[Server] Dubbi su web server casalingo

[webpatella]

meglio denyhost che non ti rovina il tuo iptables, no è / che è la root di sistema

credo che ti convenga dare una letta al wiki di questo sito...sarebbe troppo lungo spiegarti tutto per post se poi hai dubbi domanda!

[citizen70043399]

Sul wiki non c'è molto a riguardo...
Ho letto che all'installazione bisogna scegliere partizionamento manuale per dividere, cosa mi consigli di partizionare oltre a root e swap, bastano /var e /home ?
Tutte e due in ext3?
Mi basta creare un partizione di nome home e mettere come punto di mount /home giusto?

Per il resto dovrei essere a posto...
Grazie di tutto webpatella!!!
Ciao



edit: stò provando a virtualizzarlo: meglio partizioni separate o lvm criptato?

[webpatella]

partizioni separate come dici tu, asta creare un partizione di nome home e mettere come punto di mount /home perfatta ext3

[citizen70043399]

Ok, solo /home e /var come partizioni bastano?
Poi se invece che /var/www cambio e metto /home/utente/www è più sicuro?

[webpatella]

in realtà no, dipende dai permessi che dai ad ogni cartella...io ad esempio ho i siti in /opt/public/web1 web2 web3 etc ognuno viene pescato da un virtual server di apache...

come partizioni aggiuntive alla / e alla swap si

[citizen70043399]

Ok, grazie mille ancora!
Ciao

[webpatella]

di nulla, fammi sapere quando hai fatto come è andata!!

[citizen70043399]

Ok, anche se non lo farò subito perchè il pc che pensavo di usare non parte
Se riesco a farlo partire... se no devo procurarne un altro...
Ciao

[citizen70043399]

Non ho ancora una macchina disponibile ma ho un dubbio.
Se ho più pc collegati al router e su no-ip o dyndns metto l'ip pubblico come fà a connettersi al server chi và all'indirizzo .no-ip o .dyndns invece che ad altri pc collegati al router?

[citizen70043399]

up

[citizen70043399]

up

[citizen70043399]

Non ho ancora una macchina disponibile ma ho un dubbio.
Se ho più pc collegati al router e su no-ip o dyndns metto l'ip pubblico come fà a connettersi al server chi và all'indirizzo .no-ip o .dyndns invece che ad altri pc collegati al router?

[webpatella]

devi mettere l'ip della macchina "server" come dmz sul router o settargli i virtual servers con le porte che utilizzi

[citizen70043399]

Devo attivare dmz e mettere l'ip del server su:
DMZ Host IP Address
Giusto?

Poi in virtual server cosa devo mettere?
Porta 80 e 21 per http e ftp e Local IP Address quello del server?
ssh che porta usa?
và bene lasciare le porte di default per ssh e ftp o è meglio cambiarle?

Grazie webpatella della risposta!!
anche se non ho ancora trovato un pc...

[webpatella]

1 le cose sono concorrenti, O metti il "server" in dmz O apri le porte necessarie...
2 Ftp usa le porte standard
3 SSH cambia assolutamente le porte...(quella di default è la 22) usa una porta alta tipo >15000 così un portscan veloce non la trova. poi dovrai comunque mettere delle regole di iptables per salvaguardarti dai bruti in rete 

[citizen70043399]

Regole come?
Bloccare tutto il traffico in entrata tranne le porte di http, di ftp e di ssh e fare lo stesso in uscita può andare bene?

[webpatella]

no in uscita puoi consentire tutto...(è il traffico che generi tu da porte spesso casuali) l'importante è bloccare quello in entrata...

[citizen70043399]

Ok, una porta per ssh la posso scegliere a caso?

Per iptables basta fare così:

Codice: Seleziona tutto

sudo iptables -P INPUT   DROP
sudo iptables -P FORWARD   DROP
sudo iptables -A INPUT  -i lo -j ACCEPT

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport PORTA_SSH -j ACCEPT

Servono altre regole per essere sicuri?

[webpatella]

puoi deciderne una a caso basta che sia maggiore di 1024 e che non sia occupata da altri servizi standard (evita 8180 8080 3128 8443 10000 3389 1723 e boh...) e poi devi ovviamente configurare ssh per ascoltare sulla stessa!

Per il firewall in linea di massima ci sei, devi aggiungere delle regole che permettano il taffico in risposta ad una tua connessione:
sudo iptables -A INPUT --match state --state ESTABLISHED,RELATE -j ACCEPT

[citizen70043399]

Ok, quello che mi hai scritto basta o è solo un esempio?
Perchè hai scritto delle regole...