Schlagwort-Archive: Plesk

Domain-Zertifikat von Let’s Encrypt unter Plesk einrichten

Kostenloses Domain SSL-Zertifikat einrichten

Let’s Encrypt und Plesk

Die Zertifizierungsstelle Let’s Encrypt hat das Ziel auf sehr einfache Weise kostenlose Zertifikate für die Verschlüsselung von Verbindungen im Web zur Verfügung zu stellen.

Systeme mit Plesk 12.5 können diese Umgebung effizient nutzen. Der bisherige Aufwand bei der Erstellung, Validierung, Signierung, Einrichtung und Erneuerung von Zertifikaten für verschlüsselte Websites wird mit der hier gezeigten Methode drastisch vereinfacht.

Voraussetzung und Einrichtung

1. Extension Let’s Encrypt in Plesk hinzufügen

1.1 In Plesk zu Erweiterungen (Extensions) navigieren
1.2 Extension-Catalog auflisten
1.3 Let’s Encrypt installieren

2. Kostenloses Let’s Encript Domain SSL-Zertifikat hinzufügen

2.1 zur Domain wechseln und Let’s Encrypt aufrufen
2.2 Let’s Encrypt SSL-Zertifikat installieren
2.3 Erfreulich: Das Zertifikat wird jeden Monat automatisch verlängert!
2.4 Das Let’s Encrypt SSL-Zertifikat wurde erfolgreich für die Domain xyz.de installiert

3. Zertifikat ansehen (optional)

Diese Punkte 3.1 – 3.4 können Sie / kannst Du auch überspringen:
3.1 In der Domainverwaltung auf das Icon SSL-Certificates doppelklicken
3.2 Hier wird das installierte SSL-Zertifikat mit seinen Komponenten aufgelistet
3.3 Ein Doppelklick auf den Zertifikats-Namen …
3.4 … zeigt die Details des SSL-Zertifikats

4. Zertifikat in der Domain aktivieren

4.1 Unter Websites & Domains die Hosting Settings aufrufen
4.2 In den Hosting Settings im Abschnitt Security SSL Support anhaken und das eben installierte Zertifikat auswählen

5. Aufbau verschlüsselter Verbindungen prüfen

5.1 Die Anzeige im IE zeigt eine verschlüsselte Verbindung zur Domain
5.2 Die Anzeige im Firefox zeigt eine verschlüsselte Verbindung zur Domain
5.3 Aufbau SSL-verschlüsselter Verbindung nun im grünen Bereich
5.4 Zertifikat zum Beispiel im IE ansehen
5.5 Zertifizierungspfad zum Beispiel im IE ansehen

(siehe auch Screenshots in vorstehende Fotostrecke „Plesk Extension einrichten“ mit 21 Fotos)

6. Duplicate Content via Redirect vermeiden

6.1 Im Hauptverzeichnis der Website eine Weiterleitung von HTTP auf HTTPs einrichten. Das geht schnell und einfach mit der Datei .htaccess.

Füge folgende Codezeilen für das Reddirect in der .htaccess hinzu:

Damit werden alle Aufrufe von http auf https weitergeleitet und das Problem mit Duplicate Content besteht nicht mehr.

In gängigen WordPress-Installationen müssen meistens nur die Zeilen 9 und 10 ergänzt werden:

7. CMS für https:// optimieren

Wenn das SSL-Zertifikat, wie vorstehend beschrieben erfolgreich installiert wurde, ist unbedingt das CMS System für SSL zu optimieren.

7.1 im Dashboard von WordPress die Adressen von https:// auf https:// umstellen
7.2 Der Browser Google-Chrome leistet mit seinem Security Overview beim Aufspüren von Mixed-Content sehr gute Dienste.
(Menü: Weitere Tools\Entwicklertools oder [<strg><shift>+] und dann den Tab Security auswählen)
7.3 Weiteres:
Für das CMS WordPress gibt es hier und da um Thema „https://“ gute Tipps.
7.4 Ein SSL-Servertest kann die Umstellung von http auf https:// abrunden. Mein Tipp die freie Plattform von Qualys SSL LABS: ssllabs.com – liefert einen ausführlichen SSL Report für Ihre  / Deine Domain.

(siehe auch Screenshots in vorstehende Fotostrecke „Plesk Extension einrichten“ mit 21 Fotos)

Neuen vServer von Server4You auf aktuellen Debian- und Plesk-Stand updaten

vServer vom Discounter sind extrem preiswert geworden, z. B. kostet der vServer Pro X5 von Server4You für das erste Jahr schlappe 82,18 €.  Das sind somit nur 6,85 € pro Monat und das ist meiner Meinung für einen quasi dedizierten Server sehr preiswert.

Die Hardwareausstattung kann man/frau hier nachlesen. Zahlreiche Features wie z. B. Reverse DNS, Backup, Snapshot, Firewall, 3 feste IPs, Plesk bis 10 Domains etc. sind bereits enthalten. Überbuchungen konnte ich in diesen ersten Wochen nicht beobachten oder feststellen. Meine Erfahrungen mit dem Ticket-Support sind überwiegend sehr gut. Nervig bei S4Y ist allerdings das sehr oft zickige Powerpanel.

Solche vServer haben aber oft den Nachteil, dass meistens veraltete Templates seitens des Discounters zum Einsatz kommen. So hatte mein im April 2014 erstinstallierter vServer noch Debian 6.0x squeeze und Plesk 11.0x drauf.

Die aktuelle Debian Version ist 7.5 wheezy und die aktuelle Panelversion von Plesk ist zz. 11.5.30 Mit wenigen Stunden Zeit und Geduld kann man den vServer jedoch auf den neusten Debian und Plesk-Stand korrigieren.

Nachfolgend möchte ich an einem Beispiel die mögliche Vorgehensweise exemplarisch für einen frischen und leeren vServer von z. B. S4Y beschreiben.

1. Restore

Bitte beachten Sie das bei einem Restore eine auswählbare Neuinstallation des vSERVERs stattfindet und alle Daten verloren gehen. Bitte Plesk-Lizenz vorher über PowerPanel Software sichern.

1.1 Im Powerpanel von S4Y einen Restore anfordern
1.2 man/frau erhält dann einen Restore Code per Mail
1.3 Über das Powerpanel die Minimale Debian Installation ausführen
1.4 Über Putty und ssh als root anmelden
1.5 ggf. den Midnight Commander (mc) installieren und konfigurieren
apt-get install mc
1.7  Update und Upgrade durchführen
> apt-get update
> apt-get upgrade
1.8 z.B. mc als Editor wählen
1.9 Debian Version anzeigen
> cat /etc/issue
> Debian GNU/Linux 6.0 \n \l

2. Debian Upgrade

2.1 Über Putty und ssh als root anmelden
2.2 z. B. über mc -x navigieren
> etc/apt/sources.list
2.3 Editiere source.list
Ersetze squeeze durch wheezy und speichern!


2.4  Update und Upgrade durchführen
> apt-get update
> apt-get upgrade
2.4 Kernel Upgrade
Für amd64-based (64 bit) systems:
> apt-get install linux-image-2.6-amd64
ODER i686 (32 bit) systems:
> apt-get install linux-image-2.6-686
Bitte nur das eine ODER das andere ausführen!
2.5 ggf. udev installieren
> apt-get install udev
2.6 Reboot auslösen
2.7  Über Putty und ssh als root anmelden
2.8  distupgrade
> apt-get dist-upgrade
Das dauert etwas … 😉
Fragen beantworten mit Default-Werten!
2.9 Reboot auslösen
2.10  Über Putty und ssh als root anmelden
2.11  Update und Upgrade durchführen
> apt-get update
> apt-get upgrade
2.12 Reboot
2.13 Über Putty und ssh als root anmelden
2.14 Debian Version anzeigen
> cat /etc/issue
> Debian GNU/Linux 7 \n \l

3. Plesk Upgrade

Voraussetzungen: Linux muss/darf nur mit einer Minimalinstallation vorhanden sein!

3.1 Über Putty und smcsh als root anmelden
3.2 z. B. über mc -x navigieren
> etc/apt/sources.list
3.3 Editiere source.list
Füge folgenden Eintrag hinzu
https://ftp.de.debian.org/debian wheezy main non-free


3.4 Update und Upgrade durchführen
> apt-get update
> apt-get upgrade
Falls Fehlermeldung auftreten, diese zwingend korrigieren
3.6 Anlegen eines Installationsverzeichnisse /var/install/plesk z. B. via mc -x und MKDIR
/var/install/plesk
3.7 Mit cd zum gerade angelegten Installationsverzeichnis navigieren
> cd /var/install/plesk
3.8 Autoinstaller von Parallels herunterladen
> wget https://autoinstall.plesk.com/plesk-installer
3.9 Rechte anpassen
> chmod +x plesk-installer
3.10 Plesk Installation starten
> ./plesk-installer
Das dauert etwas … 😉
Fragen beantwortemc -xn Default-Werten!
3.11 Reboot auslösen
3.12  Über Putty und ssh als root anmelden
3.13  Update und Upgrade durchführen
> apt-get update
> apt-get upgrade
3.14 Reboot
3.15 Im Browser an Plesk anmelden
https://servername:8443
Login: root
Kennwort rootpassword
Fragen beantworten!
Im Zweifels erst denken, dann antworten 😉
3.16 Plesk-Lizenz einspielen (siehe Punkt 1.)
Plesk-Lizenz für 10 Domainen bei Server4You ggf. anfordern
3.17 Firewall härten
Härtung in Abhängigkeit und Wechselwirkung von Punkt 4 vornehmen.

4. Grundabsicherung, Härtung

Eins der ersten Dinge, die man bei einem Rootserver machen sollte ist, dem User root das einloggen über SSH zu verbieten.

4.1 SSH verbieten
4.11 Editiere sshd_config
> /etc/ssh/sshd_config
Port 22 ändern auf z. B. 22922
4.12   SSH-Dienst neu starten
> /etc/init.d/ssh restart
4.2 SSH sicherer einrichten
4.21 Einen neuen User erstellt man/frau mit folgendem Befehl:
> useradd -g users -d /home/user4711 -s /bin/bash user4711
Hier wird ein User namens user4711 in der Gruppe users mit der Bash als Standartshell angelegt. Das Homeverzeichnis des Users liegt in /home/user4711
(Dieses Verzeichnis muss z. B. über mc -x und MKDIR manuell angelegt werden!)
4.22 Der User hat bis jetzt aber noch kein Passwort.
Das Passwort kann man mit dem „passwd“ Befehl ändern.
Als root kann man auch das Passwort für andere User ändern:
> passwd user4711
> Enter new Password:#!pwR§4711!#
Hier sollte man/frau auch darauf achten, das man kein zu einfaches Passwort wählt. Also es sollte mindestens 8 Zeichen haben, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen beinhalten.
4.23 Den neuen User mit einem weiteren Putty Login in einem zweiten Fenster testen.
4.3 root login sperren
4.31 root das einloggen verbieten
zur Datei sshd_Config navigieren
/etc/ssh/sshd_config
4.32 Zeile wie folgt ändern
von
PermitRootLogin yes
auf
PermitRootLogin no
4.33 SSH Daemon Config neu laden:
> /etc/init.d/ssh reload
4.34 Danach sollte man/frau sich mit root nichtmehr einloggen können.
4.35 Switch User  su
Ab jetzt loggt man/frau sich einfach mit dem angelegten User ein und loggt sich über den Switch User Befehl als root ein:
> su

5. Benachrichtigung bei SSH Login

5.1 Login-Script erstellen
Mit folgendem Skript erhält man eine E-Mail, sobald sich ein Benutzer per SSH einloggt. Erstelle dazu ein ausführbares Shell Skript  /opt/shell-login.sh  mit folgendem Inhalt:

Damit die Mails beim Login versendet werden, muss folgende Zeile

in der Datei  /etc/profile  eingetragen werden.

Die Datei /opt/shell-login.sh muss die Rechte 755 besitzen:
> chmod 755 /opt/shell-login.sh

Die Mail wird nun automatisch versendet, sobald sich ein Benutzer per SSH einloggt. Der User bekommt davon nichts mit.

5.2 Das Programm finger ggf. nachinstallieren und testen
> apt-get install finger
> apt-get update
> apt-get upgrade
> finger

5.3 Brute Force Attacken abwehren
5.31 auth.log
In der Log-Datei /var/log/auth.log kann man möglicherweise fehlgeschlagene Loginversuche mit dem Protokoll SSH auf spüren, die nicht von Ihnen stammen.
5.32  fail2ban ist ein in Python geschriebenes Programm, welches verschiedene Serverdienste gegen unbefugten Zugriff absichern kann. Zur Abwehr also auf Debian das Programm fail2ban installieren:
> apt-get install fail2ban
> apt-get update
> apt-get upgrade
5.33 fail2ban konfigurieren
Editiere /etc/fail2ban/jail.conf wie folgt
ignoreip = 127.0.0.1
bantime  = 3600
maxretry = 3
Erforderlichen Parameter um den SSH Dämon zu überwachen:
enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 4
In vorstehende Konfiguration für Fail2Ban wird eine IP Adresse für 1 Stunde gesperrt, nachdem von dieser 4 fehlgeschlagene Anmeldeversuche für SSH stattgefunden haben. 
5.34
Restart fail2ban
/etc/init.d/fail2ban restart

5.4 Weitere Sicherheitshinweise,  Artikel, Tutorials …
Rootkits mit rkhunter aufspüren
ssh-Zertifikate
etc.