Apache servera nodrošināšana operētājsistēmā CentOS 6

Nodrošinot serveri, ir viegli izmantot saīsnes, taču jūs riskējat zaudēt datus, ja uzbrucējs iegūs root piekļuvi kādam no jūsu serveriem. Pat vienkāršas instalēšanas gadījumā serveris ir iepriekš jāaizsargā. Serveru aizsardzība ir plaša tēma, un tā atšķiras atkarībā no OS un tajos palaistajām lietojumprogrammām.

Šajā apmācībā galvenā uzmanība ir pievērsta Apache aizsardzībai operētājsistēmā CentOS 6. Pēc instalēšanas varat veikt dažas darbības, lai pasargātu sevi no privilēģiju eskalācijas, kā arī no mazpriviliģētiem uzbrukumiem.

Sāksim bez turpmākas piepūles.

1. darbība — tīmekļa servera instalēšana

Protams, ja jums nav instalēts Apache vai PHP, jums tas jādara tagad. Izpildiet šo komandu kā root lietotājs vai izmantojiet sudo:

yum install httpd php

2. darbība – mājas direktoriju nodrošināšana

Tagad, kad Apache ir instalēts, turpināsim un sāksim to nodrošināt. Pirmkārt, mēs vēlamies pārliecināties, ka citu lietotāju katalogi nav redzami nevienam, izņemot īpašnieku. Mēs pārveidosim visus mājas direktorijus uz 700, lai tikai attiecīgie mājas direktoriju īpašnieki varētu skatīt savus failus. Palaidiet šo komandu kā root vai izmantojiet sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Izmantojot aizstājējzīmes, mēs aptveram visus failus, kas pašlaik atrodas mājas direktorijā.

3. darbība — lietojiet Apache drošības ielāpu, lai nodalītu lietotāja privilēģijas

Pirms Apache ielāpēšanas mums vispirms jāinstalē repozitorijs, kurā ir pakotne ar ielāpu. Palaidiet šādas komandas kā root (vai sudo).

yum install epel-release
yum install httpd-itk

Izmantojot "apache2-mpm-itk", mēs varam noteikt, kuram lietotājam PHP ir jādarbojas, pamatojoties uz virtuālo resursdatoru. Tas pievieno jaunu konfigurācijas opciju AssignUserId virtualhost-user virtualhost-user-group, kas ļauj mums norādīt Apache/PHP izpildīt lietotāja kodu noteiktā lietotāja kontā.

Ja koplietojat šo serveri, pieņemu, ka esat jau iepriekš izveidojis Apache virtuālo resursdatoru. Tādā gadījumā varat pāriet uz 4. darbību.

3. darbība. Pirmā virtuālā saimniekdatora izveide

Varat sekot tālāk norādītajai veidnei, lai Apache izveidotu virtuālo resursdatoru.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Atveriet savu iecienītāko teksta redaktoru /etc/httpd/conf.d/example-virtualhost.confun pēc tam pievienojiet tam iepriekš minēto saturu. Šeit ir nano izmantošanas komanda:

nano /etc/httpd/conf.d/example-virtualhost.conf

Šeit paskaidrošu konfigurāciju. Kad mēs norādiet "NameVirtualHost", mēs esam patiesībā stāsta tīmekļa serveri, kas mēs esam hostinga vairākus domēnus uz vienu IP . Tagad šajā piemērā es izmantoju mytest.websitekā domēna piemēru. Mainiet to uz savu vai jūsu izvēlētu domēnu. DocumentRootir tas, kas norāda Apache, kur saturs atrodas. ServerNameir direktīva, ko izmantojam, lai norādītu Apache vietnes domēnu. Un pēdējais tags , </VirtualHost>kas norāda Apache, ka virtuālā resursdatora konfigurācija ir beigusies.

4. darbība — Apache konfigurēšana, lai tā darbotos kā citam lietotājam

Kā minēts iepriekš, daļa no jūsu servera drošības ietver Apache/PHP palaišanu kā atsevišķu lietotāju katram virtuālajam resursdatoram. Likt Apache to darīt ir vienkārši pēc tam, kad esam uzlikuši ielāpu — viss, kas jums jādara, ir jāpievieno:

AssignUserId vhost-user vhost-user-group

... jūsu konfigurācijai. Lūk, kā izskatīsies virtuālā saimniekdatora piemērs pēc šīs opcijas pievienošanas:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

Maģija atrodas rindā, kas sākas ar AssignUserId. Izmantojot šo opciju, mēs piedāvājam Apache/PHP darboties kā šim lietotājam/grupai.

5. darbība — Apache versijas slēpšana

Šis solis ir diezgan vienkāršs; vienkārši atveriet Apache konfigurācijas failu, izpildot šādu komandu kā saknes lietotājs:

nano /etc/httpd/conf/httpd.conf

Atrodiet "ServerTokens" un nomainiet opciju aiz tā uz "ProductOnly". Tas liek Apache atklāt tikai to, ka tas ir "Apache", nevis "Apache/2.2" vai kaut kas līdzīgs.

6. darbība — Apache restartēšana, lai lietotu izmaiņas

Tagad, kad esam nodrošinājuši serveri, mums ir jārestartē Apache serveris. Dariet to, izpildot šo komandu kā root vai ar sudo:

service httpd restart

Secinājums

Šīs ir tikai dažas darbības, kuras varat veikt, lai aizsargātu savu serveri. Arī tad, ja vietni jūsu serverī mitina kāds, kuram jūs uzticaties, jums vajadzētu plānot to aizsargāt. Iepriekš minētajos gadījumos pat tad, ja lietotāja konts ir apdraudēts, uzbrucējs nevarēs piekļūt visam serverim.