Захист сервера Apache на CentOS 6

Під час захисту сервера легко використовувати ярлики, але ви ризикуєте втратити дані, якщо зловмисник отримає root-доступ до будь-якого з ваших серверів. Навіть для простих установок вам потрібно заздалегідь захистити свій сервер. Захист серверів – це широка тема, яка залежить від ОС і програм, які на них запускаються.

У цьому посібнику зосереджено на захисті Apache під CentOS 6. Існує кілька кроків після встановлення, які ви можете зробити, щоб захистити себе від підвищення привілеїв, а також від атак з низькими привілеями.

Без зайвих розмов, почнемо.

Крок 1 - Встановлення веб-сервера

Звичайно, якщо у вас не встановлено Apache або PHP, ви повинні зробити це зараз. Виконайте цю команду як користувач root або використовуйте sudo:

yum install httpd php

Крок 2 - Захист ваших домашніх каталогів

Тепер, коли Apache встановлено, давайте почнемо захищати його. По-перше, ми хочемо переконатися, що каталоги інших користувачів не бачать ніхто, крім власника. Ми змінимо всі домашні каталоги на 700, щоб лише відповідні власники домашніх каталогів могли переглядати власні файли. Виконайте цю команду як root або використовуйте sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Використовуючи символи підстановки, ми охоплюємо всі файли, які зараз знаходяться в домашньому каталозі.

Крок 3 - Застосуйте виправлення безпеки до Apache для розділення привілеїв користувача

Перш ніж виправляти Apache, нам потрібно спочатку встановити репозиторій, який містить пакунок із виправленням. Виконайте наступні команди від імені root (або sudo).

yum install epel-release
yum install httpd-itk

За допомогою «apache2-mpm-itk» ми можемо визначити, який користувач PHP має запускати на основі віртуального хоста. Він додає новий параметр конфігурації AssignUserId virtualhost-user virtualhost-user-group, який дозволяє нам вказати Apache/PHP виконувати код користувача під певним обліковим записом користувача.

Якщо ви використовуєте цей сервер, я припускаю, що ви вже створили віртуальний хост для Apache раніше. У цьому випадку ви можете перейти до кроку 4.

Крок 3 - Створення вашого першого віртуального хоста

Ви можете скористатися наведеним нижче шаблоном, щоб створити віртуальний хост в Apache.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Відкрийте свій улюблений текстовий редактор, /etc/httpd/conf.d/example-virtualhost.confа потім додайте в нього вміст вище. Ось команда для використання nano:

nano /etc/httpd/conf.d/example-virtualhost.conf

Дозвольте пояснити тут конфігурацію. Коли ми вказуємо "NameVirtualHost", ми фактично повідомляємо веб-серверу, що ми розміщуємо декілька доменів на одній IP- адресі . Тепер у цьому прикладі я використав mytest.websiteяк приклад домену. Змініть це на свій або домен на ваш вибір. DocumentRootце те, що повідомляє Apache, де знаходиться вміст. ServerNameце директива, яку ми використовуємо, щоб повідомити Apache домену веб-сайту. І останній тег, </VirtualHost>, який повідомляє Apache, що це кінець конфігурації віртуального хоста.

Крок 4 - Налаштування Apache для роботи від іншого користувача

Як згадувалося раніше, частина захисту вашого сервера включає запуск Apache/PHP як окремого користувача для кожного віртуального хоста. Сказати Apache зробити це легко після того, як ми застосували виправлення - все, що вам потрібно зробити, це додати:

AssignUserId vhost-user vhost-user-group

... до вашої конфігурації. Ось як виглядатиме приклад віртуального хоста після того, як ми додамо цю опцію:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

Магія знаходиться в рядку, що починається з AssignUserId. За допомогою цієї опції ми повідомляємо Apache/PHP запускати як наступний користувач/група.

Крок 5 - Приховування версії Apache

Цей крок досить простий; просто відкрийте файл конфігурації Apache, виконавши таку команду як користувач root:

nano /etc/httpd/conf/httpd.conf

Знайдіть «ServerTokens» і змініть параметр після нього на «ProductOnly». Це вказує Apache лише показувати, що це "Apache", а не "Apache/2.2" або щось подібне.

Крок 6 - Перезапуск Apache, щоб застосувати зміни

Тепер, коли ми захистили сервер, ми повинні перезапустити сервер Apache. Зробіть це, виконавши таку команду від імені root або за допомогою sudo:

service httpd restart

Висновок

Це лише кілька кроків, які ви можете зробити, щоб захистити свій сервер. Знову ж таки, навіть якщо веб-сайт на вашому сервері розміщує хтось, якому ви довіряєте, вам слід планувати його захист. У наведених вище сценаріях, навіть якщо обліковий запис користувача зламано, зловмисник не отримає доступ до всього сервера.