Zaščita strežnika Apache na CentOS 6

Pri varovanju strežnika je enostavno uporabiti bližnjice, vendar tvegate izgubo podatkov, če napadalec pridobi root dostop do katerega koli od vaših strežnikov. Tudi za preproste namestitve morate predhodno zavarovati strežnik. Zaščita strežnikov je široka tema in se razlikuje glede na operacijski sistem in aplikacije, ki se izvajajo na njih.

Ta vadnica se osredotoča na varovanje Apache pod CentOS 6. Obstaja nekaj korakov po namestitvi, ki jih lahko izvedete, da se zaščitite pred stopnjevanjem privilegijev in napadi s premajhnimi privilegiji.

Brez odlašanja začnimo.

1. korak - Namestitev spletnega strežnika

Seveda, če nimate nameščenega Apache ali PHP, to storite zdaj. Izvedite ta ukaz kot root uporabnik ali uporabite sudo:

yum install httpd php

2. korak - Zaščita domačih imenikov

Zdaj, ko je Apache nameščen, pojdimo naprej in ga začnimo zavarovati. Najprej želimo zagotoviti, da imenikov drugih uporabnikov ne vidi nihče razen lastnika. Vse domače imenike bomo spremenili na 700, tako da si bodo lahko svoje datoteke ogledali samo ustrezni lastniki domačih imenikov. Zaženite ta ukaz kot root ali uporabite sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Z uporabo nadomestnih znakov pokrivamo vse datoteke, ki so trenutno v domačem imeniku.

3. korak - Uporabite varnostni popravek za Apache za ločitev uporabniških privilegijev

Preden popravimo Apache, moramo najprej namestiti repozitorij, ki vsebuje paket s popravkom. Zaženite naslednje ukaze kot root (ali sudo).

yum install epel-release
yum install httpd-itk

Z "apache2-mpm-itk" lahko na podlagi virtualnega gostitelja povemo, kateri uporabniški PHP naj se izvaja. Doda novo možnost konfiguracije AssignUserId virtualhost-user virtualhost-user-group, ki nam omogoča, da Apache/PHP povemo, da izvede uporabniško kodo pod določenim uporabniškim računom.

Če delite ta strežnik, predvidevam, da ste že ustvarili virtualni gostitelj za Apache. V tem primeru lahko preskočite na 4. korak.

3. korak - Ustvarite svoj prvi virtualni gostitelj

Sledite spodnji predlogi za ustvarjanje navideznega gostitelja v Apache.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Odprite svoj najljubši urejevalnik besedil /etc/httpd/conf.d/example-virtualhost.confin vanj dodajte zgornjo vsebino. Tukaj je ukaz za uporabo nano:

nano /etc/httpd/conf.d/example-virtualhost.conf

Naj tukaj razložim konfiguracijo. Ko podamo »NameVirtualHost«, spletnemu strežniku dejansko povemo, da na enem IP- ju gostimo več domen . Zdaj sem v tem primeru uporabil kot primer domene. Spremenite to v svojo ali domeno po vaši izbiri. je tisto, kar pove Apachu, kje se nahaja vsebina. je direktiva, ki jo uporabljamo za sporočanje domene spletnega mesta Apache. In še zadnja oznaka, , ki pove Apache, da je konec konfiguracije navideznega gostitelja.mytest.websiteDocumentRootServerName</VirtualHost>

4. korak - Konfiguriranje Apache za zagon kot drug uporabnik

Kot smo že omenili, del zaščite vašega strežnika vključuje izvajanje Apache/PHP kot ločenega uporabnika za vsakega virtualnega gostitelja. Apacheu povejte, naj to stori, je preprosto, potem ko smo uporabili popravek – vse, kar morate storiti, je dodati:

AssignUserId vhost-user vhost-user-group

... glede na vašo konfiguracijo. Evo, kako bi izgledal primer navideznega gostitelja, ko smo dodali to možnost:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

Čarovnija je v vrstici, ki se začne z AssignUserId. S to možnostjo sporočamo Apache/PHP, da se izvaja kot naslednji uporabnik/skupina.

Korak 5 - Skrivanje različice Apache

Ta korak je precej preprost; samo odprite konfiguracijsko datoteko Apache tako, da izvedete naslednji ukaz kot korenski uporabnik:

nano /etc/httpd/conf/httpd.conf

Poiščite "ServerTokens" in spremenite možnost za njo v "ProductOnly". To pove Apachu, naj razkrije samo, da je "Apache", namesto "Apache/2.2" ali kaj podobnega.

6. korak - Ponovni zagon Apache, da uveljavite spremembe

Zdaj, ko smo strežnik zavarovali, moramo znova zagnati strežnik Apache. To storite tako, da zaženete naslednji ukaz kot root ali s sudo:

service httpd restart

Zaključek

To je le nekaj korakov, s katerimi lahko zavarujete svoj strežnik. Še enkrat, tudi če nekdo, ki mu zaupate, gosti spletno mesto na vašem strežniku, ga morate načrtovati zaščititi. V zgornjih scenarijih, tudi če je uporabniški račun ogrožen, napadalec ne bo pridobil dostopa do celotnega strežnika.