https://wiki.itcollege.ee/api.php?action=feedcontributions&feedformat=atom&user=MetammICO wiki - User contributions [en]2026-05-08T00:14:14ZUser contributionsMediaWiki 1.45.1https://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=44788WordPress turvamine2011-12-15T13:29:46Z<p>Metamm: </p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
Viimati muudetud {{REVISIONDAY2}}/{{REVISIONMONTH}}/{{REVISIONYEAR}} {{REVISIONUSER}} poolt.<br />
<br />
Timestamp ({{REVISIONTIMESTAMP}})<br />
<br />
== Eeldused ==<br />
Kui inimene tahab kirjutada artiklid veebimaailmas, siis talle on vaja blog. On olemas palju blog-mootorid selle jaoks, üks nendest - Wordpress. Antud juhend on mõeldud nende jaoks. Selle juhendi abil te saate installida ja kaitsta wordpressi Ubuntu serveris.<br />
<br />
See juhend eeldab kasutajalt ubuntu linuxi käsurea, tulemüüri tundmist, ning mysql põhi käskude tundmist.<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes:<br />
<br />
sudo -i<br />
<br />
Tee kohalikele pakettidele update<br />
aptitude update<br />
<br />
Tee pakettidele upgrade:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
<br />
tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-available/wp failis:<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.6.103 );<br />
<br />
http://192.168.6.103 <br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.*.*.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu, enne </VirtualHost> tagi)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache hoiab veebilehekülgi vahemälus tänu millele ei pea veebiserverid samu lehekülgi korduvalt genereerima. See vähendab I/O süsttemi koormust.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Enne Varnishi instaleerimist tuleks pakkette uuendada:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
<br />
===Konfiguratsiooni muutmine===<br />
<br />
192.168.6.103 - veebiserveri IP-aadress <br />
<br />
Esimese asjana tuleks muuta default port. Sellesk tuleb muuta faili '''/etc/default/varnish''':<br />
<br />
nano /etc/default/varnish<br />
<br />
Esimese asjana muuda ära START=NO -> START=YES. Seda on vaja varnishi käivitamiseks.<br />
<br />
START=YES<br />
<br />
Otsi ülesse "DAEMON_OPTS=..." ning muuda see osa samasuguseks:<br />
<br />
DAEMON_OPTS="-a :80 \<br />
-T localhost:6082 \<br />
-f /etc/varnish/itkool.vcl \<br />
-S /etc/varnish/secret \<br />
-s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G"<br />
<br />
Varnishi konfiguratsioon kirjutatakse VCL keeles. <br />
<br />
Konfiguratsioonide fail asub vaikimisi siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendile viitamine:<br />
<br />
'''Backend''' - on server, kuhu varnish saadab päringuid, juhul kui tal ei ole vastavaid andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja nimetage ümber(Antud näites itkool.vcl):<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' <br />
<br />
nano /etc/varnish/itkool.vcl<br />
<br />
ja mudda sisu selliseks(.host=<Teie veebiserveri ip aadress>):<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
## 192.168.6.103 - IP-address of the server<br />
backend apache {<br />
.host = "192.168.6.103";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf'''<br />
<br />
nano /etc/apache2/ports.conf<br />
<br />
otsi ülesse:<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.103:80<br />
</pre><br />
'''192.168.6.103''' - veebiserveri IP aadress.<br />
<br />
Muuda need read sellisteks:<br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.103:8000<br />
</pre><br />
<br />
Ava fail '''/etc/apache2/sites-available/wp'''<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
otsi ülesse:<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Muuda need read sellisteks:<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame Apache lisa mooduli veendumaks, et kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on tihedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul hoolitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrollige IP portide olemasolu: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete midagi sellist, siis on kõik korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Nüüd teeme Varnishile restardi, et kuulata teema porti 80<br />
<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Nüüdseks on varnish Apache-is seadistatud. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit. Lisaks saab seda ka testida nende meetoditega, mis asuvad artikkli lõpus.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Advanced_wpsc.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Nüüd tuleks aktiveerida Advanced tabi alt '''cache''' ning '''mod_rewrite'''.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
Rida, mis tuleb sinna lisada peab olema enne viimast "require_once..."-rida, soovitavalt lisada see teiste define-ridade järgi: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu:<br />
<br />
nano /var/www/wordpress/.htaccess<br />
<br />
Sinna peaks lisama need read:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
'''Ühenduse probleemid''' <br />
<br />
Juhul kui ilmneb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''Laboris tuleb kasutada enda arvuti IP'd!'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks. Näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
Allolev rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
On alati tervislik lubada localhost õue: <br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab neid spämmi reegleid, et tulevikus blokeerida spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaari ja pingi.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas autentimist. Blogi administraator peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Teha linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad kasutajatel probleemid, eriti neil, kes ei näe korralikult märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja terminalist:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wordpress/wp-content/plugins/ </pre><br />
<br />
2) Käsuga wget laeme alla plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Enne lahti pakkimist on vaja installida unzipi<br />
<br />
sudo apt-get install zip<br />
<br />
sudo apt-get install unzip<br />
<br />
4) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja käsurealt:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess fail. Antud teksti-faili kasutab wordpress oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Ava .htaccess ja kirjuta sinna järgmised reegleid:<br />
<br />
nano .htaccess<br />
<br />
Esiteks, kaitseme meie .htaccess faili, et keegi ei saaks seda vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saaks logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleks ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel üks '''.htaccess''' fail ja sinna kirjutada järgmised reegleid:<br />
<br />
cd /var/www/wordpress/wp-admin/<br />
<br />
touch .htaccess<br />
<br />
nano .htaccess<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Testimine=<br />
<br />
Monitoorimiseks on vaja installida [[htop]] programm või midagi analoogset, mis on seotud protsesside ja koormuse jälgimisega <br />
<br />
apt-get install htop<br />
<br />
Antud turvamoodulite testimiseks sobib näiteks [[ApacheBench]].See oleks vaja installida teises arvutis, mis asub samas võrgus.<br />
<br />
apt-get install apache2-utils <br />
<br />
Käivitage terminali kaudu oma veebiserveris htop:<br />
<br />
htop<br />
<br />
Teises arvutis käivitage terminali kaudu:<br />
<br />
ab -c 1000 -n -1000 192.168.6.103/<br />
<br />
kus 192.168.6.103 - veebiserveri IP-aadress<br />
<br />
Pärast ülaltoodud turvameetmete kasutusele võtmist, ei ole ab tööriista kasutades enam nii lihtne veebiserverit maha võtta.<br />
<br />
Kui võrrelda ab kasutamist vaike installatsioonil ja pärast turvamist, siis võib märgata et mälu ja saaleala ei kirjutata kohe täis ning server suudab hoida koormust kasvamast üle määratud piiri.<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=44787WordPress turvamine2011-12-15T13:29:35Z<p>Metamm: </p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
Viimati muudetud {{REVISIONDAY2}}/{{REVISIONMONTH}}/{{REVISIONYEAR}} {{REVISIONUSER}} poolt. Timestamp ({{REVISIONTIMESTAMP}})<br />
<br />
== Eeldused ==<br />
Kui inimene tahab kirjutada artiklid veebimaailmas, siis talle on vaja blog. On olemas palju blog-mootorid selle jaoks, üks nendest - Wordpress. Antud juhend on mõeldud nende jaoks. Selle juhendi abil te saate installida ja kaitsta wordpressi Ubuntu serveris.<br />
<br />
See juhend eeldab kasutajalt ubuntu linuxi käsurea, tulemüüri tundmist, ning mysql põhi käskude tundmist.<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes:<br />
<br />
sudo -i<br />
<br />
Tee kohalikele pakettidele update<br />
aptitude update<br />
<br />
Tee pakettidele upgrade:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
<br />
tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-available/wp failis:<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.6.103 );<br />
<br />
http://192.168.6.103 <br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.*.*.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu, enne </VirtualHost> tagi)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache hoiab veebilehekülgi vahemälus tänu millele ei pea veebiserverid samu lehekülgi korduvalt genereerima. See vähendab I/O süsttemi koormust.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Enne Varnishi instaleerimist tuleks pakkette uuendada:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
<br />
===Konfiguratsiooni muutmine===<br />
<br />
192.168.6.103 - veebiserveri IP-aadress <br />
<br />
Esimese asjana tuleks muuta default port. Sellesk tuleb muuta faili '''/etc/default/varnish''':<br />
<br />
nano /etc/default/varnish<br />
<br />
Esimese asjana muuda ära START=NO -> START=YES. Seda on vaja varnishi käivitamiseks.<br />
<br />
START=YES<br />
<br />
Otsi ülesse "DAEMON_OPTS=..." ning muuda see osa samasuguseks:<br />
<br />
DAEMON_OPTS="-a :80 \<br />
-T localhost:6082 \<br />
-f /etc/varnish/itkool.vcl \<br />
-S /etc/varnish/secret \<br />
-s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G"<br />
<br />
Varnishi konfiguratsioon kirjutatakse VCL keeles. <br />
<br />
Konfiguratsioonide fail asub vaikimisi siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendile viitamine:<br />
<br />
'''Backend''' - on server, kuhu varnish saadab päringuid, juhul kui tal ei ole vastavaid andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja nimetage ümber(Antud näites itkool.vcl):<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' <br />
<br />
nano /etc/varnish/itkool.vcl<br />
<br />
ja mudda sisu selliseks(.host=<Teie veebiserveri ip aadress>):<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
## 192.168.6.103 - IP-address of the server<br />
backend apache {<br />
.host = "192.168.6.103";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf'''<br />
<br />
nano /etc/apache2/ports.conf<br />
<br />
otsi ülesse:<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.103:80<br />
</pre><br />
'''192.168.6.103''' - veebiserveri IP aadress.<br />
<br />
Muuda need read sellisteks:<br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.103:8000<br />
</pre><br />
<br />
Ava fail '''/etc/apache2/sites-available/wp'''<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
otsi ülesse:<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Muuda need read sellisteks:<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame Apache lisa mooduli veendumaks, et kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on tihedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul hoolitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrollige IP portide olemasolu: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete midagi sellist, siis on kõik korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Nüüd teeme Varnishile restardi, et kuulata teema porti 80<br />
<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Nüüdseks on varnish Apache-is seadistatud. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit. Lisaks saab seda ka testida nende meetoditega, mis asuvad artikkli lõpus.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Advanced_wpsc.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Nüüd tuleks aktiveerida Advanced tabi alt '''cache''' ning '''mod_rewrite'''.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
Rida, mis tuleb sinna lisada peab olema enne viimast "require_once..."-rida, soovitavalt lisada see teiste define-ridade järgi: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu:<br />
<br />
nano /var/www/wordpress/.htaccess<br />
<br />
Sinna peaks lisama need read:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
'''Ühenduse probleemid''' <br />
<br />
Juhul kui ilmneb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''Laboris tuleb kasutada enda arvuti IP'd!'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks. Näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
Allolev rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
On alati tervislik lubada localhost õue: <br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab neid spämmi reegleid, et tulevikus blokeerida spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaari ja pingi.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas autentimist. Blogi administraator peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Teha linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad kasutajatel probleemid, eriti neil, kes ei näe korralikult märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja terminalist:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wordpress/wp-content/plugins/ </pre><br />
<br />
2) Käsuga wget laeme alla plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Enne lahti pakkimist on vaja installida unzipi<br />
<br />
sudo apt-get install zip<br />
<br />
sudo apt-get install unzip<br />
<br />
4) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja käsurealt:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess fail. Antud teksti-faili kasutab wordpress oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Ava .htaccess ja kirjuta sinna järgmised reegleid:<br />
<br />
nano .htaccess<br />
<br />
Esiteks, kaitseme meie .htaccess faili, et keegi ei saaks seda vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saaks logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleks ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel üks '''.htaccess''' fail ja sinna kirjutada järgmised reegleid:<br />
<br />
cd /var/www/wordpress/wp-admin/<br />
<br />
touch .htaccess<br />
<br />
nano .htaccess<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Testimine=<br />
<br />
Monitoorimiseks on vaja installida [[htop]] programm või midagi analoogset, mis on seotud protsesside ja koormuse jälgimisega <br />
<br />
apt-get install htop<br />
<br />
Antud turvamoodulite testimiseks sobib näiteks [[ApacheBench]].See oleks vaja installida teises arvutis, mis asub samas võrgus.<br />
<br />
apt-get install apache2-utils <br />
<br />
Käivitage terminali kaudu oma veebiserveris htop:<br />
<br />
htop<br />
<br />
Teises arvutis käivitage terminali kaudu:<br />
<br />
ab -c 1000 -n -1000 192.168.6.103/<br />
<br />
kus 192.168.6.103 - veebiserveri IP-aadress<br />
<br />
Pärast ülaltoodud turvameetmete kasutusele võtmist, ei ole ab tööriista kasutades enam nii lihtne veebiserverit maha võtta.<br />
<br />
Kui võrrelda ab kasutamist vaike installatsioonil ja pärast turvamist, siis võib märgata et mälu ja saaleala ei kirjutata kohe täis ning server suudab hoida koormust kasvamast üle määratud piiri.<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=44786WordPress turvamine2011-12-15T13:29:26Z<p>Metamm: </p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
Viimati muudetud {{REVISIONDAY2}}/{{REVISIONMONTH}}/{{REVISIONYEAR}} {{REVISIONUSER}} poolt. Timestamp({{REVISIONTIMESTAMP}})<br />
<br />
== Eeldused ==<br />
Kui inimene tahab kirjutada artiklid veebimaailmas, siis talle on vaja blog. On olemas palju blog-mootorid selle jaoks, üks nendest - Wordpress. Antud juhend on mõeldud nende jaoks. Selle juhendi abil te saate installida ja kaitsta wordpressi Ubuntu serveris.<br />
<br />
See juhend eeldab kasutajalt ubuntu linuxi käsurea, tulemüüri tundmist, ning mysql põhi käskude tundmist.<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes:<br />
<br />
sudo -i<br />
<br />
Tee kohalikele pakettidele update<br />
aptitude update<br />
<br />
Tee pakettidele upgrade:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
<br />
tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-available/wp failis:<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.6.103 );<br />
<br />
http://192.168.6.103 <br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.*.*.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu, enne </VirtualHost> tagi)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache hoiab veebilehekülgi vahemälus tänu millele ei pea veebiserverid samu lehekülgi korduvalt genereerima. See vähendab I/O süsttemi koormust.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Enne Varnishi instaleerimist tuleks pakkette uuendada:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
<br />
===Konfiguratsiooni muutmine===<br />
<br />
192.168.6.103 - veebiserveri IP-aadress <br />
<br />
Esimese asjana tuleks muuta default port. Sellesk tuleb muuta faili '''/etc/default/varnish''':<br />
<br />
nano /etc/default/varnish<br />
<br />
Esimese asjana muuda ära START=NO -> START=YES. Seda on vaja varnishi käivitamiseks.<br />
<br />
START=YES<br />
<br />
Otsi ülesse "DAEMON_OPTS=..." ning muuda see osa samasuguseks:<br />
<br />
DAEMON_OPTS="-a :80 \<br />
-T localhost:6082 \<br />
-f /etc/varnish/itkool.vcl \<br />
-S /etc/varnish/secret \<br />
-s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G"<br />
<br />
Varnishi konfiguratsioon kirjutatakse VCL keeles. <br />
<br />
Konfiguratsioonide fail asub vaikimisi siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendile viitamine:<br />
<br />
'''Backend''' - on server, kuhu varnish saadab päringuid, juhul kui tal ei ole vastavaid andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja nimetage ümber(Antud näites itkool.vcl):<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' <br />
<br />
nano /etc/varnish/itkool.vcl<br />
<br />
ja mudda sisu selliseks(.host=<Teie veebiserveri ip aadress>):<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
## 192.168.6.103 - IP-address of the server<br />
backend apache {<br />
.host = "192.168.6.103";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf'''<br />
<br />
nano /etc/apache2/ports.conf<br />
<br />
otsi ülesse:<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.103:80<br />
</pre><br />
'''192.168.6.103''' - veebiserveri IP aadress.<br />
<br />
Muuda need read sellisteks:<br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.103:8000<br />
</pre><br />
<br />
Ava fail '''/etc/apache2/sites-available/wp'''<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
otsi ülesse:<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Muuda need read sellisteks:<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame Apache lisa mooduli veendumaks, et kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on tihedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul hoolitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrollige IP portide olemasolu: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete midagi sellist, siis on kõik korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Nüüd teeme Varnishile restardi, et kuulata teema porti 80<br />
<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Nüüdseks on varnish Apache-is seadistatud. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit. Lisaks saab seda ka testida nende meetoditega, mis asuvad artikkli lõpus.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Advanced_wpsc.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Nüüd tuleks aktiveerida Advanced tabi alt '''cache''' ning '''mod_rewrite'''.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
Rida, mis tuleb sinna lisada peab olema enne viimast "require_once..."-rida, soovitavalt lisada see teiste define-ridade järgi: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu:<br />
<br />
nano /var/www/wordpress/.htaccess<br />
<br />
Sinna peaks lisama need read:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
'''Ühenduse probleemid''' <br />
<br />
Juhul kui ilmneb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''Laboris tuleb kasutada enda arvuti IP'd!'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks. Näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
Allolev rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
On alati tervislik lubada localhost õue: <br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab neid spämmi reegleid, et tulevikus blokeerida spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaari ja pingi.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas autentimist. Blogi administraator peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Teha linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad kasutajatel probleemid, eriti neil, kes ei näe korralikult märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja terminalist:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wordpress/wp-content/plugins/ </pre><br />
<br />
2) Käsuga wget laeme alla plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Enne lahti pakkimist on vaja installida unzipi<br />
<br />
sudo apt-get install zip<br />
<br />
sudo apt-get install unzip<br />
<br />
4) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja käsurealt:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess fail. Antud teksti-faili kasutab wordpress oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Ava .htaccess ja kirjuta sinna järgmised reegleid:<br />
<br />
nano .htaccess<br />
<br />
Esiteks, kaitseme meie .htaccess faili, et keegi ei saaks seda vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saaks logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleks ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel üks '''.htaccess''' fail ja sinna kirjutada järgmised reegleid:<br />
<br />
cd /var/www/wordpress/wp-admin/<br />
<br />
touch .htaccess<br />
<br />
nano .htaccess<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Testimine=<br />
<br />
Monitoorimiseks on vaja installida [[htop]] programm või midagi analoogset, mis on seotud protsesside ja koormuse jälgimisega <br />
<br />
apt-get install htop<br />
<br />
Antud turvamoodulite testimiseks sobib näiteks [[ApacheBench]].See oleks vaja installida teises arvutis, mis asub samas võrgus.<br />
<br />
apt-get install apache2-utils <br />
<br />
Käivitage terminali kaudu oma veebiserveris htop:<br />
<br />
htop<br />
<br />
Teises arvutis käivitage terminali kaudu:<br />
<br />
ab -c 1000 -n -1000 192.168.6.103/<br />
<br />
kus 192.168.6.103 - veebiserveri IP-aadress<br />
<br />
Pärast ülaltoodud turvameetmete kasutusele võtmist, ei ole ab tööriista kasutades enam nii lihtne veebiserverit maha võtta.<br />
<br />
Kui võrrelda ab kasutamist vaike installatsioonil ja pärast turvamist, siis võib märgata et mälu ja saaleala ei kirjutata kohe täis ning server suudab hoida koormust kasvamast üle määratud piiri.<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=44785WordPress turvamine2011-12-15T13:29:02Z<p>Metamm: </p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 12.04'''<br />
<br />
Viimati muudetud {{REVISIONDAY2}}/{{REVISIONMONTH}}/{{REVISIONYEAR}} {{REVISIONUSER}} poolt. {{REVISIONTIMESTAMP}}<br />
<br />
== Eeldused ==<br />
Kui inimene tahab kirjutada artiklid veebimaailmas, siis talle on vaja blog. On olemas palju blog-mootorid selle jaoks, üks nendest - Wordpress. Antud juhend on mõeldud nende jaoks. Selle juhendi abil te saate installida ja kaitsta wordpressi Ubuntu serveris.<br />
<br />
See juhend eeldab kasutajalt ubuntu linuxi käsurea, tulemüüri tundmist, ning mysql põhi käskude tundmist.<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes:<br />
<br />
sudo -i<br />
<br />
Tee kohalikele pakettidele update<br />
aptitude update<br />
<br />
Tee pakettidele upgrade:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
<br />
tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-available/wp failis:<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.6.103 );<br />
<br />
http://192.168.6.103 <br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.*.*.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu, enne </VirtualHost> tagi)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache hoiab veebilehekülgi vahemälus tänu millele ei pea veebiserverid samu lehekülgi korduvalt genereerima. See vähendab I/O süsttemi koormust.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Enne Varnishi instaleerimist tuleks pakkette uuendada:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
<br />
===Konfiguratsiooni muutmine===<br />
<br />
192.168.6.103 - veebiserveri IP-aadress <br />
<br />
Esimese asjana tuleks muuta default port. Sellesk tuleb muuta faili '''/etc/default/varnish''':<br />
<br />
nano /etc/default/varnish<br />
<br />
Esimese asjana muuda ära START=NO -> START=YES. Seda on vaja varnishi käivitamiseks.<br />
<br />
START=YES<br />
<br />
Otsi ülesse "DAEMON_OPTS=..." ning muuda see osa samasuguseks:<br />
<br />
DAEMON_OPTS="-a :80 \<br />
-T localhost:6082 \<br />
-f /etc/varnish/itkool.vcl \<br />
-S /etc/varnish/secret \<br />
-s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G"<br />
<br />
Varnishi konfiguratsioon kirjutatakse VCL keeles. <br />
<br />
Konfiguratsioonide fail asub vaikimisi siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendile viitamine:<br />
<br />
'''Backend''' - on server, kuhu varnish saadab päringuid, juhul kui tal ei ole vastavaid andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja nimetage ümber(Antud näites itkool.vcl):<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' <br />
<br />
nano /etc/varnish/itkool.vcl<br />
<br />
ja mudda sisu selliseks(.host=<Teie veebiserveri ip aadress>):<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
## 192.168.6.103 - IP-address of the server<br />
backend apache {<br />
.host = "192.168.6.103";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf'''<br />
<br />
nano /etc/apache2/ports.conf<br />
<br />
otsi ülesse:<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.103:80<br />
</pre><br />
'''192.168.6.103''' - veebiserveri IP aadress.<br />
<br />
Muuda need read sellisteks:<br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.103:8000<br />
</pre><br />
<br />
Ava fail '''/etc/apache2/sites-available/wp'''<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
otsi ülesse:<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Muuda need read sellisteks:<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame Apache lisa mooduli veendumaks, et kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on tihedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul hoolitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrollige IP portide olemasolu: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete midagi sellist, siis on kõik korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Nüüd teeme Varnishile restardi, et kuulata teema porti 80<br />
<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Nüüdseks on varnish Apache-is seadistatud. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit. Lisaks saab seda ka testida nende meetoditega, mis asuvad artikkli lõpus.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Advanced_wpsc.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Nüüd tuleks aktiveerida Advanced tabi alt '''cache''' ning '''mod_rewrite'''.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
Rida, mis tuleb sinna lisada peab olema enne viimast "require_once..."-rida, soovitavalt lisada see teiste define-ridade järgi: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu:<br />
<br />
nano /var/www/wordpress/.htaccess<br />
<br />
Sinna peaks lisama need read:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
'''Ühenduse probleemid''' <br />
<br />
Juhul kui ilmneb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''Laboris tuleb kasutada enda arvuti IP'd!'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks. Näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
Allolev rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
On alati tervislik lubada localhost õue: <br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab neid spämmi reegleid, et tulevikus blokeerida spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaari ja pingi.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas autentimist. Blogi administraator peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Teha linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad kasutajatel probleemid, eriti neil, kes ei näe korralikult märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja terminalist:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wordpress/wp-content/plugins/ </pre><br />
<br />
2) Käsuga wget laeme alla plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Enne lahti pakkimist on vaja installida unzipi<br />
<br />
sudo apt-get install zip<br />
<br />
sudo apt-get install unzip<br />
<br />
4) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja käsurealt:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess fail. Antud teksti-faili kasutab wordpress oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Ava .htaccess ja kirjuta sinna järgmised reegleid:<br />
<br />
nano .htaccess<br />
<br />
Esiteks, kaitseme meie .htaccess faili, et keegi ei saaks seda vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saaks logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleks ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel üks '''.htaccess''' fail ja sinna kirjutada järgmised reegleid:<br />
<br />
cd /var/www/wordpress/wp-admin/<br />
<br />
touch .htaccess<br />
<br />
nano .htaccess<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Testimine=<br />
<br />
Monitoorimiseks on vaja installida [[htop]] programm või midagi analoogset, mis on seotud protsesside ja koormuse jälgimisega <br />
<br />
apt-get install htop<br />
<br />
Antud turvamoodulite testimiseks sobib näiteks [[ApacheBench]].See oleks vaja installida teises arvutis, mis asub samas võrgus.<br />
<br />
apt-get install apache2-utils <br />
<br />
Käivitage terminali kaudu oma veebiserveris htop:<br />
<br />
htop<br />
<br />
Teises arvutis käivitage terminali kaudu:<br />
<br />
ab -c 1000 -n -1000 192.168.6.103/<br />
<br />
kus 192.168.6.103 - veebiserveri IP-aadress<br />
<br />
Pärast ülaltoodud turvameetmete kasutusele võtmist, ei ole ab tööriista kasutades enam nii lihtne veebiserverit maha võtta.<br />
<br />
Kui võrrelda ab kasutamist vaike installatsioonil ja pärast turvamist, siis võib märgata et mälu ja saaleala ei kirjutata kohe täis ning server suudab hoida koormust kasvamast üle määratud piiri.<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=44784WordPress turvamine2011-12-15T13:28:40Z<p>Metamm: </p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
Viimati muudetud {{REVISIONDAY2}}/{{REVISIONMONTH}}/{{REVISIONYEAR}} {{REVISIONUSER}} poolt. {{REVISIONTIMESTAMP}}<br />
<br />
== Eeldused ==<br />
Kui inimene tahab kirjutada artiklid veebimaailmas, siis talle on vaja blog. On olemas palju blog-mootorid selle jaoks, üks nendest - Wordpress. Antud juhend on mõeldud nende jaoks. Selle juhendi abil te saate installida ja kaitsta wordpressi Ubuntu serveris.<br />
<br />
See juhend eeldab kasutajalt ubuntu linuxi käsurea, tulemüüri tundmist, ning mysql põhi käskude tundmist.<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes:<br />
<br />
sudo -i<br />
<br />
Tee kohalikele pakettidele update<br />
aptitude update<br />
<br />
Tee pakettidele upgrade:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
<br />
tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-available/wp failis:<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.6.103 );<br />
<br />
http://192.168.6.103 <br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.*.*.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu, enne </VirtualHost> tagi)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache hoiab veebilehekülgi vahemälus tänu millele ei pea veebiserverid samu lehekülgi korduvalt genereerima. See vähendab I/O süsttemi koormust.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Enne Varnishi instaleerimist tuleks pakkette uuendada:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
<br />
===Konfiguratsiooni muutmine===<br />
<br />
192.168.6.103 - veebiserveri IP-aadress <br />
<br />
Esimese asjana tuleks muuta default port. Sellesk tuleb muuta faili '''/etc/default/varnish''':<br />
<br />
nano /etc/default/varnish<br />
<br />
Esimese asjana muuda ära START=NO -> START=YES. Seda on vaja varnishi käivitamiseks.<br />
<br />
START=YES<br />
<br />
Otsi ülesse "DAEMON_OPTS=..." ning muuda see osa samasuguseks:<br />
<br />
DAEMON_OPTS="-a :80 \<br />
-T localhost:6082 \<br />
-f /etc/varnish/itkool.vcl \<br />
-S /etc/varnish/secret \<br />
-s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G"<br />
<br />
Varnishi konfiguratsioon kirjutatakse VCL keeles. <br />
<br />
Konfiguratsioonide fail asub vaikimisi siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendile viitamine:<br />
<br />
'''Backend''' - on server, kuhu varnish saadab päringuid, juhul kui tal ei ole vastavaid andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja nimetage ümber(Antud näites itkool.vcl):<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' <br />
<br />
nano /etc/varnish/itkool.vcl<br />
<br />
ja mudda sisu selliseks(.host=<Teie veebiserveri ip aadress>):<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
## 192.168.6.103 - IP-address of the server<br />
backend apache {<br />
.host = "192.168.6.103";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf'''<br />
<br />
nano /etc/apache2/ports.conf<br />
<br />
otsi ülesse:<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.103:80<br />
</pre><br />
'''192.168.6.103''' - veebiserveri IP aadress.<br />
<br />
Muuda need read sellisteks:<br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.103:8000<br />
</pre><br />
<br />
Ava fail '''/etc/apache2/sites-available/wp'''<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
otsi ülesse:<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Muuda need read sellisteks:<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame Apache lisa mooduli veendumaks, et kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on tihedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul hoolitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrollige IP portide olemasolu: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete midagi sellist, siis on kõik korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Nüüd teeme Varnishile restardi, et kuulata teema porti 80<br />
<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Nüüdseks on varnish Apache-is seadistatud. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit. Lisaks saab seda ka testida nende meetoditega, mis asuvad artikkli lõpus.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Advanced_wpsc.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Nüüd tuleks aktiveerida Advanced tabi alt '''cache''' ning '''mod_rewrite'''.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
Rida, mis tuleb sinna lisada peab olema enne viimast "require_once..."-rida, soovitavalt lisada see teiste define-ridade järgi: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu:<br />
<br />
nano /var/www/wordpress/.htaccess<br />
<br />
Sinna peaks lisama need read:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
'''Ühenduse probleemid''' <br />
<br />
Juhul kui ilmneb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''Laboris tuleb kasutada enda arvuti IP'd!'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks. Näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
Allolev rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
On alati tervislik lubada localhost õue: <br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab neid spämmi reegleid, et tulevikus blokeerida spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaari ja pingi.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas autentimist. Blogi administraator peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Teha linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad kasutajatel probleemid, eriti neil, kes ei näe korralikult märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja terminalist:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wordpress/wp-content/plugins/ </pre><br />
<br />
2) Käsuga wget laeme alla plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Enne lahti pakkimist on vaja installida unzipi<br />
<br />
sudo apt-get install zip<br />
<br />
sudo apt-get install unzip<br />
<br />
4) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja käsurealt:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess fail. Antud teksti-faili kasutab wordpress oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Ava .htaccess ja kirjuta sinna järgmised reegleid:<br />
<br />
nano .htaccess<br />
<br />
Esiteks, kaitseme meie .htaccess faili, et keegi ei saaks seda vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saaks logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleks ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel üks '''.htaccess''' fail ja sinna kirjutada järgmised reegleid:<br />
<br />
cd /var/www/wordpress/wp-admin/<br />
<br />
touch .htaccess<br />
<br />
nano .htaccess<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Testimine=<br />
<br />
Monitoorimiseks on vaja installida [[htop]] programm või midagi analoogset, mis on seotud protsesside ja koormuse jälgimisega <br />
<br />
apt-get install htop<br />
<br />
Antud turvamoodulite testimiseks sobib näiteks [[ApacheBench]].See oleks vaja installida teises arvutis, mis asub samas võrgus.<br />
<br />
apt-get install apache2-utils <br />
<br />
Käivitage terminali kaudu oma veebiserveris htop:<br />
<br />
htop<br />
<br />
Teises arvutis käivitage terminali kaudu:<br />
<br />
ab -c 1000 -n -1000 192.168.6.103/<br />
<br />
kus 192.168.6.103 - veebiserveri IP-aadress<br />
<br />
Pärast ülaltoodud turvameetmete kasutusele võtmist, ei ole ab tööriista kasutades enam nii lihtne veebiserverit maha võtta.<br />
<br />
Kui võrrelda ab kasutamist vaike installatsioonil ja pärast turvamist, siis võib märgata et mälu ja saaleala ei kirjutata kohe täis ning server suudab hoida koormust kasvamast üle määratud piiri.<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=44783WordPress turvamine2011-12-15T13:28:21Z<p>Metamm: </p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
Viimati muudetud {{REVISIONDAY2}}/{{REVISIONMONTH}}/{{REVISIONYEAR}} {{REVISIONUSER}} poolt.<br />
<br />
== Eeldused ==<br />
Kui inimene tahab kirjutada artiklid veebimaailmas, siis talle on vaja blog. On olemas palju blog-mootorid selle jaoks, üks nendest - Wordpress. Antud juhend on mõeldud nende jaoks. Selle juhendi abil te saate installida ja kaitsta wordpressi Ubuntu serveris.<br />
<br />
See juhend eeldab kasutajalt ubuntu linuxi käsurea, tulemüüri tundmist, ning mysql põhi käskude tundmist.<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes:<br />
<br />
sudo -i<br />
<br />
Tee kohalikele pakettidele update<br />
aptitude update<br />
<br />
Tee pakettidele upgrade:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
<br />
tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-available/wp failis:<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.6.103 );<br />
<br />
http://192.168.6.103 <br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.*.*.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu, enne </VirtualHost> tagi)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache hoiab veebilehekülgi vahemälus tänu millele ei pea veebiserverid samu lehekülgi korduvalt genereerima. See vähendab I/O süsttemi koormust.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Enne Varnishi instaleerimist tuleks pakkette uuendada:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
<br />
===Konfiguratsiooni muutmine===<br />
<br />
192.168.6.103 - veebiserveri IP-aadress <br />
<br />
Esimese asjana tuleks muuta default port. Sellesk tuleb muuta faili '''/etc/default/varnish''':<br />
<br />
nano /etc/default/varnish<br />
<br />
Esimese asjana muuda ära START=NO -> START=YES. Seda on vaja varnishi käivitamiseks.<br />
<br />
START=YES<br />
<br />
Otsi ülesse "DAEMON_OPTS=..." ning muuda see osa samasuguseks:<br />
<br />
DAEMON_OPTS="-a :80 \<br />
-T localhost:6082 \<br />
-f /etc/varnish/itkool.vcl \<br />
-S /etc/varnish/secret \<br />
-s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G"<br />
<br />
Varnishi konfiguratsioon kirjutatakse VCL keeles. <br />
<br />
Konfiguratsioonide fail asub vaikimisi siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendile viitamine:<br />
<br />
'''Backend''' - on server, kuhu varnish saadab päringuid, juhul kui tal ei ole vastavaid andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja nimetage ümber(Antud näites itkool.vcl):<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' <br />
<br />
nano /etc/varnish/itkool.vcl<br />
<br />
ja mudda sisu selliseks(.host=<Teie veebiserveri ip aadress>):<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
## 192.168.6.103 - IP-address of the server<br />
backend apache {<br />
.host = "192.168.6.103";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf'''<br />
<br />
nano /etc/apache2/ports.conf<br />
<br />
otsi ülesse:<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.103:80<br />
</pre><br />
'''192.168.6.103''' - veebiserveri IP aadress.<br />
<br />
Muuda need read sellisteks:<br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.103:8000<br />
</pre><br />
<br />
Ava fail '''/etc/apache2/sites-available/wp'''<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
otsi ülesse:<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Muuda need read sellisteks:<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame Apache lisa mooduli veendumaks, et kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on tihedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul hoolitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrollige IP portide olemasolu: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete midagi sellist, siis on kõik korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Nüüd teeme Varnishile restardi, et kuulata teema porti 80<br />
<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Nüüdseks on varnish Apache-is seadistatud. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit. Lisaks saab seda ka testida nende meetoditega, mis asuvad artikkli lõpus.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Advanced_wpsc.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Nüüd tuleks aktiveerida Advanced tabi alt '''cache''' ning '''mod_rewrite'''.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
Rida, mis tuleb sinna lisada peab olema enne viimast "require_once..."-rida, soovitavalt lisada see teiste define-ridade järgi: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu:<br />
<br />
nano /var/www/wordpress/.htaccess<br />
<br />
Sinna peaks lisama need read:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
'''Ühenduse probleemid''' <br />
<br />
Juhul kui ilmneb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''Laboris tuleb kasutada enda arvuti IP'd!'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks. Näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
Allolev rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
On alati tervislik lubada localhost õue: <br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab neid spämmi reegleid, et tulevikus blokeerida spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaari ja pingi.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas autentimist. Blogi administraator peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Teha linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad kasutajatel probleemid, eriti neil, kes ei näe korralikult märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja terminalist:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wordpress/wp-content/plugins/ </pre><br />
<br />
2) Käsuga wget laeme alla plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Enne lahti pakkimist on vaja installida unzipi<br />
<br />
sudo apt-get install zip<br />
<br />
sudo apt-get install unzip<br />
<br />
4) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja käsurealt:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess fail. Antud teksti-faili kasutab wordpress oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Ava .htaccess ja kirjuta sinna järgmised reegleid:<br />
<br />
nano .htaccess<br />
<br />
Esiteks, kaitseme meie .htaccess faili, et keegi ei saaks seda vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saaks logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleks ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel üks '''.htaccess''' fail ja sinna kirjutada järgmised reegleid:<br />
<br />
cd /var/www/wordpress/wp-admin/<br />
<br />
touch .htaccess<br />
<br />
nano .htaccess<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Testimine=<br />
<br />
Monitoorimiseks on vaja installida [[htop]] programm või midagi analoogset, mis on seotud protsesside ja koormuse jälgimisega <br />
<br />
apt-get install htop<br />
<br />
Antud turvamoodulite testimiseks sobib näiteks [[ApacheBench]].See oleks vaja installida teises arvutis, mis asub samas võrgus.<br />
<br />
apt-get install apache2-utils <br />
<br />
Käivitage terminali kaudu oma veebiserveris htop:<br />
<br />
htop<br />
<br />
Teises arvutis käivitage terminali kaudu:<br />
<br />
ab -c 1000 -n -1000 192.168.6.103/<br />
<br />
kus 192.168.6.103 - veebiserveri IP-aadress<br />
<br />
Pärast ülaltoodud turvameetmete kasutusele võtmist, ei ole ab tööriista kasutades enam nii lihtne veebiserverit maha võtta.<br />
<br />
Kui võrrelda ab kasutamist vaike installatsioonil ja pärast turvamist, siis võib märgata et mälu ja saaleala ei kirjutata kohe täis ning server suudab hoida koormust kasvamast üle määratud piiri.<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=44782WordPress turvamine2011-12-15T13:28:07Z<p>Metamm: </p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
Viimati muudetud {{REVISIONDAY2}}/{{REVISIONMONTH}}/{{REVISIONYEAR}} {{REVISIONUSER}} poolt.<br />
<br />
--[[User:Vvinogra|Vvinogra]] 15:17, 15 December 2011 (EET)<br />
== Eeldused ==<br />
Kui inimene tahab kirjutada artiklid veebimaailmas, siis talle on vaja blog. On olemas palju blog-mootorid selle jaoks, üks nendest - Wordpress. Antud juhend on mõeldud nende jaoks. Selle juhendi abil te saate installida ja kaitsta wordpressi Ubuntu serveris.<br />
<br />
See juhend eeldab kasutajalt ubuntu linuxi käsurea, tulemüüri tundmist, ning mysql põhi käskude tundmist.<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes:<br />
<br />
sudo -i<br />
<br />
Tee kohalikele pakettidele update<br />
aptitude update<br />
<br />
Tee pakettidele upgrade:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
<br />
tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-available/wp failis:<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.6.103 );<br />
<br />
http://192.168.6.103 <br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.*.*.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu, enne </VirtualHost> tagi)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache hoiab veebilehekülgi vahemälus tänu millele ei pea veebiserverid samu lehekülgi korduvalt genereerima. See vähendab I/O süsttemi koormust.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Enne Varnishi instaleerimist tuleks pakkette uuendada:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
<br />
===Konfiguratsiooni muutmine===<br />
<br />
192.168.6.103 - veebiserveri IP-aadress <br />
<br />
Esimese asjana tuleks muuta default port. Sellesk tuleb muuta faili '''/etc/default/varnish''':<br />
<br />
nano /etc/default/varnish<br />
<br />
Esimese asjana muuda ära START=NO -> START=YES. Seda on vaja varnishi käivitamiseks.<br />
<br />
START=YES<br />
<br />
Otsi ülesse "DAEMON_OPTS=..." ning muuda see osa samasuguseks:<br />
<br />
DAEMON_OPTS="-a :80 \<br />
-T localhost:6082 \<br />
-f /etc/varnish/itkool.vcl \<br />
-S /etc/varnish/secret \<br />
-s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G"<br />
<br />
Varnishi konfiguratsioon kirjutatakse VCL keeles. <br />
<br />
Konfiguratsioonide fail asub vaikimisi siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendile viitamine:<br />
<br />
'''Backend''' - on server, kuhu varnish saadab päringuid, juhul kui tal ei ole vastavaid andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja nimetage ümber(Antud näites itkool.vcl):<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' <br />
<br />
nano /etc/varnish/itkool.vcl<br />
<br />
ja mudda sisu selliseks(.host=<Teie veebiserveri ip aadress>):<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
## 192.168.6.103 - IP-address of the server<br />
backend apache {<br />
.host = "192.168.6.103";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf'''<br />
<br />
nano /etc/apache2/ports.conf<br />
<br />
otsi ülesse:<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.103:80<br />
</pre><br />
'''192.168.6.103''' - veebiserveri IP aadress.<br />
<br />
Muuda need read sellisteks:<br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.103:8000<br />
</pre><br />
<br />
Ava fail '''/etc/apache2/sites-available/wp'''<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
otsi ülesse:<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Muuda need read sellisteks:<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame Apache lisa mooduli veendumaks, et kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on tihedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul hoolitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrollige IP portide olemasolu: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete midagi sellist, siis on kõik korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Nüüd teeme Varnishile restardi, et kuulata teema porti 80<br />
<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Nüüdseks on varnish Apache-is seadistatud. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit. Lisaks saab seda ka testida nende meetoditega, mis asuvad artikkli lõpus.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Advanced_wpsc.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Nüüd tuleks aktiveerida Advanced tabi alt '''cache''' ning '''mod_rewrite'''.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
Rida, mis tuleb sinna lisada peab olema enne viimast "require_once..."-rida, soovitavalt lisada see teiste define-ridade järgi: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu:<br />
<br />
nano /var/www/wordpress/.htaccess<br />
<br />
Sinna peaks lisama need read:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
'''Ühenduse probleemid''' <br />
<br />
Juhul kui ilmneb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''Laboris tuleb kasutada enda arvuti IP'd!'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks. Näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
Allolev rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
On alati tervislik lubada localhost õue: <br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab neid spämmi reegleid, et tulevikus blokeerida spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaari ja pingi.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas autentimist. Blogi administraator peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Teha linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad kasutajatel probleemid, eriti neil, kes ei näe korralikult märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja terminalist:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wordpress/wp-content/plugins/ </pre><br />
<br />
2) Käsuga wget laeme alla plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Enne lahti pakkimist on vaja installida unzipi<br />
<br />
sudo apt-get install zip<br />
<br />
sudo apt-get install unzip<br />
<br />
4) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja käsurealt:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess fail. Antud teksti-faili kasutab wordpress oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Ava .htaccess ja kirjuta sinna järgmised reegleid:<br />
<br />
nano .htaccess<br />
<br />
Esiteks, kaitseme meie .htaccess faili, et keegi ei saaks seda vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saaks logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleks ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel üks '''.htaccess''' fail ja sinna kirjutada järgmised reegleid:<br />
<br />
cd /var/www/wordpress/wp-admin/<br />
<br />
touch .htaccess<br />
<br />
nano .htaccess<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Testimine=<br />
<br />
Monitoorimiseks on vaja installida [[htop]] programm või midagi analoogset, mis on seotud protsesside ja koormuse jälgimisega <br />
<br />
apt-get install htop<br />
<br />
Antud turvamoodulite testimiseks sobib näiteks [[ApacheBench]].See oleks vaja installida teises arvutis, mis asub samas võrgus.<br />
<br />
apt-get install apache2-utils <br />
<br />
Käivitage terminali kaudu oma veebiserveris htop:<br />
<br />
htop<br />
<br />
Teises arvutis käivitage terminali kaudu:<br />
<br />
ab -c 1000 -n -1000 192.168.6.103/<br />
<br />
kus 192.168.6.103 - veebiserveri IP-aadress<br />
<br />
Pärast ülaltoodud turvameetmete kasutusele võtmist, ei ole ab tööriista kasutades enam nii lihtne veebiserverit maha võtta.<br />
<br />
Kui võrrelda ab kasutamist vaike installatsioonil ja pärast turvamist, siis võib märgata et mälu ja saaleala ei kirjutata kohe täis ning server suudab hoida koormust kasvamast üle määratud piiri.<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=44781WordPress turvamine2011-12-15T13:27:37Z<p>Metamm: </p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
{{REVISIONDAY2}}/{{REVISIONMONTH}}/{{REVISIONYEAR}} by {{REVISIONUSER}}<br />
<br />
--[[User:Vvinogra|Vvinogra]] 15:17, 15 December 2011 (EET)<br />
== Eeldused ==<br />
Kui inimene tahab kirjutada artiklid veebimaailmas, siis talle on vaja blog. On olemas palju blog-mootorid selle jaoks, üks nendest - Wordpress. Antud juhend on mõeldud nende jaoks. Selle juhendi abil te saate installida ja kaitsta wordpressi Ubuntu serveris.<br />
<br />
See juhend eeldab kasutajalt ubuntu linuxi käsurea, tulemüüri tundmist, ning mysql põhi käskude tundmist.<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes:<br />
<br />
sudo -i<br />
<br />
Tee kohalikele pakettidele update<br />
aptitude update<br />
<br />
Tee pakettidele upgrade:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
<br />
tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-available/wp failis:<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.6.103 );<br />
<br />
http://192.168.6.103 <br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.*.*.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu, enne </VirtualHost> tagi)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache hoiab veebilehekülgi vahemälus tänu millele ei pea veebiserverid samu lehekülgi korduvalt genereerima. See vähendab I/O süsttemi koormust.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Enne Varnishi instaleerimist tuleks pakkette uuendada:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
<br />
===Konfiguratsiooni muutmine===<br />
<br />
192.168.6.103 - veebiserveri IP-aadress <br />
<br />
Esimese asjana tuleks muuta default port. Sellesk tuleb muuta faili '''/etc/default/varnish''':<br />
<br />
nano /etc/default/varnish<br />
<br />
Esimese asjana muuda ära START=NO -> START=YES. Seda on vaja varnishi käivitamiseks.<br />
<br />
START=YES<br />
<br />
Otsi ülesse "DAEMON_OPTS=..." ning muuda see osa samasuguseks:<br />
<br />
DAEMON_OPTS="-a :80 \<br />
-T localhost:6082 \<br />
-f /etc/varnish/itkool.vcl \<br />
-S /etc/varnish/secret \<br />
-s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G"<br />
<br />
Varnishi konfiguratsioon kirjutatakse VCL keeles. <br />
<br />
Konfiguratsioonide fail asub vaikimisi siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendile viitamine:<br />
<br />
'''Backend''' - on server, kuhu varnish saadab päringuid, juhul kui tal ei ole vastavaid andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja nimetage ümber(Antud näites itkool.vcl):<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' <br />
<br />
nano /etc/varnish/itkool.vcl<br />
<br />
ja mudda sisu selliseks(.host=<Teie veebiserveri ip aadress>):<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
## 192.168.6.103 - IP-address of the server<br />
backend apache {<br />
.host = "192.168.6.103";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf'''<br />
<br />
nano /etc/apache2/ports.conf<br />
<br />
otsi ülesse:<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.103:80<br />
</pre><br />
'''192.168.6.103''' - veebiserveri IP aadress.<br />
<br />
Muuda need read sellisteks:<br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.103:8000<br />
</pre><br />
<br />
Ava fail '''/etc/apache2/sites-available/wp'''<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
otsi ülesse:<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Muuda need read sellisteks:<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame Apache lisa mooduli veendumaks, et kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on tihedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul hoolitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrollige IP portide olemasolu: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete midagi sellist, siis on kõik korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Nüüd teeme Varnishile restardi, et kuulata teema porti 80<br />
<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Nüüdseks on varnish Apache-is seadistatud. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit. Lisaks saab seda ka testida nende meetoditega, mis asuvad artikkli lõpus.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Advanced_wpsc.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Nüüd tuleks aktiveerida Advanced tabi alt '''cache''' ning '''mod_rewrite'''.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
Rida, mis tuleb sinna lisada peab olema enne viimast "require_once..."-rida, soovitavalt lisada see teiste define-ridade järgi: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu:<br />
<br />
nano /var/www/wordpress/.htaccess<br />
<br />
Sinna peaks lisama need read:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
'''Ühenduse probleemid''' <br />
<br />
Juhul kui ilmneb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''Laboris tuleb kasutada enda arvuti IP'd!'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks. Näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
Allolev rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
On alati tervislik lubada localhost õue: <br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab neid spämmi reegleid, et tulevikus blokeerida spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaari ja pingi.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas autentimist. Blogi administraator peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Teha linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad kasutajatel probleemid, eriti neil, kes ei näe korralikult märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja terminalist:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wordpress/wp-content/plugins/ </pre><br />
<br />
2) Käsuga wget laeme alla plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Enne lahti pakkimist on vaja installida unzipi<br />
<br />
sudo apt-get install zip<br />
<br />
sudo apt-get install unzip<br />
<br />
4) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja käsurealt:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess fail. Antud teksti-faili kasutab wordpress oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Ava .htaccess ja kirjuta sinna järgmised reegleid:<br />
<br />
nano .htaccess<br />
<br />
Esiteks, kaitseme meie .htaccess faili, et keegi ei saaks seda vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saaks logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleks ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel üks '''.htaccess''' fail ja sinna kirjutada järgmised reegleid:<br />
<br />
cd /var/www/wordpress/wp-admin/<br />
<br />
touch .htaccess<br />
<br />
nano .htaccess<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Testimine=<br />
<br />
Monitoorimiseks on vaja installida [[htop]] programm või midagi analoogset, mis on seotud protsesside ja koormuse jälgimisega <br />
<br />
apt-get install htop<br />
<br />
Antud turvamoodulite testimiseks sobib näiteks [[ApacheBench]].See oleks vaja installida teises arvutis, mis asub samas võrgus.<br />
<br />
apt-get install apache2-utils <br />
<br />
Käivitage terminali kaudu oma veebiserveris htop:<br />
<br />
htop<br />
<br />
Teises arvutis käivitage terminali kaudu:<br />
<br />
ab -c 1000 -n -1000 192.168.6.103/<br />
<br />
kus 192.168.6.103 - veebiserveri IP-aadress<br />
<br />
Pärast ülaltoodud turvameetmete kasutusele võtmist, ei ole ab tööriista kasutades enam nii lihtne veebiserverit maha võtta.<br />
<br />
Kui võrrelda ab kasutamist vaike installatsioonil ja pärast turvamist, siis võib märgata et mälu ja saaleala ei kirjutata kohe täis ning server suudab hoida koormust kasvamast üle määratud piiri.<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=44780WordPress turvamine2011-12-15T13:26:04Z<p>Metamm: </p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
{{REVISIONTIMESTAMP}} - {{REVISIONDAY2}} - {{REVISIONMONTH}} {{REVISIONYEAR}} {{REVISIONUSER}}<br />
<br />
--[[User:Vvinogra|Vvinogra]] 15:17, 15 December 2011 (EET)<br />
== Eeldused ==<br />
Kui inimene tahab kirjutada artiklid veebimaailmas, siis talle on vaja blog. On olemas palju blog-mootorid selle jaoks, üks nendest - Wordpress. Antud juhend on mõeldud nende jaoks. Selle juhendi abil te saate installida ja kaitsta wordpressi Ubuntu serveris.<br />
<br />
See juhend eeldab kasutajalt ubuntu linuxi käsurea, tulemüüri tundmist, ning mysql põhi käskude tundmist.<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes:<br />
<br />
sudo -i<br />
<br />
Tee kohalikele pakettidele update<br />
aptitude update<br />
<br />
Tee pakettidele upgrade:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
<br />
tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-available/wp failis:<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.6.103 );<br />
<br />
http://192.168.6.103 <br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.*.*.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu, enne </VirtualHost> tagi)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache hoiab veebilehekülgi vahemälus tänu millele ei pea veebiserverid samu lehekülgi korduvalt genereerima. See vähendab I/O süsttemi koormust.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Enne Varnishi instaleerimist tuleks pakkette uuendada:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
<br />
===Konfiguratsiooni muutmine===<br />
<br />
192.168.6.103 - veebiserveri IP-aadress <br />
<br />
Esimese asjana tuleks muuta default port. Sellesk tuleb muuta faili '''/etc/default/varnish''':<br />
<br />
nano /etc/default/varnish<br />
<br />
Esimese asjana muuda ära START=NO -> START=YES. Seda on vaja varnishi käivitamiseks.<br />
<br />
START=YES<br />
<br />
Otsi ülesse "DAEMON_OPTS=..." ning muuda see osa samasuguseks:<br />
<br />
DAEMON_OPTS="-a :80 \<br />
-T localhost:6082 \<br />
-f /etc/varnish/itkool.vcl \<br />
-S /etc/varnish/secret \<br />
-s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G"<br />
<br />
Varnishi konfiguratsioon kirjutatakse VCL keeles. <br />
<br />
Konfiguratsioonide fail asub vaikimisi siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendile viitamine:<br />
<br />
'''Backend''' - on server, kuhu varnish saadab päringuid, juhul kui tal ei ole vastavaid andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja nimetage ümber(Antud näites itkool.vcl):<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' <br />
<br />
nano /etc/varnish/itkool.vcl<br />
<br />
ja mudda sisu selliseks(.host=<Teie veebiserveri ip aadress>):<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
## 192.168.6.103 - IP-address of the server<br />
backend apache {<br />
.host = "192.168.6.103";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf'''<br />
<br />
nano /etc/apache2/ports.conf<br />
<br />
otsi ülesse:<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.103:80<br />
</pre><br />
'''192.168.6.103''' - veebiserveri IP aadress.<br />
<br />
Muuda need read sellisteks:<br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.103:8000<br />
</pre><br />
<br />
Ava fail '''/etc/apache2/sites-available/wp'''<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
otsi ülesse:<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Muuda need read sellisteks:<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame Apache lisa mooduli veendumaks, et kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on tihedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul hoolitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrollige IP portide olemasolu: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete midagi sellist, siis on kõik korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Nüüd teeme Varnishile restardi, et kuulata teema porti 80<br />
<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Nüüdseks on varnish Apache-is seadistatud. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit. Lisaks saab seda ka testida nende meetoditega, mis asuvad artikkli lõpus.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Advanced_wpsc.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Nüüd tuleks aktiveerida Advanced tabi alt '''cache''' ning '''mod_rewrite'''.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
Rida, mis tuleb sinna lisada peab olema enne viimast "require_once..."-rida, soovitavalt lisada see teiste define-ridade järgi: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu:<br />
<br />
nano /var/www/wordpress/.htaccess<br />
<br />
Sinna peaks lisama need read:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
'''Ühenduse probleemid''' <br />
<br />
Juhul kui ilmneb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''Laboris tuleb kasutada enda arvuti IP'd!'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks. Näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
Allolev rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
On alati tervislik lubada localhost õue: <br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab neid spämmi reegleid, et tulevikus blokeerida spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaari ja pingi.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas autentimist. Blogi administraator peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Teha linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad kasutajatel probleemid, eriti neil, kes ei näe korralikult märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja terminalist:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wordpress/wp-content/plugins/ </pre><br />
<br />
2) Käsuga wget laeme alla plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Enne lahti pakkimist on vaja installida unzipi<br />
<br />
sudo apt-get install zip<br />
<br />
sudo apt-get install unzip<br />
<br />
4) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja käsurealt:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess fail. Antud teksti-faili kasutab wordpress oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Ava .htaccess ja kirjuta sinna järgmised reegleid:<br />
<br />
nano .htaccess<br />
<br />
Esiteks, kaitseme meie .htaccess faili, et keegi ei saaks seda vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saaks logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleks ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel üks '''.htaccess''' fail ja sinna kirjutada järgmised reegleid:<br />
<br />
cd /var/www/wordpress/wp-admin/<br />
<br />
touch .htaccess<br />
<br />
nano .htaccess<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Testimine=<br />
<br />
Monitoorimiseks on vaja installida [[htop]] programm või midagi analoogset, mis on seotud protsesside ja koormuse jälgimisega <br />
<br />
apt-get install htop<br />
<br />
Antud turvamoodulite testimiseks sobib näiteks [[ApacheBench]].See oleks vaja installida teises arvutis, mis asub samas võrgus.<br />
<br />
apt-get install apache2-utils <br />
<br />
Käivitage terminali kaudu oma veebiserveris htop:<br />
<br />
htop<br />
<br />
Teises arvutis käivitage terminali kaudu:<br />
<br />
ab -c 1000 -n -1000 192.168.6.103/<br />
<br />
kus 192.168.6.103 - veebiserveri IP-aadress<br />
<br />
Pärast ülaltoodud turvameetmete kasutusele võtmist, ei ole ab tööriista kasutades enam nii lihtne veebiserverit maha võtta.<br />
<br />
Kui võrrelda ab kasutamist vaike installatsioonil ja pärast turvamist, siis võib märgata et mälu ja saaleala ei kirjutata kohe täis ning server suudab hoida koormust kasvamast üle määratud piiri.<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=44779WordPress turvamine2011-12-15T13:25:24Z<p>Metamm: </p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
{{REVISIONTIMESTAMP}} {{REVISIONDAY2}} {{REVISIONMONTH}} {{REVISIONYEAR}} {{REVISIONUSER}}<br />
<br />
--[[User:Vvinogra|Vvinogra]] 15:17, 15 December 2011 (EET)<br />
== Eeldused ==<br />
Kui inimene tahab kirjutada artiklid veebimaailmas, siis talle on vaja blog. On olemas palju blog-mootorid selle jaoks, üks nendest - Wordpress. Antud juhend on mõeldud nende jaoks. Selle juhendi abil te saate installida ja kaitsta wordpressi Ubuntu serveris.<br />
<br />
See juhend eeldab kasutajalt ubuntu linuxi käsurea, tulemüüri tundmist, ning mysql põhi käskude tundmist.<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes:<br />
<br />
sudo -i<br />
<br />
Tee kohalikele pakettidele update<br />
aptitude update<br />
<br />
Tee pakettidele upgrade:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
<br />
tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-available/wp failis:<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.6.103 );<br />
<br />
http://192.168.6.103 <br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.*.*.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu, enne </VirtualHost> tagi)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache hoiab veebilehekülgi vahemälus tänu millele ei pea veebiserverid samu lehekülgi korduvalt genereerima. See vähendab I/O süsttemi koormust.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Enne Varnishi instaleerimist tuleks pakkette uuendada:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
<br />
===Konfiguratsiooni muutmine===<br />
<br />
192.168.6.103 - veebiserveri IP-aadress <br />
<br />
Esimese asjana tuleks muuta default port. Sellesk tuleb muuta faili '''/etc/default/varnish''':<br />
<br />
nano /etc/default/varnish<br />
<br />
Esimese asjana muuda ära START=NO -> START=YES. Seda on vaja varnishi käivitamiseks.<br />
<br />
START=YES<br />
<br />
Otsi ülesse "DAEMON_OPTS=..." ning muuda see osa samasuguseks:<br />
<br />
DAEMON_OPTS="-a :80 \<br />
-T localhost:6082 \<br />
-f /etc/varnish/itkool.vcl \<br />
-S /etc/varnish/secret \<br />
-s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G"<br />
<br />
Varnishi konfiguratsioon kirjutatakse VCL keeles. <br />
<br />
Konfiguratsioonide fail asub vaikimisi siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendile viitamine:<br />
<br />
'''Backend''' - on server, kuhu varnish saadab päringuid, juhul kui tal ei ole vastavaid andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja nimetage ümber(Antud näites itkool.vcl):<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' <br />
<br />
nano /etc/varnish/itkool.vcl<br />
<br />
ja mudda sisu selliseks(.host=<Teie veebiserveri ip aadress>):<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
## 192.168.6.103 - IP-address of the server<br />
backend apache {<br />
.host = "192.168.6.103";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf'''<br />
<br />
nano /etc/apache2/ports.conf<br />
<br />
otsi ülesse:<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.103:80<br />
</pre><br />
'''192.168.6.103''' - veebiserveri IP aadress.<br />
<br />
Muuda need read sellisteks:<br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.103:8000<br />
</pre><br />
<br />
Ava fail '''/etc/apache2/sites-available/wp'''<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
otsi ülesse:<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Muuda need read sellisteks:<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame Apache lisa mooduli veendumaks, et kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on tihedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul hoolitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrollige IP portide olemasolu: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete midagi sellist, siis on kõik korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Nüüd teeme Varnishile restardi, et kuulata teema porti 80<br />
<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Nüüdseks on varnish Apache-is seadistatud. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit. Lisaks saab seda ka testida nende meetoditega, mis asuvad artikkli lõpus.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Advanced_wpsc.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Nüüd tuleks aktiveerida Advanced tabi alt '''cache''' ning '''mod_rewrite'''.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
Rida, mis tuleb sinna lisada peab olema enne viimast "require_once..."-rida, soovitavalt lisada see teiste define-ridade järgi: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu:<br />
<br />
nano /var/www/wordpress/.htaccess<br />
<br />
Sinna peaks lisama need read:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
'''Ühenduse probleemid''' <br />
<br />
Juhul kui ilmneb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''Laboris tuleb kasutada enda arvuti IP'd!'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks. Näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
Allolev rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
On alati tervislik lubada localhost õue: <br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab neid spämmi reegleid, et tulevikus blokeerida spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaari ja pingi.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas autentimist. Blogi administraator peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Teha linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad kasutajatel probleemid, eriti neil, kes ei näe korralikult märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja terminalist:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wordpress/wp-content/plugins/ </pre><br />
<br />
2) Käsuga wget laeme alla plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Enne lahti pakkimist on vaja installida unzipi<br />
<br />
sudo apt-get install zip<br />
<br />
sudo apt-get install unzip<br />
<br />
4) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja käsurealt:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess fail. Antud teksti-faili kasutab wordpress oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Ava .htaccess ja kirjuta sinna järgmised reegleid:<br />
<br />
nano .htaccess<br />
<br />
Esiteks, kaitseme meie .htaccess faili, et keegi ei saaks seda vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saaks logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleks ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel üks '''.htaccess''' fail ja sinna kirjutada järgmised reegleid:<br />
<br />
cd /var/www/wordpress/wp-admin/<br />
<br />
touch .htaccess<br />
<br />
nano .htaccess<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Testimine=<br />
<br />
Monitoorimiseks on vaja installida [[htop]] programm või midagi analoogset, mis on seotud protsesside ja koormuse jälgimisega <br />
<br />
apt-get install htop<br />
<br />
Antud turvamoodulite testimiseks sobib näiteks [[ApacheBench]].See oleks vaja installida teises arvutis, mis asub samas võrgus.<br />
<br />
apt-get install apache2-utils <br />
<br />
Käivitage terminali kaudu oma veebiserveris htop:<br />
<br />
htop<br />
<br />
Teises arvutis käivitage terminali kaudu:<br />
<br />
ab -c 1000 -n -1000 192.168.6.103/<br />
<br />
kus 192.168.6.103 - veebiserveri IP-aadress<br />
<br />
Pärast ülaltoodud turvameetmete kasutusele võtmist, ei ole ab tööriista kasutades enam nii lihtne veebiserverit maha võtta.<br />
<br />
Kui võrrelda ab kasutamist vaike installatsioonil ja pärast turvamist, siis võib märgata et mälu ja saaleala ei kirjutata kohe täis ning server suudab hoida koormust kasvamast üle määratud piiri.<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=44778WordPress turvamine2011-12-15T13:24:26Z<p>Metamm: </p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
{{REVISIONDAY}}<br />
<br />
--[[User:Vvinogra|Vvinogra]] 15:17, 15 December 2011 (EET)<br />
== Eeldused ==<br />
Kui inimene tahab kirjutada artiklid veebimaailmas, siis talle on vaja blog. On olemas palju blog-mootorid selle jaoks, üks nendest - Wordpress. Antud juhend on mõeldud nende jaoks. Selle juhendi abil te saate installida ja kaitsta wordpressi Ubuntu serveris.<br />
<br />
See juhend eeldab kasutajalt ubuntu linuxi käsurea, tulemüüri tundmist, ning mysql põhi käskude tundmist.<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes:<br />
<br />
sudo -i<br />
<br />
Tee kohalikele pakettidele update<br />
aptitude update<br />
<br />
Tee pakettidele upgrade:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
<br />
tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-available/wp failis:<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.6.103 );<br />
<br />
http://192.168.6.103 <br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.*.*.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu, enne </VirtualHost> tagi)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache hoiab veebilehekülgi vahemälus tänu millele ei pea veebiserverid samu lehekülgi korduvalt genereerima. See vähendab I/O süsttemi koormust.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Enne Varnishi instaleerimist tuleks pakkette uuendada:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
<br />
===Konfiguratsiooni muutmine===<br />
<br />
192.168.6.103 - veebiserveri IP-aadress <br />
<br />
Esimese asjana tuleks muuta default port. Sellesk tuleb muuta faili '''/etc/default/varnish''':<br />
<br />
nano /etc/default/varnish<br />
<br />
Esimese asjana muuda ära START=NO -> START=YES. Seda on vaja varnishi käivitamiseks.<br />
<br />
START=YES<br />
<br />
Otsi ülesse "DAEMON_OPTS=..." ning muuda see osa samasuguseks:<br />
<br />
DAEMON_OPTS="-a :80 \<br />
-T localhost:6082 \<br />
-f /etc/varnish/itkool.vcl \<br />
-S /etc/varnish/secret \<br />
-s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G"<br />
<br />
Varnishi konfiguratsioon kirjutatakse VCL keeles. <br />
<br />
Konfiguratsioonide fail asub vaikimisi siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendile viitamine:<br />
<br />
'''Backend''' - on server, kuhu varnish saadab päringuid, juhul kui tal ei ole vastavaid andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja nimetage ümber(Antud näites itkool.vcl):<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' <br />
<br />
nano /etc/varnish/itkool.vcl<br />
<br />
ja mudda sisu selliseks(.host=<Teie veebiserveri ip aadress>):<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
## 192.168.6.103 - IP-address of the server<br />
backend apache {<br />
.host = "192.168.6.103";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf'''<br />
<br />
nano /etc/apache2/ports.conf<br />
<br />
otsi ülesse:<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.103:80<br />
</pre><br />
'''192.168.6.103''' - veebiserveri IP aadress.<br />
<br />
Muuda need read sellisteks:<br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.103:8000<br />
</pre><br />
<br />
Ava fail '''/etc/apache2/sites-available/wp'''<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
otsi ülesse:<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Muuda need read sellisteks:<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame Apache lisa mooduli veendumaks, et kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on tihedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul hoolitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrollige IP portide olemasolu: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete midagi sellist, siis on kõik korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Nüüd teeme Varnishile restardi, et kuulata teema porti 80<br />
<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Nüüdseks on varnish Apache-is seadistatud. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit. Lisaks saab seda ka testida nende meetoditega, mis asuvad artikkli lõpus.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Advanced_wpsc.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Nüüd tuleks aktiveerida Advanced tabi alt '''cache''' ning '''mod_rewrite'''.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
Rida, mis tuleb sinna lisada peab olema enne viimast "require_once..."-rida, soovitavalt lisada see teiste define-ridade järgi: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu:<br />
<br />
nano /var/www/wordpress/.htaccess<br />
<br />
Sinna peaks lisama need read:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
'''Ühenduse probleemid''' <br />
<br />
Juhul kui ilmneb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''Laboris tuleb kasutada enda arvuti IP'd!'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks. Näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
Allolev rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
On alati tervislik lubada localhost õue: <br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab neid spämmi reegleid, et tulevikus blokeerida spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaari ja pingi.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas autentimist. Blogi administraator peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Teha linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad kasutajatel probleemid, eriti neil, kes ei näe korralikult märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja terminalist:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wordpress/wp-content/plugins/ </pre><br />
<br />
2) Käsuga wget laeme alla plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Enne lahti pakkimist on vaja installida unzipi<br />
<br />
sudo apt-get install zip<br />
<br />
sudo apt-get install unzip<br />
<br />
4) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja käsurealt:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess fail. Antud teksti-faili kasutab wordpress oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Ava .htaccess ja kirjuta sinna järgmised reegleid:<br />
<br />
nano .htaccess<br />
<br />
Esiteks, kaitseme meie .htaccess faili, et keegi ei saaks seda vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saaks logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleks ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel üks '''.htaccess''' fail ja sinna kirjutada järgmised reegleid:<br />
<br />
cd /var/www/wordpress/wp-admin/<br />
<br />
touch .htaccess<br />
<br />
nano .htaccess<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Testimine=<br />
<br />
Monitoorimiseks on vaja installida [[htop]] programm või midagi analoogset, mis on seotud protsesside ja koormuse jälgimisega <br />
<br />
apt-get install htop<br />
<br />
Antud turvamoodulite testimiseks sobib näiteks [[ApacheBench]].See oleks vaja installida teises arvutis, mis asub samas võrgus.<br />
<br />
apt-get install apache2-utils <br />
<br />
Käivitage terminali kaudu oma veebiserveris htop:<br />
<br />
htop<br />
<br />
Teises arvutis käivitage terminali kaudu:<br />
<br />
ab -c 1000 -n -1000 192.168.6.103/<br />
<br />
kus 192.168.6.103 - veebiserveri IP-aadress<br />
<br />
Pärast ülaltoodud turvameetmete kasutusele võtmist, ei ole ab tööriista kasutades enam nii lihtne veebiserverit maha võtta.<br />
<br />
Kui võrrelda ab kasutamist vaike installatsioonil ja pärast turvamist, siis võib märgata et mälu ja saaleala ei kirjutata kohe täis ning server suudab hoida koormust kasvamast üle määratud piiri.<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=44777WordPress turvamine2011-12-15T13:19:28Z<p>Metamm: </p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 12.04'''<br />
<br />
--[[User:Vvinogra|Vvinogra]] 15:17, 15 December 2011 (EET)<br />
== Eeldused ==<br />
Kui inimene tahab kirjutada artiklid veebimaailmas, siis talle on vaja blog. On olemas palju blog-mootorid selle jaoks, üks nendest - Wordpress. Antud juhend on mõeldud nende jaoks. Selle juhendi abil te saate installida ja kaitsta wordpressi Ubuntu serveris.<br />
<br />
See juhend eeldab kasutajalt ubuntu linuxi käsurea, tulemüüri tundmist, ning mysql põhi käskude tundmist.<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes:<br />
<br />
sudo -i<br />
<br />
Tee kohalikele pakettidele update<br />
aptitude update<br />
<br />
Tee pakettidele upgrade:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
<br />
tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-available/wp failis:<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.6.103 );<br />
<br />
http://192.168.6.103 <br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.*.*.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu, enne </VirtualHost> tagi)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache hoiab veebilehekülgi vahemälus tänu millele ei pea veebiserverid samu lehekülgi korduvalt genereerima. See vähendab I/O süsttemi koormust.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Enne Varnishi instaleerimist tuleks pakkette uuendada:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
<br />
===Konfiguratsiooni muutmine===<br />
<br />
192.168.6.103 - veebiserveri IP-aadress <br />
<br />
Esimese asjana tuleks muuta default port. Sellesk tuleb muuta faili '''/etc/default/varnish''':<br />
<br />
nano /etc/default/varnish<br />
<br />
Esimese asjana muuda ära START=NO -> START=YES. Seda on vaja varnishi käivitamiseks.<br />
<br />
START=YES<br />
<br />
Otsi ülesse "DAEMON_OPTS=..." ning muuda see osa samasuguseks:<br />
<br />
DAEMON_OPTS="-a :80 \<br />
-T localhost:6082 \<br />
-f /etc/varnish/itkool.vcl \<br />
-S /etc/varnish/secret \<br />
-s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G"<br />
<br />
Varnishi konfiguratsioon kirjutatakse VCL keeles. <br />
<br />
Konfiguratsioonide fail asub vaikimisi siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendile viitamine:<br />
<br />
'''Backend''' - on server, kuhu varnish saadab päringuid, juhul kui tal ei ole vastavaid andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja nimetage ümber(Antud näites itkool.vcl):<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' <br />
<br />
nano /etc/varnish/itkool.vcl<br />
<br />
ja mudda sisu selliseks(.host=<Teie veebiserveri ip aadress>):<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
## 192.168.6.103 - IP-address of the server<br />
backend apache {<br />
.host = "192.168.6.103";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf'''<br />
<br />
nano /etc/apache2/ports.conf<br />
<br />
otsi ülesse:<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.103:80<br />
</pre><br />
'''192.168.6.103''' - veebiserveri IP aadress.<br />
<br />
Muuda need read sellisteks:<br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.103:8000<br />
</pre><br />
<br />
Ava fail '''/etc/apache2/sites-available/wp'''<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
otsi ülesse:<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Muuda need read sellisteks:<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame Apache lisa mooduli veendumaks, et kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on tihedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul hoolitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrollige IP portide olemasolu: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete midagi sellist, siis on kõik korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Nüüd teeme Varnishile restardi, et kuulata teema porti 80<br />
<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Nüüdseks on varnish Apache-is seadistatud. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit. Lisaks saab seda ka testida nende meetoditega, mis asuvad artikkli lõpus.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Advanced_wpsc.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Nüüd tuleks aktiveerida Advanced tabi alt '''cache''' ning '''mod_rewrite'''.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
Rida, mis tuleb sinna lisada peab olema enne viimast "require_once..."-rida, soovitavalt lisada see teiste define-ridade järgi: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu:<br />
<br />
nano /var/www/wordpress/.htaccess<br />
<br />
Sinna peaks lisama need read:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
'''Ühenduse probleemid''' <br />
<br />
Juhul kui ilmneb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''Laboris tuleb kasutada enda arvuti IP'd!'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks. Näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
Allolev rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
On alati tervislik lubada localhost õue: <br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab neid spämmi reegleid, et tulevikus blokeerida spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaari ja pingi.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas autentimist. Blogi administraator peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Teha linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad kasutajatel probleemid, eriti neil, kes ei näe korralikult märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja terminalist:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wordpress/wp-content/plugins/ </pre><br />
<br />
2) Käsuga wget laeme alla plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Enne lahti pakkimist on vaja installida unzipi<br />
<br />
sudo apt-get install zip<br />
<br />
sudo apt-get install unzip<br />
<br />
4) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja käsurealt:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess fail. Antud teksti-faili kasutab wordpress oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Ava .htaccess ja kirjuta sinna järgmised reegleid:<br />
<br />
nano .htaccess<br />
<br />
Esiteks, kaitseme meie .htaccess faili, et keegi ei saaks seda vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saaks logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleks ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel üks '''.htaccess''' fail ja sinna kirjutada järgmised reegleid:<br />
<br />
cd /var/www/wordpress/wp-admin/<br />
<br />
touch .htaccess<br />
<br />
nano .htaccess<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Testimine=<br />
<br />
Monitoorimiseks on vaja installida [[htop]] programm või midagi analoogset, mis on seotud protsesside ja koormuse jälgimisega <br />
<br />
apt-get install htop<br />
<br />
Antud turvamoodulite testimiseks sobib näiteks [[ApacheBench]].See oleks vaja installida teises arvutis, mis asub samas võrgus.<br />
<br />
apt-get install apache2-utils <br />
<br />
Käivitage terminali kaudu oma veebiserveris htop:<br />
<br />
htop<br />
<br />
Teises arvutis käivitage terminali kaudu:<br />
<br />
ab -c 1000 -n -1000 192.168.6.103/<br />
<br />
kus 192.168.6.103 - veebiserveri IP-aadress<br />
<br />
Pärast ülaltoodud turvameetmete kasutusele võtmist, ei ole ab tööriista kasutades enam nii lihtne veebiserverit maha võtta.<br />
<br />
Kui võrrelda ab kasutamist vaike installatsioonil ja pärast turvamist, siis võib märgata et mälu ja saaleala ei kirjutata kohe täis ning server suudab hoida koormust kasvamast üle määratud piiri.<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=44760WordPress turvamine2011-12-15T11:55:31Z<p>Metamm: /* Testimine */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
Viimati muudetud [[User:Rsiitan|Rsiitan]] 14:44, 14 December 2011 (EET)<br />
== Eeldused ==<br />
Antud juhend eeldab kasutajalt ubuntu linuxi käsurea ning mysql põhi käskude tundmist.<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-available/wp failis:<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.6.103 );<br />
<br />
http://192.168.6.103 <br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.*.*.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu, enne </VirtualHost> tagi)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – see on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache salvestab mälus veebilehekülgi nii, et veebiserverid ei pea koguma samu lehekülgi uuesti. Seda on vaja selleks, et vähendada koormust I/O süsteemile.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Kui te soovite installida Varnishit, siis on vaja teha uuendusi. Selle käsu abil uuendame opsüsteemi:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
===Konfiguratsiooni muutmine===<br />
<br />
192.168.6.103 - veebiserveri IP-aadress <br />
<br />
Esimene, mis me teeme on default pordi muutmine. Tuleb muuta faili '''/etc/default/varnish''':<br />
<br />
nano /etc/default/varnish<br />
<br />
Esimese asjana muuda ära START=NO START=YES. See on vaja varnishi käivitamiseks.<br />
<br />
START=YES<br />
<br />
Otsi ülesse "DAEMON_OPTS=..." ning muuda see osa samasuguseks:<br />
<br />
DAEMON_OPTS="-a :80 \<br />
-T localhost:6082 \<br />
-f /etc/varnish/itkool.vcl \<br />
-S /etc/varnish/secret \<br />
-s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G"<br />
<br />
Konfiguratsioon Varnishi jaoks kirjutatakse VCL keeles. <br />
<br />
Fail konfiguratsioonidega vaikimisi asub siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendi viitamine:<br />
<br />
'''Backend''' - see on server, kuhu varnish saadab päringut, kui tal ei ole vastavad andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja andke teine nimetus<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' ja sisesta <br />
nano /etc/varnish/itkool.vcl<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
## 192.168.6.103 - IP-address of the server<br />
backend apache {<br />
.host = "192.168.6.103";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf''' ja leia<br />
nano /etc/apache2/ports.conf<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.103:80<br />
</pre><br />
'''192.168.6.103''' - veebiserveri IP aadress.<br />
<br />
Muuda <br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.103:8000<br />
</pre><br />
Ava fail '''/etc/apache2/sites-available/wp''' ja leia<br />
<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Muuda<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame lisa Apache mooduli veendumaks, kas kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on lähedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul holitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrolli kas on olemas IP portid: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete, siis kõik on korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Kui ei näita niimodi, siis on viga. Praegu teeme Varnishile restardi, et kuulata teema pordis 80<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Varnish on sätitud Apache-is. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Advanced_wpsc.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Nüüd tuleks aktiveerida Advanced tabi alt '''cache''' ning '''mod_rewrite'''.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
Rida, mis tuleb sinna lisada peab olema enne viimast "require_once..."-rida, soovitavalt lisada see teiste define-ridade järgi: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu:<br />
<br />
nano /var/www/wordpress/.htaccess<br />
<br />
Sinna peaks lisama need read:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
'''Ühenduse probleemid''' <br />
<br />
Juhul kui ilmneb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''Laboris tuleb kasutada enda arvuti IP'd!'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks. Näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
Allolev rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
On alati tervislik lubada localhost õue: <br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab need spämmi reegleid, et blokeerida tuleviku spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaare ja pinge.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas audentimist. Blogi administratoor peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad probleemid kasutajatele, eriti nendele, kes ei suuda korralikult näha märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wordpress/wp-content/plugins/ </pre><br />
<br />
2) Käsuga wget allalaadime plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Enne lahti pakkimist on vaja installida unzipi<br />
<br />
sudo apt-get install zip<br />
<br />
sudo apt-get install unzip<br />
<br />
4) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess fail. Antud teksti-fail wordpress kasutab oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Kirjuta järgmised reegleid:<br />
<br />
nano .htaccess<br />
<br />
Esiteks, kaitseme meie .htaccess faili, et keegi ei saaks seda vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saaks logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleb ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel uue '''.htaccess''' faili ja kirjutada järgmised reegleid:<br />
<br />
cd /var/www/wordpress/wp-admin/<br />
<br />
touch .htaccess<br />
<br />
nano .htaccess<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Testimine=<br />
<br />
Monitoorimiseks on vaja installida [[htop]] programm või midagi analoogset, mis on seotud protsesside ja koormuse jälgimisega <br />
<br />
apt-get install htop<br />
<br />
Antud turvamoodulite testimiseks sobib näiteks [[ApacheBench]].See oleks vaja installida teises arvutis, mis asub samas võrgus.<br />
<br />
apt-get install apache2-utils <br />
<br />
Käivitage terminali kaudu oma veebiserveris htop:<br />
<br />
htop<br />
<br />
Teises arvutis käivitage terminali kaudu:<br />
<br />
ab -c 1000 -n -1000 192.168.6.103/<br />
<br />
kus 192.168.6.103 - veebiserveri IP-aadress<br />
<br />
Pärast ülaltoodud turvameetmete kasutusele võtmist, ei ole ab tööriista kasutades enam nii lihtne veebiserverit maha võtta.<br />
<br />
Kui võrrelda ab kasutamist vaike installatsioonil ja pärast turvamist, siis võib märgata et mälu ja saaleala ei kirjutata kohe täis ning server suudab hoida koormust kasvamast üle määratud piiri.<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=44759WordPress turvamine2011-12-15T11:52:03Z<p>Metamm: /* Testimine */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
Viimati muudetud [[User:Rsiitan|Rsiitan]] 14:44, 14 December 2011 (EET)<br />
== Eeldused ==<br />
Antud juhend eeldab kasutajalt ubuntu linuxi käsurea ning mysql põhi käskude tundmist.<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-available/wp failis:<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.6.103 );<br />
<br />
http://192.168.6.103 <br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.*.*.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu, enne </VirtualHost> tagi)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – see on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache salvestab mälus veebilehekülgi nii, et veebiserverid ei pea koguma samu lehekülgi uuesti. Seda on vaja selleks, et vähendada koormust I/O süsteemile.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Kui te soovite installida Varnishit, siis on vaja teha uuendusi. Selle käsu abil uuendame opsüsteemi:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
===Konfiguratsiooni muutmine===<br />
<br />
192.168.6.103 - veebiserveri IP-aadress <br />
<br />
Esimene, mis me teeme on default pordi muutmine. Tuleb muuta faili '''/etc/default/varnish''':<br />
<br />
nano /etc/default/varnish<br />
<br />
Esimese asjana muuda ära START=NO START=YES. See on vaja varnishi käivitamiseks.<br />
<br />
START=YES<br />
<br />
Otsi ülesse "DAEMON_OPTS=..." ning muuda see osa samasuguseks:<br />
<br />
DAEMON_OPTS="-a :80 \<br />
-T localhost:6082 \<br />
-f /etc/varnish/itkool.vcl \<br />
-S /etc/varnish/secret \<br />
-s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G"<br />
<br />
Konfiguratsioon Varnishi jaoks kirjutatakse VCL keeles. <br />
<br />
Fail konfiguratsioonidega vaikimisi asub siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendi viitamine:<br />
<br />
'''Backend''' - see on server, kuhu varnish saadab päringut, kui tal ei ole vastavad andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja andke teine nimetus<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' ja sisesta <br />
nano /etc/varnish/itkool.vcl<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
## 192.168.6.103 - IP-address of the server<br />
backend apache {<br />
.host = "192.168.6.103";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf''' ja leia<br />
nano /etc/apache2/ports.conf<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.103:80<br />
</pre><br />
'''192.168.6.103''' - veebiserveri IP aadress.<br />
<br />
Muuda <br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.103:8000<br />
</pre><br />
Ava fail '''/etc/apache2/sites-available/wp''' ja leia<br />
<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Muuda<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame lisa Apache mooduli veendumaks, kas kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on lähedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul holitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrolli kas on olemas IP portid: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete, siis kõik on korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Kui ei näita niimodi, siis on viga. Praegu teeme Varnishile restardi, et kuulata teema pordis 80<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Varnish on sätitud Apache-is. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Advanced_wpsc.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Nüüd tuleks aktiveerida Advanced tabi alt '''cache''' ning '''mod_rewrite'''.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
Rida, mis tuleb sinna lisada peab olema enne viimast "require_once..."-rida, soovitavalt lisada see teiste define-ridade järgi: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu:<br />
<br />
nano /var/www/wordpress/.htaccess<br />
<br />
Sinna peaks lisama need read:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
'''Ühenduse probleemid''' <br />
<br />
Juhul kui ilmneb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''Laboris tuleb kasutada enda arvuti IP'd!'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks. Näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
Allolev rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
On alati tervislik lubada localhost õue: <br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab need spämmi reegleid, et blokeerida tuleviku spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaare ja pinge.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas audentimist. Blogi administratoor peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad probleemid kasutajatele, eriti nendele, kes ei suuda korralikult näha märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wordpress/wp-content/plugins/ </pre><br />
<br />
2) Käsuga wget allalaadime plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Enne lahti pakkimist on vaja installida unzipi<br />
<br />
sudo apt-get install zip<br />
<br />
sudo apt-get install unzip<br />
<br />
4) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess fail. Antud teksti-fail wordpress kasutab oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Kirjuta järgmised reegleid:<br />
<br />
nano .htaccess<br />
<br />
Esiteks, kaitseme meie .htaccess faili, et keegi ei saaks seda vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saaks logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleb ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel uue '''.htaccess''' faili ja kirjutada järgmised reegleid:<br />
<br />
cd /var/www/wordpress/wp-admin/<br />
<br />
touch .htaccess<br />
<br />
nano .htaccess<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Testimine=<br />
<br />
Monitoorimiseks on vaja installida [[htop]] programm või midagi analoogset, mis on seotud protsesside ja koormuse jälgimisega <br />
<br />
apt-get install htop<br />
<br />
Kaitsmise testimiseks on vaja kasutada programmi [[ApacheBench]]. Teises arvutis installige ApacheBench<br />
<br />
apt-get install apache2-utils <br />
<br />
Käivitage terminali kaudu oma veebiserveris htop:<br />
<br />
htop<br />
<br />
Teises arvutis käivitage terminali kaudu:<br />
<br />
ab -c 1000 -n -1000 192.168.6.103/<br />
<br />
kus 192.168.6.103 - veebiserveri IP-aadress<br />
<br />
Pärast ülaltoodud turvameetmete kasutusele võtmist, ei ole ab tööriista kasutades enam nii lihtne veebiserverit maha võtta.<br />
<br />
Kui võrrelda ab kasutamist vaike installatsioonil ja pärast turvamist, siis võib märgata et mälu ja saaleala ei kirjutata kohe täis ning server suudab hoida koormust kasvamast üle määratud piiri.<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=44758WordPress turvamine2011-12-15T11:49:01Z<p>Metamm: /* Testimine */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
Viimati muudetud [[User:Rsiitan|Rsiitan]] 14:44, 14 December 2011 (EET)<br />
== Eeldused ==<br />
Antud juhend eeldab kasutajalt ubuntu linuxi käsurea ning mysql põhi käskude tundmist.<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-available/wp failis:<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.6.103 );<br />
<br />
http://192.168.6.103 <br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.*.*.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu, enne </VirtualHost> tagi)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – see on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache salvestab mälus veebilehekülgi nii, et veebiserverid ei pea koguma samu lehekülgi uuesti. Seda on vaja selleks, et vähendada koormust I/O süsteemile.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Kui te soovite installida Varnishit, siis on vaja teha uuendusi. Selle käsu abil uuendame opsüsteemi:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
===Konfiguratsiooni muutmine===<br />
<br />
192.168.6.103 - veebiserveri IP-aadress <br />
<br />
Esimene, mis me teeme on default pordi muutmine. Tuleb muuta faili '''/etc/default/varnish''':<br />
<br />
nano /etc/default/varnish<br />
<br />
Esimese asjana muuda ära START=NO START=YES. See on vaja varnishi käivitamiseks.<br />
<br />
START=YES<br />
<br />
Otsi ülesse "DAEMON_OPTS=..." ning muuda see osa samasuguseks:<br />
<br />
DAEMON_OPTS="-a :80 \<br />
-T localhost:6082 \<br />
-f /etc/varnish/itkool.vcl \<br />
-S /etc/varnish/secret \<br />
-s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G"<br />
<br />
Konfiguratsioon Varnishi jaoks kirjutatakse VCL keeles. <br />
<br />
Fail konfiguratsioonidega vaikimisi asub siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendi viitamine:<br />
<br />
'''Backend''' - see on server, kuhu varnish saadab päringut, kui tal ei ole vastavad andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja andke teine nimetus<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' ja sisesta <br />
nano /etc/varnish/itkool.vcl<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
## 192.168.6.103 - IP-address of the server<br />
backend apache {<br />
.host = "192.168.6.103";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf''' ja leia<br />
nano /etc/apache2/ports.conf<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.103:80<br />
</pre><br />
'''192.168.6.103''' - veebiserveri IP aadress.<br />
<br />
Muuda <br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.103:8000<br />
</pre><br />
Ava fail '''/etc/apache2/sites-available/wp''' ja leia<br />
<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Muuda<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame lisa Apache mooduli veendumaks, kas kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on lähedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul holitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrolli kas on olemas IP portid: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete, siis kõik on korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Kui ei näita niimodi, siis on viga. Praegu teeme Varnishile restardi, et kuulata teema pordis 80<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Varnish on sätitud Apache-is. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Advanced_wpsc.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Nüüd tuleks aktiveerida Advanced tabi alt '''cache''' ning '''mod_rewrite'''.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
Rida, mis tuleb sinna lisada peab olema enne viimast "require_once..."-rida, soovitavalt lisada see teiste define-ridade järgi: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu:<br />
<br />
nano /var/www/wordpress/.htaccess<br />
<br />
Sinna peaks lisama need read:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
'''Ühenduse probleemid''' <br />
<br />
Juhul kui ilmneb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''Laboris tuleb kasutada enda arvuti IP'd!'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks. Näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
Allolev rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
On alati tervislik lubada localhost õue: <br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab need spämmi reegleid, et blokeerida tuleviku spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaare ja pinge.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas audentimist. Blogi administratoor peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad probleemid kasutajatele, eriti nendele, kes ei suuda korralikult näha märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wordpress/wp-content/plugins/ </pre><br />
<br />
2) Käsuga wget allalaadime plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Enne lahti pakkimist on vaja installida unzipi<br />
<br />
sudo apt-get install zip<br />
<br />
sudo apt-get install unzip<br />
<br />
4) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess fail. Antud teksti-fail wordpress kasutab oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Kirjuta järgmised reegleid:<br />
<br />
nano .htaccess<br />
<br />
Esiteks, kaitseme meie .htaccess faili, et keegi ei saaks seda vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saaks logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleb ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel uue '''.htaccess''' faili ja kirjutada järgmised reegleid:<br />
<br />
cd /var/www/wordpress/wp-admin/<br />
<br />
touch .htaccess<br />
<br />
nano .htaccess<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Testimine=<br />
<br />
On vaja installida [[htop]] programmi või midagi muud, mis on seotud protsesside jälgimisega <br />
<br />
apt-get install htop<br />
<br />
Kaitsmise testimiseks on vaja kasutada programmi [[ApacheBench]]. Teises arvutis installige ApacheBench<br />
<br />
apt-get install apache2-utils <br />
<br />
Käivitage terminali kaudu oma veebiserveris htop:<br />
htop<br />
<br />
Teises arvutis käivitage terminali kaudu:<br />
<br />
ab -c 1000 -n -1000 192.168.6.103/<br />
<br />
kus 192.168.6.103 - veebiserveri IP-aadress<br />
<br />
Pärast ülaltoodud turvameetmete kasutusele võtmist, ei ole ab tööriista kasutades enam nii lihtne veebiserverit maha võtta.<br />
<br />
Kui võrrelda ab kasutamist vaike installatsioonil ja pärast turvamist, siis võib märgata et mälu ja saaleala ei kirjutata kohe täis ning server suudab hoida koormust kasvamast üle määratud piiri.<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=44757WordPress turvamine2011-12-15T11:48:48Z<p>Metamm: /* Testimine */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
Viimati muudetud [[User:Rsiitan|Rsiitan]] 14:44, 14 December 2011 (EET)<br />
== Eeldused ==<br />
Antud juhend eeldab kasutajalt ubuntu linuxi käsurea ning mysql põhi käskude tundmist.<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY 'student';<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-available/wp failis:<br />
<br />
nano /etc/apache2/sites-available/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.6.103 );<br />
<br />
http://192.168.6.103 <br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.*.*.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu, enne </VirtualHost> tagi)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – see on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache salvestab mälus veebilehekülgi nii, et veebiserverid ei pea koguma samu lehekülgi uuesti. Seda on vaja selleks, et vähendada koormust I/O süsteemile.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Kui te soovite installida Varnishit, siis on vaja teha uuendusi. Selle käsu abil uuendame opsüsteemi:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
===Konfiguratsiooni muutmine===<br />
<br />
192.168.6.103 - veebiserveri IP-aadress <br />
<br />
Esimene, mis me teeme on default pordi muutmine. Tuleb muuta faili '''/etc/default/varnish''':<br />
<br />
nano /etc/default/varnish<br />
<br />
Esimese asjana muuda ära START=NO START=YES. See on vaja varnishi käivitamiseks.<br />
<br />
START=YES<br />
<br />
Otsi ülesse "DAEMON_OPTS=..." ning muuda see osa samasuguseks:<br />
<br />
DAEMON_OPTS="-a :80 \<br />
-T localhost:6082 \<br />
-f /etc/varnish/itkool.vcl \<br />
-S /etc/varnish/secret \<br />
-s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G"<br />
<br />
Konfiguratsioon Varnishi jaoks kirjutatakse VCL keeles. <br />
<br />
Fail konfiguratsioonidega vaikimisi asub siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendi viitamine:<br />
<br />
'''Backend''' - see on server, kuhu varnish saadab päringut, kui tal ei ole vastavad andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja andke teine nimetus<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' ja sisesta <br />
nano /etc/varnish/itkool.vcl<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
## 192.168.6.103 - IP-address of the server<br />
backend apache {<br />
.host = "192.168.6.103";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf''' ja leia<br />
nano /etc/apache2/ports.conf<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.103:80<br />
</pre><br />
'''192.168.6.103''' - veebiserveri IP aadress.<br />
<br />
Muuda <br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.103:8000<br />
</pre><br />
Ava fail '''/etc/apache2/sites-available/wp''' ja leia<br />
<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Muuda<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame lisa Apache mooduli veendumaks, kas kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on lähedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul holitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrolli kas on olemas IP portid: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete, siis kõik on korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Kui ei näita niimodi, siis on viga. Praegu teeme Varnishile restardi, et kuulata teema pordis 80<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Varnish on sätitud Apache-is. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Advanced_wpsc.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Nüüd tuleks aktiveerida Advanced tabi alt '''cache''' ning '''mod_rewrite'''.<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
Rida, mis tuleb sinna lisada peab olema enne viimast "require_once..."-rida, soovitavalt lisada see teiste define-ridade järgi: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu:<br />
<br />
nano /var/www/wordpress/.htaccess<br />
<br />
Sinna peaks lisama need read:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
'''Ühenduse probleemid''' <br />
<br />
Juhul kui ilmneb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''Laboris tuleb kasutada enda arvuti IP'd!'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks. Näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
Allolev rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
On alati tervislik lubada localhost õue: <br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab need spämmi reegleid, et blokeerida tuleviku spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaare ja pinge.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas audentimist. Blogi administratoor peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad probleemid kasutajatele, eriti nendele, kes ei suuda korralikult näha märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wordpress/wp-content/plugins/ </pre><br />
<br />
2) Käsuga wget allalaadime plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Enne lahti pakkimist on vaja installida unzipi<br />
<br />
sudo apt-get install zip<br />
<br />
sudo apt-get install unzip<br />
<br />
4) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess fail. Antud teksti-fail wordpress kasutab oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Kirjuta järgmised reegleid:<br />
<br />
nano .htaccess<br />
<br />
Esiteks, kaitseme meie .htaccess faili, et keegi ei saaks seda vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saaks logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleb ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel uue '''.htaccess''' faili ja kirjutada järgmised reegleid:<br />
<br />
cd /var/www/wordpress/wp-admin/<br />
<br />
touch .htaccess<br />
<br />
nano .htaccess<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Testimine=<br />
<br />
On vaja installida [[htop]] programmi või midagi muud, mis on seotud protsesside jälgimisega <br />
<br />
apt-get install htop<br />
<br />
Kaitsmise testimiseks on vaja kasutada programmi [[ApacheBench]]. Teises arvutis installige ApacheBench<br />
<br />
apt-get install apache2-utils <br />
<br />
Käivitage terminali kaudu oma veebiserveris htop:<br />
htop<br />
<br />
Teises arvutis käivitage terminali kaudu:<br />
<br />
ab -c 1000 -n -1000 192.168.6.103/<br />
<br />
kus 192.168.6.103 - veebiserveri IP-aadress<br />
<br />
Juhul, kui serveri CPU läheb 100%... , kui väiksem 50% - siis kõik töötab!<br />
<br />
Pärast ülaltoodud turvameetmete kasutusele võtmist, ei ole ab tööriista kasutades enam nii lihtne veebiserverit maha võtta.<br />
<br />
Kui võrrelda ab kasutamist vaike installatsioonil ja pärast turvamist, siis võib märgata et mälu ja saaleala ei kirjutata kohe täis ning server suudab hoida koormust kasvamast üle määratud piiri.<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=Category:Andmesalvestustehnoloogiad&diff=44219Category:Andmesalvestustehnoloogiad2011-12-08T13:04:25Z<p>Metamm: /* Tudengite poolt tehtud wiki artiklid */</p>
<hr />
<div>=Andmesalvestustehnoloogiad ainekaart=<br />
<br />
==Eesmärk==<br />
<br />
Õppeaine eesmärgiks on tutvustada erinevate andmete salvestamise ja haldamise tehnoloogiate põhialuseid. Kursuse lõpus on õppija võimeline valima lahendusele sobiva andmete salvestamise tehnoloogia.<br />
<br />
==Lühitutvustus==<br />
<br />
Aine nimetus: Andmesalvestustehnoloogiad (Information Storage Technologies)<br />
<br />
Aine kood: I395<br />
<br />
Aine tüüp: Valikaine<br />
<br />
Õppekavadele: IT süsteemide administreerimine<br />
<br />
Õpetamise aeg: 2011/2012. õ.a. sügissemestri II pool (27.10.2011 - 18.12.2011)<br />
<br />
Aine maht: 3 EAP <br />
<br />
Hindamisviis: Arvestuslik<br />
<br />
Eeldusained: Puuduvad<br />
<br />
Õppejõud: Katrin Loodus (kloodus@itcollege.ee)<br />
<br />
Kommentaar: Valikainet tutvustava loengu link: http://echo360.e-uni.ee/ess/echo/presentation/1a007f96-20a6-4025-9605-1b6184ac2d23<br />
<br />
<br />
Õppeaine annab ülevaate erinevatest tänapäevastest suure mahuliste andmete salvestamise ja haldamise tehnoloogiatest. Tutvustakse RAID, SAN (Storage Area Networks), NAS (Network-Attached Storage), IP SAN, assotsiatiivse andmete salvestamise (content-addressed storage), ja andmete salvestamise virtualiseerimise tehnoloogiaid. Lisaks tutvustataks andmete varundamise, taastamise ja replikeerimise (nii kohalik kui ka kaug) tehnoloogiaid. Antakse ülevaade andmete haldamise ja turvamise põhimõtetest. <br />
Suurem osa praktikume viiakse läbi praktikute poolt ja nendes lahendatakse reaalseid ettevõtetes ettetulnud juhtumeid ja probleeme (case-study). <br />
Kursuse läbinu on võimeline projekteerima, rakendama ja haldama andmete salvestuse süsteeme.<br />
Kursuse läbinul on võimalik teha EMC „Information Storage and Management exam (E20-001)“ eksam ja saada „Information Storage Associate (EMCISA)“ sertifikaat.<br />
<br />
==Õppematerjalid==<br />
<br />
Kasulik raamat: <br />
<br />
"Information Storage and Management: Storing, Managing, and Protecting Digital Information” by EMC Education Services<br />
<br />
Kasulikke linke (Jooksvalt täienemisel):<br />
<br />
* http://www.emc.com/products/interoperability/topology-resource-center.htm<br />
<br />
* http://kuutorvaja.eenet.ee/wiki/Salvestusseadmete_kasutamine<br />
<br />
* http://www.hardwaresecrets.com/article/Anatomy-of-a-Hard-Disk-Drive/177 << Kõvaketta lahkamine<br />
<br />
* http://www.linux-mag.com/id/7924/ << Introduction to RAID (By Jeffrey B. Layton Tuesday, January 4th, 2011)<br />
<br />
==Õppeaine ajakava== <br />
<br />
'''Päevaõppe kava'''<br />
<br />
<table width="100%"><br />
<tr><br />
<th width="10%" ALIGN="LEFT">Õppeaine</th><br />
<th width="5%" ALIGN="LEFT"></th><br />
<th width="85%" ALIGN="LEFT"> Teema</th><br />
</tr><br />
<tr><br />
<td VALIGN="TOP" ALIGN="CENTER">1.1</td><br />
<td></td><br />
<td VALIGN="TOP" ALIGN="LEFT">virtuaalmasinale Ubuntu installatsioon [http://enos.itcollege.ee/~kloodus/storage/Meeldetuletus_ketaste_kasutamine_ja_saaleala.txt (partitsioonid)]</td><br />
</tr><br />
<tr><br />
<td VALIGN="TOP" ALIGN="CENTER">1.2</td><br />
<td></td><br />
<td VALIGN="TOP" ALIGN="LEFT">[http://enos.itcollege.ee/~kloodus/storage/Loeng01_sissejuhatus.pdf Sissejuhatus] + Informatsioon/Andmed, andmete elutsükkel, salvestusvahendid</td><br />
</tr><br />
<tr><br />
<td VALIGN="TOP" ALIGN="CENTER">2.1</td><br />
<td></td><br />
<td VALIGN="TOP" ALIGN="LEFT">[http://enos.itcollege.ee/~kloodus/storage/Loeng02_DATA.pdf Jätk. Salvestusvahendid] - Kõvakettad; IOPS-ide arvutamine</td><br />
</tr><br />
<tr><br />
<td VALIGN="TOP" ALIGN="CENTER">2.2</td><br />
<td></td><br />
<td VALIGN="TOP" ALIGN="LEFT">[http://enos.itcollege.ee/~kloodus/storage/Loeng03_RAID.pdf Redundant Array of Independent Disks] ehk RAID-ide sisemaailm</td><br />
</tr><br />
<tr><br />
<td VALIGN="TOP" ALIGN="CENTER">3.1</td><br />
<td></td><br />
<td VALIGN="TOP" ALIGN="LEFT">Tarkvaraline RAID-i tegemine mdadm ning gnome-disk-utility vahenditega</td><br />
</tr><br />
<tr><br />
<td VALIGN="TOP" ALIGN="CENTER">3.2</td><br />
<td></td><br />
<td VALIGN="TOP" ALIGN="LEFT">[http://enos.itcollege.ee/~kloodus/storage/Loeng04_1_INTSYS.pdf Intelligentsed salvestussüsteemid] ja [http://enos.itcollege.ee/~kloodus/storage/Loeng04_2_DAS_SCSI_SAN.pdf DAS, SAN]</td><br />
</tr><br />
<tr><br />
<td VALIGN="TOP" ALIGN="CENTER">4.1</td><br />
<td></td><br />
<td VALIGN="TOP" ALIGN="LEFT">[http://enos.itcollege.ee/~kloodus/storage/praktikumi4_ylesanne.pdf Rühmatöö] salvestuskiiruse teemal</td><br />
</tr><br />
<tr><br />
<td VALIGN="TOP" ALIGN="CENTER">4.2</td><br />
<td></td><br />
<td VALIGN="TOP" ALIGN="LEFT">Jätkuvad teemad [http://enos.itcollege.ee/~kloodus/storage/Loeng05_NAS_IPSAN_CAS.pdf NAS, IP-SAN ja CAS]</td><br />
</tr><br />
<tr><br />
<td VALIGN="TOP" ALIGN="CENTER">5.1</td><br />
<td></td><br />
<td VALIGN="TOP" ALIGN="LEFT">Külaline salvestustehnoloogiatel rääkima ja eelmise korra ülesande lõpetamine </td><br />
</tr><br />
<tr><br />
<td VALIGN="TOP" ALIGN="CENTER">5.2</td><br />
<td></td><br />
<td VALIGN="TOP" ALIGN="LEFT">[http://enos.itcollege.ee/~kloodus/storage/Loeng06_VIRT.pdf Virtualiseerimine] (Vahekokkuvõte)</td><br />
</tr><br />
<tr><br />
<td VALIGN="TOP" ALIGN="CENTER">6.1</td><br />
<td></td><br />
<td VALIGN="TOP" ALIGN="LEFT">Tarkvaraliste salvestustehnoloogiate uurimine - [http://enos.itcollege.ee/~kloodus/storage/Praktikumi5_ylesanne.pdf viienda tunni ülesanne]</td><br />
</tr><br />
<tr><br />
<td VALIGN="TOP" ALIGN="CENTER">6.2</td><br />
<td></td><br />
<td VALIGN="TOP" ALIGN="LEFT">Seminar</td><br />
<tr><br />
<td VALIGN="TOP" ALIGN="CENTER">7.1</td><br />
<td></td><br />
<td VALIGN="TOP" ALIGN="LEFT">Tarkvaraliste salvestustehnoloogiate juurutamine [http://enos.itcollege.ee/~kloodus/storage/praktikum5_6_j2tk.pdf (jätk eelmise nädala ülesandele)] </td><br />
</tr><br />
<tr><br />
<td VALIGN="TOP" ALIGN="CENTER">7.2</td><br />
<td></td><br />
<td VALIGN="TOP" ALIGN="LEFT">Varundamine ja kodutööde kaitsmine</td><br />
</tr><br />
<tr><br />
<td VALIGN="TOP" ALIGN="CENTER">8.1</td><br />
<td></td><br />
<td VALIGN="TOP" ALIGN="LEFT">Varundamisülesande lahendamine</td><br />
</tr><br />
<tr><br />
<td VALIGN="TOP" ALIGN="CENTER">8.2</td><br />
<td></td><br />
<td VALIGN="TOP" ALIGN="LEFT">Arvestus</td><br />
</tr><br />
</table><br />
<br />
'''Kaugõppe kava'''<br />
<br />
Aine ei ole 2011/2012 aasta sügisel lugemisel.<br />
<br />
----<br />
<br />
==Õpiväljundid==<br />
<br />
Üliõpilane teab erinevaid andmete salvestamise tehnoloogiaid. Oskab projekteerida,<br />
rakendada ja hallata vajalikule ning spetsiifilisele andmetesalvestust vajavale rakendusele<br />
sobivat tehnoloogiat. Teab ja oskab rakendada andmete varundamise, taastamise<br />
ja replikeerimise tehnoloogiaid. Oskab rakendada andmete haldamise ja turvamise<br />
kaasaegseid tehnikaid.<br />
<br />
==Kodutööde info== <br />
<br />
Kodutööde materjalid: http://enos.itcollege.ee/~kloodus/storage/<br />
<br />
'''Päevaõpe:'''<br />
<br />
==Hinde kujunemine== <br />
<br />
30% viki artikkel<br />
<br />
50% juhtumuuringute kaitsmine<br />
<br />
20% valikvastustega küsimused läbitud teema kohta<br />
<br />
* Präänik!<br />
<br />
==Tähtajad sügis 2011== <br />
<br />
'''Päevaõppele:'''<br />
<br />
<ol><br />
<li>Viki artikli teema ütlemine: '''17.11'''; Kirjatöö lõplik esitamise tähtaeg: '''11.12''';</li><br />
<li>Juhtumuuring: Grupid registreerida:''' 24.11'''.; Grupi valmis kirjatöö esitada e-mailile '''4.12'''; Ettekanded teeme: '''8.12''';</li><br />
<li>Valikvastustega test: '''15.12''';</li><br />
</ol><br />
<br />
'''Kaugõppele:'''<br />
<br />
<ol><br />
<li>Viki artikli teema ütlemine: ; Kirjatöö lõplik esitamise tähtaeg: ;</li><br />
<li>Juhtumuuring: (grupi) kirjatöö: ; ettekanne teha hiljemalt: ;</li><br />
<li>Valikvastustega test: ;</li><br />
</ol><br />
<br />
==Kiitus/Laitus/Ettepanekud/KKK==<br />
<br />
Aita kaasõpilastel ja endal elu paremaks teha ning kirjuta [[siia]] ettepanekuid, tähelepankuid, küsimusi ja arvamusi, mida Sinu arvates saab aines paremini, mõnusamini või täpsemini teha. Aitäh!<br />
<br />
==Tudengite poolt tehtud wiki artiklid==<br />
<br />
Vabad teemad:<br />
<br />
Vabateema<br />
<br />
[[Artikli kondikava ]]<br />
<br />
[[Salvestusvahendid - lint, flash kettad, HDD]]<br />
<br />
[[SSD kettad]]<br />
<br />
[[Partitsioneerimine - Linux ja Windows]]<br />
<br />
[[Tarkvaraline RAID kontroller]]<br />
<br />
[[Riistvaraline RAID kontroller]]<br />
<br />
[[Logical Volume Manager ehk LVM]]<br />
<br />
[[RAID]]<br />
<br />
[[mdadm ja selle kasutamine]]<br />
<br />
[[gnome-disk-utility ja selle kasutamine]]<br />
<br />
[[Linux MAN page-i kasutamine]]<br />
<br />
[[DAS]]<br />
<br />
[[SAN]]<br />
<br />
[[NAS]]<br />
<br />
[[CAS]]<br />
<br />
[[IP SAN]]<br />
<br />
[[PCI, IDE/ATA, SCSI]] -- vaba teema<br />
<br />
Valmis artiklid:</div>Metammhttps://wiki.itcollege.ee/index.php?title=PCI,_IDE/ATA,_SCSI&diff=44218PCI, IDE/ATA, SCSI2011-12-08T13:04:07Z<p>Metamm: </p>
<hr />
<div>Vaba teema</div>Metammhttps://wiki.itcollege.ee/index.php?title=PCI,_IDE/ATA,_SCSI&diff=44217PCI, IDE/ATA, SCSI2011-12-08T13:03:43Z<p>Metamm: Blanked the page</p>
<hr />
<div></div>Metammhttps://wiki.itcollege.ee/index.php?title=Talk:Nimeserveri_labor_V.2&diff=43484Talk:Nimeserveri labor V.22011-12-01T09:07:56Z<p>Metamm: </p>
<hr />
<div>Hindajad:<br />
<br />
Ivar<br />
<br />
Kristjan<br />
<br />
Meelis<br />
<br />
<br />
{|border="2"<br />
!KRITEERIUM<br />
!KAAL<br />
!HINNANG<br />
!KOMMENTAAR<br />
|-<br />
|Versioonide ajalugu<br />
|1<br />
|0<br />
|Versioonide ajalugu puudub.<br />
|-<br />
|Autorid<br />
|1<br />
|0.5<br />
|Nimed olemas, aga kes mida tegi - puudu.<br />
|-<br />
|Viimase muutmise aeg<br />
|1<br />
|0<br />
|Viimase muutmise aeg puudu.<br />
|-<br />
|Skoop<br />
|1<br />
|0.5<br />
|Skoop on sissejuhatusega koos.<br />
|-<br />
|Sissejuhatus<br />
|1<br />
|0.5<br />
|Sissejuhtaus on skoobiga koos.<br />
|-<br />
|Nõuded<br />
|1<br />
|0.5<br />
|Samuti sissejuhtausega koos.<br />
|-<br />
|Installeerimise osa<br />
|3<br />
|3<br />
|OK<br />
|-<br />
|Tehniliselt korrektne <br />
|3<br />
|??<br />
|??<br />
|-<br />
|Korraldused on tekstist eristatavad<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Käskude väljundid on tekstist eristatavad<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Muutuvad osad on eristatavad<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Tekst on loetav (struktuur on olemas) <br />
|1<br />
|??<br />
|??<br />
|-<br />
|Tekst on arusaadav (laused on korrektsed)<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Teenuse varundamine<br />
|1<br />
|0<br />
|Puudub.<br />
|-<br />
|Teenuse taastamine<br />
|2<br />
|0<br />
|Puudub<br />
|-<br />
|'''Kokku'''<br />
|'''20'''<br />
|'''8'''<br />
|<br />
|}</div>Metammhttps://wiki.itcollege.ee/index.php?title=Talk:Nimeserveri_labor_V.2&diff=43483Talk:Nimeserveri labor V.22011-12-01T09:07:36Z<p>Metamm: </p>
<hr />
<div>Hindajad:<br />
<br />
Ivar<br />
<br />
Kristjan<br />
<br />
Meelis<br />
<br />
<br />
{|border="2"<br />
!KRITEERIUM<br />
!KAAL<br />
!HINNANG<br />
!KOMMENTAAR<br />
|-<br />
|Versioonide ajalugu<br />
|1<br />
|0<br />
|Versioonide ajalugu puudub.<br />
|-<br />
|Autorid<br />
|1<br />
|0.5<br />
|Nimed olemas, aga kes mida tegi - puudu.<br />
|-<br />
|Viimase muutmise aeg<br />
|1<br />
|0<br />
|Viimase muutmise aeg puudu.<br />
|-<br />
|Skoop<br />
|1<br />
|0.5<br />
|Skoop on sissejuhatusega koos.<br />
|-<br />
|Sissejuhatus<br />
|1<br />
|0.5<br />
|Sissejuhtaus on skoobiga koos.<br />
|-<br />
|Nõuded<br />
|1<br />
|0.5<br />
|Samuti sissejuhtausega koos.<br />
|-<br />
|Installeerimise osa<br />
|3<br />
|3<br />
|OK<br />
|-<br />
|Tehniliselt korrektne <br />
|3<br />
|??<br />
|??<br />
|-<br />
|Korraldused on tekstist eristatavad<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Käskude väljundid on tekstist eristatavad<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Muutuvad osad on eristatavad<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Tekst on loetav (struktuur on olemas) <br />
|1<br />
|??<br />
|??<br />
|-<br />
|Tekst on arusaadav (laused on korrektsed)<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Teenuse varundamine<br />
|1<br />
|0<br />
|Puudub.<br />
|-<br />
|Teenuse taastamine<br />
|2<br />
|0<br />
|Puudub<br />
|-<br />
|'''Kokku'''<br />
|'''20'''<br />
|'''??'''<br />
|<br />
|}</div>Metammhttps://wiki.itcollege.ee/index.php?title=Talk:Nimeserveri_labor_V.2&diff=43482Talk:Nimeserveri labor V.22011-12-01T09:05:20Z<p>Metamm: </p>
<hr />
<div>Hindajad:<br />
<br />
Ivar<br />
<br />
Kristjan<br />
<br />
Meelis<br />
<br />
<br />
{|border="2"<br />
!KRITEERIUM<br />
!KAAL<br />
!HINNANG<br />
!KOMMENTAAR<br />
|-<br />
|Versioonide ajalugu<br />
|1<br />
|0<br />
|Versioonide ajalugu puudub.<br />
|-<br />
|Autorid<br />
|1<br />
|0.5<br />
|Nimed olemas, aga kes mida tegi - puudu.<br />
|-<br />
|Viimase muutmise aeg<br />
|1<br />
|0<br />
|Viimase muutmise aeg puudu.<br />
|-<br />
|Skoop<br />
|1<br />
|0.5<br />
|Skoop on sissejuhatusega koos.<br />
|-<br />
|Sissejuhatus<br />
|1<br />
|0.5<br />
|Sissejuhtaus on skoobiga koos.<br />
|-<br />
|Nõuded<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Installeerimise osa<br />
|3<br />
|??<br />
|??<br />
|-<br />
|Tehniliselt korrektne <br />
|3<br />
|??<br />
|??<br />
|-<br />
|Korraldused on tekstist eristatavad<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Käskude väljundid on tekstist eristatavad<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Muutuvad osad on eristatavad<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Tekst on loetav (struktuur on olemas) <br />
|1<br />
|??<br />
|??<br />
|-<br />
|Tekst on arusaadav (laused on korrektsed)<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Teenuse varundamine<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Teenuse taastamine<br />
|2<br />
|??<br />
|??<br />
|-<br />
|'''Kokku'''<br />
|'''20'''<br />
|'''??'''<br />
|<br />
|}</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=43481WordPress turvamine2011-12-01T09:03:24Z<p>Metamm: </p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
Viimati muudetud [[User:Metamm|Metamm]] 11:03, 1 December 2011 (EET)<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – see on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache salvestab mälus veebilehekülgi nii, et veebiserverid ei pea koguma samu lehekülgi uuesti. Seda on vaja selleks, et vähendada koormust I/O süsteemile.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Kui te soovite installida Varnishit, siis on vaja teha uuendusi. Selle käsu abil uuendame opsüsteemi:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
===Konfiguratsiooni muutmine===<br />
Esimene, mis me teeme on default pordi muutmine. Tuleb muuta faili '''/etc/default/varnish''':<br />
nano /etc/default/varnish<br />
<br />
Konfiguratsioon Varnishi jaoks kirjutatakse VCL keeles. <br />
<br />
Fail konfiguratsioonidega vaikimisi asub siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendi viitamine:<br />
<br />
'''Backend''' - see on server, kuhu varnish saadab päringut, kui tal ei ole vastavad andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja andke teine nimetus<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' ja sisesta <br />
nano /etc/varnish/itkool.vcl<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
backend apache {<br />
.host = "127.0.0.1";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf''' ja leia<br />
nano /etc/apache2/ports.conf<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.101:80<br />
</pre><br />
'''192.168.6.101''' - veebiserveri IP aadress.<br />
<br />
Muuda <br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.101:8000<br />
</pre><br />
Ava fail '''/etc/apache2/sites-available/wp''' ja leia<br />
<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
<br />
</pre><br />
<br />
Muuda<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Paigaldame lisa Apache mooduli veendumaks, kas kasutaja IP aadress lahendatakse korrektselt. Kuna Varnish on lähedalt seotud apache2-ga, näete külastaja Ip-na 127.0.0.1<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul holitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrolli kas on olemas IP portid: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete, siis kõik on korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Kui ei näita niimodi, siis on viga. Praegu teeme Varnishile restardi, et kuulata teema pordis 80<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Varnish on sätitud Apache-is. Külasta saiti ja vaata, kas toimib, kuid üldjuhul ei saa Te aru, et midagi oleks muutunud. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit.<br />
<br />
http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sinna lisada rida: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu mis peaks välja nägema selline:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
<br />
<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
<br />
<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
<br />
<br />
'''Ühenduse probleemid'''<br />
<br />
Juhul kui esineb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''protsessis...'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
'''1. Endaoma IP'd'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks, näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
See rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab need spämmi reegleid, et blokeerida tuleviku spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaare ja pinge.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas audentimist. Blogi administratoor peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad probleemid kasutajatele, eriti nendele, kes ei suuda korralikult näha märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wp-content/plugins/</pre><br />
<br />
2) Käsuga wget allalaadime plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess faile. Antud teksti-fail wordpress kasutab oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Kirjuta järgmised reegleid:<br />
<br />
Esiteks, kaitseme meie .htaccess faile, et keegi ei saaks selle vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saab logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleb ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel uue '''.htaccess''' faili ja kirjutada järgmised reegleid:<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' - Vladimir Kolesnik A32<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=Talk:Nimeserveri_labor_V.2&diff=43480Talk:Nimeserveri labor V.22011-12-01T08:58:19Z<p>Metamm: </p>
<hr />
<div>Hindajad:<br />
<br />
Ivar<br />
<br />
Kristjan<br />
<br />
Meelis<br />
<br />
<br />
{|border="2"<br />
!KRITEERIUM<br />
!KAAL<br />
!HINNANG<br />
!KOMMENTAAR<br />
|-<br />
|Versioonide ajalugu<br />
|1<br />
|0<br />
|Versioonide ajalugu puudub.<br />
|-<br />
|Autorid<br />
|1<br />
|0.5<br />
|Nimed olemas, aga kes mida tegi - puudu.<br />
|-<br />
|Viimase muutmise aeg<br />
|1<br />
|0<br />
|Viimase muutmise aeg puudu.<br />
|-<br />
|Skoop<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Sissejuhatus<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Nõuded<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Installeerimise osa<br />
|3<br />
|??<br />
|??<br />
|-<br />
|Tehniliselt korrektne <br />
|3<br />
|??<br />
|??<br />
|-<br />
|Korraldused on tekstist eristatavad<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Käskude väljundid on tekstist eristatavad<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Muutuvad osad on eristatavad<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Tekst on loetav (struktuur on olemas) <br />
|1<br />
|??<br />
|??<br />
|-<br />
|Tekst on arusaadav (laused on korrektsed)<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Teenuse varundamine<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Teenuse taastamine<br />
|2<br />
|??<br />
|??<br />
|-<br />
|'''Kokku'''<br />
|'''20'''<br />
|'''??'''<br />
|<br />
|}</div>Metammhttps://wiki.itcollege.ee/index.php?title=Talk:Nimeserveri_labor_V.2&diff=43479Talk:Nimeserveri labor V.22011-12-01T08:57:52Z<p>Metamm: </p>
<hr />
<div>Hindajad:<br />
<br />
Ivar<br />
<br />
Kristjan<br />
<br />
Meelis<br />
<br />
<br />
{|border="2"<br />
!KRITEERIUM<br />
!KAAL<br />
!HINNANG<br />
!KOMMENTAAR<br />
|-<br />
|Versioonide ajalugu<br />
|1<br />
|0<br />
|Versioonide ajalugu puudub.<br />
|-<br />
|Autorid<br />
|1<br />
|0.5<br />
|Nimed olemas, aga kes mida tegi - puudu.<br />
|-<br />
|Viimase muutmise aeg<br />
|1<br />
|0<br />
|Viimase muutmise aeg puudu.<br />
|-<br />
|Skoop<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Sissejuhatus<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Nõuded<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Installeerimise osa<br />
|3<br />
|??<br />
|??<br />
|-<br />
|Tehniliselt korrektne <br />
|3<br />
|??<br />
|??<br />
|-<br />
|Korraldused on tekstist eristatavad<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Käskude väljundid on tekstist eristatavad<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Muutuvad osad on eristatavad<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Tekst on loetav (struktuur on olemas) <br />
|1<br />
|??<br />
|??<br />
|-<br />
|Tekst on arusaadav (laused on korrektsed)<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Teenuse varundamine<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Teenuse taastamine<br />
|2<br />
|??<br />
|??<br />
|-<br />
|'''Kokku'''<br />
|'''10'''<br />
|'''9.25'''<br />
|<br />
|}</div>Metammhttps://wiki.itcollege.ee/index.php?title=Talk:Nimeserveri_labor_V.2&diff=43477Talk:Nimeserveri labor V.22011-12-01T08:53:39Z<p>Metamm: </p>
<hr />
<div>Hindajad:<br />
<br />
Ivar<br />
<br />
Kristjan<br />
<br />
Meelis<br />
<br />
<br />
{|border="2"<br />
!KRITEERIUM<br />
!KAAL<br />
!HINNANG<br />
!KOMMENTAAR<br />
|-<br />
|Versioonide ajalugu<br />
|1<br />
|0<br />
|Versioonide ajalugu puudub.<br />
|-<br />
|Autorid<br />
|1<br />
|0.5<br />
|Nimed olemas, aga kes mida tegi - puudu.<br />
|-<br />
|Viimase muutmise aeg<br />
|1<br />
|0<br />
|Viimase muutmise aeg puudu.<br />
|-<br />
|Skoop<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Sissejuhatus<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Nõuded<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Installeerimise osa<br />
|3<br />
|??<br />
|??<br />
|-<br />
|Tehniliselt korrektne <br />
|3<br />
|??<br />
|??<br />
|-<br />
|Käsud on muus tekstist eristatavad.<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Tekst on loetav (struktuur on olemas) <br />
|1<br />
|??<br />
|??<br />
|-<br />
|Tekst on arusaadav (laused on korrektsed)<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Teenuse varundamine<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Teenuse taastamine<br />
|2<br />
|??<br />
|??<br />
|-<br />
|'''Kokku'''<br />
|'''10'''<br />
|'''9.25'''<br />
|<br />
|}</div>Metammhttps://wiki.itcollege.ee/index.php?title=Talk:Nimeserveri_labor_V.2&diff=43476Talk:Nimeserveri labor V.22011-12-01T08:51:50Z<p>Metamm: </p>
<hr />
<div>Hindajad:<br />
<br />
Ivar<br />
<br />
Kristjan<br />
<br />
Meelis<br />
<br />
<br />
{|border="2"<br />
!KRITEERIUM<br />
!KAAL<br />
!HINNANG<br />
!KOMMENTAAR<br />
|-<br />
|Versioonide ajalugu<br />
|1<br />
|0<br />
|Versioonide ajalugu puudub.<br />
|-<br />
|Autorid<br />
|1<br />
|0.5<br />
|Nimed olemas, aga kes mida tegi - puudu.<br />
|-<br />
|Viimase muutmise aeg<br />
|1<br />
|0<br />
|Viimase muutmise aeg puudu.<br />
|-<br />
|Skoop<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Sissejuhatus<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Nõuded<br />
|1<br />
|??<br />
|??<br />
|-<br />
|Installeerimise osa<br />
|3<br />
|??<br />
|??<br />
|-<br />
|Tehniliselt korrektne <br />
|3<br />
|??<br />
|??<br />
|-<br />
|Käsud on muus tekstist eristatavad.<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Tekst on loetav (struktuur on olemas) <br />
|1<br />
|??<br />
|??<br />
|-<br />
|Vormistus <br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Õigekiri <br />
|2.5<br />
|2.25<br />
|Esineb lohakuse vigu - punktid on osa lausete lõpust puudu.<br />
|-<br />
|'''Kokku'''<br />
|'''10'''<br />
|'''9.25'''<br />
|<br />
|}</div>Metammhttps://wiki.itcollege.ee/index.php?title=Talk:Nimeserveri_labor_V.2&diff=43475Talk:Nimeserveri labor V.22011-12-01T08:49:31Z<p>Metamm: </p>
<hr />
<div>Hindajad:<br />
<br />
Ivar<br />
<br />
Kristjan<br />
<br />
Meelis<br />
<br />
<br />
{|border="2"<br />
!KRITEERIUM<br />
!KAAL<br />
!HINNANG<br />
!KOMMENTAAR<br />
|-<br />
|Versioonide ajalugu<br />
|1<br />
|0<br />
|Versioonide ajalugu puudub.<br />
|-<br />
|Autorid<br />
|1<br />
|0.5<br />
|Nimed olemas, aga kes mida tegi - puudu.<br />
|-<br />
|Viimase muutmise aeg<br />
|1<br />
|0<br />
|Viimase muutmise aeg puudu.<br />
|-<br />
|Skoop<br />
|1<br />
|1<br />
|Skoop olemas.<br />
|-<br />
|Sissejuhatus<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Skoop <br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Tehniliselt korrektne <br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Nõuded<br />
|1<br />
|1<br />
|OK <br />
|-<br />
|Käsud on muus tekstist eristatavad.<br />
|0.5<br />
|0.5<br />
|OK<br />
|-<br />
|Tekst on loetav (struktuur on olemas) <br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Vormistus <br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Õigekiri <br />
|2.5<br />
|2.25<br />
|Esineb lohakuse vigu - punktid on osa lausete lõpust puudu.<br />
|-<br />
|'''Kokku'''<br />
|'''10'''<br />
|'''9.25'''<br />
|<br />
|}</div>Metammhttps://wiki.itcollege.ee/index.php?title=Talk:Nimeserveri_labor_V.2&diff=43474Talk:Nimeserveri labor V.22011-12-01T08:48:50Z<p>Metamm: </p>
<hr />
<div>Hindajad:<br />
<br />
Ivar<br />
<br />
Kristjan<br />
<br />
Meelis<br />
<br />
<br />
{|border="2"<br />
!KRITEERIUM<br />
!KAAL<br />
!HINNANG<br />
!KOMMENTAAR<br />
|-<br />
|Versioonide ajalugu<br />
|1<br />
|0<br />
|Versioonide ajalugu puudub.<br />
|-<br />
|Autorid<br />
|1<br />
|0.5<br />
|Nimed olemas, aga kes mida tegi - puudu.<br />
|Viimase muutmise aeg<br />
|1<br />
|0<br />
|Viimase muutmise aeg puudu.<br />
|Skoop<br />
|1<br />
|1<br />
|Skoop olemas.<br />
|Sissejuhatus<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Skoop <br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Tehniliselt korrektne <br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Nõuded<br />
|1<br />
|1<br />
|OK <br />
|-<br />
|Käsud on muus tekstist eristatavad.<br />
|0.5<br />
|0.5<br />
|OK<br />
|-<br />
|Tekst on loetav (struktuur on olemas) <br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Vormistus <br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Õigekiri <br />
|2.5<br />
|2.25<br />
|Esineb lohakuse vigu - punktid on osa lausete lõpust puudu.<br />
|-<br />
|'''Kokku'''<br />
|'''10'''<br />
|'''9.25'''<br />
|<br />
|}</div>Metammhttps://wiki.itcollege.ee/index.php?title=Talk:Nimeserveri_labor_V.2&diff=43472Talk:Nimeserveri labor V.22011-12-01T08:46:46Z<p>Metamm: </p>
<hr />
<div>Hindajad:<br />
<br />
Ivar<br />
<br />
Kristjan<br />
<br />
Meelis<br />
<br />
<br />
{|border="2"<br />
!KRITEERIUM<br />
!KAAL<br />
!HINNANG<br />
!KOMMENTAAR<br />
|-<br />
|Versioonide ajalugu<br />
|1<br />
|0<br />
|Versioonide ajalugu puudub<br />
|-<br />
|Sissejuhatus<br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Skoop <br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Tehniliselt korrektne <br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Nõuded<br />
|1<br />
|1<br />
|OK <br />
|-<br />
|Käsud on muus tekstist eristatavad.<br />
|0.5<br />
|0.5<br />
|OK<br />
|-<br />
|Tekst on loetav (struktuur on olemas) <br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Vormistus <br />
|1<br />
|1<br />
|OK<br />
|-<br />
|Õigekiri <br />
|2.5<br />
|2.25<br />
|Esineb lohakuse vigu - punktid on osa lausete lõpust puudu.<br />
|-<br />
|'''Kokku'''<br />
|'''10'''<br />
|'''9.25'''<br />
|<br />
|}</div>Metammhttps://wiki.itcollege.ee/index.php?title=Talk:Nimeserveri_labor_V.2&diff=43468Talk:Nimeserveri labor V.22011-12-01T08:18:04Z<p>Metamm: </p>
<hr />
<div>Hindajad:<br />
<br />
Ivar<br />
<br />
Kristjan<br />
<br />
Meelis</div>Metammhttps://wiki.itcollege.ee/index.php?title=Talk:Nimeserveri_labor_V.2&diff=43467Talk:Nimeserveri labor V.22011-12-01T08:17:59Z<p>Metamm: </p>
<hr />
<div>Hindajad:<br />
Ivar<br />
<br />
Kristjan<br />
<br />
Meelis</div>Metammhttps://wiki.itcollege.ee/index.php?title=Talk:Nimeserveri_labor_V.2&diff=43466Talk:Nimeserveri labor V.22011-12-01T08:17:45Z<p>Metamm: Created page with 'Hindajad: Ivar Kristjan Meelis'</p>
<hr />
<div>Hindajad:<br />
Ivar<br />
Kristjan<br />
Meelis</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=43464WordPress turvamine2011-12-01T08:10:45Z<p>Metamm: /* Autorid */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
WordPressi paigaldamine<br />
<br />
Varnishi lisamine wordpressile<br />
<br />
SuperCache kasutamine<br />
<br />
DoS rünnaku tõrjumine mod_evasive mooduliga<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – see on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache salvestab mälus veebilehekülgi nii, et veebiserverid ei pea koguma samu lehekülgi uuesti. Seda on vaja selleks, et vähendada koormust I/O süsteemile.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Kui te soovite installida Varnishit, siis on vaja teha uuendusi. Selle käsu abil uuendame opsüsteemi:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
===Konfiguratsiooni muutmine===<br />
Esimene, mis me teeme, default pordi muutmine. Tuleb muuta faili '''/etc/default/varnish''':<br />
nano /etc/default/varnish<br />
<br />
Konfigureerimine Varnichi jaoks kirjutatakse VCL keeles. <br />
<br />
Fail konfiguratsioonidega vaikselt asub siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendi viitamine:<br />
<br />
'''Backend''' - see on server, kuhu varnish saadab päringut, kui tal ei ole vastavad andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja andke teine nimetus<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' ja sisesta <br />
nano /etc/varnish/itkool.vcl<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
backend apache {<br />
.host = "127.0.0.1";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf''' ja leia<br />
nano /etc/apache2/ports.conf<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.101:80<br />
</pre><br />
'''192.168.6.101''' - veebiserveri IP aadress.<br />
<br />
Muuda <br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.101:8000<br />
</pre><br />
Ava fail '''/etc/apache2/sites-available/wp''' ja leia<br />
<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
<br />
</pre><br />
<br />
Muuda<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Praegu paigaldame lisa Apache moodul selle jaoks, et veenduda kas kasutaja IP aadress lõpeb korrektselt. Praegu Varnish on põhimõtteliselt seotud apache2.<br />
Kuna Lakk on põhimõtteliselt rääkides apache2, sa võib näidata aadressil 127.0.0.1 nagu külastaja IP.<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul holitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrolli kas on olemas IP portid: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete, siis kõik on korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Kui ei näita niimodi, siis on viga. Praegu teeme Varnishile restardi, et kuulata teema pordis 80<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Praegu Varnish on sättinud Apache-is. Külasta saiti ja vaata, kas toimib. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit.<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sinna lisada rida: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu mis peaks välja nägema selline:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
<br />
<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
<br />
<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
<br />
<br />
'''Ühenduse probleemid'''<br />
<br />
Juhul kui esineb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''protsessis...'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 53 -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p udp -m udp --dport 53 -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 443 -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
'''1. Endaoma IP'd'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks, näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
See rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
Nimeserveri lubamiseks peame avama nii '''tcp''' kui ka '''udp''' pordid:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 53 -j ACCEPT<br />
iptables -A INPUT -s 192.168.6.200/32 -p udp -m udp --dport 53 -j ACCEPT<br />
</pre><br />
<br />
SSL'i jaoks:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 443 -j ACCEPT<br />
</pre><br />
<br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab need spämmi reegleid, et blokeerida tuleviku spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaare ja pinge.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas audentimist. Blogi administratoor peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad probleemid kasutajatele, eriti nendele, kes ei suuda korralikult näha märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wp-content/plugins/</pre><br />
<br />
2) Käsuga wget allalaadime plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess faile. Antud teksti-fail wordpress kasutab oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Kirjuta järgmised reegleid:<br />
<br />
Esiteks, kaitseme meie .htaccess faile, et keegi ei saaks selle vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saab logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleb ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel uue '''.htaccess''' faili ja kirjutada järgmised reegleid:<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - Risto Siitan A32<br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Allikas: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' -<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=43462WordPress turvamine2011-12-01T08:09:55Z<p>Metamm: /* Autorid */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
WordPressi paigaldamine<br />
<br />
Varnishi lisamine wordpressile<br />
<br />
SuperCache kasutamine<br />
<br />
DoS rünnaku tõrjumine mod_evasive mooduliga<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – see on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache salvestab mälus veebilehekülgi nii, et veebiserverid ei pea koguma samu lehekülgi uuesti. Seda on vaja selleks, et vähendada koormust I/O süsteemile.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Kui te soovite installida Varnishit, siis on vaja teha uuendusi. Selle käsu abil uuendame opsüsteemi:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
===Konfiguratsiooni muutmine===<br />
Esimene, mis me teeme, default pordi muutmine. Tuleb muuta faili '''/etc/default/varnish''':<br />
nano /etc/default/varnish<br />
<br />
Konfigureerimine Varnichi jaoks kirjutatakse VCL keeles. <br />
<br />
Fail konfiguratsioonidega vaikselt asub siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendi viitamine:<br />
<br />
'''Backend''' - see on server, kuhu varnish saadab päringut, kui tal ei ole vastavad andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja andke teine nimetus<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' ja sisesta <br />
nano /etc/varnish/itkool.vcl<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
backend apache {<br />
.host = "127.0.0.1";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf''' ja leia<br />
nano /etc/apache2/ports.conf<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.101:80<br />
</pre><br />
'''192.168.6.101''' - veebiserveri IP aadress.<br />
<br />
Muuda <br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.101:8000<br />
</pre><br />
Ava fail '''/etc/apache2/sites-available/wp''' ja leia<br />
<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
<br />
</pre><br />
<br />
Muuda<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Praegu paigaldame lisa Apache moodul selle jaoks, et veenduda kas kasutaja IP aadress lõpeb korrektselt. Praegu Varnish on põhimõtteliselt seotud apache2.<br />
Kuna Lakk on põhimõtteliselt rääkides apache2, sa võib näidata aadressil 127.0.0.1 nagu külastaja IP.<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul holitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrolli kas on olemas IP portid: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete, siis kõik on korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Kui ei näita niimodi, siis on viga. Praegu teeme Varnishile restardi, et kuulata teema pordis 80<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Praegu Varnish on sättinud Apache-is. Külasta saiti ja vaata, kas toimib. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit.<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sinna lisada rida: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu mis peaks välja nägema selline:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
<br />
<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
<br />
<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
<br />
<br />
'''Ühenduse probleemid'''<br />
<br />
Juhul kui esineb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''protsessis...'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 53 -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p udp -m udp --dport 53 -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 443 -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
'''1. Endaoma IP'd'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks, näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
See rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
Nimeserveri lubamiseks peame avama nii '''tcp''' kui ka '''udp''' pordid:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 53 -j ACCEPT<br />
iptables -A INPUT -s 192.168.6.200/32 -p udp -m udp --dport 53 -j ACCEPT<br />
</pre><br />
<br />
SSL'i jaoks:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 443 -j ACCEPT<br />
</pre><br />
<br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab need spämmi reegleid, et blokeerida tuleviku spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaare ja pinge.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas audentimist. Blogi administratoor peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad probleemid kasutajatele, eriti nendele, kes ei suuda korralikult näha märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wp-content/plugins/</pre><br />
<br />
2) Käsuga wget allalaadime plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess faile. Antud teksti-fail wordpress kasutab oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Kirjuta järgmised reegleid:<br />
<br />
Esiteks, kaitseme meie .htaccess faile, et keegi ei saaks selle vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saab logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleb ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel uue '''.htaccess''' faili ja kirjutada järgmised reegleid:<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - <br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31. Source: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' -<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=43461WordPress turvamine2011-12-01T08:09:32Z<p>Metamm: </p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
WordPressi paigaldamine<br />
<br />
Varnishi lisamine wordpressile<br />
<br />
SuperCache kasutamine<br />
<br />
DoS rünnaku tõrjumine mod_evasive mooduliga<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – see on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache salvestab mälus veebilehekülgi nii, et veebiserverid ei pea koguma samu lehekülgi uuesti. Seda on vaja selleks, et vähendada koormust I/O süsteemile.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Kui te soovite installida Varnishit, siis on vaja teha uuendusi. Selle käsu abil uuendame opsüsteemi:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
===Konfiguratsiooni muutmine===<br />
Esimene, mis me teeme, default pordi muutmine. Tuleb muuta faili '''/etc/default/varnish''':<br />
nano /etc/default/varnish<br />
<br />
Konfigureerimine Varnichi jaoks kirjutatakse VCL keeles. <br />
<br />
Fail konfiguratsioonidega vaikselt asub siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendi viitamine:<br />
<br />
'''Backend''' - see on server, kuhu varnish saadab päringut, kui tal ei ole vastavad andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja andke teine nimetus<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' ja sisesta <br />
nano /etc/varnish/itkool.vcl<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
backend apache {<br />
.host = "127.0.0.1";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf''' ja leia<br />
nano /etc/apache2/ports.conf<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.101:80<br />
</pre><br />
'''192.168.6.101''' - veebiserveri IP aadress.<br />
<br />
Muuda <br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.101:8000<br />
</pre><br />
Ava fail '''/etc/apache2/sites-available/wp''' ja leia<br />
<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
<br />
</pre><br />
<br />
Muuda<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Praegu paigaldame lisa Apache moodul selle jaoks, et veenduda kas kasutaja IP aadress lõpeb korrektselt. Praegu Varnish on põhimõtteliselt seotud apache2.<br />
Kuna Lakk on põhimõtteliselt rääkides apache2, sa võib näidata aadressil 127.0.0.1 nagu külastaja IP.<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul holitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrolli kas on olemas IP portid: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete, siis kõik on korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Kui ei näita niimodi, siis on viga. Praegu teeme Varnishile restardi, et kuulata teema pordis 80<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Praegu Varnish on sättinud Apache-is. Külasta saiti ja vaata, kas toimib. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit.<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sinna lisada rida: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu mis peaks välja nägema selline:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
<br />
<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
<br />
<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
<br />
<br />
'''Ühenduse probleemid'''<br />
<br />
Juhul kui esineb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''protsessis...'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 53 -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p udp -m udp --dport 53 -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 443 -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
'''1. Endaoma IP'd'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks, näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
See rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
Nimeserveri lubamiseks peame avama nii '''tcp''' kui ka '''udp''' pordid:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 53 -j ACCEPT<br />
iptables -A INPUT -s 192.168.6.200/32 -p udp -m udp --dport 53 -j ACCEPT<br />
</pre><br />
<br />
SSL'i jaoks:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 443 -j ACCEPT<br />
</pre><br />
<br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab need spämmi reegleid, et blokeerida tuleviku spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaare ja pinge.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas audentimist. Blogi administratoor peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad probleemid kasutajatele, eriti nendele, kes ei suuda korralikult näha märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wp-content/plugins/</pre><br />
<br />
2) Käsuga wget allalaadime plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess faile. Antud teksti-fail wordpress kasutab oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Kirjuta järgmised reegleid:<br />
<br />
Esiteks, kaitseme meie .htaccess faile, et keegi ei saaks selle vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saab logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleb ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel uue '''.htaccess''' faili ja kirjutada järgmised reegleid:<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - <br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31 Source: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - Kristjan Vask A31 Risto Siitan A32<br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' -<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=43459WordPress turvamine2011-12-01T08:09:09Z<p>Metamm: </p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
WordPressi paigaldamine<br />
<br />
Varnishi lisamine wordpressile<br />
<br />
SuperCache kasutamine<br />
<br />
DoS rünnaku tõrjumine mod_evasive mooduliga<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(logi sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
=== Autor ===<br />
Meelis Tamm, A31<br />
<br />
Source: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' – see on HTTP kiirendaja, seda on vaja selleks, et suurendada veebilehekülje kiirust. <br />
<br />
Varnish Cache salvestab mälus veebilehekülgi nii, et veebiserverid ei pea koguma samu lehekülgi uuesti. Seda on vaja selleks, et vähendada koormust I/O süsteemile.<br />
<br />
Varnish kontrollib cache'ist päringu olemasolu ning juhul kui selline leidub siis võetakse sealt päringu vastus ning saadetakse vastus kasutajale. Juhul kui cache'is ei ole konkreetset päringut saadetakse kasutaja päring ''backend''-i ning lisatakse cache'i koos vastusega.<br />
<br />
===Paigaldamine===<br />
Kui te soovite installida Varnishit, siis on vaja teha uuendusi. Selle käsu abil uuendame opsüsteemi:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
===Konfiguratsiooni muutmine===<br />
Esimene, mis me teeme, default pordi muutmine. Tuleb muuta faili '''/etc/default/varnish''':<br />
nano /etc/default/varnish<br />
<br />
Konfigureerimine Varnichi jaoks kirjutatakse VCL keeles. <br />
<br />
Fail konfiguratsioonidega vaikselt asub siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendi viitamine:<br />
<br />
'''Backend''' - see on server, kuhu varnish saadab päringut, kui tal ei ole vastavad andmeid cache-is.<br />
<br />
Kopeerige fail '''/etc/varnish/default.vcl''' ja andke teine nimetus<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail '''/etc/varnish/itkool.vcl''' ja sisesta <br />
nano /etc/varnish/itkool.vcl<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
backend apache {<br />
.host = "127.0.0.1";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail '''/etc/apache2/ports.conf''' ja leia<br />
nano /etc/apache2/ports.conf<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.101:80<br />
</pre><br />
'''192.168.6.101''' - veebiserveri IP aadress.<br />
<br />
Muuda <br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.101:8000<br />
</pre><br />
Ava fail '''/etc/apache2/sites-available/wp''' ja leia<br />
<br />
<pre><br />
<VirtualHost *:80><br />
ServerAdmin webmaster@localhost<br />
<br />
</pre><br />
<br />
Muuda<br />
<pre><br />
VirtualHost *:8000><br />
ServerAdmin webmaster@localhost<br />
</pre><br />
<br />
Praegu paigaldame lisa Apache moodul selle jaoks, et veenduda kas kasutaja IP aadress lõpeb korrektselt. Praegu Varnish on põhimõtteliselt seotud apache2.<br />
Kuna Lakk on põhimõtteliselt rääkides apache2, sa võib näidata aadressil 127.0.0.1 nagu külastaja IP.<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul holitseb selle eest, et localhosti IP vahetatakse ära IP-ga, mis on seadistatud X-Forwarded-For failis.<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
Kontrolli kas on olemas IP portid: <br />
netstat -lp | grep apache2<br />
<br />
Kui te näete, siis kõik on korras<br />
tcp 0 0 *:https *:* LISTEN 843/apache2 <br />
tcp 0 0 192.168.6.101:8000 *:* LISTEN 843/apache2 <br />
<br />
Kui ei näita niimodi, siis on viga. Praegu teeme Varnishile restardi, et kuulata teema pordis 80<br />
/etc/init.d/varnish restart <br />
<br />
Kontrolli <br />
netstat -lp | grep varnish<br />
tcp 0 0 *:www *:* LISTEN 781/varnishd <br />
tcp 0 0 localhost:6082 *:* LISTEN 779/varnishd <br />
tcp6 0 0 [::]:www [::]:* LISTEN 781/varnishd<br />
<br />
Praegu Varnish on sättinud Apache-is. Külasta saiti ja vaata, kas toimib. Kui sa tõmbad Apache maha, siis näed lehel Varnishi errorit.<br />
<br />
== Super Cache ==<br />
<br />
'''Sissejuhatus'''<br />
<br />
''Super Cache'' on Wordpressi väga kiire puhvri mootor, mis loob staatilisi html faile.<br />
<br />
See pistikprogramm genereerib staatilisi html faile dünaamilisest Wordpressi blogist. Pärast seda kui html fail on loodud, annab veebiserver seda faili kasutajatele, selle asemel,et loob iga kord uue lehe vastavalt Wordpressi php skritpidele. Suure koormuse puhul on ''Super Cache'' väga kasulik, kuna nagu ka hiljem on testi tulemustest näha siis serverilt vastuse saamiseks kuluv aeg on mitu korda väiksem.<br />
<br />
Staatilisi html-e saavad enamik kasutajaid:<br />
<br />
1.Kasutajad, kes ei ole sisse logitud.<br />
<br />
2.Kasutajad, kes ei ole ühtegi kommentaari blogisse jätnud.<br />
<br />
3.Kasutajad, kes ei ole vaadanud salasõnaga kaitstud postitusi.<br />
<br />
<br />
Suuremale osale kasutajatele antakse staatilisi html faile. Need kasutajad kellele ei edastata puhverdatud lehti siiski saavad kasu, kuna nemad näevad väheke teistsuguseid puverdatud faile, mis küll ei ole nii effektiivsed kuid siiski paremad kui täiesti puhverdamata failid.<br />
<br />
'''Paigaldamine'''<br />
<br />
[[File:Wordpress_Plugins.png|right|]]<br />
<br />
<br />
<br />
[[File:Wordpress_search.png|400px|thumb|right]]<br />
<br />
<br />
''Super Cache''-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Install_wordpress.png|400px|thumb|right|]]<br />
<br />
[[File:Activate_wordpress.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
[[File:Permset.png|400px|thumb|right|]]<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Pärast seda ilmub "Permlink Structure error", see on see tõttu,et ''Super Cache''-i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink''-i seadete alt ning sisestada sinna '''/index.php/?p=%post_id%'''<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
Nüüd ütleb wordpress,et "WP_CACHE constant set to false" selle muutmiseks tuleb käsurealt avada wp-config-php fail:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sinna lisada rida: <br />
<br />
define('WP_CACHE', true);<br />
<br />
Pärast seda salvestada wp-config.php ning brauseris tuleks refresh teha.<br />
<br />
Lisaks tuleb muuta .htaccess faili sisu mis peaks välja nägema selline:<br />
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule><br />
# END WordPress<br />
<br />
kuna wordpress tahab .htaccess faili ka ise muuta aegajalt siis on hea panna htaccessi õigused 777 peale käsuga:<br />
chmod 777 .htaccess<br />
<br />
Pärast konfimist tuleks '''kindlasti''' .htaccess õigused vähemaks võtta kuna konstantselt ei pea õigused 777 peal olema, need on tarvilikud vaid konfi ajaks.<br />
<br />
'''Jõudluse võrdlus SuperCache-iga ja ilma'''<br />
Supercache-iga<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
<br />
<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
<br />
Document Path: /<br />
Document Length: 9554 bytes<br />
<br />
Concurrency Level: 200<br />
Time taken for tests: 1.457 seconds<br />
Complete requests: 200<br />
Failed requests: 0<br />
Write errors: 0<br />
Total transferred: 1971800 bytes<br />
HTML transferred: 1910800 bytes<br />
Requests per second: 137.30 [#/sec] (mean)<br />
Time per request: 1456.617 [ms] (mean)<br />
Time per request: 7.283 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 1321.96 [Kbytes/sec] received<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 7 10 2.1 10 14<br />
Processing: 55 798 409.6 821 1441<br />
Waiting: 8 751 410.1 770 1437<br />
Total: 68 808 407.6 831 1447<br />
Percentage of the requests served within a certain time (ms)<br />
50% 831<br />
66% 1036<br />
75% 1159<br />
80% 1236<br />
90% 1366<br />
95% 1434<br />
98% 1445<br />
99% 1446<br />
100% 1447 (longest request)<br />
<br />
ilma:<br />
<br />
Benchmarking www.itkool.ee (be patient)<br />
Completed 100 requests<br />
Completed 200 requests<br />
Finished 200 requests<br />
<br />
<br />
Server Software: Apache/2.2.17<br />
Server Hostname: www.itkool.ee<br />
Server Port: 80<br />
<br />
Document Path: /<br />
Document Length: 9413 bytes<br />
<br />
Concurrency Level: 20<br />
Time taken for tests: 25.600 seconds<br />
Complete requests: 200<br />
Failed requests: 172<br />
(Connect: 0, Receive: 0, Length: 172, Exceptions: 0)<br />
Write errors: 0<br />
Total transferred: 1932771 bytes<br />
HTML transferred: 1882571 bytes<br />
Requests per second: 7.81 [#/sec] (mean)<br />
Time per request: 2560.029 [ms] (mean)<br />
Time per request: 128.001 [ms] (mean, across all concurrent requests)<br />
Transfer rate: 73.73 [Kbytes/sec] received<br />
<br />
Connection Times (ms)<br />
min mean[+/-sd] median max<br />
Connect: 0 1 1.4 0 5<br />
Processing: 803 2522 572.9 2485 4346<br />
Waiting: 648 2126 526.2 2053 4000<br />
Total: 807 2523 572.5 2485 4346<br />
<br />
Percentage of the requests served within a certain time (ms)<br />
50% 2485<br />
66% 2557<br />
75% 2690<br />
80% 2740<br />
90% 3120<br />
95% 3624<br />
98% 4261<br />
99% 4272<br />
100% 4346 (longest request)<br />
<br />
<br />
'''Ühenduse probleemid'''<br />
<br />
Juhul kui esineb probleem,et serverile on määratud uus ip-aadress ning ip-aadressile minnes näidatakse vanalt ip-aadressilt pärit cache'i sisu siis sellest probleemist mööda saamiseks tuleb käsurealt muuta wp-config.php faili:<br />
<br />
nano /var/www/wordpress/wp-config.php<br />
<br />
ning sealt seest:<br />
<br />
define('WP_CACHE', false); #See tuleb kindlasti tagasi muuta "true"-ks pärast ühenduse saamist.<br />
<br />
Nüüd peaks wordpress jälle näitama uut sisu. Juhul kui siiski on probleeme ning juhul kui '''andmebaas on tühi''' siis võib ka sql-is teha järgmist:<br />
<br />
'''NB Seda teha ainult siis kui andmebaas on tühi!!!'''<br />
<source lang="mysql"><br />
drop database student_wordpress;<br />
</source><br />
ning siis uuesti:<br />
<source lang="mysql"><br />
create database student_wordpress:<br />
</source><br />
Pärast andmebaasi loomist teha apache-ile restart:<br />
<br />
service apache2 restart <br />
<br />
Ja tuleb uuesti seadistada wordpressi lehekülg.<br />
<br />
== Iptables ==<br />
<br />
'''protsessis...'''<br />
<br />
Teie '''iptables.conf''' fail peab välja nägema nii nagu näidatud allpool:<br />
<br />
<pre><br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 53 -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p udp -m udp --dport 53 -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 443 -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
</pre><br />
<br />
'''Räägime täpsemalt milleks need reeglid vaja on.'''<br />
<br />
'''1. Endaoma IP'd'''<br />
<br />
Kui tahame varnish'it kasutada, tuleb lubada porti 8000:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT<br />
</pre><br />
<br />
Lubame weebiserveri:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT<br />
</pre><br />
<br />
SSH lubamiseks sellest IP-st:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT<br />
</pre><br />
<br />
Näidises on pandud connection limitiks 10, testimiseks seda piisab küll aga seda arvu võib muuta suuremaks, näiteks suurtes ettevõttetes kliendid kes istuvad NAT'i taga, ei saa liigi leheküljele, sest connection limit ühest IP-st on piiratud 10-ga. Ainult 10 klienti saab korraga vaatada veebilehti.<br />
See rida annab võimalust katkestada ühendusi mille arv on üle 10 pordis 80:<br />
<pre><br />
iptables -A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
</pre><br />
<br />
Praegu meil ei salvestatakse logi failid. Kui tahame näha täpsemalt millised paketid vistakse minema, peame lubama logimist:<br />
<pre><br />
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
</pre><br />
<br />
<pre><br />
iptables -A INPUT -s 192.168.6.101/32 -j ACCEPT<br />
</pre><br />
<br />
Väljaminevate ühenduste jaoks tagasi tulnud pakette lubamiseks:<br />
<pre><br />
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT<br />
</pre><br />
<br />
Nimeserveri lubamiseks peame avama nii '''tcp''' kui ka '''udp''' pordid:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 53 -j ACCEPT<br />
iptables -A INPUT -s 192.168.6.200/32 -p udp -m udp --dport 53 -j ACCEPT<br />
</pre><br />
<br />
SSL'i jaoks:<br />
<pre><br />
iptables -A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 443 -j ACCEPT<br />
</pre><br />
<br />
<pre><br />
iptables -A OUTPUT -o lo -j ACCEPT <br />
</pre><br />
<br />
= Teised turvameetodid = <br />
<br />
On olemas mitmeid erinevaid võimalusi, kuidas veel saab oma wordpressi veebilehe turvata.<br />
<br />
== Späm filter ==<br />
<br />
Akismet (Automattic Kismet) on spämmi filter. Antud teenus püüab filtreerida spämmi mis tuleb blogi kommentaaridest ja TrackPack pingidest. Filter kombineerib informatsiooni mis ta kogus kõikidest blogidest ja kasutab need spämmi reegleid, et blokeerida tuleviku spämmi. Akismet on loodud Automattic firma poolt, ettevõtte mis keskendub vaba-tarkvara arendamisele WordPressi platformi jaoks. Akismet tuli välja 25. oktroobril aastal 2005 ja seisuga Aprill 2011 juba püüdis üle 25 miljardi spämmi kommentaare ja pinge.<br />
<br />
Akisment on WordPressi sisseehitatud aga vaikimisi on ta välja lülitatud, kuna selle sisse lülitamine nõuab võtmegas audentimist. Blogi administratoor peab ise antud teenust aktiveerima. <br />
Selleks, et aktiveerida Akismeti, on vaja:<br />
<br />
1) Administraatoori paneelis on vaja valida '''Plugins - Installed''' <br />
<br />
2) Linnuke Akismeti juurde ja valida '''"Activate"'''<br />
<br />
3) Nüüd peab sisestama Akismeti API võtme. Võtme saab tasuta tellida Akismeti ametlikult veebilehelt.<br />
<br />
4) Vajuta '''"Update options"'''<br />
<br />
5) Akismeti spämmi filter on sisselülitatud.<br />
<br />
Nüüd on vaja mõned postituse reegleid konfigureerida. Selleks on vaja valida '''Settings - Discussion''' menüü alt ja välja lülitada: '''An administrator must always approve the comment'''.<br />
<br />
Nüüd ei pea administraator isiklikult iga kommentaari läbi vaatama ja kinnitama. Antud tööga hakkab tegelema Akismet.<br />
<br />
== Anti-bot lahendus ==<br />
<br />
On olemas mitmeid erinevaid võimalusi kuidas saab kindlaks teha, et kasutaja, kes postitab on inimene. Selle jaoks on igasuguseid captcha meetodeid, näiteks kasutaja peab sisestama juhuslikult kombineeritud teksti või lahendama mingeid lihtsaid matemaatilisi võrrandeid. Antud meetodid ei ole eriti "sõbralikud", sest vahel tekivad probleemid kasutajatele, eriti nendele, kes ei suuda korralikult näha märke.<br />
<br />
Palju sõbralikum ja lihtsam anti-bot meetod on lahendus, kus kasutaja peab märkima linnukese kommentaari alla. Selle jaoks wordpressil on plugin Growmap Anti Spambot Plugin. Plugini installeerimiseks on vaja:<br />
<br />
1) Mine oma wordpress plugin kataloogisse<br />
<br />
<pre>cd /var/www/wp-content/plugins/</pre><br />
<br />
2) Käsuga wget allalaadime plugini<br />
<br />
<pre>wget http://downloads.wordpress.org/plugin/growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
3) Pakime lahti antud arhiivi<br />
<br />
<pre>unzip growmap-anti-spambot-plugin.1.1.zip</pre><br />
<br />
Nüüd tuleb minna tagasi oma wordpress administratoori menüüsse ja aktiveerida see plugin.<br />
<br />
== IP kontroll ==<br />
<br />
Tihti on vaja turvata väga vajalikke faile. Selle jaoks on vaja:<br />
<br />
1) Mine oma wordpress kataloogi<br />
<br />
<pre>cd /var/www/wordpress</pre><br />
<br />
2) Teeme .htaccess faile. Antud teksti-fail wordpress kasutab oma reeglite jaoks. <br />
<br />
<pre>touch .htaccess</pre><br />
<br />
3) Kirjuta järgmised reegleid:<br />
<br />
Esiteks, kaitseme meie .htaccess faile, et keegi ei saaks selle vaadata.<br />
<br />
<pre><br />
#protect the htaccess file<br />
<files .htaccess><br />
order allow,deny<br />
deny from all<br />
</files><br />
</pre><br />
<br />
Kaitseme meie admin logini, selleks et adminina saab logida ainult määratud IP aadressilt.<br />
<br />
<pre><br />
<files wp-login.php><br />
Order Deny,Allow<br />
Deny from All<br />
Allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
WPconfig on teine väga oluline fail. Seda tuleb ka kaitsta:<br />
<br />
<pre><br />
#protect wpconfig.php<br />
<files wp-config.php><br />
Order Deny,Allow<br />
Deny from All<br />
allow from 192.168.6.2<br />
</files><br />
</pre><br />
<br />
Nüüd tuleb '''wp-admin''' kataloogis teha veel uue '''.htaccess''' faili ja kirjutada järgmised reegleid:<br />
<br />
<pre><br />
AuthUserFile /dev/null<br />
AuthGroupFile /dev/null<br />
AuthName "WordPress Admin Access Control"<br />
AuthType Basic<br />
<LIMIT GET><br />
order deny,allow<br />
deny from all<br />
#kirjuta oma IP<br />
allow from 192.168.6.2<br />
</LIMIT><br />
</pre><br />
<br />
<br />
http://wptidbits.com/tutorials/21-most-popular-htaccess-hacks-for-wordpress/<br />
<br />
=Autorid=<br />
<br />
'''Wordpressi paigaldus ja konfigureerimine''' - <br />
<br />
'''mod_evasive paigaldus ja konfigureerimine''' - Meelis Tamm, A31 Source: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
'''Varnish Cache-i paigaldamine ja konfigureerimine''' - Jaan Vahtre A31 ja Vadim Vinogradin A31<br />
<br />
'''Super Cache''' - <br />
<br />
'''Iptables''' - Sergei Barol A31<br />
<br />
'''Teised turvameetodid''' -<br />
<br />
[[Category:IT infrastruktuuri teenused]]</div>Metammhttps://wiki.itcollege.ee/index.php?title=PCI,_IDE/ATA,_SCSI&diff=42007PCI, IDE/ATA, SCSI2011-11-10T12:26:34Z<p>Metamm: Created page with 'Sellel teemal kirjutab Meelis.Tamm@A31'</p>
<hr />
<div>Sellel teemal kirjutab Meelis.Tamm@A31</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=41891WordPress turvamine2011-11-09T09:21:13Z<p>Metamm: /* Konfigureerimine */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
WordPressi paigaldamine<br />
<br />
Varnishi lisamine wordpressile<br />
<br />
SuperCache kasutamine<br />
<br />
DoS rünnaku tõrjumine mod_evasive mooduliga<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(log sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
'''NB! Logimine praegu ei tööta'''<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
=== Autor ===<br />
Meelis Tamm, A31<br />
<br />
Source: [http://acidborg.wordpress.com/2009/06/25/installation-configuration-of-mod_evasive-in-ubuntu-server-9-04/]<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' - see on HTTP kiirendaja, ta on vaja, et maksimaalselt suurendada veebilehekülje kiirendust. Varnish Cache salvestab mälus veebilehekülg nii, et veebiserverid ei pea koguda sama lehekülg uuesti ja veel kord uuesti.<br />
===Paigaldamine===<br />
Kui te soovite installida Varnishit, siis on vaja teha uuendusi. Selle käsu abil uuendame opsüsteemi:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
===Konfiguratsiooni muutmine===<br />
Esimene, mis me teeme, default pordi muutmine. Tuleb muuta faili '''/etc/default/varnish''':<br />
nano /etc/default/varnish<br />
<br />
Konfigureerimine Varnichi jaoks kirjutatakse VCL keeles. <br />
<br />
Fail konfiguratsioonidega vaikselt asub siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendi viitamine:<br />
<br />
'''Backend''' - see on server, kuhu varnish saadab päringut, kui tal ei ole vastavad andmeid cache-is.<br />
<br />
Kopeerige fail /etc/varnish/default.vcl ja andke teine nimetus<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail /etc/varnish/itkool.vcl ja sisesta <br />
nano /etc/varnish/itkool.vcl<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
backend apache {<br />
.host = "127.0.0.1";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail etc/apache2/ports.conf ja leia<br />
nano /etc/apache2/ports.conf<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.101:80<br />
</pre><br />
<br />
Muuda <br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.101:8000<br />
</pre><br />
<br />
'''...VHOSTS...'''<br />
<br />
<br />
Praegu paigaldame lisa Apache moodul selle jaoks, et veenduda kas kasutaja IP aadress lõpeb korrektselt. Praegu Varnish on põhimõtteliselt seotud apache2.<br />
Kuna Lakk on põhimõtteliselt rääkides apache2, sa võib näidata aadressil 127.0.0.1 nagu külastaja IP.<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul ...<br />
<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
== Super Cache ==<br />
<br />
'''Selle osa koostamine on veel töös.'''<br />
<br />
Super Cache-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Wordpress_Plugins.png]]<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
[[File:Wordpress_search.png]]<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
[[File:Install_wordpress.png]]<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
[[File:Activate_wordpress.png]]<br />
<br />
Super Cache -i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink-i'' seadete alt ning sisestada sinna '''"p=?/%post_id%/"'''.<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
<br />
== Iptables ==<br />
<br />
'''protsessis...'''<br />
<pre><br />
<br />
*filter<br />
:INPUT DROP [1066:176948]<br />
:FORWARD ACCEPT [0:0]<br />
:OUTPUT ACCEPT [58875:56066315]<br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 53 -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p udp -m udp --dport 53 -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 443 -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
<br />
</pre></div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=41890WordPress turvamine2011-11-09T09:19:17Z<p>Metamm: /* Konfigureerimine */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
WordPressi paigaldamine<br />
<br />
Varnishi lisamine wordpressile<br />
<br />
SuperCache kasutamine<br />
<br />
DoS rünnaku tõrjumine mod_evasive mooduliga<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(log sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
NB! Logimine praegu ei tööta<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' - see on HTTP kiirendaja, ta on vaja, et maksimaalselt suurendada veebilehekülje kiirendust. Varnish Cache salvestab mälus veebilehekülg nii, et veebiserverid ei pea koguda sama lehekülg uuesti ja veel kord uuesti.<br />
===Paigaldamine===<br />
Kui te soovite installida Varnishit, siis on vaja teha uuendusi. Selle käsu abil uuendame opsüsteemi:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
===Konfiguratsiooni muutmine===<br />
Esimene, mis me teeme, default pordi muutmine. Tuleb muuta faili '''/etc/default/varnish''':<br />
nano /etc/default/varnish<br />
<br />
Konfigureerimine Varnichi jaoks kirjutatakse VCL keeles. <br />
<br />
Fail konfiguratsioonidega vaikselt asub siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendi viitamine:<br />
<br />
'''Backend''' - see on server, kuhu varnish saadab päringut, kui tal ei ole vastavad andmeid cache-is.<br />
<br />
Kopeerige fail /etc/varnish/default.vcl ja andke teine nimetus<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail /etc/varnish/itkool.vcl ja sisesta <br />
nano /etc/varnish/itkool.vcl<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
backend apache {<br />
.host = "127.0.0.1";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail etc/apache2/ports.conf ja leia<br />
nano /etc/apache2/ports.conf<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.101:80<br />
</pre><br />
<br />
Muuda <br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.101:8000<br />
</pre><br />
<br />
'''...VHOSTS...'''<br />
<br />
<br />
Praegu paigaldame lisa Apache moodul selle jaoks, et veenduda kas kasutaja IP aadress lõpeb korrektselt. Praegu Varnish on põhimõtteliselt seotud apache2.<br />
Kuna Lakk on põhimõtteliselt rääkides apache2, sa võib näidata aadressil 127.0.0.1 nagu külastaja IP.<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul ...<br />
<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
== Super Cache ==<br />
<br />
'''Selle osa koostamine on veel töös.'''<br />
<br />
Super Cache-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Wordpress_Plugins.png]]<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
[[File:Wordpress_search.png]]<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
[[File:Install_wordpress.png]]<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
[[File:Activate_wordpress.png]]<br />
<br />
Super Cache -i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink-i'' seadete alt ning sisestada sinna '''"p=?/%post_id%/"'''.<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
<br />
== Iptables ==<br />
<br />
'''protsessis...'''<br />
<pre><br />
<br />
*filter<br />
:INPUT DROP [1066:176948]<br />
:FORWARD ACCEPT [0:0]<br />
:OUTPUT ACCEPT [58875:56066315]<br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 53 -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p udp -m udp --dport 53 -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 443 -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
<br />
</pre></div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=41889WordPress turvamine2011-11-09T09:18:23Z<p>Metamm: /* Konfigureerimine */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
WordPressi paigaldamine<br />
<br />
Varnishi lisamine wordpressile<br />
<br />
SuperCache kasutamine<br />
<br />
DoS rünnaku tõrjumine mod_evasive mooduliga<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(log sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada<br />
<br />
NB! Logimine praegu ei tööta<br />
<br />
Mod_evasive moodulil ei lubata antud kausta kirjutada<br />
Couldn't open logfile /var/log/apache2/mod_evasive/dos-192.168.6.13: Permission denied<br />
<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
==Varnish Cache-i paigaldamine ja konfigureerimine==<br />
===Sissejuhatus===<br />
'''Varnish Cache''' - see on HTTP kiirendaja, ta on vaja, et maksimaalselt suurendada veebilehekülje kiirendust. Varnish Cache salvestab mälus veebilehekülg nii, et veebiserverid ei pea koguda sama lehekülg uuesti ja veel kord uuesti.<br />
===Paigaldamine===<br />
Kui te soovite installida Varnishit, siis on vaja teha uuendusi. Selle käsu abil uuendame opsüsteemi:<br />
sudo apt-get update<br />
Paigaldamise käsk:<br />
sudo apt-get install varnish<br />
===Konfiguratsiooni muutmine===<br />
Esimene, mis me teeme, default pordi muutmine. Tuleb muuta faili '''/etc/default/varnish''':<br />
nano /etc/default/varnish<br />
<br />
Konfigureerimine Varnichi jaoks kirjutatakse VCL keeles. <br />
<br />
Fail konfiguratsioonidega vaikselt asub siin '''/etc/varnish/default.vcl'''<br />
Fail oleneb mitmest osadest, aga mis on vaja töötamise alguseks - see on backendi viitamine:<br />
<br />
'''Backend''' - see on server, kuhu varnish saadab päringut, kui tal ei ole vastavad andmeid cache-is.<br />
<br />
Kopeerige fail /etc/varnish/default.vcl ja andke teine nimetus<br />
cp /etc/varnish/default.vcl /etc/varnish/itkool.vcl<br />
<br />
Ava fail /etc/varnish/itkool.vcl ja sisesta <br />
nano /etc/varnish/itkool.vcl<br />
<br />
<pre><br />
## Redirect requests to Apache, running on port 8000 on localhost<br />
backend apache {<br />
.host = "127.0.0.1";<br />
.port = "8000";<br />
}<br />
## Fetch<br />
sub vcl_fetch {<br />
## Remove the X-Forwarded-For header if it exists.<br />
remove req.http.X-Forwarded-For;<br />
<br />
## insert the client IP address as X-Forwarded-For. This is the normal IP address of the user.<br />
set req.http.X-Forwarded-For = req.http.rlnclientipaddr;<br />
## Added security, the "w00tw00t" attacks are pretty annoying so lets block it before it reaches our webserver<br />
if (req.url ~ "^/w00tw00t") {<br />
error 403 "Not permitted";<br />
}<br />
## Deliver the content<br />
return(deliver);<br />
}<br />
<br />
## Deliver<br />
sub vcl_deliver {<br />
## We'll be hiding some headers added by Varnish. We want to make sure people are not seeing we're using Varnish.<br />
## Since we're not caching (yet), why bother telling people we use it?<br />
remove resp.http.X-Varnish;<br />
remove resp.http.Via;<br />
remove resp.http.Age;<br />
<br />
## We'd like to hide the X-Powered-By headers. Nobody has to know we can run PHP and have version xyz of it.<br />
remove resp.http.X-Powered-By;<br />
}<br />
</pre><br />
Salvesta fail CTRL + O käsuga<br />
<br />
===Apache konfiguratsiooni muutmine===<br />
Ava fail etc/apache2/ports.conf ja leia<br />
nano /etc/apache2/ports.conf<br />
<br />
<pre><br />
NameVirtualHost *:80<br />
Listen 192.168.6.101:80<br />
</pre><br />
<br />
Muuda <br />
<br />
<pre><br />
NameVirtualHost *:8000<br />
Listen 192.168.6.101:8000<br />
</pre><br />
<br />
'''...VHOSTS...'''<br />
<br />
<br />
Praegu paigaldame lisa Apache moodul selle jaoks, et veenduda kas kasutaja IP aadress lõpeb korrektselt. Praegu Varnish on põhimõtteliselt seotud apache2.<br />
Kuna Lakk on põhimõtteliselt rääkides apache2, sa võib näidata aadressil 127.0.0.1 nagu külastaja IP.<br />
nano apt-get install libapache2-mod-rpaf<br />
<br />
'''RPAF''' (Reverse Proxy Add Forward) moodul ...<br />
<br />
<br />
===Deemonide restart===<br />
Restart Apache server:<br />
/etc/init.d/apache2 restart<br />
<br />
== Super Cache ==<br />
<br />
'''Selle osa koostamine on veel töös.'''<br />
<br />
Super Cache-i paigaldamiseks tuleb sisse logida admin-paneeli. Siis vasakult nimekirjast valida '''''Plugins'''''-i alt '''Add new'''.<br />
<br />
[[File:Wordpress_Plugins.png]]<br />
<br />
Siis kirjutada otsingusse "'''WP Super Cache'''".<br />
<br />
[[File:Wordpress_search.png]]<br />
<br />
Pärast seda valida nimekirjast ''Super Cache'' ning vajutada "'''Install now'''".<br />
<br />
[[File:Install_wordpress.png]]<br />
<br />
Pärast seda "'''Activate the Plugin'''".<br />
<br />
[[File:Activate_wordpress.png]]<br />
<br />
Super Cache -i toimimiseks on vajalik valida '''''Custom structure''''' ''Permalink-i'' seadete alt ning sisestada sinna '''"p=?/%post_id%/"'''.<br />
<br />
Edasi vali vasakult '''''Settings'''''-u alt '''WP Super Cache'''.<br />
<br />
== Iptables ==<br />
<br />
'''protsessis...'''<br />
<pre><br />
<br />
*filter<br />
:INPUT DROP [1066:176948]<br />
:FORWARD ACCEPT [0:0]<br />
:OUTPUT ACCEPT [58875:56066315]<br />
-A INPUT -s 192.168.6.101/32 -p tcp -m tcp --dport 8000 -j ACCEPT <br />
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br />
-A INPUT -s 192.168.6.1/32 -p tcp -m tcp --dport 22 -j ACCEPT <br />
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied:" --log-level 7<br />
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable<br />
-A INPUT -s 192.168.6.101/32 -j ACCEPT <br />
-A INPUT -m state --state ESTABLISHED -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 53 -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p udp -m udp --dport 53 -j ACCEPT <br />
-A INPUT -s 192.168.6.200/32 -p tcp -m tcp --dport 443 -j ACCEPT <br />
-A OUTPUT -o lo -j ACCEPT <br />
COMMIT<br />
<br />
</pre></div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=41468WordPress turvamine2011-11-05T16:47:09Z<p>Metamm: /* sdfasdf */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
WordPressi paigaldamine<br />
<br />
Varnishi lisamine wordpressile<br />
<br />
SuperCache kasutamine<br />
<br />
DoS rünnaku tõrjumine mod_evasive mooduliga<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(log sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada (kuigi logimine praegu ei tööta)<br />
<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
== Super Cache ==<br />
<br />
Eeldused: Permalinksi toimimine<br />
<br />
Permalinksi jaoks on vaja,et setting ei oleks default vaid custom "p=?/%post_id%/"</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=41467WordPress turvamine2011-11-05T16:46:42Z<p>Metamm: /* Konfigureerimine */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
WordPressi paigaldamine<br />
<br />
Varnishi lisamine wordpressile<br />
<br />
SuperCache kasutamine<br />
<br />
DoS rünnaku tõrjumine mod_evasive mooduliga<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(log sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada (kuigi logimine praegu ei tööta)<br />
<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
VÕI<br />
service apache2 restart<br />
<br />
== Super Cache ==<br />
<br />
Eeldused: Permalinksi toimimine<br />
<br />
Permalinksi jaoks on vaja,et setting ei oleks default vaid custom "p=?/%post_id%/"<br />
<br />
== sdfasdf ==</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=41466WordPress turvamine2011-11-05T16:46:27Z<p>Metamm: /* Konfigureerimine */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
WordPressi paigaldamine<br />
<br />
Varnishi lisamine wordpressile<br />
<br />
SuperCache kasutamine<br />
<br />
DoS rünnaku tõrjumine mod_evasive mooduliga<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(log sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada (kuigi logimine praegu ei tööta)<br />
<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
<br />
VÕI<br />
<br />
service apache2 restart<br />
<br />
== Super Cache ==<br />
<br />
Eeldused: Permalinksi toimimine<br />
<br />
Permalinksi jaoks on vaja,et setting ei oleks default vaid custom "p=?/%post_id%/"<br />
<br />
== sdfasdf ==</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=41465WordPress turvamine2011-11-05T16:45:59Z<p>Metamm: /* Konfigureerimine */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
WordPressi paigaldamine<br />
<br />
Varnishi lisamine wordpressile<br />
<br />
SuperCache kasutamine<br />
<br />
DoS rünnaku tõrjumine mod_evasive mooduliga<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(log sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada (kuigi logimine praegu ei tööta)<br />
<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
<br />
== Super Cache ==<br />
<br />
Eeldused: Permalinksi toimimine<br />
<br />
Permalinksi jaoks on vaja,et setting ei oleks default vaid custom "p=?/%post_id%/"<br />
<br />
== sdfasdf ==</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=41464WordPress turvamine2011-11-05T16:45:48Z<p>Metamm: /* Konfigureerimine */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
WordPressi paigaldamine<br />
<br />
Varnishi lisamine wordpressile<br />
<br />
SuperCache kasutamine<br />
<br />
DoS rünnaku tõrjumine mod_evasive mooduliga<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(log sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada (kuigi logimine praegu ei tööta)<br />
<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
Kui konfigureerimine valmis, tuleb Apache serverlie teha restart<br />
<br />
/etc/init.d/apache2 restart<br />
<br />
== Super Cache ==<br />
<br />
Eeldused: Permalinksi toimimine<br />
<br />
Permalinksi jaoks on vaja,et setting ei oleks default vaid custom "p=?/%post_id%/"<br />
<br />
== sdfasdf ==</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=41463WordPress turvamine2011-11-05T16:44:40Z<p>Metamm: /* Konfigureerimine */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
WordPressi paigaldamine<br />
<br />
Varnishi lisamine wordpressile<br />
<br />
SuperCache kasutamine<br />
<br />
DoS rünnaku tõrjumine mod_evasive mooduliga<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(log sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada (kuigi logimine praegu ei tööta)<br />
<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail kuhu teated saadetakse.<br />
*DOSSystemCommand: Valikuline. Käsk mis käivitatakse, kui IP bannitakse. Näiteks:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Valikuline. Nimekiri IP aadressitest, mida ei blokita.<br />
<br />
== Super Cache ==<br />
<br />
Eeldused: Permalinksi toimimine<br />
<br />
Permalinksi jaoks on vaja,et setting ei oleks default vaid custom "p=?/%post_id%/"<br />
<br />
== sdfasdf ==</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=41462WordPress turvamine2011-11-05T16:42:22Z<p>Metamm: /* Konfigureerimine */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
WordPressi paigaldamine<br />
<br />
Varnishi lisamine wordpressile<br />
<br />
SuperCache kasutamine<br />
<br />
DoS rünnaku tõrjumine mod_evasive mooduliga<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(log sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada (kuigi logimine praegu ei tööta)<br />
<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Lehekülgede arv DOSPageInterval sekundis.<br />
*DOSPageInterval: Aeg sekundites, mida kasutab DOSPageCount.<br />
*DOSSiteCount: Objektide arv DOSSiteInterval sekundites.<br />
*DOSSiteInterval: Aeg sekundites, mida kasutab DOSSiteCount.<br />
*DOSBlockingPeriod: Aeg sekundites, kui kaua IP on bannitud. Kui IP üritab serverile selle aja see ligi pääseda, siis algab loendus ueusti nullist.<br />
*DOSLogDir: Valikuline. Kataloogitee, kuhu logi salvestatakse. Kui pole määratud kasutatakse /tmp.<br />
*DOSEmailNotify: Valikuline. Mail where notifications will be sent.<br />
*DOSSystemCommand: Optional. Command to execute if an IP is blocked. For example:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Optional. List of IPs which won't be blocked.<br />
<br />
== Super Cache ==<br />
<br />
Eeldused: Permalinksi toimimine<br />
<br />
Permalinksi jaoks on vaja,et setting ei oleks default vaid custom "p=?/%post_id%/"<br />
<br />
== sdfasdf ==</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=41461WordPress turvamine2011-11-05T16:10:12Z<p>Metamm: /* Konfigureerimine */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
WordPressi paigaldamine<br />
<br />
Varnishi lisamine wordpressile<br />
<br />
SuperCache kasutamine<br />
<br />
DoS rünnaku tõrjumine mod_evasive mooduliga<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(log sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada (kuigi logimine praegu ei tööta)<br />
<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
*DOSHashTableSize: Räsitabeli suurus, kus IP aadresseid hoitakse.<br />
*DOSPageCount: Number of pages allowed per DOSPageInterval.<br />
*DOSPageInterval: Time in seconds used by DOSPageCount.<br />
*DOSSiteCount: Number of objects allowed per DOSSiteInterval.<br />
*DOSSiteInterval: Time in seconds used by DOSSiteCount.<br />
*DOSBlockingPeriod: Time in seconds that IPs will be banned. If an IP tries to access the server within this period, the count will be restarted.<br />
*DOSLogDir: Optional. Directory to store the logs. If not specified, /tmp will be used.<br />
*DOSEmailNotify: Optional. Mail where notifications will be sent.<br />
*DOSSystemCommand: Optional. Command to execute if an IP is blocked. For example:<br />
**DOSSystemCommand "/sbin/iptables -I INPUT -p tcp --dport 80 -s %s -j DROP"<br />
*DOSWhitelist: Optional. List of IPs which won't be blocked.<br />
<br />
== Super Cache ==<br />
<br />
Eeldused: Permalinksi toimimine<br />
<br />
Permalinksi jaoks on vaja,et setting ei oleks default vaid custom "p=?/%post_id%/"<br />
<br />
== sdfasdf ==</div>Metammhttps://wiki.itcollege.ee/index.php?title=WordPress_turvamine&diff=41460WordPress turvamine2011-11-05T16:08:29Z<p>Metamm: /* mod_evasive paigaldus ja konfigureerimine */</p>
<hr />
<div>'''!NB Kõik õpetused on tehtud kasutades Ubuntu Server 11.04'''<br />
<br />
WordPressi paigaldamine<br />
<br />
Varnishi lisamine wordpressile<br />
<br />
SuperCache kasutamine<br />
<br />
DoS rünnaku tõrjumine mod_evasive mooduliga<br />
<br />
== Wordpressi paigaldus ja konfigureerimine ==<br />
<br />
Antud toimingud tuleks teha root õigustes.<br />
<br />
Mine root-iks:<br />
sudo -i<br />
<br />
<br />
Tee update kohalike pakettide cache<br />
aptitude update<br />
<br />
<br />
Tee upgrade pakettidele:<br />
aptitude full-upgrade<br />
<br />
Paigalda acpid daemon<br />
aptitude install acpid<br />
<br />
<br />
Installi apache2 veebi server,mysql andmebaasi server, openssh server, php5 skriptimis keel ning apache2-utils(Apache benchmark tool)<br />
aptitude install apache2 mysql-server ssh php5 php5-mysql apache2-utils<br />
<br />
<br />
Tõmba alla kõige hilisem .tar fail wordpress.org-ist:<br />
wget http://wordpress.org/latest.tar.gz<br />
<br />
<br />
<br />
Paki lahti wordpressi failid /var/www kausta:<br />
sudo tar zxvf latest.tar.gz --directory=/var/www/<br />
<br />
<br />
Logi mysql-i sisse:<br />
<br />
mysql -u root -p<br />
<br />
Loo andmebaas student_wordpress:<br />
<source lang="mysql"><br />
create database student_wordpress;<br />
</source><br />
Loo kasutaja student:<br />
<source lang="mysql"><br />
create user student;<br />
</source><br />
Anna kõik õigused student kasutajale:<br />
<source lang="mysql"><br />
GRANT ALL PRIVILEGES ON student_wordpress.* TO student@localhost IDENTIFIED BY ‘student’;<br />
</source><br />
Välju mysql-ist:<br />
<source lang="mysql"><br />
quit;<br />
</source><br />
<br />
Loo uus default veebi saidil põhinev veebi sait:<br />
<br />
cp /etc/apache2/sites-available/default /etc/apache2/sites-available/wp<br />
<br />
<br />
Muuda ära DocumentRoot /etc/apache2/sites-avalible/wp failis:<br />
<br />
nano /etc/apache2/sites-avalible/wp<br />
<br />
Lisa DocumentRoot /var/www rea lõppu DocumentRoot /var/www/wordpress<br />
DocumentRoot /var/www/wordpress<br />
<br />
<br />
<br />
<br />
Keela ära tavaline default veebi sait(seda ei ole vaja antud paigalduses):<br />
<br />
a2dissite default<br />
<br />
<br />
Luba wordpress-i veebisait<br />
<br />
a2ensite wp<br />
<br />
Tee apache-ile restart<br />
<br />
service apache2 restart<br />
<br />
Muuda wordpress konfiguratsiooni faili:<br />
<br />
nano /var/www/wordpress/wp-config-sample.php<br />
<br />
Muuda DB_NAME, DB_USER, DB_PASSWORD vastavalt näitele:<br />
<br />
<source lang="php">define('DB_NAME', 'student_wordpress');<br />
<br />
/** MySQL database username */<br />
define('DB_USER', 'student');<br />
<br />
/** MySQL database password */<br />
define('DB_PASSWORD', 'student');<br />
</source><br />
<br />
Kopeeri uus konfiguratsiooni fail wordpressi konfiguratsiooni failiks:<br />
<br />
cp /var/www/wordpress/wp-config-sample.php /var/www/wordpress/wp-config.php<br />
<br />
<br />
Tee apache2 service-ile reload<br />
<br />
service apache2 reload<br />
<br />
Mine wordpressi saidile kasutades host-i IP aadressi(antud näites:192.168.56.102);<br />
<br />
http://192.168.56.102<br />
<br />
<br />
Vali saidi nimi, kasutajanimi, salasõna ning meili aadress.<br />
<br />
Vali install<br />
<br />
Installi lõppedes tee kindlaks,et kõik toimib(log sisse, vaata wp verisooni ilmselt midagi sellist: You are using WordPress 3.2.1.)<br />
<br />
== mod_evasive paigaldus ja konfigureerimine ==<br />
<br />
=== Sissejuhatus ===<br />
<br />
Mod_evasive on lisamoodul Apache'i veebiserveri jaoks, mille abil on võimalik vähendada või täielikult tõrjuda<br />
HTTP DoS, DDos või brute force rünnakute mõju. Ühtlasi saab seda kasutada ka monitooringu teostamiseks,<br />
kuna moodulit on lihtne panna suhtlema erinevate tulemüüride ja ruuteritega.<br />
<br />
Monitooring baseerub dünaamilisel IP aadressitest ja URI-dest koosneval räsitabelil,<br />
kust siis keelatakse IP aadressid, mis:<br />
<br />
*küsivad ühte lehte rohkem kui paar korda sekundis<br />
*teevad rohkem kui 50 üheaegset requesti sama laps-protsessi vastu<br />
*üritavad teha ükskõik millist requesti samal ajal kui nad on mustas nimekirjas<br />
<br />
=== Paigaldus ===<br />
<br />
Paigaldamine Ubuntu 11.04 serverile on küllaltki lihtne<br />
<br />
apt-get install libapache2-mod-evasive<br />
<br />
=== Konfigureerimine ===<br />
<br />
Kõigepealt on viisakas luua koht, kuhu antud moodul oma logi saaks salvestada (kuigi logimine praegu ei tööta)<br />
<br />
mkdir /var/log/apache2/mod_evasive<br />
chown www-data:www-data /var/log/apache2/mod_evasive<br />
<br />
Nüüd jääb üle lisada vastavad read oma virtuaalsesse hosti (N:~/apache2/sites-enabled/wordpress lõppu)<br />
<br />
<ifmodule mod_evasive20.c><br />
DOSHashTableSize 3097<br />
DOSPageCount 2<br />
DOSSiteCount 50<br />
DOSPageInterval 1<br />
DOSSiteInterval 1<br />
DOSBlockingPeriod 10<br />
DOSLogDir /var/log/apache2/mod_evasive<br />
DOSEmailNotify root@localhost<br />
DOSWhitelist 127.0.0.1<br />
</ifmodule><br />
<br />
Antud väärtusi tuleks kohandada vastavalt vajadustele<br />
<br />
Parameetrite kirjeldused:<br />
<br />
== Super Cache ==<br />
<br />
Eeldused: Permalinksi toimimine<br />
<br />
Permalinksi jaoks on vaja,et setting ei oleks default vaid custom "p=?/%post_id%/"<br />
<br />
== sdfasdf ==</div>Metamm