php_admin_value open_basedir /usr/share/squirrelmail:/etc/squirrelmail:/tmp:

Polecam opisywaną usługą przede wszystkim osobom świadczącym usługi hostingowe. Proszę o komentowanie i dzielenie się własnymi doświadczeniami związanymi z bezpieczeństwem usług WWW i nie tylko.

grub

device (hd0) /dev/sdn

gdzie n oznacza symbol nowego dysku

root (hd0,0)

setup (hd0)

Wychodzimy z programu konfiguracyjnego GRUB-a wydając komendę “quit”

dd if=/dev/zero of=/swapfile bs=10240 count=50000

W powyższym przykładzie plik wygeneruje się w “/”. Oczywiście można ten parametr zmodyfikować. Następnie tworzymy swap wydając w konsoli polecenie:

mkswap /swapfile

Następnie włączamy nasz “plikowy” swap

swapon /swapfile

Aby sprawdzić działające SWAP-y należy wydać komendę:

cat /proc/swaps

W wyniku otrzymujemy:

[root@minotaur:~] # cat /proc/swaps

Filename Type Size Used Priority

/dev/sda2 partition 524280 29820 -1

/swapfile file 127992 0 -2

Każdorazowe ręczne włączenie plikowego swapa zmniejsza priorytet. Wyższy priorytet oznacza pierwszeństwo w używaniu. Standardowy priorytet partycji SWAP to -1. Mozna to zmienić edytując plik “/etc/fstab”. Istniejący wpis:

/dev/sda2 none swap sw 0 0

zmieniamy na:

/dev/sda2 none swap pri=10 0 0

W powyższym przykładzie parametr “pri=10″ oznacza priorytet 10. Aby nasz plikowy SWAP aktywował się z każdym uruchomieniem naszej maszyny dodajemy do “/etc/fstab”:

/swapfile none swap pri=8 0 0

Tutaj priorytet ustawiliśmy na 8. Zapełniana więc będzie wpierw partycja dyskowa SWAP, a potem nasz plik. Mam nadzieję, że opisane przeze mnie rozwiązanie komuś się przyda.

$TTL    86400

@       IN      SOA     dns.nasza_domena.pl. admin.nasza_domena.pl.  (

2010060511 ; Serial

28800      ; Refresh

14400      ; Retry

3600000    ; Expire

86400 )    ; Minimum

IN      NS               serwer_dns_1.pl.

IN      NS               serwer_dns_2.pl..

IN      A               59.208.171.134

IN      MX      5       serwer_pocztowy.pl.

www    IN  A                59.208.171.134

jabber IN A 59.208.171.135

_jabber._tcp.domena_jabbera.pl. 86400 IN SRV 5 0 5269 jabber

_xmpp-server._tcp.domena_jabbera.pl. 86400 IN SRV 5 0 5269 jabber

_xmpp-client._tcp.domena_jabbera.pl. 86400 IN SRV 5 0 5223 jabber

_xmpp-client._tcp.domena_jabbera.pl. 86400 IN SRV 5 0 5222 jabber

A tutaj trochę wyjaśnień
TTL- czas ważności strefy np. w przypadku cachowania
nasza_domena.pl. – domena, której zapewniamy obsługę
IN – klasa rekordu
SOA – jest to typ rekordu
dns.nasza_domena.pl. – nazwa serwera master DNS naszej domeny,
admin.nasza_domena.pl. – adres email osoby odpowiedzialnej za strefę (pierwsza kropka oznacza @)
SERIAL – wartość istotna dla zapasowych serwerów DNS. Każda modyfikacja pliku strefy wymaga jej zwiększenia.
REFRESH – informacja dla serwerów typu slave (zapasowych), co jaki czas mają sprawdzać aktualność stref
RETRY – czas co jaki ma ponawiać próbę połączenia serwery zapasowe z serwerem głównym domeny w razie jego niedostępności
EXPIRE – czas, po jakim serwery zapasowe uznają strefę za nie aktualną w razie brak możliwości połączenia po czasie “RETRY”
MINIMUM – czas, przez jaki serwery będą przechowywały wszelkie odpowiedzi

$cfg['blowfish_secret'] = ‘nn’; /* w miejscu oznaczonym “nn” musimy wpisać dowolny ciąg znaków służący do autoryzacji przez ciasteczka (cookies) */

$cfg['Servers'][$i]['auth_type'] = ‘cookie’; /*wybór metody autentyfikacji, w tym przypadku przy pomocy ciasteczek (cookies)*/

$cfg['Servers'][$i]['host'] = ‘localhost’; /*zamiast localhost można wpisać adres dowolnego serwera MySQL, którym chcemy zarządzać*/

$cfg['Servers'][$i]['connect_type'] = ‘tcp’; /*rodzaj połączenia z bazą danych*/

$cfg['Servers'][$i]['compress'] = false; /*wybieramy, czy chcemy korzystać z kompresji*/

$cfg['Servers'][$i]['extension'] = ‘mysql’; /*wybór rozszerzenia, w tym przypadki mysql*/

?>

3. Następnie musimy zmodyfikować plik “phpmyadmin.conf”. Jeśli korzystamy z Apacha, to znajdziemy go w katalogu “/etc/httpd/conf.d/”. Mamy w nim informacje dotyczące między innymi z jakich adresów IP możemy wejść do phpMyAdmin-a. Standardowo ustawiony jest dostęp tylko dla localhost-a (127.0.0.1). Poza tym możemy ustalić aliasy pod którymi ma sie zgłaszać omawiana aplikacja webowa, np.

Alias /phpmyadmin /usr/share/phpmyadmin

pierwszy człon “/phpmyadmin” oznacza alias, a “/usr/share/phpmyadmin” ścieżkę do aplikacji.

smtpd_sasl_local_domain =nasza_domena

smtpd_sasl_auth_enable = yes

smtpd_sasl_security_options = noanonymous

broken_sasl_auth_clients = yes #dla zapewnienia kompatybilności ze starszymi wersjami pakietów

smtpd_sasl_authenticated_header = yes

Następnie edytujemy plik “/usr/lib/sasl2/smtpd.conf” dla wersji 32bit systemu lub “/usr/lib64/sasl2/smtpd.conf” dla 64 bit. Dodajemy dwie następujące linie:

pwcheck_method: saslauthd

mech_list: plain login #rodzaje autentyfikacji

Ostatnim etapem jest zmodyfikowanie pliku “/etc/postfix/master.cf”. Powinniśmy mieć w nim następujące dane:

smtp inet n – n – – smtpd

submission inet n – n – – smtpd #ustawienia dla transmisji z użyciem portu 587

-o smtpd_enforce_tls=no

-o smtpd_sasl_auth_enable=yes #włączenie autentyfikacji

-o smtpd_client_restrictions=permit_sasl_authenticated,reject_unauth_destination #restrykcje dotyczące klientów (osób wysyłających pocztę)

smtps inet n – n – – smtpd # ustawienia dla transmisji szyfrowanej SSL

-o smtpd_tls_wrappermode=yes

-o smtpd_sasl_auth_enable=yes #włączenie autentyfikacji

-o smtpd_client_restrictions=permit_sasl_authenticated,reject_unauth_destination #restrykcje dotyczące klientów (osób wysyłających pocztę)

Aby przetestować, czy autentyfikacja działa prawidłowo możemy spróbować wysłać np. przy użyciu Thunderbirda wiadomość przy wyłączonej autentyfikacji, a potem przy włączonej. W pierwszym przypadku powinniśmy otrzymać komunikat: “An error occurred while sending mail. The mail server responded: 5.7.1 : Relay access denied. Please check the message recipient adres@odbiorcy and try again.” W drugiej sytuacji e-mail powinien zostać wysłany prawidłowo. Innym sposobem sprawdzenia prawidłowych ustawień, jest połączenie telnet na port serwera poczty wychodzącej np.

[przemek@xeno ~]$ telnet poczta.naszserwer.com 587

Trying 78.63.12.110…

Connected to poczta.naszserwer.com (78.63.12.110).

Escape character is ‘^]’.

220 naszserwer.com ESMTP Postfix

ehlo localhost

250-naszserwer.com

250-PIPELINING

250-SIZE 104857600

250-VRFY

250-ETRN

250-STARTTLS

250-AUTH PLAIN LOGIN #kluczowa linijka informująca o metodach autentyfikacji

250-AUTH=PLAIN LOGIN #kluczowa linijka informująca o metodach autentyfikacji

250-ENHANCEDSTATUSCODES

250-8BITMIME

250 DSNz

quit

221 2.0.0 Bye

Connection closed by foreign host.

Jeśli uzyskamy wynik zbliżony do tego, który opisuje powyżej, to konfiguracja autentyfikacji SMTP jest już zakończona. W razie jakiś niejaśnosci lub problemów, proszę pisać w komentarzach lub na naszym forum.