Neben dem Debian hardening.sh Skript in Version 5 ist auch das LAMP Stack Setup Skript in Version 5 verfügbar. Mit dem CISS.2024.hardened.webstack Script wird ein kompletter LAMP Stack eingerichtet. Vollautomatisiert und ausgerichtet nach den aktuellen Best Practices und mit dem Fokus auf ein von Haus aus besonders gehärtetes System.
Features sind unter anderem:
- Alle kostenlosen RSA-4096-Bit-Zertifikate für
your-domain.tldundphpmyadmin.your-domain.tldmit einer Gültigkeit von 180 Tagen werden vollautomatisch generiert und installiert. - nginx-Setup: nur die stärksten Ciphersuites werden ausgewählt:
ECDHE-ECDSA-AES256-GCM-SHA384,ECDHE-ECDSA-CHACHA20-POLY1305,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-RSA-CHACHA20-POLY1305. - nginx-Setup: nur die stärksten elliptischen Kurven werden ausgewählt:
X448,secp521r1,secp384r1. - nginx setup: alle aktuellen http-Header sind voreingestellt, um maximale Sicherheit gegen gängige Web-Angriffe zu gewährleisten.
- Gehärtetes nginx fail2ban: inklusive:
http-auth,bad-request,botsearch,directory-listingjails und vorkonfigurierter bantime von 1 Tag. - Vorkonfiguriertes
http-authSetup und Standardaktivierung wenn PHPMyAdmin Setup ausgewählt ist. - Gehärtete PHPMyAdmin-Installation, falls gewünscht.
- Redis bindet nur auf
localhostundREDISPASSist standardmäßig installiert. - Folgende Komponenten werden installiert:
- acme.sh (unterstützt von buypass)
- Docker 27.0.3
- Docker Compose v2.29.1
- Maria DB LTS 11.4.2
- nginx 1.27 / mainline
- PHP 8.3.9
- PHPMyAdmin 5.2.1
- Redis (5:7.0.15-1~deb12u1)
- HTTP/3 und QUIC werden dank nginx 1.27 native unterstützt, bitte denken Sie daran in Ihrer DNS-Zone zusätzlich die modernen HTTPS/SVCB Resource Records zu setzen, damit bereits bei der DNS-Auflösung hints zur unterstützten Protokollversion ausgeliefert werden.