Säkra en Apache-server på CentOS 6

Det är lätt att ta genvägar när du säkrar en server, men du riskerar dataförlust i händelse av att en angripare får root-åtkomst till någon av dina servrar. Även för enkla installationer måste du säkra din server i förväg. Att säkra servrar är ett brett ämne och varierar beroende på vilket operativsystem och applikationer som körs på dem.

Den här handledningen fokuserar på att säkra Apache under CentOS 6. Det finns några steg efter installationen du kan vidta för att skydda dig mot privilegieskalering, såväl som underprivilegierade attacker.

Utan vidare, låt oss komma igång.

Steg 1 - Installera webbservern

Naturligtvis, om du inte har Apache eller PHP installerat, bör du göra det nu. Kör detta kommando som root-användare, eller använd sudo:

yum install httpd php

Steg 2 - Säkra dina hemkataloger

Nu när Apache är installerat, låt oss gå vidare och börja säkra den. Först vill vi se till att andra användares kataloger inte är synliga för någon förutom ägaren. Vi ändrar alla hemkataloger till 700, så att endast respektive ägare av hemkatalogerna kan se sina egna filer. Kör detta kommando som root, eller använd sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Genom att använda jokertecken täcker vi alla filer som för närvarande finns i hemkatalogen.

Steg 3 - Applicera en säkerhetskorrigering på Apache för separation av användarrättigheter

Innan vi patchar Apache måste vi först installera arkivet som innehåller paketet med patchen. Kör följande kommandon som root (eller sudo).

yum install epel-release
yum install httpd-itk

Med "apache2-mpm-itk" kan vi säga vilken användare PHP ska köras som baserat på den virtuella värden. Den lägger till ett nytt konfigurationsalternativ AssignUserId virtualhost-user virtualhost-user-groupsom låter oss säga åt Apache/PHP att köra användarkod under ett specifikt användarkonto.

Om du delar den här servern antar jag att du redan har skapat en virtuell värd för Apache tidigare. I så fall kan du hoppa till steg 4.

Steg 3 - Skapa din första virtuella värd

Du kan följa mallen nedan för att skapa en virtuell värd i Apache.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Öppna din favorittextredigerare /etc/httpd/conf.d/example-virtualhost.confoch lägg sedan till innehållet ovan i den. Här är kommandot för att använda nano:

nano /etc/httpd/conf.d/example-virtualhost.conf

Låt mig förklara konfigurationen här. När vi anger "NameVirtualHost" säger vi faktiskt till webbservern att vi är värd för flera domäner på en IP . Nu, i det här exemplet, använde jag mytest.websitesom exempeldomän. Ändra det till din, eller en domän som du väljer. DocumentRootär det som talar om för Apache var innehållet finns. ServerNameär ett direktiv som vi använder för att berätta för Apache webbplatsens domän. Och en sista tagg, </VirtualHost>, som talar om för Apache att det är slutet på den virtuella värdkonfigurationen.

Steg 4 - Konfigurera Apache för att köras som en annan användare

Som nämnts tidigare inkluderar en del av att säkra din server att köra Apache/PHP som en separat användare för varje virtuell värd. Att säga åt Apache att göra detta är enkelt efter att vi har applicerat plåstret - allt du behöver göra är att lägga till:

AssignUserId vhost-user vhost-user-group

... till din konfiguration. Så här skulle den virtuella värddatorn se ut efter att vi har lagt till det här alternativet:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

Magin är i raden som börjar med AssignUserId. Med det här alternativet säger vi åt Apache/PHP att köras som följande användare/grupp.

Steg 5 - Döljer Apaches version

Detta steg är ganska enkelt; öppna bara Apaches konfigurationsfil genom att utföra följande kommando som root-användare:

nano /etc/httpd/conf/httpd.conf

Hitta "ServerTokens" och ändra alternativet efter det till "ProductOnly". Detta säger åt Apache att bara avslöja att det är "Apache", istället för "Apache/2.2" eller något liknande.

Steg 6 - Starta om Apache för att tillämpa ändringarna

Nu när vi har säkrat servern måste vi starta om Apache-servern. Gör detta genom att köra följande kommando som root eller med sudo:

service httpd restart

Slutsats

Det här är bara några steg du kan vidta för att säkra din server. Återigen, även om det är någon du litar på som är värd för en webbplats på din server, bör du planera för att skydda den. I scenarierna ovan kommer angriparen inte att ha fått åtkomst till hela servern även om ett användarkonto har äventyrats.