Wie sichert ihr eure ganze Server?

Woodmen · May 26th 2020

Quote from TeRRible__KHONS

und alle zusätzlichen Einstellungen innerhalb von nginx selber definiere?

Geschmackssache. Wechselst du bspw. irgendwann auf einen anderen Webserver (Apache2 o.ä.), dann musst du halt alles händisch aus den NGINX-Configs rauskopieren und ggf. im Apache einpflegen, was unnötiger Aufwand wäre.

Quote from TeRRible__KHONS

EDIT: 2 Pools unter der gleichen Owner/Gruppe macht kein Sinn oder bzw. kann man das trotzdem machen?

Nein. Genau so hebelst du ja den eigentlichen "Schutz" der Benutzer/Gruppen-Separierung aus.

Wird Seite A gehackt, ist Seite B mit großer Wahrscheinlichkeit mit dran.

TeRRible__KHONS · May 26th 2020

dann ist es defintiv besser verschiedene pools zu nutzen wie hier zB beschrieben:https://www.digitalocean.com/c…d-php-fpm-on-ubuntu-14-04

Dort kann ich dann auch unterschiedliche php konfigurationne machen die sich nicht auswirken.

Gibs unter linux kein tools woman die user bzw. gruppen besser managen kann, finde das hier etwas umständlich auch um nachzuschauen welche es bereits gibs usw.

cat /etc/passwd usw. ist immer etwas umständlich

Woodmen · May 26th 2020

Quote from TeRRible__KHONS

Gibs unter linux kein tools woman die user bzw. gruppen besser managen kann, finde das hier etwas umständlich auch um nachzuschauen welche es bereits gibs usw.

cat /etc/passwd usw. ist immer etwas umständlich

Keine Ahnung. Ich nutz meist nur lokale Benutzer. LDAP o.ä. wäre noch eine Lösung, hat aber auch Nachteile.

TeRRible__KHONS · May 26th 2020

Ok danke

Na klappt doch mit den Pools von der anleitung oben und anpassen der php.ini

Dort ändern Sie im Pool aber nur user und gruppe, dies bleibt www-data

Code

listen.owner = www-data
listen.group = www-data

Quote

#ps aux | grep 'pool'
www-data 5026 0.0 0.1 233660 12056 ? S 16:38 0:00 php-fpm: pool www
www-data 5027 0.0 0.1 233660 12056 ? S 16:38 0:00 php-fpm: pool www
testing 5132 1.5 0.4 253120 33100 ? S 16:41 0:00 php-fpm: pool testing
root 5134 0.0 0.0 5192 736 pts/0 S+ 16:41 0:00 grep --color=auto pool

Black Rider · May 26th 2020

Ich würde dann noch den Pool www entfernen, wenn du ihn nicht nutzt, da er sonst nur unnötig Ressourcen verbraucht.

Woodmen · May 26th 2020

Quote from TeRRible__KHONS

Dort ändern Sie im Pool aber nur user und gruppe, dies bleibt www-data

Vereinfach gesagt: Passt ja auch. Der Webserver muss ja weiterhin auf den FPM-Socket zugreifen können, andernfalls kann dieser keine PHP-Dateien korrekt ausliefern. Solltest du FPM via IP-Adresse laufen lassen, ist diese Option nicht von Relevanz.

Siehe https://www.php.net/manual/en/install.fpm.configuration.php

TeRRible__KHONS · May 26th 2020

Ich habe bis jetzt mal alles umgesetzt funktioniert auch mit den Pools und verschiedenen php-Einstellungen perfekt (das einzige was per nginx noch gesetzt wird ist der openbasedir)

Hier mal meine Dateien, kann ja jemand drüber schauen und bescheid geben was da schlecht ist oder verbessert werden könnte (habe schon einige spielerei wie Wartungsmodus eingebaut zum testen):

Code: nginx.conf

user www-data;
pid /run/nginx.pid;
worker_processes auto;
worker_rlimit_nofile 65535;

events {
    multi_accept on;
    worker_connections 65535;
}

http {
    charset utf-8;
    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    server_tokens off;
    log_not_found off;
    types_hash_max_size 2048;
    client_max_body_size 16M;

    # MIME
    include mime.types;
    default_type application/octet-stream;

    # logging
    access_log /var/log/nginx/access.log;
    error_log /var/log/nginx/error.log warn;

    # SSL
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:10m;
    ssl_session_tickets off;

    # Diffie-Hellman parameter for DHE ciphersuites
    ssl_dhparam /etc/nginx/dhparam.pem;

    # Mozilla Intermediate configuration
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

    # OCSP Stapling
    #ssl_stapling on;
    #ssl_stapling_verify on;
    #resolver 1.1.1.1 1.0.0.1 8.8.8.8 8.8.4.4 208.67.222.222 208.67.220.220 valid=60s;
    #resolver_timeout 2s;

    # load configs
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*;
}

Display More

Code: sites-available/testing.local.conf

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    server_name testing.local;
    set $base /var/www/testing.local;
    root $base/public;

    # SSL
    ssl_certificate /etc/nginx/ssl/testing.local.crt;
    ssl_certificate_key /etc/nginx/ssl/testing.local.key;

    # security
    include custom-configs/security.conf;

    # logging
    access_log /var/log/nginx/testing.local.access.log;
    error_log /var/log/nginx/testing.local.error.log warn;

    # index
    index index.php index.html;

    # fallback
    location / {
        try_files $uri $uri/ =404;

        # maintenance check
        if (-f /usr/share/nginx/html/error_pages/maintenance_on.html) {
                 return 503;
                }
    }

    # handle .php
    location ~ \.php$ {
        include custom-configs/php_fastcgi-testing.local.conf;

        # maintenance check
                if (-f /usr/share/nginx/html/error_pages/maintenance_on.html) {
                 return 503;
                }
    }

    # disable .htaccess and other hidden files
    location ~ /\.(?!well-known).* {
                deny all;
                access_log off;
                log_not_found off;
        }

    # error-pages
    error_page 404 /custom_404.html;
        location = /custom_404.html {
                root /usr/share/nginx/html/error_pages;
                internal;
        }

    error_page 401 /custom_401.html;
        location = /custom_401.html {
                root /usr/share/nginx/html/error_pages;
                internal;
        }

    error_page 500 502 504 /custom_50x.html;
        location = /custom_50x.html {
                root /usr/share/nginx/html/error_pages;
                internal;
        }

    error_page 503 /maintenance_on.html;
        location = /maintenance_on.html {
                root /usr/share/nginx/html/error_pages;
                internal;
        }

    # additional config
    include custom-configs/general.conf;
}

# subdomains redirect
#server {
#    listen 443 ssl http2;
#    listen [::]:443 ssl http2;

#    server_name *.testing.local;

    # SSL
#    ssl_certificate /etc/nginx/ssl/testing.local.crt;
#    ssl_certificate_key /etc/nginx/ssl/testing.local.key;

#    return 301 https://testing.local$request_uri;
#}

# HTTP redirect
server {
    listen 80;
    listen [::]:80;

    server_name .testing.local;

    return 301 https://testing.local$request_uri;
}

Display More

Code: custom-configs/security.conf

# security headers
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

# . files
location ~ /\.(?!well-known) {
    deny all;
}

Display More

Code: custom-configs/php_fastcgi-testing2.local.conf

# 404
try_files $fastcgi_script_name =404;

# default fastcgi_params
include fastcgi_params;

# fastcgi settings
fastcgi_pass            unix:/var/run/php/php7.4-fpm-testing.sock;
fastcgi_index            index.php;
fastcgi_buffers            8 16k;
fastcgi_buffer_size        32k;

# fastcgi params
fastcgi_param DOCUMENT_ROOT        $realpath_root;
fastcgi_param SCRIPT_FILENAME    $realpath_root$fastcgi_script_name;
fastcgi_param PHP_ADMIN_VALUE    "open_basedir=$base/:/usr/lib/php/:/tmp/";

Display More

Code: custom-configs/general.conf

# favicon.ico
location = /favicon.ico {
    log_not_found off;
    access_log off;
}

# robots.txt
location = /robots.txt {
    log_not_found off;
    access_log off;
}

# assets, media
location ~* \.(?:css(\.map)?|js(\.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
    expires 7d;
    access_log off;
}

# svg, fonts
location ~* \.(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
    add_header Access-Control-Allow-Origin "*";
    expires 7d;
    access_log off;
}

# gzip
gzip on;
gzip_vary on;
gzip_proxied any;
gzip_comp_level 6;
gzip_types text/plain text/css text/xml application/json application/javascript application/rss+xml application/atom+xml image/svg+xml;

Display More

**Tim Düsterhus** · May 26th 2020

Hallo,

Quote from Black Rider

Das ergibt meines Erachtens nach keinen Sinn.

doch, es gibt selbstverständlich Anwendungsfälle dafür zwei Pools mit gleichem Benutzer laufen zu lassen. Für einen Dienst, den ich administriere verwende ich beispielsweise zwei getrennte FPM-Pools für ein- und dieselbe Anwendung. Grund dafür ist, dass ich dadurch verhindere, dass ein bestimmter Bestandteil der Anwendung alle Worker-Prozesse in Beschlag nimmt und andere, wichtigere, Anfragen warten müssen. Stattdessen bekommt ebenjener Bestandteil seinen eigenen Worker-Pool. Wenn der komplett in Verwendung ist, ist der komplett in Verwendung, beeinflusst aber nicht den Rest der Seite.

TeRRible__KHONS · May 26th 2020

~~Hab gerade getestet ein demo von woltlab hochzuladen, klappt auch wunderbar nur mit der seo umschreibung nicht:~~

~~Forum ist in einem Ordner 'forum':~~

Code

  # fallback
        location / {
                try_files $uri $uri/ @rewrite;

                # maintenance check
                if (-f /usr/share/nginx/html/error_pages/maintenance_on.html) {
                 return 503;
                }
        }

        location @rewrite {
          rewrite ^/(forum/|cms/|wcf/|calendar/|filebase/|blog/|gallery/)?([^.]+)$ /$1index.php?$2 last;
        }

Display More

~~Bei Core klappt noch etwas nicht der core ist unter /forum/core.~~

EDIT funktioniert, musste vorne noch ein forum/core/| dran hängen.

Ich habe noch das Rechte-System auf dem Server nicht so ganz intus, jetzt mir den 2 pools mit den zwei usern und gruppen habe ich probleme mit meinem sftp-user, ist es nicht einfacher jetzt wo eh 2 user für die pools (werde dann für jede Webseite ein pool anlegen) existieren dennen auch sftp zu geben somit sollten die rechte immer passen?

EDIT:

Code

ChrootDirectory directory must be owned by root and have 755 mode:

sudo chown root:root /var/www/RESTRICTED_DIR
sudo chmod 755 /var/www/RESTRICTED_DIR
Ok, now all files into /var/www/RESTRICTED_DIR must be owned by MY_USER, which must belong to www-data group, and have 775 mode to allow group permissions, like this:

sudo usermod -a -G www-data MY_USER
sudo chown MY_USER:www-data /var/www/RESTRICTED_DIR/*
sudo chmod 775 -R /var/www/RESTRICTED_DIR/*
NOTE: Remember is a good practice allow access only to an htdocs folder if you are configuring apache.

Chroot muss root:root bleiben und alles drunter dem user und gruppe des pools, so funktioniert es jedenfalls ist das aber auch richtig

TeRRible__KHONS · May 26th 2020

So soweit läuft alles, jetzt muss ich mich zum testen noch entscheiden welches backup tools ich nutzen möchte das täglich inkrementelle backups erstellt, ich denke dafür ist rsync am besten geeignet oder? Dafür erstelle ich dann ein bash-script was zuvor alle webseiten in maintenance schaltet (in der vhost-conf von nginx schon intregiert) und dann die Ordner sichert und die Datenbanken.

Wöchentlich will ich dann noch ein Full-Back per TAR machen.

Was denkt ihr ist am besten für inkremenette Backups geeignet?

Tobias777 · May 26th 2020

Quote from TeRRible__KHONS

Was denkt ihr ist am besten für inkremenette Backups geeignet?

borgbackup

TeRRible__KHONS · May 26th 2020

Das hattest du ja erwähnt aber dachte das wäre nicht inkrementell und machst nur full?

Tobias777 · May 26th 2020

Quote from TeRRible__KHONS

Das hattest du ja erwähnt aber dachte das wäre nicht inkrementell und machst nur full?

Nein die Backups sind inkrementell; Beispiel:

Original size Compressed size Deduplicated size
This archive: 5.21 GB 4.15 GB 48.23 MB
All archives: 76.46 GB 61.44 GB 4.82 GB

TeRRible__KHONS · May 26th 2020

Okay danke, werde mir das morgen mal anschauen wie das funktioniert, will die Backups nur local speichern vielleicht auch per rsync auf meinen pc ziehen als 2 Sicherung.

Hab mir vorgestellt:

Borg erstellt ein Backup auf dem dem server ~/backups/files jeden Nacht um 2 Uhr.

Ein mysql-dump mach ich dann ebenfalls um 2 Uhr in ~/backups/databases

Während dieser Zeit wo das Backup läuft werden alle Webseiten in den Maintenance-Modus geschaltet dass nix dazwischen funkt.

Muss mir morgen mal anschauen wie genau das funktioniert. Sieht auch den ersten Blick etwas schwierig aus

Kann man dort automatisch Backups nach einziger Zeit löschen lassen?

Danke nochmals.

Tobias777 · May 26th 2020

Quote from TeRRible__KHONS

Kann man dort automatisch Backups nach einziger Zeit löschen lassen?

Ja mit einem Script. Das steht auch alles in dem Artikel den ich hier bereits verlinkt hatte

Sinnvollerweise richtet man sich einen extra Backupserver ein. Da reicht z.B. der kleinste CX Server von Hetzner, ggf. zusammen mit mehr Speicher als Volumen.

TeRRible__KHONS · May 26th 2020

Hatte ich die Tage nur schnell überflogen Sah erstmal kompliziert aus, muss mich damit mal beschäftigen und erstmal nur lokale backups erstelle & nach 7 Tagen bzw. alle lösen und wieder von vorne anfangen.

Tobias777 · May 26th 2020

Quote from TeRRible__KHONS

Sah erstmal kompliziert aus

Ist eigentlich ziemlich simpel, einfach mal ausprobieren

TeRRible__KHONS · May 27th 2020

Quote from Tobias777

Ist eigentlich ziemlich simpel, einfach mal ausprobieren

Werde ich heute machen, benutzt du die mount oder extract methode für den restore?

Noch eine Frage bzw. owner/group:

In nginx.conf ist www-data eingestellt, im fmp-pool user/group zB testing:testing und listen-user:listen-group > www-data:www-data, ist das korrekt so?
zum upload per sftp nehm ich dann den gleichen user wie im fpm-pool (testing ist gechrooted)

Ist das allgemein so korrekt und sicher?

TeRRible__KHONS · May 27th 2020

Tobias777

Hallo, bin dabei das ganze mit borg zu testen im Script inkl. Datenbank sicherung, funktioniert super

Jedoch wenn ich jetzt die verschiedenen Backups mounte, werde mir die Daten von zuvor auch angezeigt, wie kann ich sehen welche Daten jetzt genau neu sind seit dem letzten Backup, mir wird eigentlich jedesmal alles angezeigt aus allen Backups nur eben neue Dateien sind dabei aber wie erkenne ich diese nun?

Tobias777 · May 27th 2020

Ich nutze borg extract zur Wiederherstellung, vorher schaue ich halt mit borg list welches Backup ich dafür nehme.

Dass Borg alle Daten anzeigt ist aber logisch. Die Backups sind ja vollständig, auch wenn nur neue Dateien auch wirklich gespeichert werden, die anderen Daten werden halt aus älteren Backups genommen. Oder ich verstehe nicht was du meinst

Wie sichert ihr eure ganze Server?

Participate now!

Share

Similar Threads

Smalltalk - Labern, reden, diskutieren...

Webhoster Sammelthread

Update Probleme

Frage zur Foren Entwicklung