Iedereen heeft recht op mijn mening
Posts tagged DirectAdmin
HELP, CSF zegt: “IPv6 is fout!”
Mar 11th
CSF firewall, een leuke tool die IPtables onder linux servers kan aansturen en waarbij je op DirectAdmin en Plesk servers ook nog een leuke grafische integratie hebt in je controlpanel. Een ideale tool voor mensen die simpel en makkelijk een firewall op de server willen installeren, zonder enige vorm van kennis.
Dit laatste punt is nu een probleem. In CFS zit een ‘check server security’ functie en een standaard CentOS + DirectAdmin installatie is verre van goed of veilig. Ik heb wel eens klanten die geen rootpassword hebben maar me wel een shared hostingpakket kunnen geven. Binnen 30 seconden hack ik die machines dan.
Een van de foutmeldingen in CSF die me verbaast is de melding die hij geeft over IPv6. Eigenlijk een waarschuwing, waarbij het advies gegeven wordt om IPv6 maar uit de kernel te slopen. WTF?! IPv6 komt eraan en snel ook. Wanneer je nog geen IPv6-adressen hebt moet je hard zeuren bij je provider. Volgens jaar waneer de IPv4-adressen op zijn, ontkom je er toch niet aan.
Ga dus niet IPv6 support uit de kernel slopen om het straks weer aan te zetten. Iedere Redhat (CentOS) 5 server heeft standaard een IPv6 local-link adre en dit kan weinig tot geen kwaad. Wat is dan wel de goede oplossing? In de speeltuin poste ik hem al: gebruik ip6tables om gewoon alle poorten te firewallen, al zal ik zelf het advies geven poort 53 open te laten zodat in ieder geval je DNS-server ook over IPv6 te bereiken is, zie deze post.
Goed, het scipt. Vervang MIJN IPv6-adres even door je eigen, wel zo prettig! Mocht je nog géén IPv6 adres van je provider gehad hebben, laat dat de regel met deze variabele (regel 3) weg. Hetzelfde geldt voor de regels waar deze variabele gebruikt wordt, in mijn voorbeeld is dit om alleen poort 22 (SSH) open te zetten.
#!/bin/sh # My system IP/set ip address of server SERVER_IP="2001:968:182::1337" # Flushing all rules ip6tables -F ip6tables -X # Setting default filter policy ip6tables -P INPUT DROP ip6tables -P OUTPUT DROP ip6tables -P FORWARD DROP # Allow unlimited traffic on loopback ip6tables -A INPUT -i lo -j ACCEPT ip6tables -A OUTPUT -o lo -j ACCEPT # Allow incoming ssh only ip6tables -A INPUT -p tcp -s 0/0 -d $SERVER_IP --sport 513:65535 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT ip6tables -A OUTPUT -p tcp -s $SERVER_IP -d 0/0 --sport 22 --dport 513:65535 -m state --state ESTABLISHED -j ACCEPT # make sure nothing comes or goes out of this box ip6tables -A INPUT -j DROP ip6tables -A OUTPUT -j DROP
Named op IPv6 laten luisteren
Feb 16th
Vorige week probeerde één van mijn klanten een Frans .fr-domein te registreren en deze te delegeren naar mijn nameservers: ns1.ispi.nl (IPv4 en IPv6) en ns2.ispi.eu. Dit lukte niet, waardoor de klant contact met mij opnam. Hij stuurde een link van de foutmelding die AFNIC, de beheerder van de .fr-domeinen, hen stuurde. Daarin stond dat AFNIC geen toegang had tot poort 53 op het TCP protocol ip IPv6. (Ik laat nog maar even achterwege dat AFNIC helemaal geen toegang hoeft te hebben tot TCP omdat UDP voldoende moet zijn. TCP wordt enkel gebruikt voor recursion en AXFR. Beiden doe je zeker niet publiek met iedereen)
Ik kijk in het systeem. BIND/Named luistert standaard inderdaad niet op IPv6. Een regel in je named.conf lost dit echter op. Vergeet niet je nameserver te restarten. Mensen die DirectAdmin gebruiken in combinatie met IPv6 moeten deze regel toevoegen aan hun configuratie.
listen-on-v6 {any; };
AFNIC blij, klant blij en ik blij. Al was het wel eventjes zoeken. Hij luistert nu wel netjes op zowel IPv4 als IPv6. En weer zijn we een stap dichterbij de volledige IPv6-ready status. Er staat best nog veel te gebeuren wil ik mijn deadline van Q2-2010 (infrastructuur) of Q3-2010 (alle services) halen.
[root@sv03 ~]# netstat -an | grep ':53' tcp 0 0 212.79.254.236:53 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN tcp 0 0 :::53 :::* LISTEN udp 0 0 212.79.254.236:53 0.0.0.0:* udp 0 0 127.0.0.1:53 0.0.0.0:* udp 0 0 0.0.0.0:5353 0.0.0.0:* udp 0 0 :::53 :::* udp 0 0 :::5353 :::*
Named op alle IP’s laten luisteren is natuurlijk not done. Dat geldt voor iedere service. Zet je eigen goede IP-adres(sen) even in de configuratie. Ik ga dat hier niet doen omdat sommige n00bs systeembeheerders het dan 1:1 gaan copy/pasten en dat is natuurlijk niet de bedoeling.
Compileren en back-ups maken…
Sep 8th
…doe je niet tegelijk. Dat schiet namelijk niet echt op. En ik wil naar bedje toe slapen. Maar vol spanning, wil ik nog even het nieuwe buildscript testen voor DirectAdmin. Multicore CPU support, dus PHP en Apache zullen sneller zijn. In de volgende release van custombuild zal hij vrijgegeven worden.
