How to Update ISPConfig 3

Posted by daxady on 7 Dicembre 2017 in Config with Comments closed |

The ISPConfig update script is a easy way to update a ISPConfig 3 installation. If you want to create a manual backup of ISPConfig, take a look at the instructions at the end of the article.

To update ISPConfig 3, login as root user on the shell of your server and run the command:

ispconfig_update.sh

>> Update

Please choose the update method. For production systems select ‘stable’.
The update from svn is only for development systems and may break your current setup.

Select update method (stable,svn) [stable]:

You should always select “stable” on a production system. The “svn” version is only suitable for ISPConfig 3 development.

The updater will then check the version of your system, download the latest update and starts the update process.

This application will update ISPConfig 3 on your server.

Shall the script create a ISPConfig backup in /var/backup/ now? (yes,no) [yes]:

You should choose “yes” here. This will create a backup of the ISPConfig scripts (/usr/local/ispconfig), the /etc directory and the ISPC0nfig MySQL database in the directory /var/backup/

Creating backup of “/usr/local/ispconfig” directory…
Creating backup of “/etc” directory…
Checking ISPConfig database .. OK
Starting incremental database update.

The update script will then start to install incremental database updates for ISPConfig, if required.

Reconfigure Permissions in master database? (yes,no) [no]:

If this is a slave server in a multiserver setup, then choose “yes” here on at least one of the slave servers. For single server installations, choose ‘no’. Then you were asked if the services shall be reconfigured:

Reconfigure Services? (yes,no) [yes]:

You should choose “yes” here, only if you modified your system configuration manually, it might be better to choose no. But in this case, new features in ISPConfig might not work or functions might stop working until you adjusted the config files manually. So its always a good choice to select ‘yes’ here. In the next step, select the ispconfig port:

ISPConfig Port [8080]:

Port 8080 is the default, if you have not changed it, press enter. Otherwise enter the port number and then press enter. As the last step, you wre asked if the crontab shall get reconfigured, you can select yes here by just pressing return.

Create new ISPConfig SSL certificate (yes,no) [no]:

If your SSL certificate for the ISPConfig interface has been expired and you want to renew it or if you want to enable SSL encryption for the ISPConfig interface, then choose “yes”. If you dont need a new SSL certificate, take the default (no).

Reconfigure Crontab? (yes,no) [yes]:

The ISPConfig updater will then update the ispconfig files and restart services, if the configuration has been changed.

Backup before updates

(This backup procedure is now integrated into the ISPConfig updater and gets executed automatically when you choose to create a backup during update)

Before you update a software, it is always a good idea to backup all relevant data. This enables you to restore the software version that you had before in case of an error. The steps to create a backup of the ispconfig software and settings are:

Create a backup folder:

mkdir /home/backup
chmod 700 /home/backup
cd /home/backup

Backup the database

mysqldump -u root -p dbispconfig > dbispconfig.sql

Backup the ISPConfig software

tar pcfz ispconfig_software.tar.gz /usr/local/ispconfig

Backup the configuration files in /etc

tar pcfz etc.tar.gz /etc

This backup does not include the emails and website data.

Speedtest Internet da console Linux

Posted by daxady on 6 Maggio 2017 in Config with Comments closed |

#wget https://raw.githubusercontent.com/sivel/speedtest-cli/master/speedtest.py

# chmod a+rx speedtest.py

#./speedtest.py –share

Retrieving speedtest.net configuration…
Testing from Free (62.xxx.xx.xxx)…
Retrieving speedtest.net server list…
Selecting best server based on ping…
Hosted by fdcservers.net (Paris) [6.94 km]: 3.167 ms
Testing download speed……………………………………………………………………..
Download: 890.13 Mbit/s
Testing upload speed……………………………………………………………………………………
Upload: 853.66 Mbit/s
Share results: http://www.speedtest.net/result/6276597300.png

Copiare o trasferire files tra due server usando il comando scp di linux

Posted by daxady on 28 Aprile 2017 in Config with Comments closed |

r = copia ricorsiva delle intere directories
C = compressione abilitata
p = conserva le opzioni di modifica, i tempi di accesso e le modalità del file originale

 

Example syntax for Secure Copy (scp)

What is Secure Copy?

scp allows files to be copied to, from, or between different hosts. It uses ssh for data transfer and provides the same authentication and same level of security as ssh.

Examples

Copy the file “foobar.txt” from a remote host to the local host

$ scp your_username@remotehost.edu:foobar.txt /some/local/directory

Copy the file “foobar.txt” from the local host to a remote host

$ scp foobar.txt your_username@remotehost.edu:/some/remote/directory

Copy the directory “foo” from the local host to a remote host’s directory “bar”

$ scp -r foo your_username@remotehost.edu:/some/remote/directory/bar

Copy the file “foobar.txt” from remote host “rh1.edu” to remote host “rh2.edu”

$ scp your_username@rh1.edu:/some/remote/directory/foobar.txt \
your_username@rh2.edu:/some/remote/directory/

Copying the files “foo.txt” and “bar.txt” from the local host to your home directory on the remote host

$ scp foo.txt bar.txt your_username@remotehost.edu:~

Copy the file “foobar.txt” from the local host to a remote host using port 2264

$ scp -P 2264 foobar.txt your_username@remotehost.edu:/some/remote/directory

Copy multiple files from the remote host to your current directory on the local host

$ scp your_username@remotehost.edu:/some/remote/directory/\{a,b,c\} .
$ scp your_username@remotehost.edu:~/\{foo.txt,bar.txt\} .

scp Performance

By default scp uses the Triple-DES cipher to encrypt the data being sent. Using the Blowfish cipher has been shown to increase speed. This can be done by using option -c blowfish in the command line.

$ scp -c blowfish some_file your_username@remotehost.edu:~

It is often suggested that the -C option for compression should also be used to increase speed. The effect of compression, however, will only significantly increase speed if your connection is very slow. Otherwise it may just be adding extra burden to the CPU. An example of using blowfish and compression:

$ scp -c blowfish -C local_file your_username@remotehost.edu:~

ISPConfig 3: Automated installation on Debian

Posted by daxady on 8 Aprile 2017 in Config with Comments closed |

Download and preparation

Now we download and decompress the files needed for the installation, to do so we execute the following commands as root user:

apt-get update && apt-get upgrade
apt-get install unzip
cd /tmp
wget –no-check-certificate https://github.com/servisys/ispconfig_setup/archive/master.zip
unzip master.zip

Now you had a folder called ispconfig_setup-master in your /tmp directory.

ISPConfig 3 Installation

Now it’s time to install our ISPConfig control panel with the autoinstall script. The script has two install modes: the standard mode and the expert mode.

The two modes are similar, the main difference is that in standard mode the ISPConfig installation is completely unattended, with the expert mode you can configure your ISPConfig for special environments like multiserver setup, mirror or to select only some services to be configured.

In the standard setup the following components will be installed:

  • Web Server (Apache or Nginx)
  • FTP server (with pureftpd)
  • DNS Server (bind9)
  • MySQL server as database server
  • Awstats for statistics purpose
  • IMAP and POP3 (with courier or dovecot)
  • webmail (with RoundCube or squirellmail)
  • … and obviously ISPConfig

Let’s start with common commands for both modes, then we follow the install process from both modes.

So let’s launch some commands from the shell to start the install process:

cd ispconfig_setup-master/
./install.sh

Now the install process begin, we can see now the following output

=========================================
ISPConfig 3 System installer
=========================================

This script will do a nearly unattended intallation of
all software needed to run ISPConfig 3.
When this script starts running, it'll keep going all the way
So before you continue, please make sure the following checklist is ok:

- This is a clean / standard debian installation
- Internet connection is working properly


The detected Linux Distribution is: Debian GNU/Linux 8 (jessie)

Is this correct? (y/n)

At this point, the installation process checks your distribution to detect if the installed OS is compatible with the script, in my case it will detect Debian 8 Jessie.

If it’s correct for you press ‘y’, and now you’ll be asked some question before the automated install process will start. If you don’t know the answer to a question then choose the default by just hitting enter.

  • You will be asked for MySql password
  • Next you had to choose between Apache and Nginx
  • Next you will be asked for Xcache (compression system for PHP)
  • Next you will be asked for PHPMyAdmin installation
  • Next you had to choose between mail server type dovecot or courier
  • Next you had to choose to update virus definition (recommend to say yes)
  • Next you had to choose to enable or not quota (recommend to say yes)
  • The last thing at this chapter is standard o expert mode installation

Standard mode

So we choose standard mode installation, the fastest and most easy way to install ISPConfig in a single server setup with all feature enabled.

In case that you don’t know what to respond to a question, simply hit enter, the defaults are good in most cases.

  • Next you have to choose to install Jailkit (attention Jailkit as normal installation, could only be installed now)
  • Next you have to choose if enable or not DKIM (recommended to say no, because not supported natively in ISPConfig yet, Dkim will be part of the next ISPConfig release)
  • Next you have to choose between Roundcube and Squirellmail (Note: in Debian 8 this option is not available as there is no RoundCube package for Debian 8 yet and Squirellmail will be the default)
  • Next you’ll be asked for SSL Configuration: Country, STATE, Locality, Organization, Organization Unit

Now you can go to take a coffee and relax, waiting for the install process to finish.

When everything is installed you can see something similar on the console:

Checking internet connection... OK

Installing pre-required packages
Updating apt and upgrading currently installed packages... [DONE]

Installing basic packages...
Reconfigure dash... [DONE]

Checking and disabling Sendmail...
Installing Postfix... [DONE]

Installing MySQL... [DONE]

Installing Dovecot... [DONE]

Installing Anti-Virus utilities... (This take some time. Don't abort it ...) Stopping Spamassassin ... [DONE]

Disable Spamassassin ... [DONE]

Updating ClamAV. Please Wait ... ERROR: /var/log/clamav/freshclam.log is locked by another process
Restarting ClamAV... [DONE]

Installing Apache and Modules... [DONE]

Installing PHP and Modules... [DONE]

Installing needed Programs for PHP and Apache... [DONE]

===========================================================================================
Attention: When asked 'Configure database for phpmyadmin with dbconfig-common?' select 'NO'
Due to a bug in dbconfig-common, this can't be automated.
===========================================================================================
Press ENTER to continue...

Due to a bug in dbconfig-common we can’t automate PHPMyAdmin installation for now, so hit ‘enter’ and on the next question select ‘NO’ (attention because the default is ‘YES’).

If you have selected RoundCube (available on Debian 7 only), you should see those lines:

If you heaven't done yet add roundcube remtoe user in ISPConfig, with the following permission: Server functions - Client functions - Mail user functions - Mail alias functions - Mail spamfilter user functions - Mail spamfilter policy functions - Mail fetchmail functions - Mail spamfilter whitelist functions - Mail spamfilter blacklist functions - Mail user filter functions

The final thing to do is to add a RoundCube remote user to ISPConfig control panel, to do so follow these steps:

Connect to ISPConfig: https://YOURIP:8080, go to System > User Management > Remote Users and click on the Add new user button:

… and enable the following functions:

  • Server functions
  • Client functions
  • Mail user functions
  • Mail alias functions
  • Mail spamfilter user functions
  • Mail spamfilter policy functions
  • Mail fetchmail functions
  • Mail spamfilter whitelist functions
  • Mail spamfilter blacklist functions
  • Mail user filter functions

Then click on Save.

Then edit the file /var/lib/roundcube/plugins/ispconfig3_account/config/config.inc.php and set the user and password you inserted in ispconfig. See the following example:

<!--?php 
$rcmail_config['identity_limit'] = false;
$rcmail_config['remote_soap_user'] = 'roundcube';
$rcmail_config['remote_soap_pass'] = 'password';
$rcmail_config['soap_url'] = 'http://192.177.167.44:8080/remote/';
?-->

In my case, I’ve used “roundcube” as username and “password” for the password (please don’t use this password in a production environment for obviously security reasons).

Expert mode

The only difference with the standard mode is the ISPconfig installation script, that is not automated yet and has to be run manually. As mentioned before this is necessary for multiserver setups, single server setups that run just some services and cluster setups.

For detailed installation process of ISPConfig, you can refer to the following article https://www.howtoforge.com/tutorial/perfect-server-debian-8-jessie-apache-bind-dovecot-ispconfig-3/3/

Final consideration

After everything is installed, you can check for errors or strange things with the command

cat /var/log/ispconfig_setup.log

x11vnc on debian/ubuntu

Posted by daxady on 7 Gennaio 2017 in Config with Comments closed |

Install x11vnc:

sudo apt-get install x11vnc

Create a password for your user:

x11vnc -storepasswd

If you have ssh setup you can use it to start x11vnc assuming you are logged in already, but remember to tell it to use your password file:

x11vnc -usepw

If you are not logged in you will get an error with the explanation:

If NO ONE is logged into an X session yet, but there is a greeter login
program like "gdm", "kdm", "xdm", or "dtlogin" running, you will need
to find and use the raw display manager MIT-MAGIC-COOKIE file.
Some examples for various display managers:

 gdm:     -auth /var/gdm/:0.Xauth
          -auth /var/lib/gdm/:0.Xauth
 kdm:     -auth /var/lib/kdm/A:0-crWk72
          -auth /var/run/xauth/A:0-crWk72
 xdm:     -auth /var/lib/xdm/authdir/authfiles/A:0-XQvaJk
 dtlogin: -auth /var/dt/A:0-UgaaXa

Assuming you are using lightdm for the login you can fix this problem you can start x11vnc with the command:

sudo x11vnc -xkb -noxrecord -noxfixes -noxdamage -display :0 -auth /var/run/lightdm/root/:0 -usepw

Xbox one troubleshoot party chat

Posted by daxady on 19 Dicembre 2016 in Console with Comments closed |

Il tipo di NAT dell’app Xbox indica che la qualificazione Teredo non è riuscita | App Xbox su Windows 10

Soluzione 1: accertarsi di disporre di una connessione Internet

  1. Avviare l’app Xbox sul PC.
  2. Selezionare Impostazioni > Rete.
  3. In Stato della rete controllare che Connessione Internet sia impostato su Connesso.

Se non si dispone di una connessione Internet, sarà necessario risolvere il problema prima di continuare con ulteriori procedure per la risoluzione dei problemi.

Soluzione 2: disinstallare e reinstallare la scheda Teredo

Per disinstallare la scheda Teredo:

  1. Cliccare con il pulsante destro del mouse sull’icona Start e selezionare Prompt dei comandi (amministratore).
  2. Eseguire il comando che segue dal prompt dei comandi di amministratore:netsh interface Teredo set state disable
  3. Cliccare con il pulsante destro del mouse sull’icona Start e selezionare Gestione dispositivi.
  4. Selezionare Visualizza > Mostra dispositivi nascosti.
  5. Selezionare Schede di rete.
  6. Identificare tutte le schede contenenti il testo “Teredo”, ad esempio Pseudo interfaccia di tunneling Teredo o Scheda Microsoft Teredo Tunneling. Cliccare con il pulsante destro del mouse sul nome della scheda e selezionare Disinstalla.
  7. Riavviare il PC.

Per riabilitare la scheda Teredo:

  1. Cliccare con il pulsante destro del mouse sull’icona Start e selezionare Prompt dei comandi (amministratore).
  2. Eseguire il comando che segue dal prompt dei comandi di amministratore:netsh interface Teredo set state type=default

Nota: la Scheda Microsoft Teredo Tunneling verrà reinstallata automaticamente. Non installare manualmente la scheda Pseudo interfaccia di tunneling Teredo in Gestione dispositivi, poiché ciò potrebbe provocare problemi con la funzionalità di Teredo.

Soluzione 3: controllare se la scheda Teredo è disabilitata nel Registro di sistema tramite un programma o un valore Registro sistema configurato manualmente

Alcuni programmi possono modificare le impostazioni di rete del PC allo scopo di disabilitare i componenti di rete IPv6 (protocollo Internet versione 6), tra cui può essere inclusa la scheda Teredo Tunneling. È possibile determinare se la scheda Teredo è stata disabilitata eseguendo i comandi indicati di seguito.

Controllare il percorso del Registro di sistema iphlpsvc:

  1. Cliccare con il pulsante destro del mouse sull’icona Start e selezionare Prompt dei comandi (amministratore).
  2. Eseguire il comando che segue dal prompt dei comandi di amministratore:reg query HKLM\System\CurrentControlSet\Services\iphlpsvc\TeredoSe nel risultato è inclusa la riga seguente, la scheda Teredo è stata disabilitata:

    Type REG_DWORD 0x4

  3. È possibile riabilitare la scheda Teredo eseguendo il comando che segue dal prompt dei comandi di amministratore:netsh interface Teredo set state type=default

Controllare il percorso del Registro di sistema TcpIp6:

  1. Cliccare con il pulsante destro del mouse sull’icona Start e selezionare Prompt dei comandi (amministratore).
  2. Eseguire il comando che segue dal prompt dei comandi di amministratore:reg query HKLM\System\CurrentControlSet\Services\TcpIp6\ParametersSe nel risultato è inclusa la riga seguente e il valore visualizzato non è 0x0, è possibile che la scheda Teredo sia stata disabilitata:

    DisabledComponents REG_DWORD 0x8e

  3. È possibile riabilitare la scheda Teredo eseguendo il comando che segue dal prompt dei comandi di amministratore:reg add HKLM\System\CurrentControlSet\Services\Tcpip6\Parameters /v DisabledComponents /t REG_DWORD /d 0x0

In alcune applicazioni questi valori del Registro di sistema per la disabilitazione della scheda Teredo vengono impostati al momento dell’installazione dell’applicazione; in altre applicazioni tali valori vengono impostati ogni volta che l’applicazione viene avviata. Se sul PC è installata una di queste applicazioni, accertarsi di disporre della versione più recente o consultare la documentazione di supporto per comprendere come abilitare la scheda Teredo Tunneling con tale software.

* Servizio Asus Game First: eseguire l’aggiornamento alla versione più recente o contattare l’assistenza all’indirizzo http://asus.com/support.

Come soluzione alternativa è possibile disabilitare il servizio e riabilitare la scheda Teredo attenendosi alla procedura indicata di seguito.

  1. Cliccare con il pulsante destro del mouse sull’icona Start e selezionare Prompt dei comandi (amministratore).
  2. Eseguire i comandi che seguono dal prompt dei comandi di amministratore per disabilitare AsusGameFirstService, interrompere AsusGameFirstService e riabilitare la scheda Teredo nel Registro di sistema:
    • sc config AsusGameFirstService start= disabled
    • sc stop AsusGameFirstService
    • reg add HKLM\System\CurrentControlSet\Services\Tcpip6\Parameters /v DisabledComponents /t REG_DWORD /d 0x0

Soluzione 4: controllare se il servizio Helper IP è in esecuzione

Per garantire il normale funzionamento della scheda Teredo, è necessario che il servizio Helper IP sia impostato in modo da essere avviato ed eseguito automaticamente. Per eseguire il controllo:

  1. Digitare Servizi nel campo di ricerca sulla barra degli strumenti (Cortana).
  2. Selezionare Servizi nei risultati della ricerca.
  3. Controllare il Tipo di avvio del seguente servizio per accertarsi che sia impostato sul valore predefinito:Helper IP, Tipo di avvio: Automatico

È possibile ripristinare il valore predefinito qualora il servizio sia stato modificato e impostato su un tipo di avvio diverso:

  1. Nell’applicazione Servizi effettuare un doppio clic su Helper IP.
  2. Nella finestra delle proprietà selezionare Automatico nell’elenco a discesa Tipo di avvio.
  3. In Stato del servizio cliccare sul pulsante Avvia.
  4. Cliccare su OK per salvare le modifiche.

Alcune applicazioni riconfigurano le impostazioni del PC nel tentativo di ottimizzare le prestazioni e disabilitano i servizi di Windows nell’ambito del processo, influendo in alcuni casi sul servizio Helper IP. Se si utilizza una di queste applicazioni per l’ottimizzazione del PC, prendere nota di tutte le modifiche apportate alla configurazione dei servizi, poiché potrebbe essere necessario ripristinare le impostazioni per utilizzare il multiplayer e la chat di gruppo Xbox Live.

Soluzione 5: controllare se il nome del server Teredo è impostato su un valore non valido

Per garantire il normale funzionamento della scheda Teredo, è necessario utilizzare un nome del server Teredo valido. Per eseguire il controllo:

  1. Cliccare con il pulsante destro del mouse sull’icona Start e selezionare Prompt dei comandi (amministratore).
  2. Eseguire il comando che segue dal prompt dei comandi di amministratore:netsh interface Teredo show stateIl valore predefinito per il parametro del nome del server in Windows 10 è win10.ipv6.microsoft.com.

Se viene visualizzato un valore diverso e la scheda Teredo non è in grado di ottenere un indirizzo IP, è possibile ripristinare il valore predefinito. Eseguire il comando che segue nel prompt dei comandi di amministratore:

netsh interface Teredo set state servername=default

Soluzione 6: controllare se è presente una voce del file degli host che blocca la connettività ai server Teredo

In alcune applicazioni la connessione del PC ai server Teredo verrà bloccata tramite l’aggiunta di voci al file degli host presente in C:\WINDOWS\system32\drivers\etc\hosts.

Per controllare se la risoluzione del nome del server da parte di Teredo non riesce a causa di una voce del file degli host:

  1. Cliccare con il pulsante destro del mouse sull’icona Start e selezionare Prompt dei comandi (amministratore).
  2. Eseguire il comando che segue dal prompt dei comandi di amministratore:netsh interface Teredo show stateSe viene visualizzato il testo seguente, è possibile che una voce del file degli host causi dei problemi:

    impossibile risolvere il nome del server

Per controllare le voci del file degli host:

  1. Digitare il comando che segue al prompt dei comandi di amministratore:notepad.exe c:\WINDOWS\system32\drivers\etc\hosts
  2. Nell’applicazione Blocco note cliccare su Modifica > Trova. Digitare quindi win10.ipv6.microsoft.com e cliccare su Trova successivo.
  3. Se viene individuata una voce con questo nome del server, eliminarla e salvare il file degli host.

Soluzione 7: controllare se la connettività Teredo viene bloccata dal router domestico quando viene rilevata una connessione IPv6

Alcuni router domestici bloccano la connettività Teredo se rilevano la presenza di una connessione IPv6 nell’interfaccia WAN del router. Per garantire il normale funzionamento della scheda Teredo, è necessario configurare il router per l’abilitazione della connettività Teredo. Se si dispone di uno di questi router domestici, accertarsi che disponga del firmware più recente e consultare la documentazione di supporto per comprendere come abilitare il tunneling Teredo nel router. Per i router Apple AirPort e FRITZ!box vedere quanto segue.

Soluzione 8: controllare se la connettività Teredo viene bloccata quando un client VPN è connesso o a causa dell’installazione di una scheda di rete VPN

Nel caso di alcuni client VPN, la connettività Teredo viene disabilitata in caso di connessione; per altri client VPN è prevista l’installazione di una scheda di rete che disabilita Teredo finché tale scheda VPN non viene rimossa. Se è installato un client VPN e Teredo rimane disabilitato anche quando il client VPN è disconnesso, controllare se è installata una scheda di rete denominata TAP-Windows Adapter V9:

  1. Cliccare con il pulsante destro del mouse sull’icona Start e selezionare Gestione dispositivi.
  2. Selezionare Visualizza > Mostra dispositivi nascosti.
  3. Selezionare Schede di rete.
  4. Identificare le schede con un nome simile a TAP-Windows Adapter V9. Cliccare con il pulsante destro del mouse sul nome della scheda e selezionare Disinstalla.Nota: la disinstallazione della scheda di rete VPN dovrebbe sbloccare la connettività Teredo, ma è anche probabile che crei problemi con il software client VPN. Se la funzionalità VPN e il supporto Teredo sono comunque richiesti, fare riferimento alla documentazione di supporto per il client VPN.
  5. Riavviare il PC.

Cablaggio Ethernet plug 8p8c

Posted by daxady on 4 Novembre 2016 in Elettronica with Comments closed |

standard EIA/TIA-568A – Cavo Dritto

cavo_dritto

standard EIA/TIA-568B – Cavo Dritto (quello comunemente più usato)

cavo_drittob

standard EIA/TIA-568B – Cavo Cross (usato per collegare due pc tra loro)

cavo_cross

BC 337/338 NPN

Posted by daxady on 4 Agosto 2016 in Datasheet with Comments closed |

file-page1

file-page2

file-page3

file-page4

file-page5

.htaccess wordpress

Posted by daxady on 23 Maggio 2015 in Codex with Comments closed |

Basic WordPress

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Install Fail2Ban on CentOS

Posted by daxady on 18 Aprile 2015 in Config with Comments closed |

This guide explains how to install Fail2ban software, an intrusion prevention framework on your CentOS 7 (and 6) vps easily so you can protect your server from brute-force attacks. I previously posted some basic configs for a new CentOS server including to change default SSH port and to disable root login directly. But however sometimes that would be not enough. Brute-force attack may occur continuously, hence you need to ban the source IP of that attack so it will not happen continuously or at least the attacker will need many IPs. Meed Fail2Ban that exists originally for that purpose, to protect your server from SSH brute-force attack.

Fail2ban works by scanning and monitoring log files for selected entries then bans IPs that show the malicious signs like too many password failures, seeking for exploits, etc.

Out of the box Fail2Ban comes with filters for various services (apache, courier, ssh, etc).
How to Install

Step 1 – Login to your server as user with root privilege.

Step 2 –  For your information, Fail2ban is not available by default in CentOS so you can’t install it directly via yum. Hence, you have to firstly add EPEL repo:

CentOS 6:

rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

CentOS 7:

rpm -Uvh http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-1.noarch.rpm

In case if those repo URLs are not working, you can fine the latest one here.

Step 3 – Now install it using yum:

yum install fail2ban -y

How to Configure Fail2Ban

Step 4 – So now fail2ban is installed on your VPS, what next to do is setting up some basic Fail2ban configuration. Here I’ll show you a very basic setup. Now firstly copy default configuration file:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

This task is necessary so you can edit configuration locally (your own setting) without messing up with default one. There are lot of possible services that may need protection are in the jail.local file already.

Step 5 – Now edit jail.local file you copied. Use your favorite text editor like Nano or vi.

nano /etc/fail2ban/jail.local

You’ll then firstly see something  like this:

Step 6 – Scroll down the page for all available configuration. There are few lines act as basic setup you can edit as necessary to suit your need including: ignoreip, bantime, findtime, and maxretry. You can read what each line means in the explanation available there.

In the “ignoreip” line you can define several IPs to whitelist so fail2ban won’t lock out that IP. Here you can add your personal / home IP address in case if your forgot your own password to login to your server. You can separate each address with a space.

Step 7 – Now restart Fail2ban so the new configuration can take effect.

CentOS 7:

systemctl restart fail2ban.service

CentOS 6:

service fail2ban restart

Copyright © 2015-2019 pietro.dimaio.info All rights reserved.