Det er enkelt å ta snarveier når du sikrer en server, men du vil risikere tap av data i tilfelle en angriper får root-tilgang til noen av serverne dine. Selv for enkle installasjoner må du sikre serveren din på forhånd. Sikring av servere er et bredt emne, og varierer avhengig av operativsystemet og applikasjonene som kjøres på dem.
Denne opplæringen fokuserer på å sikre Apache under CentOS 6. Det er noen få trinn etter installasjonen du kan ta for å beskytte deg mot privilegieeskalering, så vel som underprivilegerte angrep.
Uten videre, la oss komme i gang.
Selvfølgelig, hvis du ikke har Apache eller PHP installert, bør du gjøre det nå. Utfør denne kommandoen som root-bruker, eller bruk sudo:
yum install httpd php
Nå som Apache er installert, la oss gå videre og begynne å sikre den. For det første vil vi sørge for at andre brukeres kataloger ikke er synlige for noen bortsett fra eieren. Vi vil endre alle hjemmekataloger til 700, slik at bare de respektive eierne av hjemmekatalogene kan se sine egne filer. Kjør denne kommandoen som root, eller bruk sudo:
chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*
Ved å bruke jokertegn dekker vi alle filene som for øyeblikket ligger i hjemmekatalogen.
Før vi patcher Apache, må vi først installere depotet som inneholder pakken med patchen. Kjør følgende kommandoer som root (eller sudo).
yum install epel-release
yum install httpd-itk
Med "apache2-mpm-itk" kan vi fortelle hvilken bruker PHP skal kjøres som basert på den virtuelle verten. Den legger til et nytt konfigurasjonsalternativ AssignUserId virtualhost-user virtualhost-user-group, som lar oss fortelle Apache/PHP å kjøre brukerkode under en spesifikk brukerkonto.
Hvis du deler denne serveren, antar jeg at du allerede har opprettet en virtuell vert for Apache før. I så fall kan du hoppe til trinn 4.
Du kan følge malen nedenfor for å opprette en virtuell vert i Apache.
NameVirtualHost mytest.website
<VirtualHost mytest.website>
DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>
Åpne favoritttekstredigeringsprogrammet, /etc/httpd/conf.d/example-virtualhost.confog legg deretter innholdet ovenfor inn i det. Her er kommandoen for bruk av nano:
nano /etc/httpd/conf.d/example-virtualhost.conf
La meg forklare konfigurasjonen her. Når vi spesifiserer "NameVirtualHost", forteller vi faktisk webserveren at vi er vert for flere domener på én IP . Nå, i dette eksemplet, brukte jeg mytest.websitesom et eksempeldomene. Endre det til ditt, eller et domene du ønsker. DocumentRooter det som forteller Apache hvor innholdet er plassert. ServerNameer et direktiv vi bruker for å fortelle Apache nettstedets domene. Og en siste kode, </VirtualHost>, som forteller Apache at det er slutten på den virtuelle vertskonfigurasjonen.
Som nevnt tidligere inkluderer en del av sikringen av serveren din å kjøre Apache/PHP som en separat bruker for hver virtuelle vert. Å fortelle Apache å gjøre dette er enkelt etter at vi har brukt oppdateringen - alt du trenger å gjøre er å legge til:
AssignUserId vhost-user vhost-user-group
... til din konfigurasjon. Slik vil den virtuelle verten se ut etter at vi har lagt til dette alternativet:
NameVirtualHost mytest.website
<VirtualHost mytest.website>
DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group
</VirtualHost>
Magien er i linjen som begynner med AssignUserId. Med dette alternativet ber vi Apache/PHP å kjøre som følgende bruker/gruppe.
Dette trinnet er ganske enkelt; bare åpne Apaches konfigurasjonsfil ved å utføre følgende kommando som root-bruker:
nano /etc/httpd/conf/httpd.conf
Finn "ServerTokens", og endre alternativet etter det til "ProductOnly". Dette forteller Apache å bare avsløre at det er "Apache", i stedet for "Apache/2.2" eller noe lignende.
Nå som vi har sikret serveren, må vi starte Apache-serveren på nytt. Gjør dette ved å kjøre følgende kommando som root eller med sudo:
service httpd restart
Dette er bare noen få trinn du kan ta for å sikre serveren din. Nok en gang, selv om det er noen du stoler på som er vert for et nettsted på serveren din, bør du planlegge å beskytte det. I scenariene ovenfor, selv om en brukerkonto er kompromittert, vil ikke angriperen ha fått tilgang til hele serveren.
Kunstig intelligens er ikke i fremtiden, det er her akkurat i nåtiden I denne bloggen Les hvordan kunstig intelligens-applikasjoner har påvirket ulike sektorer.
Er du også et offer for DDOS-angrep og forvirret over forebyggingsmetodene? Les denne artikkelen for å løse spørsmålene dine.
Du har kanskje hørt at hackere tjener mye penger, men har du noen gang lurt på hvordan tjener de den slags penger? la oss diskutere.
Vil du se revolusjonerende oppfinnelser fra Google og hvordan disse oppfinnelsene forandret livet til alle mennesker i dag? Les deretter til bloggen for å se oppfinnelser fra Google.
Konseptet med selvkjørende biler som skal ut på veiene ved hjelp av kunstig intelligens er en drøm vi har hatt en stund nå. Men til tross for flere løfter, er de ingen steder å se. Les denne bloggen for å lære mer...
Ettersom vitenskapen utvikler seg raskt og tar over mye av innsatsen vår, øker også risikoen for å utsette oss for en uforklarlig singularitet. Les hva singularitet kan bety for oss.
Les bloggen for å kjenne ulike lag i Big Data Architecture og deres funksjoner på den enkleste måten.
Lagringsmetodene for dataene har vært i utvikling kan være siden fødselen av dataene. Denne bloggen dekker utviklingen av datalagring på grunnlag av en infografikk.
I denne digitaldrevne verden har smarthusenheter blitt en avgjørende del av livet. Her er noen fantastiske fordeler med smarthusenheter om hvordan de gjør livet vårt verdt å leve og enklere.
Nylig lanserte Apple macOS Catalina 10.15.4 en tilleggsoppdatering for å fikse problemer, men det ser ut til at oppdateringen forårsaker flere problemer som fører til muring av mac-maskiner. Les denne artikkelen for å lære mer
