ایمن سازی سرور Apache در CentOS 6
در هنگام امنیت سرور ، میانبرها را آسان می کنید ، اما در صورت حمله یک دسترسی دهنده به دسترسی به هر یک از سرورهای شما ، خطر از دست دادن داده ها را به خطر خواهید انداخت. حتی برای نصبهای ساده ، باید از قبل سرور خود را ایمن کنید. امنیت سرورها موضوع گسترده ای است و بسته به سیستم عامل و برنامه های اجرا شده بر روی آنها متفاوت است.
این آموزش در مورد تأمین امنیت Apache تحت CentOS 6 متمرکز است که می توانید برای محافظت از خود در برابر افزایش امتیاز ، و همچنین حملات زیر امتیاز ، چند مرحله بعد از نصب را انجام دهید.
بدون تبلیغ بیشتر ، شروع کنیم.
مرحله 1 - نصب سرور وب
البته اگر نصب Apache یا PHP ندارید ، اکنون باید این کار را انجام دهید. این دستور را به عنوان کاربر اصلی اجرا کنید یا از sudo استفاده کنید:
yum install httpd php
مرحله 2 - امنیت دایرکتوری های منزل خود
اکنون که Apache نصب شده است ، بیایید جلو برویم و شروع به ایمن سازی آن کنیم. ابتدا می خواهیم مطمئن شویم که فهرستهای کاربران دیگر به جز مالک قابل مشاهده نیستند. همه دایرکتوری های خانه را به 700 chmod خواهیم کرد ، به این ترتیب که فقط صاحبان مربوطه از دایرکتوری های خانه می توانند پرونده های خود را مشاهده کنند. این دستور را به عنوان root اجرا کنید یا از sudo استفاده کنید:
chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*
با استفاده از کارتهای عادی ، ما پروندههای موجود در فهرست خانه را پوشش می دهیم.
مرحله 3 - یک وصله امنیتی را برای جدایی امتیاز کاربر در آپاچی اعمال کنید
قبل از پچ کردن آپاچی ، ابتدا باید مخزن موجود در بسته را با پچ نصب کنیم. دستورات زیر را به عنوان root (یا sudo) اجرا کنید.
yum install epel-release
yum install httpd-itk
با "apache2-mpm-itk" می توانیم بگوییم که PHP کاربر بر اساس میزبان مجازی چه چیزی باید اجرا شود. این گزینه پیکربندی جدیدی را اضافه می کند AssignUserId virtualhost-user virtualhost-user-group، که به ما امکان می دهد تا به Apache / PHP بگوییم که کد کاربر را تحت یک حساب کاربری خاص اجرا کند.
اگر این سرور را به اشتراک می گذارید ، فرض می کنم قبلاً یک میزبان مجازی را برای Apache ایجاد کرده اید. در این حالت ، می توانید به مرحله 4 بروید.
مرحله 3 - ایجاد اولین هاست مجازی خود
برای ایجاد یک میزبان مجازی در آپاچی ممکن است از الگوی زیر پیروی کنید.
NameVirtualHost mytest.website
<VirtualHost mytest.website>
DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>
ویرایشگر متن مورد علاقه خود را باز کنید /etc/httpd/conf.d/example-virtualhost.confو سپس محتوای فوق را در آن اضافه کنید. دستور استفاده از nano در اینجا آمده است:
nano /etc/httpd/conf.d/example-virtualhost.conf
بگذارید پیکربندی را در اینجا توضیح دهم. هنگامی که ما مشخص "NameVirtualHost"، ما در واقع گفتن وب سرور که ما در حال میزبانی حوزه های مختلف در یک IP . اکنون ، در این مثال ، من به mytest.websiteعنوان یک دامنه مثال استفاده کردم. آنرا به دلخواه خود تغییر دهید یا دامنه مورد نظر خود را تغییر دهید. DocumentRootهمان چیزی است که به Apache می گوید محتوا در کجا واقع شده است. ServerNameبخشنامه ای است که ما برای گفتن دامنه وب سایت به آپاچی استفاده می کنیم. و یک برچسب آخر </VirtualHost>، که به Apache می گوید پایان تنظیمات میزبان مجازی است.
مرحله 4 - پیکربندی Apache برای اجرای کاربر دیگری
همانطور که قبلاً ذکر شد ، بخشی از ایمن سازی سرور شما شامل اجرای Apache / PHP به عنوان یک کاربر جداگانه برای هر هاست مجازی است. گفتن Apache به این کار ساده است پس از اعمال پچ - همه کاری که شما باید انجام دهید این است که اضافه کنید:
AssignUserId vhost-user vhost-user-group
... به پیکربندی شما بعد از افزودن این گزینه ، میزبان مجازی نمونه به نظر می رسد:
NameVirtualHost mytest.website
<VirtualHost mytest.website>
DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group
</VirtualHost>
جادو در راستای شروع است AssignUserId. با استفاده از این گزینه ، ما به Apache / PHP می گوییم که بعنوان کاربر / گروه زیر عمل کند.
مرحله 5 - پنهان کردن نسخه Apache
این مرحله بسیار ساده است. فقط کافیست پرونده پیکربندی Apache را با اجرای دستور زیر به عنوان کاربر اصلی باز کنید:
nano /etc/httpd/conf/httpd.conf
"ServerTokens" را پیدا کنید و گزینه بعد از آن را به "ProductOnly" تغییر دهید. این به Apache می گوید فقط به جای "Apache / 2.2" یا چیزی مشابه ، فاش کند که "Apache" است.
مرحله 6 - راه اندازی مجدد Apache برای اعمال تغییرات
اکنون که سرور را ایمن کردیم ، باید سرور Apache را مجدداً راه اندازی کنیم. این کار را با اجرای دستور زیر به صورت root یا با sudo انجام دهید:
service httpd restart
نتیجه
اینها فقط چند قدم است که می توانید برای ایمن سازی سرور خود بردارید. یک بار دیگر ، حتی اگر کسی باشد که به وب سایت روی سرور شما میزبانی می کند ، باید برای محافظت از آن برنامه ریزی کنید. در سناریوهای فوق ، حتی اگر یک حساب کاربری به خطر بیفتد ، مهاجمی به کل سرور دسترسی نخواهد داشت.