migliorare sicurezza su VPS, ed eventuali conflitti

[stardom]

Salve, al mio host ho fatto mettere il mio VPS su HTTP/2, e tutto bene. Ma quando abbiamo fatto due ulteriori operazioni per mettere in sicurezza il server, il sito (Wordpress) non ha più funzionato a dovere. Molte risorse non caricavano, e c'erano occasionali crash del database e "connection errors", ed anche le mail non viaggiavano più. Abbiamo tolto le funzioni e tutto è tornato normale.
Nello specifico avevamo abilitato il modulo Mod_evasive e Protocol 2 al posto di 1.

Quindi vorrei capire:
- è davvero utile attivarle?
- in caso positivo, che tipo di configurazioni extra devo fare?
- esistono altre operazioni di messa in sicurezza che siano meno drammatiche?

Grazie

[Dascos]

Quello che ti crea problemi è la Mod_evasive
E' una mod per mitigare attacchi dos e ddos però se non configurata bene, insieme a http2 crea problemi.
Http2 infatti è una particolare modalità che esegue/invia/risolve più connessioni in contemporanea per la stessa richiesta (una specie di parallelismo) quindi la mod_evasive la vede come dos/ddos

Leva la evasive e dovresti essere a posto.
Se vuoi mantenere una forma di protezione dos/ddos secondo me ti conviene usare un firewall, anche software (es: ConfigServer)

Http2 invece ti consiglio caldamente di lasciarla attiva

[stardom]

Ciao, ti confermo che stiamo viaggiando senza mod_evasive e con ConfigServer già nel mio cPanel. Infatti le cose sembrano tornate normali da un paio di settimane. Se hai qualche suggerimento sulle impostazioni di ConfigServer (ora tutto in default) fammi sapere. Grazie

[Dascos]

Ciao, ti confermo che stiamo viaggiando senza mod_evasive e con ConfigServer già nel mio cPanel. Infatti le cose sembrano tornate normali da un paio di settimane. Se hai qualche suggerimento sulle impostazioni di ConfigServer (ora tutto in default) fammi sapere. Grazie

Assolutamente sì, ho dei consigli....
Intanto dovrei sapere se il server su cui è installato passa tutti i check di CFS/LFD.
Se li passa tutti, ti consiglio di valutare attentamente le opzioni:

UDPFLOOD (100/s e 500 burst)
CONNLIMIT (io ho configurazioni del tipo 22;5, cioè 5 connessioni dallo stesso IP sulla porta 22)
PORTFLOOD (io ho una forma del tipo 22;tcp;7;300, cioè la porta 22 tcp massimo 7 connessioni in 300 secondi)
LF_PERMBLOCK e tutti i collegati, che servono per dare un "bonus" a chi fa il furbetto senza compromettere troppo le connessioni legittime. Questa serie di opzioni vanno a braccetto con
LF_TRIGGER, che va valutata attentamente (io ho più o meno 5 tentativi per ogni parte coperta, con blocchi da 5 minuti per servizi come http a un giorno per servizi come pop/smtp, che diventano "permanenti" dopo 3 tentativi falliti)
Ultima da vedere secondo me con attenzione è LF_DISTATTACK, che ho impostato come massimo su 5 per i vari UNIQ.

Se poi hai necessità di fare robe "custom", studia per bene /usr/local/csf/bin/regex.custom.pm che ti permette di fare un sacco di cosine divertenti con i log :-D
Io lo uso per trappare i SASL login con una robina così

codice:

if (($lgfile eq $config{CUSTOM1_LOG}) and ($line =~ /^.*\[(\S+)\].*SASL (?:LOGIN|PLAIN) authentication failed.*$/)) {
        return ("CUSTOM SASL login failed from",$1,"customsasllogin","2","110,143,993,995","120","0");
}

[stardom]

Intanto dovrei sapere se il server su cui è installato passa tutti i check di CFS/LFD.

Roba delicata, e di cui non sono molto esperto. Ma ho fatto un primo security check, che mi ha dato questo risultato. Ti riferivi a quello?

[Dascos]

Roba delicata, e di cui non sono molto esperto. Ma ho fatto un primo security check, che mi ha dato questo risultato. Ti riferivi a quello?

Anche ma non solo.
Intendevo più che altro di eseguire, su una shell,

codice:

perl /etc/csf/csftest.pl

che dovrebbe darti qualcosa tipo

codice:

Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK

RESULT: csf should function on this server

Comunque c'è da lavorare un po' sul server, hai troppe impostazioni "critiche", soprattutto per il php e la posta...
Prova seguendo le indicazioni del test, l'importante è NON tagliarti fuori dalla connessione, quindi tieni sempre abilitata la porta 22 e metti in whitelist il tuo ip, nel file csf.ignore

[stardom]

Comunque c'è da lavorare un po' sul server, hai troppe impostazioni "critiche", soprattutto per il php e la posta...

Dunque, ti seguo un po' come un cagnolino fedele.
Ho eseguito il test e mi dà i risultati ok che indichi.
Ho anche selezionato un paio di caselle per la mail ed ora il check è verde. Su alcuni dei check php (come "enable_dl = Off") ho letto che è deprecato e quindi inutile modificarlo.
Ho trovato un certo "Enable Passive OS Fingerprinting for Apache SpamAssassin" disabilitato. Devo abilitarlo?

[Dascos]

In realtà non lo conosco, come flag....hai molto spam che arriva? Se sì, abilitalo e vedi se migliora, altrimenti lascia com'è, nel dubbio :-D

[stardom]

In realtà non lo conosco, come flag....hai molto spam che arriva? Se sì, abilitalo e vedi se migliora, altrimenti lascia com'è, nel dubbio :-D

No in realtà nessuno spam, infatti sto lasciando abilitato anche il Greylisting, visto che sembra fare il suo lavoro.

Perl non mi trovo quelle impostazioni che indicavi nel primo messaggio (UDPFLOOD, CONNLIMIT, etc.). Puoi aiutarmi a capire dove stanno?

[Dascos]

O vai tramite interfaccia grafica o via shell nel file /etc/csf/csf.conf
Graficamente dovrebbero essere in "Port Flood Settings", "Temp to Perm/Netblock Settings", "Login Failure Blocking and Alerts"
Ad ogni modo ti consiglio di passare una a una le opzioni, leggere bene la spiegazione e fare un cambiamento alla volta, così che puoi tornare indietro senza troppi problemi se qualcosa non funziona.

La cosa più importante, insisto, è inserire il tuo ip nel csf.ignore così in ogni caso non ti tagli fuori se commetti qualche errore