Að tryggja Apache netþjón á CentOS 6

Það er auðvelt að taka flýtileiðir þegar þú tryggir netþjón, en þú átt á hættu að tapa gögnum ef árásarmaður fær rótaraðgang að einhverjum af netþjónum þínum. Jafnvel fyrir einfaldar uppsetningar þarftu að tryggja netþjóninn þinn fyrirfram. Öryggi netþjóna er víðtækt umræðuefni og er mismunandi eftir stýrikerfinu og forritunum sem keyrt er á þeim.

Þessi kennsla fjallar um að tryggja Apache undir CentOS 6. Það eru nokkur skref eftir uppsetningu sem þú getur tekið til að vernda þig gegn auknum forréttindum, sem og árásum sem eru undir forréttindum.

Án frekari ummæla skulum við byrja.

Skref 1 - Uppsetning vefþjónsins

Auðvitað, ef þú ert ekki með Apache eða PHP uppsett, ættirðu að gera það núna. Framkvæmdu þessa skipun sem rótnotandinn, eða notaðu sudo:

yum install httpd php

Skref 2 - Að tryggja heimilisskrárnar þínar

Nú þegar Apache er sett upp skulum við halda áfram og byrja að tryggja það. Í fyrsta lagi viljum við ganga úr skugga um að möppur annarra notenda séu ekki sýnilegar fyrir neinn nema eigandann. Við munum breyta öllum heimamöppum í 700, þannig að aðeins viðkomandi eigendur heimamöppanna geti skoðað sínar eigin skrár. Keyrðu þessa skipun sem rót, eða notaðu sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Með því að nota jokertákn erum við að ná yfir allar skrárnar sem eru í heimaskránni.

Skref 3 - Notaðu öryggisplástur á Apache til að aðgreina notendaréttindi

Áður en við plástra Apache þurfum við fyrst að setja upp geymsluna sem inniheldur pakkann með plástrinum. Keyrðu eftirfarandi skipanir sem rót (eða sudo).

yum install epel-release
yum install httpd-itk

Með „apache2-mpm-itk“ getum við sagt hvaða notandi PHP ætti að keyra út frá sýndarhýslinum. Það bætir við nýjum stillingarvalkosti AssignUserId virtualhost-user virtualhost-user-group, sem gerir okkur kleift að segja Apache/PHP að keyra notandakóða undir tilteknum notendareikningi.

Ef þú ert að deila þessum netþjóni geri ég ráð fyrir að þú hafir þegar búið til sýndargestgjafa fyrir Apache áður. Í því tilviki geturðu farið yfir í skref 4.

Skref 3 - Að búa til fyrsta sýndargestgjafann þinn

Þú getur fylgst með sniðmátinu hér að neðan til að búa til sýndargestgjafa í Apache.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Opnaðu uppáhalds textaritilinn þinn /etc/httpd/conf.d/example-virtualhost.confog bættu síðan efninu hér að ofan í hann. Hér er skipunin til að nota nano:

nano /etc/httpd/conf.d/example-virtualhost.conf

Leyfðu mér að útskýra uppsetninguna hér. Þegar við tilgreinum „NameVirtualHost“ erum við í raun að segja vefþjóninum að við hýsum mörg lén á einni IP . Nú, í þessu dæmi, notaði ég mytest.websitesem dæmi um lén. Breyttu því í þitt, eða lén að eigin vali. DocumentRooter það sem segir Apache hvar efnið er staðsett. ServerNameer tilskipun sem við notum til að segja Apache lén vefsíðunnar. Og eitt síðasta merki, </VirtualHost>, sem segir Apache að það sé endirinn á uppsetningu sýndarhýsilsins.

Skref 4 - Stilla Apache til að keyra sem annar notandi

Eins og áður hefur komið fram, felur hluti af því að tryggja þjóninn þinn í sér að keyra Apache/PHP sem aðskilinn notanda fyrir hvern sýndarhýsil. Að segja Apache að gera þetta er einfalt eftir að við höfum sett plásturinn á - allt sem þú þarft að gera er að bæta við:

AssignUserId vhost-user vhost-user-group

... við stillingar þínar. Svona myndi dæmigerð sýndargestgjafi líta út eftir að við höfum bætt við þessum valkosti:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

Galdurinn er í línunni sem byrjar á AssignUserId. Með þessum valkosti erum við að segja Apache/PHP að keyra sem eftirfarandi notandi/hóp.

Skref 5 - Fela útgáfu Apache

Þetta skref er frekar einfalt; opnaðu bara stillingarskrá Apache með því að framkvæma eftirfarandi skipun sem rótnotandi:

nano /etc/httpd/conf/httpd.conf

Finndu "ServerTokens" og breyttu valkostinum á eftir honum í "ProductOnly". Þetta segir Apache að sýna aðeins að það sé "Apache", í staðin fyrir "Apache/2.2" eða eitthvað álíka.

Skref 6 - Endurræstu Apache til að beita breytingunum

Nú þegar við höfum tryggt þjóninn verðum við að endurræsa Apache þjóninn. Gerðu þetta með því að keyra eftirfarandi skipun sem rót eða með sudo:

service httpd restart

Niðurstaða

Þetta eru aðeins nokkur skref sem þú getur tekið til að tryggja þjóninn þinn. Enn og aftur, jafnvel þótt það sé einhver sem þú treystir sem hýsir vefsíðu á netþjóninum þínum, ættir þú að ætla að vernda hana. Í atburðarásinni hér að ofan, jafnvel þótt notandareikningur sé í hættu, mun árásarmaðurinn ekki hafa fengið aðgang að öllum netþjóninum.