„Apache“ serverio apsauga „CentOS 6“.

Saugant serverį lengva naudoti sparčiuosius klavišus, tačiau rizikuojate prarasti duomenis, jei užpuolikas įgis root prieigą prie bet kurio iš jūsų serverių. Net ir atliekant paprastus diegimus, turite iš anksto apsaugoti serverį. Serverių apsauga yra plati tema ir skiriasi priklausomai nuo OS ir juose veikiančių programų.

Šioje mokymo programoje pagrindinis dėmesys skiriamas „Apache“ apsaugai naudojant „CentOS 6“. Po įdiegimo galite atlikti kelis veiksmus, kad apsisaugotumėte nuo privilegijų eskalavimo ir netinkamų atakų.

Nesivaržydami, pradėkime.

1 veiksmas – žiniatinklio serverio įdiegimas

Žinoma, jei nesate įdiegę Apache ar PHP, turėtumėte tai padaryti dabar. Vykdykite šią komandą kaip root vartotojas arba naudokite sudo:

yum install httpd php

2 veiksmas – namų katalogų apsauga

Dabar, kai „Apache“ įdiegta, eikime į priekį ir pradėkime jį apsaugoti. Pirma, norime įsitikinti, kad kitų vartotojų katalogų nematytų niekas, išskyrus savininką. Mes pakeisime visus namų katalogus į 700, kad tik atitinkami namų katalogų savininkai galėtų peržiūrėti savo failus. Vykdykite šią komandą kaip root arba naudokite sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Naudodami pakaitos simbolius, mes apimame visus failus, šiuo metu esančius pagrindiniame kataloge.

3 veiksmas – pritaikykite saugos pataisą „Apache“, kad atskirtumėte vartotojo teises

Prieš pataisydami „Apache“, pirmiausia turime įdiegti saugyklą, kurioje yra paketas su pataisa. Vykdykite šias komandas kaip root (arba sudo).

yum install epel-release
yum install httpd-itk

Naudodami „apache2-mpm-itk“ galime pasakyti, koks vartotojas PHP turėtų veikti, remiantis virtualiuoju kompiuteriu. Ji prideda naują konfigūracijos parinktį AssignUserId virtualhost-user virtualhost-user-group, kuri leidžia mums nurodyti Apache/PHP vykdyti vartotojo kodą pagal konkrečią vartotojo abonementą.

Jei bendrinate šį serverį, manau, kad jau anksčiau sukūrėte virtualų pagrindinį kompiuterį Apache. Tokiu atveju galite pereiti prie 4 veiksmo.

3 veiksmas – pirmojo virtualaus pagrindinio kompiuterio kūrimas

Galite vadovautis toliau pateiktu šablonu, kad sukurtumėte virtualų pagrindinį kompiuterį „Apache“.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Atidarykite savo mėgstamą teksto rengyklę /etc/httpd/conf.d/example-virtualhost.confir pridėkite aukščiau pateiktą turinį. Čia yra nano naudojimo komanda:

nano /etc/httpd/conf.d/example-virtualhost.conf

Leiskite man čia paaiškinti konfigūraciją. Kai mes nurodykite "NameVirtualHost", mes iš tikrųjų pasakoja interneto serverį, kad mes talpinimas kelis domenus į vieną IP . Dabar šiame pavyzdyje naudojau mytest.websitekaip pavyzdinį domeną. Pakeiskite jį į savo arba pasirinktą domeną. DocumentRootyra tai, kas nurodo „Apache“, kur yra turinys. ServerNameyra direktyva, kurią naudojame norėdami nurodyti „Apache“ svetainės domeną. Ir paskutinė žyma , </VirtualHost>kuri nurodo „Apache“, kad virtualaus pagrindinio kompiuterio konfigūracijos pabaiga.

4 veiksmas – „Apache“ konfigūravimas, kad jis veiktų kaip kitas vartotojas

Kaip minėta anksčiau, dalis jūsų serverio apsaugos apima „Apache“ / PHP paleidimą kaip atskirą vartotoją kiekvienam virtualiam kompiuteriui. Pritaikius pataisą, liepti „Apache“ tai padaryti paprasta – tereikia pridėti:

AssignUserId vhost-user vhost-user-group

... pagal jūsų konfigūraciją. Štai kaip atrodys virtualaus pagrindinio kompiuterio pavyzdys, kai pridėsime šią parinktį:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

Magija yra eilutėje, prasidedančioje AssignUserId. Naudodami šią parinktį, mes nurodome Apache/PHP, kad jis veiktų kaip šis vartotojas / grupė.

5 veiksmas – paslėpkite „Apache“ versiją

Šis žingsnis yra gana paprastas; tiesiog atidarykite „Apache“ konfigūracijos failą vykdydami šią komandą kaip pagrindinį vartotoją:

nano /etc/httpd/conf/httpd.conf

Raskite „ServerTokens“ ir pakeiskite po jo esančią parinktį į „ProductOnly“. Tai liepia „Apache“ tik atskleisti, kad tai „Apache“, o ne „Apache/2.2“ ar kažkas panašaus.

6 veiksmas – iš naujo paleiskite „Apache“, kad pritaikytumėte pakeitimus

Dabar, kai apsaugojome serverį, turime iš naujo paleisti „Apache“ serverį. Atlikite tai paleisdami šią komandą kaip root arba naudodami sudo:

service httpd restart

Išvada

Tai tik keli žingsniai, kuriuos galite atlikti norėdami apsaugoti savo serverį. Vėlgi, net jei jūsų serveryje svetainę priglobia asmuo, kuriuo pasitikite, turėtumėte planuoti ją apsaugoti. Pagal aukščiau nurodytus atvejus, net jei vartotojo abonementas yra pažeistas, užpuolikas neturės prieigos prie viso serverio.