53/63

Vamos a ir solucionando avisos :

-MySql load data :
Código:
vi /etc/my.cnf
Añadimos tras [mysqld]
Código:
local-infile=0
-Reiniciamos
Código:
service mysqld restart
-----

-ATD activo al reinicio
Código:
service atd stop
chkconfig atd off
-----

-ANACRON activo
Código:
service anacron stop
chkconfig anacron off
-----

-Ssh UseDSN no ( /etc/ssh/sshd_config )
Código:
vi /etc/ssh/sshd_config 
:/UseDNS   ( desmarcar )
UseDNS no
-----

-SAFECHAINUPDATE
Se desactiva en /etc/csf/csf.conf o desde WEBMIN

-----

-DNS recursion restrictions (lo vamos a resolver más adelante)
Para saber como pulsa AQUÍ

-----

Si no tenemos /var/tmp y /tmp en particiones separadas nos aparecen un par de mensajitos

- Linkar /var/tmp a /tmp (Check /var/tmp is mounted as a filesystem)
Para no separarla en otra partición simplemente linkamos a /tmp y eliminamos
Código:
rm -rf /var/tmp
ln -s /tmp /var/tmp
- El aviso de /tmp filesystem desaparece creando una partición para /tmp (eso ya a gusto de cada cual)
-----

Para solucionar los 2 avisos siguientes :

- Check /dev/shm is mounted noexec,nosuid
- Check /tmp is mounted as a filesystem

A) Tenemos la partición /tmp creada :
- Copia de seguridad por si la liamos
Código:
cp /etc/fstab /etc/fstab.bak
Cambiamos el modo a la línea de /tmp y /dev/shm, defaults por noexec,nosuid
Código:
vi /etc/fstab
Por si no sabes por donde te da el aire, debe quedar algo parecido a "/dev/xxx /tmp ext3 noexec,nosuid 1 2"
Detalles en http://es.wikipedia.org/wiki/Fstab y http://es.wikipedia.org/wiki/Mount#O..._comando_mount

Volvemos a montar
Código:
mount -o remount /tmp
mount -o remount /dev/shm
B) Para los que no tienen la partición creada os dejo lo siguiente, no lo he probado

Step 1: Securing /tmp
Step 1.1: Backup your fstab file

cp /etc/fstab /etc/fstab.bak

Step 1.2: Creating tmpmnt partition file (Around 1Gb in size)

cd /var
dd if=/dev/zero of=tmpMnt bs=1024 count=1048576

Step 1.3: Format the new partition

mkfs.ext3 -j /var/tmpMnt

Press Y when asked
Step 1.4: Making backup of old /tmp

cp -Rp /tmp /tmp_backup

Step 1.5: Mount the tmp filesystem

mount -o loop,noexec,nosuid,rw /var/tmpMnt /tmp

Step 1.6: Set the right permissions

chmod 0777 /tmp

Step 1.7: Copy the files back to new tmp folder

cp -Rp /tmp_backup/* /tmp/

Step 1.8: Adding new /tmp filesystem to fstab

echo "/var/tmpMnt /tmp ext3 loop,rw,noexec,nosuid,nodev 0 0" >> /etc/fstab

Step 2: No need for 2 tmp filesystems, so we symlink /var/tmp to /tmp

rm -rf /var/tmp/
ln -s /tmp/ /var/tmp
-----

-Check SSH PasswordAuthentication

Si no sabes como crear la clave SSH desde Putty pulsa AQUÍ

-Recuerda añadir nuestra clave pública al final del archivo.
Código:
vi /root/.ssh/authorized_keys2
Además debes configurar en tu cliente para que inicie la sesión con la privada.

-Editamos fichero
Código:
vi /etc/ssh/sshd_config
:/PubkeyAuthentication
Dejamos los parámetros del archivo así
Código:
PubkeyAuthentication yes
PasswordAuthentication no
-Reiniciamos
Código:
service sshd restart
Al volver a hacer el test deberíamos de tener 61~63/63
Isb1009
06/08/2010, 20:38
Has dejado la dirección de tu Kemsirve escrita en el 2º mensaje.
Demiurgo
06/08/2010, 20:14
Instalar WEBMIN (panel administrador de servidor web)

-Descargar
Código:
mkdir /usr/local/webmin
cd /usr/src
wget http://www.webmin.com/download/webmin-current.tar.gz
-Descomprimimos
Código:
tar -zxvf webmin-*.tar.gz
-Instalamos
Código:
cd webmin-*/
./setup.sh /usr/local/webmin
Parámetros de instalación (rutas default) o modificar por las que quieras
-Accedemos
https://tuservidor:10000/ (o el puerto que indiquemos durante la instalación)
Demiurgo
06/08/2010, 20:11
Instalar/Actualizar IPTABLES

-Actualizar iptables ( http://guias.ovh.es/FireWall )
Código:
iptables -V
-Descargamos última versión ( http://www.netfilter.org/projects/ip...downloads.html )
Código:
mkdir /usr/src/linux
cd /usr/src/linux
wget http://www.netfilter.org/projects/iptables/files/iptables-1.4.9.1.tar.bz2
-Descomprimimos
Código:
tar xvfj iptables-*.tar.bz2
cd iptables-*/
-Compilamos
Código:
./configure KERNEL_DIR=/usr/src/linux
make KERNEL_DIR=/usr/src/linux
-Instalamos
Código:
make install KERNEL_DIR=/usr/src/linux
-Guardamos rutas antiguas
Código:
cd /sbin
mv iptables iptables.old
mv iptables-restore iptables-restore.old
mv iptables-save iptables-save.old
-Vinculamos
Código:
ln -s /usr/local/sbin/iptables iptables
ln -s /usr/local/sbin/iptables-restore iptables-restore
ln -s /usr/local/sbin/iptables-save iptables-save
Demiurgo
06/08/2010, 20:06
Solucionar problemas de KLOXO en entornos de 64bits

Kloxo actualmente no da soporte para instalaciones en 64bits, pese a ello instala casi todos los paquetes en 64bits aunque algunos dan problemas.

Código:
php -v
Vamos a solucionar los problemas con las librerías de php, ioncube y zend.

- Eliminamos la carpeta (tal vez no exista)
Código:
rm -rf /var/cache/kloxo/kloxophp*/script/upcp
-Modificamos el php.ini para cargar correctamente las librerías (/etc/php.ini)
Código:
vi /etc/php.ini
En el editor de textos vi, para buscar una palabra se escribe en su consola :/loquebuscamos
Código:
:/extension_dir
Debemos sustituir la ruta :
Código:
extension_dir = /usr/lib/php/modules
por
Código:
extension_dir = /usr/lib64/php/modules
-Al parecer cada vez que cambiamos algo en el php.ini (principal) desde el panel vuelve a cambiar la ruta por lo que vamos a crear un enlace
Código:
rm -rf /usr/lib/php/modules
ln -s /usr/lib64/php/modules /usr/lib/php
-Ahora eliminamos ioncube
Código:
cd /usr/lib/kloxophp/
rm -rf ioncube
-Descargamos la versión 64 bits
Código:
wget http://downloads2.ioncube.com/loader_downloads/ioncube_loaders_lin_x86-64.zip
unzip ioncube_loaders_lin_x86-64.zip
rm -f ioncube_loaders_lin_x86-64.zip
-Reinstalamos zend 64bits
Código:
cd /usr/lib/kloxophp/
wget http://downloads.zend.com/optimizer/3.2.8/ZendOptimizer-3.2.8-linux-glibc23-x86_64.tar.gz
tar -zxvf ZendOptimizer-*.tar.gz
cd ZendOptimizer-*
./install.sh
El instalador nos va pidiendo rutas, las dejamos igual.
-Eliminamos basura
Código:
rm -rf /usr/lib/kloxophp/ZendOptimizer-3.2.8-linux-glibc23-x86_64*
rm -rf /usr/lib/kloxophp/zend/
-Enlazamos para no tener el mismo error al cambiar algo del php.ini general
Código:
ln -s /usr/local/Zend /usr/lib/kloxophp/zend
Reiniciamos apache
Código:
service httpd restart
php -v
Sin errores
Demiurgo
06/08/2010, 19:57
Actualizamos


-Actualizar repositorios (a elección personal)
Código:
rpm -Uhv http://apt.sw.be/redhat/el5/en/x86_64/rpmforge/RPMS//rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm
-Actualizamos
Código:
yum -y update
yum -y upgrade
Instalación KLOXO

- Descargamos (guía oficial http://wiki.lxcenter.org/Kloxo+Installation+Guide)
Código:
setenforce 0
su - root
cd /tmp
wget http://download.lxlabs.com/download/kloxo/production/kloxo-install-master.sh
sh ./kloxo-install-master.sh
(Opcional) Para traducir Kloxo a español :
- Instalar subversión para la traducción, se puede descargar el archivo manualmente, pero bueno, lo veo más rápido así.
Código:
yum install subversion
cd /usr/local/lxlabs/kloxo/httpdocs/lang
svn checkout http://svn.lxcenter.org/svn/i8nl/trunk/kloxo/es
Ahora accedemos a : https://tudireccion:7777/
- Nos pedirá cambiar contraseña
- Para cambiar idioma vamos a Admin/Information/Apear => Spanish
- Te pedirá configurar emailname, activar gaitas Lxguardian para evitar logeo fuerza bruta y bla bla bla.
- Por seguridad es recomendable cambiar puerto ssh 22 a uno personalizado. Vamos al apartado Security/SSH Config
- Guía del administrador ( http://wiki.lxcenter.org/Kloxo%20Admin%20Guide )
Demiurgo
06/08/2010, 19:46
Instalación KLOXO 64bits sobre Centos 5.5 - KLOXO 64bits - IPTABLES - WEBMIN - CSF & LFD - MOD_EVASIVE - OCULTAR VERSIONES - TRUCOS

Bueno, antes que nada os aviso, no tengo apenas experiencia sobre gestionar servidores por lo que la guía pretende ser orientativa.
Comparto con ustedes la información que he ido recopilando desde que ando metido en esto, mucha de ella seguro que ya anda por el foro.
Dejando a un lado la instalación de KLOXO en temas de seguridad el proceso es ampliable a cualquier tipo de panel de administración.
Recomiendo hacer los pasos en orden.
Instalarlo todo cuesta aproximadamente ~30 minutos
Se aceptan de buen grado sugerencias, consejos y correcciones
Por supuesto si creen que falta algo para hacerlo todavía más seguro me encantaría saberlo para ponerme con ello.
Poco a poco intentaré ir mejorando la guía (espero que con su ayuda)


1º - Instalación KLOXO
2º - Solucionar problemas de KLOXO en entornos de 64bits
- Solucionar : Carga incorrectamente las librerías.
- Solucionar : Carga incorrectamente IONCUBE
- Solucionar : Carga incorrectamente ZEN
3º - Instalar/Actualizar IPTABLES
4º - Instalar WEBMIN (panel administrador de servidor web)
5º - Instalar y configurar CSF & LFD (firewall-antiddos)
- Añadir CSF & LFD a WEBMIN
- Solucionar : MySql load data
- Solucionar : ATD activo al reinicio
- Solucionar : ANACRON activo
- Solucionar : Ssh UseDSN no
- Solucionar : SAFECHAINUPDATE
- Solucionar : DNS recursion restrictions
- Solucionar : Check /var/tmp is mounted as a filesystem
- Solucionar : Check /tmp is mounted as a filesystem
- Solucionar : Check /dev/shm is mounted noexec,nosuid
- Solucionar : Check /tmp is mounted as a filesystem
- Solucionar : Check SSH PasswordAuthentication
6º - Generar clave/llave de conexión para SSH desde pc
7º - Ocultar versiones de programas
- Apache
- PHP
- BIND
- ProFTPD
- PURE-FTPD
-Instalar y configurar mod_evasive
- Parámetros de mod_evasive
- ¿Fallo de programación en mod_evasive?
-Otras cositas
- Eliminar usuarios MySQL no necesarios y/o remotos
- Codificación de idioma Apache
- Actualizar RTM de OVH a su última versión (estadísticas servidor)
- Permitir el acceso a servidores OVH de control y RTM