Sikring af en Apache-server på CentOS 6

Det er nemt at tage genveje, når du sikrer en server, men du risikerer datatab i tilfælde af, at en angriber får root-adgang til en af ​​dine servere. Selv ved simple installationer skal du sikre din server på forhånd. Sikring af servere er et bredt emne og varierer afhængigt af OS og applikationer, der køres på dem.

Denne vejledning fokuserer på at sikre Apache under CentOS 6. Der er et par trin efter installationen, du kan tage for at beskytte dig selv mod privilegieeskalering såvel som underprivilegerede angreb.

Lad os uden videre komme i gang.

Trin 1 - Installation af webserveren

Selvfølgelig, hvis du ikke har Apache eller PHP installeret, skal du gøre det nu. Udfør denne kommando som root-bruger, eller brug sudo:

yum install httpd php

Trin 2 - Sikring af dine hjemmemapper

Nu hvor Apache er installeret, lad os gå videre og begynde at sikre det. For det første vil vi sikre os, at andre brugeres mapper ikke er synlige for andre end ejeren. Vi chmoder alle hjemmemapper til 700, så kun de respektive ejere af hjemmekatalogerne kan se deres egne filer. Kør denne kommando som root, eller brug sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Ved at bruge jokertegn dækker vi alle de filer, der i øjeblikket findes i hjemmemappen.

Trin 3 - Anvend en sikkerhedsrettelse til Apache for adskillelse af brugerrettigheder

Før vi patcher Apache, skal vi først installere det lager, der indeholder pakken med patchen. Kør følgende kommandoer som root (eller sudo).

yum install epel-release
yum install httpd-itk

Med "apache2-mpm-itk" kan vi fortælle hvilken bruger PHP skal køre som baseret på den virtuelle vært. Det tilføjer en ny konfigurationsmulighed AssignUserId virtualhost-user virtualhost-user-group, som giver os mulighed for at bede Apache/PHP om at udføre brugerkode under en specifik brugerkonto.

Hvis du deler denne server, antager jeg, at du allerede har oprettet en virtuel vært til Apache før. I så fald kan du springe til trin 4.

Trin 3 - Oprettelse af din første virtuelle vært

Du kan følge skabelonen nedenfor for at oprette en virtuel vært i Apache.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Åbn din foretrukne teksteditor til /etc/httpd/conf.d/example-virtualhost.confog tilføj derefter indholdet ovenfor til det. Her er kommandoen til at bruge nano:

nano /etc/httpd/conf.d/example-virtualhost.conf

Lad mig forklare konfigurationen her. Når vi angiver "NameVirtualHost", fortæller vi faktisk webserveren, at vi hoster flere domæner på én IP . Nu, i dette eksempel, brugte jeg mytest.websitesom et eksempeldomæne. Skift det til dit eller et domæne efter eget valg. DocumentRooter det, der fortæller Apache, hvor indholdet er placeret. ServerNameer et direktiv, vi bruger til at fortælle Apache hjemmesidens domæne. Og et sidste tag, </VirtualHost>, som fortæller Apache, at det er slutningen på den virtuelle værtskonfiguration.

Trin 4 - Konfiguration af Apache til at køre som en anden bruger

Som tidligere nævnt inkluderer en del af sikringen af ​​din server at køre Apache/PHP som en separat bruger for hver virtuel vært. At bede Apache om at gøre dette er nemt, efter at vi har påført patchen - alt du skal gøre er at tilføje:

AssignUserId vhost-user vhost-user-group

... til din konfiguration. Sådan ser den virtuelle vært ud efter at vi har tilføjet denne mulighed:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

Magien er i linjen, der begynder med AssignUserId. Med denne mulighed fortæller vi Apache/PHP at køre som følgende bruger/gruppe.

Trin 5 - Skjul Apaches version

Dette trin er ret simpelt; bare åbn Apaches konfigurationsfil ved at udføre følgende kommando som root-bruger:

nano /etc/httpd/conf/httpd.conf

Find "ServerTokens", og skift indstillingen efter den til "ProductOnly". Dette fortæller Apache kun at afsløre, at det er "Apache", i stedet for "Apache/2.2" eller noget lignende.

Trin 6 - Genstart Apache for at anvende ændringerne

Nu hvor vi har sikret serveren, skal vi genstarte Apache-serveren. Gør dette ved at køre følgende kommando som root eller med sudo:

service httpd restart

Konklusion

Dette er blot et par trin, du kan tage for at sikre din server. Endnu en gang, selvom det er en, du stoler på, der hoster et websted på din server, bør du planlægge at beskytte det. I ovenstående scenarier, selvom en brugerkonto er kompromitteret, vil angriberen ikke have fået adgang til hele serveren.