Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- ------------------------------------------------------------------------------------------------
- Dodajmo 4 nova usera i dvije nove grupe:
- useradd ivan
- useradd luka
- useradd kruno
- useradd marko
- groupadd web
- groupadd programeri
- Dodajmo usere ivan i luka u grupu web, a usere marko i kruno u grupu programeri:
- usermod -aG web ivan
- usermod -aG web luka
- usermod -aG programeri marko
- usermod -aG programeri kruno
- Kreairanje dva nova direktorija i promjena group vlasništva:
- mkdir 775 web
- mkdir 775 programeri
- chown :web web
- chown :programeri programeri
- Setgid nad direktorijem web
- chmod g+s web
- Sticky bit nad direktorijem programeri:
- chmod g+s programeri
- chmod o+t programeri
- Kreacija direktorija test i promjena vlasništva:
- mkdir test
- chown root:root test
- Brisanje svih ovlasti i dodavanje ACL-ova:
- chmod 000 test
- setfacl -Rm g:web:rx test
- setfacl -Rm u:marko:rwx test
- Provjera acl-ova na direktoriju test:
- getfacl test
- Stanje SElinuxa:
- getenforce
- Instalacija utilitija za upravljanje SElinux postavkama:
- yum -y install policycoreutils*
- Uključenje enforcing moda i provjera:
- editiramo /etc/sysconfig/selinux
- setenforce 1
- getenforce
- Pokretanje SElinux management konzole:
- system-config-selinux
- Provjera konteksta nad datotekom ili direktorijem
- ls -Z
- Provjera konteksta nad procesom
- ps -Zaux
- Provjera audit loga prilikom troubleshootinga:
- grep AVC /var/log/audit/audit.log
- Provjera
- semanage port -l | grep http
- semanage boolean -l | grep http
- Dozvoli pristup direktoriju za web koji je izvan osnovnog apache direktorija
- semanage fcontext -a -t httpd_sys_content_t “/var/log/test(/.*)?”
- restorecon -vvFR putanja_do_direktorija/datoteke
- Dozvola pisanja po datoteci
- semanage fcontext –add –type httpd_sys_rw_content_t “/var/log/messages”
- restorecon putanja
- Postavljanje boolean vrijednosti:
- setsebool -P ftpd_anon_write 1
- Permanentno propuštanje porta 82 na korištenje httpd-u
- semanage port -a -t http_port_t -p tcp 82
- Provjera dozvola
- semanage fcontext -l | grep ‘var/log/messages’
- Dijeljenje datoteka/direktorija između domena
- semanage fcontext -a -t public_content_rw_t ‘/var/www/html(/.*)?’
- restorecon -R /var/www/html
- setsebool -P allow_smbd_anon_write 1
- setsebool -P allow_httpd_anon_write 1
- Ispis diskova koje imamo na raspolaganju:----------------------------------------------------
- fdisk -l
- Kreirajmo 2 particije formatirane u lvm2 pv file systemu koristeći Gparted.
- Priprema particija za lvm:
- pvcreate /dev/sdb1
- pvcreate /dev/sdb2
- suprotno bi bilo:
- pvremove /dev/sdb1
- pvremove /dev/sdb2
- Kreiranje grupe kapaciteta:
- vgcreate mojvolume /dev/sdb1 /dev/sdb2
- Proširenje grupe kapaciteta bi išlo s:
- vgextend mojvolume /dev/sdc
- Kreiranje logical volumena te formatiranje istogu ext4 file sistemu:
- lvcreate -n logicalvolume -L +250 mojvolume
- lvcreate -n logicalvolume2 -L +250 mojvolume
- mkfs.ext4 /dev/mojvolume/logicalvolume
- mkfs.ext4 /dev/mojvolume/logicalvolume2
- mount /dev/mojvolume/logicalvolume /logicalvolume
- mount /dev/mojvolume/logicalvolume2 /logicalvolume2
- df -h /logicalvolume
- df -h /logicalvolume2
- Povećanje logical volumena logicalvolume za 128M:
- lvextend -L +128 /dev/mojvolume/logicalvolume
- Povećavanje datotečnog sustava do maksimalnog dostupnog kapaciteta:
- resize2fs /dev/mojvolume/logicalvolume
- Smanjivanje logičkog volumena:
- umount /logicalvolume
- /dev/mojvolume/logicalvolume
- resize2fs /dev/mojvolume/logicalvolume 230M
- mount /dev/mojvolume/logicalvolume /logicalvolume
- Provjera:
- pvscan
- vgscan
- lvscan
- -------------------------------------------------------------------------------------------------------
- export VISUAL =nano
- crontab -e -u root
- *3***yum-y update
- exclude=kernel* httpd* mysql*
- yum install logwatch
- /etc/logwatch/conf/logwatch.conf
- /usr/share/logwatch/default.conf/logwatch.conf
- MailTo=root
- Detail=High
- ----------------------------------------------------------------------------------------------------------
- Instalacija Rsyslog-a:
- yum -y install rsyslog
- systemctl enable rsyslog
- systemctl start rsyslog
- Prvo modificiramo /etc/rsyslog.conf datoteku
- Konfiguracija na strani servera:
- Pod Modules dodajemo:
- $ModLoad imudp
- $UDPServerRun 514
- $ModLoad ommysql
- Pod Rules dodajemo:
- *.* :ommysql:localhost,rsyslog,admin,admin #Moramo izraditi adekvatnu bazu i korisnika
- Konfiguracija na strani pojedinačnog klijenta:
- *.* @remote-host:514 #jedno @=UDP, dvostruki @=TCP
- ------------------------------------------------------------------------------------------------------
- Instalacija mysql baze, php, phpmyadmin i apache servera:
- yum -y install epel-release #(ako nije već instaliran)
- yum -y install httpd mariadb-server mariadb php php-mysql php-gd php-pear php-mbstring phpmyadmin
- Pokretanje i podešavanje automatskog pokretanja http servera:
- systemctl start httpd.service
- systemctl enable httpd.service
- Pokretanje i podešavanje automatskog pokretanja mysql servera:
- systemctl start mariadb
- systemctl enable mariadb
- Pokretanje i podešavanje mysql baze
- mysql_secure_installation
- Potrebnu bazu (rsyslog) i korisnika (admin) možemo napraviti pomoću phpmyadmin-a
- Propuštanje portova na firewallu (na svim mašinama):
- firewall-cmd –permanent –add-service http
- firewall-cmd –add-port=514/udp –permanent
- firewall-cmd –reload
- systemctl restart firewalld.service
- Podešavanje prava na /var/log/messages datoteci:
- chmod 644 /var/log/messages
- Podešavanje SELinux-a da propušta Rsyslog poruke te da ima pristup messages datoteci:
- semanage port -l| grep syslog
- semanage port -a -t syslogd_port_t -p udp 514
- semanage fcontext -a -t httpd_sys_content_t /var/log/messages
- restorecon /var/log/messages
- Instalacija LogAnalyzer-a--------------------------------------------------------------------------
- Nakon što skinemo i prebacimo instalaciju loganalyzera u /var/www/html potrebno je prebaciti sadržaj mape contrib
- u taj isti direktorij te sadržaj mape src u taj isti direktorij
- i onda postaviti execute flag na datoteke index.php i secure.sh
- te omogućiti zapisivanje u datoteku configure.sh. Poslije toga otvorimo adresu localhosta i pratimo wizard.
- tar xzvf loganalyzer-4.1.5.tar.gz
- mkdir -p /var/www/html/loganalyzer
- cp -r loganalyzer-4.1.5/contrib/* /var/www/html/loganalyzer/.
- cp -r loganalyzer-4.1.5/src/* /var/www/html/loganalyzer/.
- chmod +x index.php
- chmod +x secure.sh
- chmod +x configure.sh
- ./configure.sh #kako bi napravio config.php file
- chmod +rw config.php
- systemctl restart httpd
- Prije instalacije potrebno je postaviti security context na datoteku config.php u koju se mora moći pisati
- chcon –type httpd_sys_rw_content_t /var/www/html/config.php
- Prilikom instalacije unutar web preglednika, kao source file potrebno je odabrati /var/log/messages.
- ---------------------------------------------------------------------------------------------------------------------------
- Instalacija Epel releasea
- yum install epel-release
- Instalacija Nginx-a
- yum install nginx
- Propuštanje http i https portova na Firewalld (ako je uključen)
- sudo firewall-cmd –permanent –zone=public –add-service=http
- sudo firewall-cmd –permanent –zone=public –add-service=https
- sudo firewall-cmd –reload
- Pokretanje Nginx-a
- systemctl start nginx; systemctl enable nginx
- Konfiguracijske datoteke i lokacije:
- Default Server Root
- /usr/share/nginx/html.
- Server Block Configuration
- /etc/nginx/conf.d. Datoteke trebaju završavati s .conf ekstenzijom
- Nginx Global Configuration
- /etc/nginx/nginx.conf.
- Primjer .conf datoteke koju je potrebno staviti u /etc/nginx/conf.d mapu, datoteka treba imati .conf ekstenziju.
- server {
- listen 80;
- server_name nginx.com www.nginx.com;
- location / {
- root /usr/share/nginx/nginx.com;
- index index.html index.htm;
- try_files $uri $uri/ =404;
- }
- error_page 500 502 503 504 /50x.html;
- location = /50x.html {
- root /usr/share/nginx/html;
- }
- }
- Restart nginx servisa:
- systemctl restart nginx
- -------------------------------------------------------------
- PODEŠAVANJE SSL PRISTUPA
- Instalacija SSL alata
- yum install mod_ssl openssl
- Generiranje privatnog ključa:
- openssl genrsa -out ca.key 2048
- Generiranje certificate signing requesta:
- openssl req -new -key ca.key -out ca.csr
- Generiranje ključa:
- openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt
- Kopiranje ključeva na defaultne lokacije:
- cp ca.crt /etc/pki/tls/certs/
- cp ca.key /etc/pki/tls/private/
- cp ca.csr /etc/pki/tls/private/
- Editiranje /etc/httpd/conf.d/ssl.conf datoteke:
- DocumentRoot “/var/www/html
- ServerName 192.168.1.42:443
- SSLEngine on
- SSLCertificateFile /etc/pki/tls/certs/ca.crt
- SSLCertificateKeyFile /etc/pki/tls/private/ca.key
- Restart Apache servisa:
- systemctl restart httpd.service
- INSTALACIJA PAGESPEED MODULA
- Download rpm datoteke:
- wget https://dl-ssl.google.com/dl/linux/direct/mod-pagespeed-stable_current_x86_64.rpm
- Instalacija at paketa:
- yum install at
- Instalacija pagespeed modula:
- rpm -U mod-pagespeed-*.rpm
- Restart Apache servisa:
- systemctl restart httpd.service
- Provjera je li instaliran modul
- apachectl -M
- INSTALACIJA GEOIP MODULA:
- Instalacija geoip i httpd devel toolsa:
- yum install geoip-devel
- yum install httpd-devel
- Ako dobijemo poruku mod_geoip.c:63:19: fatal error: GeoIP.h: No such file or directory treba dodatno instalirati yum groupinstall ‘Development Tools’
- Download i raspakiravanje Geoip modula:
- tar -zxvf 1.2.10.tar.gz
- Instalacija GEOip-a:
- cd geoip-api-mod_geoip2-1.2.10
- apxs -i -a -L/usr/local/lib -I/usr/local/include -lGeoIP -c mod_geoip.c
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
