From ISP admin
Contents |
Konfigurace instalace ENGLISH
Po dokončení základní instalace je potřeba si zvolit symbolické DNS adresy pro přístup do administrátorského webového rozhraní a do uživatelského webového rozhraní. Vybraná jména musí být domény minimálně třetího řádu.
Inspirovat se můžete následujícími příklady:
|
ispadmin.vasefirma.cz, admin.vasefirma.cz, sprava.vasefirma.cz… |
|
klient.vasefirma.cz, zakaznik.vasefirma.cz, portal.vasefirma.cz, support.vasefirma.cz… |
Pro zvolené symbolické adresy musí být vytvořeny dva DNS záznamy směřující na IP adresu instalovaného serveru ISPadmin. Tyto záznamy většinou musí na Vaši žádost nastavit Váš poskytovatel konektivity nebo si je můžete prostřednictvím nějakého svého účtu u poskytovatele nastavit sami(postup je ale značně individuální, protože každý poskytovatel to má jinak).
Nastavení doménových jmen
Pokud vytvořené DNS záznamy správně ukazují na Váš server, otestujte záznamy příkazem ping. Poté můžete opět pokračovat v konfiguraci systému.
ping admin.vasefirma.cz
Příkaz PING na vasefirma.cz [81.0.237.137] - 32 bajtů dat: ... Statistika ping pro 81.0.237.137: Pakety: Odeslané = 4, Přijaté = 4, Ztracené = 0 (ztráta 0%)
Pro naše účely předpokládejme, že IP adresa serveru je 10.0.0.1 přenatovaná na veřejnou IP 81.0.237.137. DNS záznamy tedy ukazují na IP 81.0.237.137 a server má nastavenou IP adresu 10.0.0.1
Do souboru /etc/hostname zadejte jméno serveru: admin.vasefirma.cz
pico -w /etc/hostname
Do souboru /etc/hosts zapište IP adresu a hostname ve tvaru: 10.0.0.1 admin.vasefirma.cz klient.vasefirma.cz
pico -w /etc/hosts
V souboru /etc/httpd/conf/httpd.conf povolte direktivy NameVirtualHost a upravíme označené adresy tak, aby soubor vypadal následovně:
pico -w /etc/httpd/conf/httpd.conf
#Listen 81 ### zakomentujeme na začátku port 81 #Listen 82 #Listen 84
options FollowSymLinks
NameVirtualHost 10.0.0.1:80 ### upravíme adresu pro virtuální hosty pro příslušné porty NameVirtualHost 10.0.0.1:443
### ISP Admin <VirtualHost admin.vasefirma.cz:80> ### upravíme doménové jméno pro nezabezpečený přístup DocumentRoot "/data/support_nossl/" </VirtualHost>
## ISP Admin SSL <VirtualHost admin.vasefirma.cz:443> ### upravíme doménové jméno pro zabezpečený přístup DocumentRoot "/data/support/ispadmin/" AddDefaultCharset Windows-1250 <Directory /data/support/ispadmin/> Options ExecCGI AllowOverride All </Directory> CustomLog /var/log/apache2/access_support_ispadmin.log combined AddType application/x-httpd-php .php .php3 .php4 php_admin_value open_basedir "/data/support/:/tmp/:/data/" php_admin_value include_path ".:/usr/local/lib/php/:/tmp/" php_admin_value disable_functions "openlog, exec, passthru, proc_open, proc_close, shell_exec" php_admin_value display_errors "On" php_admin_value safe_mode "Off" php_admin_value register_globals "On" php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f webmaster@ispadmin.cz"
### Následující část celou odkomentujeme, čímž aktivujeme HTPPS pro vyšší zabezpečení
SSLEngine on SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL SSLCertificateFile /etc/httpd/conf/cert/server.crt SSLCertificateKeyFile /etc/httpd/conf/cert/server.key SSLCertificateChainFile /etc/httpd/conf/cert/ca.crt SetEnvIf User-Agent ".*MSIE.*" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 </VirtualHost>
#### ISP Admin support #<VirtualHost 192.168.1.100:80> # DocumentRoot "/data/support_nossl/" #</VirtualHost>
## ISP Admin support SSL <VirtualHost klient.vasefirma.cz:80> ### upravte doménové jméno uživatelského rozhraní klientů. Zde poběží
rozhraní na http a nikoli na https, protože v případě, že není vystaven
certifikát certifikační autoritou pro https, tak IE při pokusu o vstup
na tuto stránku zobrazí chybovou hlášku o platnosti certifikátu, "že
nedoporučuje na tuto stránku vstoupit", uživatelé jsou z toho potom zmatení"
DocumentRoot "/data/support/ispadmin_support/" AddDefaultCharset Windows-1250 CustomLog /var/log/apache2/access_support_ispadmin_support.log combined AddType application/x-httpd-php .php .php3 .php4 php_admin_value open_basedir "/data/support/ispadmin_support/" php_admin_value include_path ".:/usr/local/lib/php/" php_admin_value disable_functions "openlog, exec, passthru, proc_open, proc_close, shell_exec" php_admin_value display_errors "On" php_admin_value safe_mode "Off" php_admin_value register_globals "On"
# SSLEngine on # SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL # SSLCertificateFile /etc/httpd/conf/cert/server.crt # SSLCertificateKeyFile /etc/httpd/conf/cert/server.key # SSLCertificateChainFile /etc/httpd/conf/cert/ca.crt # SetEnvIf User-Agent ".*MSIE.*" \ # nokeepalive ssl-unclean-shutdown \ # downgrade-1.0 force-response-1.0 </VirtualHost>
<Directory /data/support/> Options ExecCGI FollowSymLinks AllowOverride None </Directory>
<Directory /data/support/ispadmin_support/> Options ExecCGI AllowOverride All </Directory>
include /usr/local/script/ispadmin/apache_ispadmin_vhost.conf
Nastavení hesel
Důrazně doporučujeme dodržovat zádady tzv. silných hesel. Tímto způsobem značně omezíte možnost kompromitování(hacknutí) systému, databáze i samotné aplikace. V žádném případě neprovozujte ISPadmin s výchozími hesly, které obsahovala čistá instalace!
Jeden příklad: Dejme tomu, že byste chtěli nějaké snadno zapamatovatelné heslo, které ovšem vyhovuje požadavkům na silné heslo: obsahuje velká i malá písmena, čísla a speciální znaky a je dlouhé alespoň 8 znaků.
Slabé heslo: frantavomacka
Transformace slabého hesla na silné:
- 1)Místo některých malých písmen dáte velká písmena - tím splníte podmínku o velkých a malých písmenech.
- 2)Místo písmene "o" dáte číslovku "0", místo písmene "i" nebo "l" dáte číslovku "1" nebo na konec hesla dopíšete několik čísel - tím splníte podmínku o číslovkách v hesle.
- 3)Místo písmene "a" dáte speciální znak zavináč "@" nebo mezi slovy frantavomacka použitete znak podržítko "_" - tím splníte podmínku o speciálních znacích v hesle.
Silné heslo: Fr@nta_V0macka957
Přenastavte výchozí hesla do SQL databáze na svá vlastní hesla, nápovědu zobrazíte příkazem:
/usr/local/script/ispadmin/ispadmin_change_pass.pl
Změna defaultního hesla uživatele SQL DB "ispadmin":
/usr/local/script/ispadmin/ispadmin_change_pass.pl ispadmin ispadmin nové_heslo
Změna defaultního hesla administrátora SQL DB "root":
/usr/local/script/ispadmin/ispadmin_change_pass.pl mysql_root ispadmin nové_heslo
Také změňte heslo uživateli root pro přístup do systému Linux přes SSH:
passwd root
Změny hesla se nemusíte bát. Pokud by se stalo to, že si heslo změníte a nebudete vědět jaké tam máte nastavené, kontaktujte naši technickou podporu. Systém není nutné kvůli tomu reinstalovat.
Nyní opět proveďte restart serveru příkazem reboot, aby se v systému projevily všechny změny:
reboot
Po restartu systému se ještě pomocí výchozích údajů ( user: admin pass: ispadmin ) přihlašte do webového rozhraní a změňte heslo správce systému “admin” v záložce “Nastavení / Adminstrátoři” na nějaké vlastní, více bezpečné.
Aktivace licence
Pro plnohodnotné používání systému ISPadmin je potřeba zakoupit a posléze oživit licenci na určitý počet uživatelů. Soubor licence.php, který obdržíte emailem je potřeba nakopírovat do adresáře /data/support/ispadmin/config/. K nakopírování souboru na server je možné použít program scp nebo z Windows winscp, který je možné stáhnout na http://www.winscp.org.
Nakonec je potřeba do souboru /data/support/ispadmin/config/config.php zadat platný licenční klíč. Například: KEY = 22-A8C2-12D3.
Při dalším přihlášení do webového rozhraní ISPadmin už bude Vaše licence aktivní.
Update na poslední stabilní verzi
Pokud již máte Vaši instalaci správně nakonfigurovanou, v příkazové řádce spusťte příkaz pro update na poslední verzi systému ISPadmin. Provede se spojení na hlavní server, stažení aktualizačních souborů a jejich instalace. Update obvykle trvá několik minut, ale v některých vyjímečných případech i více než 30 minut. V každém případě vyčkejte než se na obrazovce objeví hlášení Update dokončen. Nyní budete mít k dispozici plně aktuální verzi systému ISPadmin se všemi opravami a novými funkcemi.
ispadmin_update stable
Zabezpečení systému
Abyste předešly útokům na server a jeho následnému zneužití je nutné nastavit přímo v ISPadminovi firewall. Pokud si přejete přistupovat na server vzdáleně, bude potřeba nadefinovat příslušná pravidla firewallu pro povolení komunikace přes ssh a další protokoly jen z opravdu nezbytně nutných IP adres(sítí). Toto provedete přes webové rozhraní administrace systému v záložce Nastavení / Systémové nastavení / Zabezpečení, kde SSH přístup povolíte jen pro administrátorské stanice nebo přímo jen pro celou Vaši síť.