Zabezpečenie servera Apache na CentOS 6

Pri zabezpečení servera je jednoduché použiť skratky, ale riskujete stratu údajov v prípade, že útočník získa root prístup k niektorému z vašich serverov. Dokonca aj pri jednoduchých inštaláciách musíte svoj server vopred zabezpečiť. Zabezpečenie serverov je široká téma a líši sa v závislosti od operačného systému a aplikácií, ktoré sú na nich spustené.

Tento tutoriál sa zameriava na zabezpečenie Apache pod CentOS 6. Existuje niekoľko krokov po inštalácii, ktoré môžete podniknúť, aby ste sa ochránili pred eskaláciou privilégií, ako aj pred útokmi s nedostatočnými privilégiami.

Bez ďalších okolkov začnime.

Krok 1 – Inštalácia webového servera

Samozrejme, ak nemáte nainštalovaný Apache alebo PHP, mali by ste to urobiť teraz. Vykonajte tento príkaz ako užívateľ root alebo použite sudo:

yum install httpd php

Krok 2 – Zabezpečenie vašich domovských adresárov

Teraz, keď je nainštalovaný Apache, poďme do toho a začnime ho zabezpečovať. Po prvé, chceme sa uistiť, že adresáre ostatných používateľov nie sú viditeľné pre nikoho okrem vlastníka. Všetky domovské adresáre nastavíme na 700, takže svoje vlastné súbory budú môcť prezerať iba príslušní vlastníci domovských adresárov. Spustite tento príkaz ako root alebo použite sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Použitím zástupných znakov pokrývame všetky súbory, ktoré sa momentálne nachádzajú v domovskom adresári.

Krok 3 – Aplikujte na Apache bezpečnostnú opravu na oddelenie používateľských práv

Pred opravou Apache musíme najprv nainštalovať úložisko, ktoré obsahuje balík s opravou. Spustite nasledujúce príkazy ako root (alebo sudo).

yum install epel-release
yum install httpd-itk

Pomocou "apache2-mpm-itk" môžeme povedať, aký používateľ má PHP spustiť na základe virtuálneho hostiteľa. Pridáva novú možnosť konfigurácie AssignUserId virtualhost-user virtualhost-user-group, ktorá nám umožňuje povedať Apache/PHP, aby spustil používateľský kód pod konkrétnym používateľským účtom.

Ak zdieľate tento server, predpokladám, že ste už predtým vytvorili virtuálneho hostiteľa pre Apache. V takom prípade môžete prejsť na krok 4.

Krok 3 – Vytvorenie prvého virtuálneho hostiteľa

Ak chcete vytvoriť virtuálneho hostiteľa v Apache, môžete postupovať podľa šablóny nižšie.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Otvorte svoj obľúbený textový editor /etc/httpd/conf.d/example-virtualhost.confa potom doň pridajte obsah uvedený vyššie. Tu je príkaz na použitie nano:

nano /etc/httpd/conf.d/example-virtualhost.conf

Dovoľte mi vysvetliť konfiguráciu tu. Keď zadáme "NameVirtualHost", v skutočnosti hovoríme webovému serveru, že hosťujeme viacero domén na jednej IP . Teraz, v tomto príklade, som použil mytest.websiteako príklad domény. Zmeňte to na svoju alebo doménu podľa vlastného výberu. DocumentRootje to, čo Apache povie, kde sa obsah nachádza. ServerNameje príkaz, ktorý používame na to, aby sme Apache informovali o doméne webovej stránky. A posledná značka, </VirtualHost>ktorá hovorí Apache, že je koniec konfigurácie virtuálneho hostiteľa.

Krok 4 – Konfigurácia Apache na spustenie ako iný používateľ

Ako už bolo spomenuté, súčasťou zabezpečenia vášho servera je spustenie Apache/PHP ako samostatného používateľa pre každého virtuálneho hostiteľa. Prikázať Apache, aby to urobil, je jednoduché po aplikácii opravy - všetko, čo musíte urobiť, je pridať:

AssignUserId vhost-user vhost-user-group

... do vašej konfigurácie. Tu je návod, ako by vyzeral príklad virtuálneho hostiteľa po pridaní tejto možnosti:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

Kúzlo je v riadku začínajúcom na AssignUserId. Pomocou tejto možnosti hovoríme Apache/PHP, aby sa spúšťal ako nasledujúci používateľ/skupina.

Krok 5 - Skrytie verzie Apache

Tento krok je celkom jednoduchý; stačí otvoriť konfiguračný súbor Apache vykonaním nasledujúceho príkazu ako root:

nano /etc/httpd/conf/httpd.conf

Nájdite "ServerTokens" a zmeňte možnosť za ním na "ProductOnly". Toto hovorí Apache, aby odhalilo, že je to "Apache" namiesto "Apache/2.2" alebo niečo podobné.

Krok 6 – Reštartovanie Apache na uplatnenie zmien

Teraz, keď sme zabezpečili server, musíme reštartovať server Apache. Urobte to spustením nasledujúceho príkazu ako root alebo pomocou sudo:

service httpd restart

Záver

Toto je len niekoľko krokov, ktoré môžete podniknúť na zabezpečenie svojho servera. Ešte raz, aj keď je to niekto, komu dôverujete, že hosťuje webovú stránku na vašom serveri, mali by ste naplánovať jej ochranu. Vo vyššie uvedených scenároch, aj keď je používateľský účet napadnutý, útočník nezíska prístup k celému serveru.