Apache-palvelimen suojaaminen CentOS 6:ssa

Palvelimen turvaamisen yhteydessä on helppo käyttää pikanäppäimiä, mutta vaarana on tietojen menettäminen, jos hyökkääjä saa pääkäyttäjän oikeudet mihin tahansa palvelimistasi. Jopa yksinkertaisissa asennuksissa sinun on suojattava palvelimesi etukäteen. Palvelimien suojaaminen on laaja aihe, ja se vaihtelee käyttöjärjestelmän ja niillä käytettävien sovellusten mukaan.

Tämä opetusohjelma keskittyy Apachen turvaamiseen CentOS 6:ssa. Asennuksen jälkeisellä vaiheella voit suojautua oikeuksien eskaloitumiselta ja alioikeutetuilta hyökkäyksiltä.

Pidemättä puhetta, aloitetaan.

Vaihe 1 - Asenna verkkopalvelin

Tietenkin, jos sinulla ei ole Apachea tai PHP:tä asennettuna, sinun tulee tehdä se nyt. Suorita tämä komento pääkäyttäjänä tai käytä sudoa:

yum install httpd php

Vaihe 2 - Kotihakemistojen suojaaminen

Nyt kun Apache on asennettu, mennään eteenpäin ja aloitetaan sen suojaaminen. Ensinnäkin haluamme varmistaa, että muiden käyttäjien hakemistoja ei näe kukaan muu kuin omistaja. Muutamme kaikki kotihakemistot arvoon 700, jotta vain kotihakemistojen omistajat voivat tarkastella omia tiedostojaan. Suorita tämä komento pääkäyttäjänä tai käytä sudoa:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Jokerimerkkejä käyttämällä peitämme kaikki kotihakemistossa tällä hetkellä olevat tiedostot.

Vaihe 3 – Asenna suojauskorjaus Apachelle käyttäjien oikeuksien erottamiseksi

Ennen kuin korjaamme Apachen, meidän on ensin asennettava arkisto, joka sisältää korjaustiedoston sisältävän paketin. Suorita seuraavat komennot pääkäyttäjänä (tai sudo).

yum install epel-release
yum install httpd-itk

"apache2-mpm-itk":llä voimme kertoa, minkä käyttäjän PHP:n tulee toimia virtuaalisen isäntäkoneen perusteella. Se lisää uuden määritysvaihtoehdon AssignUserId virtualhost-user virtualhost-user-group, jonka avulla voimme käskeä Apache/PHP:tä suorittamaan käyttäjäkoodin tietyllä käyttäjätilillä.

Jos jaat tämän palvelimen, oletan, että olet jo luonut virtuaalisen isännän Apachelle aiemmin. Siinä tapauksessa voit siirtyä vaiheeseen 4.

Vaihe 3 - Luo ensimmäinen virtuaalinen isäntä

Voit noudattaa alla olevaa mallia luodaksesi virtuaalisen isännän Apachessa.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Avaa suosikkitekstieditorisi /etc/httpd/conf.d/example-virtualhost.confja lisää siihen yllä oleva sisältö. Tässä on nanon käyttöä koskeva komento:

nano /etc/httpd/conf.d/example-virtualhost.conf

Selitän kokoonpanon tässä. Kun me määritämme "NameVirtualHost", me itse asiassa kertoo web-palvelimen, että olemme hosting useita verkkotunnuksia on yksi IP . Nyt tässä esimerkissä käytin mytest.websiteesimerkkiverkkotunnusta. Vaihda se omaasi tai valitsemaasi verkkotunnukseen. DocumentRootSe kertoo Apachelle, missä sisältö sijaitsee. ServerNameon ohje, jonka avulla kerromme Apachelle verkkosivuston verkkotunnuksen. Ja viimeinen tagi, </VirtualHost>, joka kertoo Apachelle, että virtuaalisen isäntäkokoonpanon loppu on.

Vaihe 4 - Apachen määrittäminen toimimaan toisena käyttäjänä

Kuten aiemmin mainittiin, osa palvelimesi suojaamisesta sisältää Apachen/PHP:n käyttämisen erillisenä käyttäjänä jokaiselle virtuaaliselle isännälle. Apachen käskeminen tekemään tämä on helppoa korjaustiedoston asentamisen jälkeen - sinun tarvitsee vain lisätä:

AssignUserId vhost-user vhost-user-group

... määritykseesi. Tältä esimerkkinä oleva virtuaalinen isäntä näyttäisi, kun olemme lisänneet tämän vaihtoehdon:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

Taika on rivillä, joka alkaa kirjaimella AssignUserId. Tällä vaihtoehdolla kerromme Apachea/PHP:tä toimimaan seuraavana käyttäjänä/ryhmänä.

Vaihe 5 - Piilota Apachen versio

Tämä vaihe on melko yksinkertainen; avaa vain Apachen määritystiedosto suorittamalla seuraava komento pääkäyttäjänä:

nano /etc/httpd/conf/httpd.conf

Etsi "ServerTokens" ja muuta sen jälkeen olevaksi vaihtoehdoksi "ProductOnly". Tämä käskee Apachea paljastamaan vain, että se on "Apache" eikä "Apache/2.2" tai jotain vastaavaa.

Vaihe 6 - Käynnistä Apache uudelleen muutosten soveltamiseksi

Nyt kun olemme turvanneet palvelimen, meidän on käynnistettävä Apache-palvelin uudelleen. Tee tämä suorittamalla seuraava komento pääkäyttäjänä tai sudolla:

service httpd restart

Johtopäätös

Nämä ovat vain muutamia vaiheita, joiden avulla voit suojata palvelimesi. Jälleen kerran, vaikka joku, johon luotat, isännöi verkkosivustoa palvelimellasi, sinun tulee suunnitella sen suojaaminen. Yllä olevissa tilanteissa, vaikka käyttäjätili vaarantuisi, hyökkääjä ei pääse käyttämään koko palvelinta.