Po dokončení základní instalace je potřeba si zvolit symbolické DNS adresy pro přístup do administrátorského webového rozhraní a do portálu klienta. Vybraná jména musí být domény minimálně třetího řádu.
Inspirovat se můžete následujícími příklady:
- Administrátorské rozhraní: ispadmin.vasefirma.cz, admin.vasefirma.cz, sprava.vasefirma.cz…
- Klientský portál: klient.vasefirma.cz, zakaznik.vasefirma.cz, portal.vasefirma.cz, support.vasefirma.cz…
Pro zvolené symbolické adresy musí být vytvořeny dva DNS záznamy směřující na IP adresu instalovaného serveru ISPadmin. Tyto záznamy většinou musí na Vaši žádost nastavit Váš poskytovatel konektivity nebo si je můžete prostřednictvím nějakého svého účtu u poskytovatele nastavit sami (postup se liší od poskytovatele).
Nastavení doménových jmen
Pokud vytvořené DNS záznamy správně ukazují na Váš server, otestujte záznamy příkazem ping. Poté můžete opět pokračovat v konfiguraci systému.
ping admin.vasefirma.cz
Příkaz PING na vasefirma.cz [81.0.237.137] - 32 bajtů dat:
...
Statistika ping pro 81.0.237.137:
Pakety: Odeslané = 4, Přijaté = 4, Ztracené = 0 (ztráta 0%)
Pro naše účely předpokládejme, že IP adresa serveru je 10.0.0.1 přenatovaná na veřejnou IP 81.0.237.137. DNS záznamy tedy ukazují na IP 81.0.237.137 a server má nastavenou IP adresu 10.0.0.1
Do souboru /etc/hostname zadejte jméno serveru: admin
pico -w /etc/hostname
Do souboru /etc/hosts zapište IP adresu a hostname ve tvaru: 10.0.0.1 admin.vasefirma.cz klient.vasefirma.cz admin klient
pico -w /etc/hosts
V souboru /etc/apache2/httpd.conf upravíme označené adresy tak, aby soubor vypadal následovně:
pico -w /etc/apache2/httpd.conf
#Listen 81 ### zakomentujeme na začátku port 81
#Listen 82
#Listen 84
options FollowSymLinks
#NameVirtualHost 10.0.0.1:80 ### upravíme adresu pro virtuální hosty pro příslušné porty
#NameVirtualHost 10.0.0.1:443
### ISP Admin
<VirtualHost *:80> ### upravíme doménové jméno pro nezabezpečený přístup
ServerName admin.vasefirma.cz
DocumentRoot "/data/support_nossl/"
</VirtualHost>
## ISP Admin SSL
<VirtualHost *:443>
ServerName admin.vasefirma.cz
DocumentRoot "/data/support/ispadmin/"
AddDefaultCharset UTF-8
<Directory /data/support/ispadmin/>
Options ExecCGI
AllowOverride All
</Directory>
CustomLog /var/log/apache2/access_support_ispadmin.log combined
AddType application/x-httpd-php .php .php3 .php4
php_admin_value open_basedir "/data/support/:/tmp/:/data/:/usr/local/script/ispadmin/:/data/backup/"
php_admin_value include_path ".:/usr/local/lib/php/:/tmp/:/data/support/:/usr/local/script/ispadmin/"
php_admin_value disable_functions "openlog, exec, passthru, proc_open, proc_close, shell_exec"
php_admin_value display_errors "On"
php_admin_value safe_mode "Off"
php_admin_value safe_mode_exec_dir "/usr/local/script/ispadmin/"
php_admin_value safe_mode_allowed_env_vars none
php_admin_value safe_mode_include_dir ".:/usr/local/lib/php/:/tmp/:/data/support/:/usr/local/script/ispadmin/" php_admin_value register_globals "On"
php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript."
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/httpd/conf/cert/server.crt
SSLCertificateKeyFile /etc/httpd/conf/cert/server.key
SSLCertificateChainFile /etc/httpd/conf/cert/ca.crt
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
</VirtualHost>
#### ISP Admin support
#<VirtualHost 192.168.1.100:80>
# DocumentRoot "/data/support_nossl/"
#</VirtualHost>
## ISP Admin support SSL
<VirtualHost *:80>
ServerName klient.vasefirma.cz
DocumentRoot "/data/support/ispadmin/new/www/clientinterface/"
AddDefaultCharset UTF-8
<Directory /data/support/ispadmin/new/www/clientinterface/>
Options ExecCGI
AllowOverride All
</Directory>
CustomLog /var/log/apache2/access_support_ispadmin_support.log combined
AddType application/x-httpd-php .php .php3 .php4
php_admin_value open_basedir "/data/support/ispadmin/:/tmp/:/usr/local/script/ispadmin/"
php_admin_value include_path ".:/usr/local/lib/php/"
php_admin_value disable_functions "openlog, exec, passthru, proc_open, proc_close, shell_exec"
php_admin_value display_errors "On"
php_admin_value safe_mode "Off"
php_admin_value register_globals "On"
# SSLEngine on
# SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
# SSLCertificateFile /etc/httpd/conf/cert/server.crt
# SSLCertificateKeyFile /etc/httpd/conf/cert/server.key
# SSLCertificateChainFile /etc/httpd/conf/cert/ca.crt
# SetEnvIf User-Agent ".*MSIE.*" \
# nokeepalive ssl-unclean-shutdown \
# downgrade-1.0 force-response-1.0
</VirtualHost>
<Directory /data/support/>
Options ExecCGI FollowSymLinks
AllowOverride None
</Directory>
<Directory /data/support/ispadmin/new/www/clientinterface/>
Options ExecCGI
AllowOverride All
</Directory>
include /usr/local/script/ispadmin/apache_ispadmin_vhost.conf
Další kroky, které je potřeba učinit:
Nastavení hesel
Důrazně doporučujeme dodržovat zádady tzv. silných hesel. Tímto způsobem značně omezíte možnost kompromitování (hacknutí) systému, databáze i samotné aplikace.
V žádném případě neprovozujte ISPadmin s výchozími hesly, které obsahovala čistá instalace!
Jeden příklad: Dejme tomu, že byste chtěli nějaké snadno zapamatovatelné heslo, které ovšem vyhovuje požadavkům na silné heslo: obsahuje velká i malá písmena, čísla a speciální znaky a je dlouhé alespoň 8 znaků.
Slabé heslo: frantavomacka
Transformace slabého hesla na silné:
1) Místo některých malých písmen dáte velká písmena - tím splníte podmínku o velkých a malých písmenech.
2) Místo písmene "o" dáte číslovku "0", místo písmene "i" nebo "l" dáte číslovku "1" nebo na konec hesla dopíšete několik čísel - tím splníte podmínku o číslovkách v hesle.
3) Místo písmene "a" dáte speciální znak zavináč "@" nebo mezi slovy frantavomacka použitete znak podržítko "_" - tím splníte podmínku o speciálních znacích v hesle.
Silné heslo: Fr@nta_V0macka957
Přenastavte výchozí hesla do SQL databáze na svá vlastní hesla, nápovědu zobrazíte příkazem:
/usr/local/script/ispadmin/ispadmin_change_pass.pl
Změna defaultního hesla uživatele SQL DB "ispadmin":
/usr/local/script/ispadmin/ispadmin_change_pass.pl ispadmin ispadmin nove_heslo
Změna defaultního hesla administrátora SQL DB "root":
/usr/local/script/ispadmin/ispadmin_change_pass.pl mysql_root ispadmin nove_heslo
Také změňte heslo uživateli root pro přístup do systému Linux přes SSH:
passwd root
Změny hesla se nemusíte bát. Pokud by se stalo to, že si heslo změníte a nebudete vědět jaké tam máte nastavené, kontaktujte naši technickou podporu. Systém není nutné kvůli tomu reinstalovat.
Nyní opět proveďte restart serveru příkazem reboot, aby se v systému projevily všechny změny:
reboot
Po restartu systému se přihlašte ještě pomocí výchozích údajů (uživatel: admin, heslo: ispadmin) do webového rozhraní a změňte heslo správce systému “admin” v záložce Nastavení Administrátoři Administrátoři na nějaké vlastní, více bezpečné (dle zásad tvorby silných hesel).
Aktivace licence
Pro plnohodnotné používání systému ISPadmin je potřeba zakoupit a posléze oživit licenci na určitý počet klientů.
Update na poslední stabilní verzi
Pokud již máte Vaši instalaci správně nakonfigurovanou, v příkazové řádce spusťte příkaz pro update na poslední verzi systému ISPadmin.
Zabezpečení systému
Abyste předešli útokům na server a jeho následnému zneužití, je nutné nastavit přímo v ISPadminovi firewall. Pokud si přejete přistupovat na server vzdáleně, bude potřeba nadefinovat příslušná pravidla firewallu pro povolení komunikace přes ssh a další protokoly jen z opravdu nezbytně nutných IP adres(sítí). Toto provedete přes webové rozhraní administrace systému v záložce Nastavení Systémové nastavení Zabezpečení, kde SSH přístup povolíte jen pro administrátorské stanice nebo přímo jen pro celou Vaši síť.
Zálohování
Zásadní věc, která bezesporu patří mezi první kroky při nasazení systému, je zálohování. Je důležité si uvědomit, že celý business Vaší ISP firmy bude nyní velmi závislý na dostupnosti systému ISPadmin. Obnovení systému ze zálohy je možné provést v řádech desítek minut, což je pro firmu zajištující konektivitu stovkám domácností a desítkám firem v případě nenadálého selhání systému zcela zásadní.
Zkrátka zálohy jsou naprostý základ pro úspěšné provozování jakéhokoliv systému takového rozsahu jako je ISPadmin, proto zálohování nepodceňujte.