Apache serveri turvamine CentOS 6-s

Serveri turvamisel on lihtne kasutada otseteid, kuid kui ründaja saab mõnele teie serverile juurjuurdepääsu, riskite andmete kadumisega. Isegi lihtsate installide puhul peate oma serveri eelnevalt kaitsma. Serverite turvamine on lai teema ja varieerub olenevalt OS-ist ja neis kasutatavatest rakendustest.

See õpetus keskendub Apache'i kaitsmisele operatsioonisüsteemi CentOS 6 all. On mõned installijärgsed toimingud, mida saate teha, et kaitsta end privileegide suurenemise ja ebasoodsate rünnakute eest.

Ilma pikema jututa alustame.

1. samm – veebiserveri installimine

Muidugi, kui teil pole Apache või PHP installitud, peaksite seda kohe tegema. Käivitage see käsk juurkasutajana või kasutage sudo:

yum install httpd php

2. samm – kodukataloogide kaitsmine

Nüüd, kui Apache on installitud, alustame selle turvamist. Esiteks tahame tagada, et teiste kasutajate katalooge ei näeks keegi peale omaniku. Muudame kõik kodukataloogid 700-ks, et ainult kodukataloogide vastavad omanikud saaksid oma faile vaadata. Käivitage see käsk administraatorina või kasutage sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Kasutades metamärke, katame kõik praegu kodukataloogis olevad failid.

3. samm – Rakendage Apache'ile kasutajaõiguste eraldamiseks turvapaiga

Enne Apache'i parandamist peame esmalt installima hoidla, mis sisaldab plaastriga paketti. Käivitage järgmised käsud administraatorina (või sudo).

yum install epel-release
yum install httpd-itk

"apache2-mpm-itk" abil saame virtuaalse hosti põhjal öelda, millise kasutajana PHP peaks töötama. See lisab uue konfiguratsioonivaliku AssignUserId virtualhost-user virtualhost-user-group, mis võimaldab meil käskida Apache'il/PHP-l käivitada kasutajakood konkreetse kasutajakonto all.

Kui jagate seda serverit, siis eeldan, et olete juba varem Apache jaoks virtuaalse hosti loonud. Sel juhul võite liikuda 4. sammu juurde.

3. samm – esimese virtuaalse hosti loomine

Apache'is virtuaalse hosti loomiseks võite järgida allolevat malli.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Avage oma lemmiktekstiredaktor /etc/httpd/conf.d/example-virtualhost.confja lisage sellele ülaltoodud sisu. Siin on nano kasutamise käsk:

nano /etc/httpd/conf.d/example-virtualhost.conf

Selgitan siin konfiguratsiooni. Kui me täpsustada "NameVirtualHost", me tegelikult räägib veebiserver, et me hosting mitmeid domeene kohta üks IP . Nüüd kasutasin mytest.websiteselles näites näidisdomeeni. Muutke see enda omaks või teie valitud domeeniks. DocumentRootsee annab Apache'ile teada, kus sisu asub. ServerNameon direktiiv, mida kasutame Apache'ile veebisaidi domeeni määramiseks. Ja viimane silt , </VirtualHost>mis ütleb Apache'ile, et see on virtuaalse hosti konfiguratsiooni lõpp.

4. samm – Apache'i konfigureerimine teise kasutajana töötama

Nagu varem mainitud, hõlmab osa teie serveri turvalisusest Apache/PHP käitamist iga virtuaalhosti jaoks eraldi kasutajana. Pärast plaastri paigaldamist on Apache'il seda teha lihtne käskida – kõik, mida pead tegema, on lisama:

AssignUserId vhost-user vhost-user-group

... teie konfiguratsioonile. Pärast selle valiku lisamist näeks näidis virtuaalne host välja järgmine:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

Maagia on real, mis algab tähega AssignUserId. Selle valiku korral käsime Apache'il/PHP-l käitada järgmise kasutaja/rühmana.

5. samm – Apache'i versiooni peitmine

See samm on üsna lihtne; lihtsalt avage Apache'i konfiguratsioonifail, käivitades juurkasutajana järgmise käsu:

nano /etc/httpd/conf/httpd.conf

Otsige üles "ServerTokens" ja muutke selle järel olevaks valikuks "ProductOnly". See käsib Apache'il ainult paljastada, et see on "Apache", mitte "Apache/2.2" või midagi sarnast.

6. samm – muudatuste rakendamiseks taaskäivitage Apache

Nüüd, kui oleme serveri kaitsnud, peame Apache serveri taaskäivitama. Tehke seda, käivitades järgmise käsu administraatorina või sudo abil:

service httpd restart

Järeldus

Need on vaid mõned sammud, mida saate oma serveri turvalisuse tagamiseks teha. Isegi kui teie serveris veebisaiti hostib keegi, keda usaldate, peaksite plaanima selle kaitsmise. Ülaltoodud stsenaariumide korral ei pääse ründaja isegi siis, kui kasutajakonto on rikutud, juurdepääsu kogu serverile.