SSH komutu

find /home/*/public_html/wp-login.php -exec chmod -v 0000 ‘{}’ \;

Yukarıdaki komut home dizini içerisindeki tüm sitelerin /public_html/wp-login.php dosyalarının yazma izinlerini sıfırlıyor.

Sunucunuzun tmp klasörüne atılacak bir script ile tüm sunucuya erişmesini ve böylece hackleme olasılığını az çok biliyorsunuz.Şimdi aşağıdaki işlemleri yaparak tmp klasörü içerisine script atılsa bile çalışmasını önleyecek , per ve cgi çalışmasını engelleyecek komutları anlatacağız.

Öncelikle;

SSH ile VPS hesabınıza bağlanıp

nano /etc/fstab

komutu ile fstab dosyasını açıyoruz.Daha sonra

mount /dev/loop0 -o noexec,nosuid,rw /dev/tmpFS /tmp
mount /dev/loop0 /dev/tmpFS -o noexec,nosuid,rw

kısmını kopyalayıp alt tarafa yapıştırıp kaydedip çıkıyoruz.Ardından

mount -obind,nosuid,noexec,nodev,rw /usr/tmp /tmp

komtunu çalıştırıp SSH dan çıkıyoruz.

Artık tmp klasörünün daha güvenli.

LES (Linux Environment Security) Kurmadan önce şunu bilmenizde fayda var sanal sunucunuz veya fiziksel sunucunuz da herhangi Panel Cpanel , Directadmin , Plesk veya Kloxo gibi bir panel kurulu ise bunların yapısında sorunlar çıkartabilir bunu göze alıp işlem yapmanızda fayda var

Ek olarak Cpanel kullanıp LES kullanan bir çok kişi var 

Les Kurulumuna geçersek

cd /usr/local/src
wget http://www.r-fx.ca/downloads/les-current.tar.gz
tar -zxvf les-current.tar.gz
cd les-0.*
./install.sh
rm -Rf /usr/local/src/les*

 

LES Komutları ve Neler yapabileceğinizi görmek için

/usr/local/sbin/les

Çıkan Komutlar ve yapabilecekleriniz

-da | –disable-all Disable all options
-ea | –enable-all Enable all options
-sb | –secure-bin Set root only execution of critical binaries
-sp | –secure-path Set root only traversal of critical paths
-sr | –secure-rpmpkg Set immutable on core rpm package binaries
-so | –secure-prof Set immutable on interactive login profiles
-sd | –secure-devel Set access to devel utils for group deva & root

 

Evet Şimdi sunucunuzu Kötü insanlardan korumak istiyorsanız

/usr/local/sbin/les -ea

Komutunu uygulamanız yeterli

Sunucu Güvenlik duvarınızın üzerine bir tuğla daha koymuş olduk

1* Tweak settings e giriş yapıp BoxTrapper Spam Trap kısmını pasif hale getiriyoruz.
BoxTrapper Spam Trap server’ın IP adresini SPAM’a düşürebileceği için kapatıyoruz.

2* PHP Configuration Editor alanına giriş yapıp sırasıyla
disable_functions alanını bulup karşısına aralarda virgül koyarak ve boşluk bırakmadan
glob, posix_getpwuid, array_compare, array_user_key_compare, ini_restore, exec, proc_get_status, proc_nice, proc_open, allow_url_fopen, fin, pconnect, system, dl, passthruexec, shell_exec, proc_close, proc_get_status, chown, chgrp, escapeshellcmd, escapeshellarg, fileread, passthru, popen,curl_exec, shell, execute

yada çok daha güvenli olması için

shell_exec,exec,system,glob,cat,dl,openbasedir,popen,proc_close,proc_get_status,proc_nice,proc_open,escapeshellcmd,escapeshellarg,show_source,posix_mkfifo,mysql_list_dbs,get_current_user,getmyuid,pconnect,link,symlink,pcntl_exec,ini_alter,parse_ini_file,leak,apache_child_terminate,posix_kill,posix_setpgid,posix_setsid,posix_setuid,proc_terminate,syslog,fpassthru,allow_url_fopen,stream_select,socket_select,socket_create,socket_create_listen,socket_create_pair,socket_listen,socket_accept,socket_bind,socket_strerror,pcntl_fork,pcntl_signal,pcntl_waitpid,pcntl_wexitstatus,pcntl_wifexited,pcntl_wifsignaled,pcntl_wifstopped,pcntl_wstopsig,pcntl_wtermsig,openlog,apache_get_modules,apache_get_version,apache_getenv,apache_note,apache_setenv,virtual,name

çok olan yapılırsa bazı sciprt ve uygulamalar çalışmayabilir ve bu nedenle düşürmeniz gerekir.

safe mode = On
memory_limit = 256M (MAXIMUM)
max_execution_time = 30 (MAXIMUM in seconds)
max_input_time = 60 (MAXIMUM in seconds)
post_max_size = 64M (MAXIMUM)
upload_max_filesize = 64M (MAXIMUM)
enable_dl = Off yapıp save diyerek kaydediyoruz.
register_globals = On
magic_quotes_gpc = Off

3* FTP Server Configration kısmına giriş yaparak
Allow Anonymous Login : no
Allow Anonymous Uploads : no
Allow Logins with Root Password : no
Broken Clients Compatibility : no
yapıyoruz ve kaydediyoruz.

4* Manage Plugins alanına giriş yapıyoruz
İlgili alanda bulunan “pro” ve “clamavconnector” seçerek save butonuna basıyoruz.
Daha sonra eklentiler sunucunuza kurulmaya başlıyor.İşlem biraz uzun sürebilir.Ancak bu eklentiler önemlidir.

5* Sıra geldi apache derleme işlemine .Bu işlem çoğuna göre farklılık gösterebilir fakat ben
hosting hizmeti veren ve farklı scriptler kullanan sunucular için anlatacağım.
EasyApache (Apache Update) kısmına tıklıyoruz ve sırasıyla
PHP Security [ Hide Info ] seçip start customizing based on profile tıklıyoruz.
Apache 2.2.24 seçip Next Step tıklıyoruz.
5.3.25 seçip Next Step tıklıyoruz.
Frontpage DEPRECATED , Mod SuPHP , IonCube Loader for PHP , Mod Security , Suhosin for PHP , Zend Guard Loader for PHP seçip Exhaustive Options List tıklıyoruz.
Gelen ekranda seçili olanlar kalacak şekilde
Cache , Deflate , Disk Cache , File Cache , MemCache , Mime Magic , Curl , GD , MM , Mbstring , Mcrypt , MySQL “Improved” extension , TTF (FreeType) , Save my profile with appropriate PHP 5 options set so that it is compatible with cpphp seçip Save And Build
diyerek apache derlemesinin bitmesini bekliyorsunuz.Bu adımda sayfa yenileme , servis resetleme , sunucu resetleme gibi kesinlikle işlem yapmadan bitmesi beklenir.Aksi takdirde sunucuyu yeniden kurmanız gerekebilir.
Derleme bittiğinde PHP and SuExec Configuration hakkında sorular soracak. Biz PHP4 kurmadığımız, default olarak PHP 5 seçiyoruz ve işlemleri kaydedip çıkıyoruz.

6* Apache Configuration kısmına giriş yapıyoruz.
Memory Usage Restrictions” kısmını tıklayıp Proceed diyoruz ve artık arızalı scriptlerin sunucuyu şişirmesini ve kilitlemesini engelliyoruz.

7* cPHulk Brute Force Protection alanına girip ve Enable kısmına tıklıyoruz.

8* PHP open_basedir Tweak bölümüne girip Enable php open_basedir protection seçip save diyoruz.

9* Apache mod_userdir Tweak bölümüne gelip Enable mod_userdir protection seçip save diyoruz.

10* Shell Fork Bomb Protection alanına girip Enable Protection seçiyoruz.

11* Compiler Access alanına girip Disable Compilers kısmına tıklıyoruz.

12* Tüm bu ayarlardan sonra sunucumuza aşağıdaki kurulumları SSH üzerinden yapıyoruz.
ConfigServer Firewall (csf) – http://blog.musteri.info/configserver-firewall-csf-kurulumu.html
ConfigServer Mail Queues (cmq) – http://blog.musteri.info/configserver-mail-queues-cmq.html
ConfigServer Mail Manage (cmm) – http://blog.musteri.info/configserver-mail-manage-cmm-kurulumu.html
ConfigServer Explorer (cse) – http://blog.musteri.info/configserver-explorer-cse-kurulumu.html
Mod_security – http://www.musteri.info/mod-security-kurulumu-linux

Kurulumlar bittikten sonra artık son derece güvenli bir sunucuya sahipsiniz…