CentOS 6でのApacheサーバーの保護

• ステップ1-Webサーバーのインストール
• ステップ2-ホームディレクトリの保護
• 手順3-ユーザー特権を分離するためにセキュリティパッチをApacheに適用する
• ステップ3-最初の仮想ホストを作成する
• ステップ4-別のユーザーとして実行するようにApacheを構成する
• ステップ5-Apacheのバージョンを非表示にする
• 手順6-Apacheを再起動して変更を適用する
• 結論

サーバーを保護するときに簡単に近道を取ることができますが、攻撃者がサーバーのいずれかにrootアクセス権を取得した場合、データが失われる危険があります。単純なインストールでも、事前にサーバーを保護する必要があります。サーバーの保護は幅広いトピックであり、サーバーで実行されているOSとアプリケーションによって異なります。

このチュートリアルでは、CentOS 6でのApacheの保護に焦点を当てています。インストール後に、特権の昇格や特権不足の攻撃から身を守るために実行できる手順がいくつかあります。

さっそく始めましょう。

ステップ1-Webサーバーのインストール

もちろん、ApacheまたはPHPをインストールしていない場合は、ここでインストールする必要があります。rootユーザーとしてこのコマンドを実行するか、sudoを使用します。

yum install httpd php

ステップ2-ホームディレクトリの保護

Apacheがインストールされたので、さあ、それを保護し始めましょう。まず、所有者以外のユーザーが他のユーザーのディレクトリを表示できないようにする必要があります。すべてのホームディレクトリを700にchmodして、ホームディレクトリのそれぞれの所有者だけが自分のファイルを表示できるようにします。このコマンドをrootとして実行するか、sudoを使用します。

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

ワイルドカードを使用することにより、現在ホームディレクトリにあるすべてのファイルをカバーしています。

手順3-ユーザー特権を分離するためにセキュリティパッチをApacheに適用する

Apacheにパッチを適用する前に、まず、パッチが適用されたパッケージを含むリポジトリをインストールする必要があります。root（またはsudo）として以下のコマンドを実行します。

yum install epel-release
yum install httpd-itk

「apache2-mpm-itk」を使用すると、仮想ホストに基づいてPHPを実行するユーザーを指定できます。新しい構成オプションが追加さAssignUserId virtualhost-user virtualhost-user-groupれ、特定のユーザーアカウントでユーザーコードを実行するようApache / PHPに指示できます。

このサーバーを共有している場合は、Apacheの仮想ホストをすでに作成していると思います。その場合は、手順4にスキップできます。

ステップ3-最初の仮想ホストを作成する

以下のテンプレートに従って、Apacheで仮想ホストを作成できます。

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

お気に入りのテキストエディターを開いて/etc/httpd/conf.d/example-virtualhost.conf、上記のコンテンツを追加します。nanoを使用するためのコマンドは次のとおりです。

nano /etc/httpd/conf.d/example-virtualhost.conf

ここで設定を説明しましょう。「NameVirtualHost」を指定すると、実際には、1つのIPで複数のドメインをホストしていることをWebサーバーに通知します。さて、この例ではmytest.website、サンプルドメインとして使用しました。それをあなたのもの、またはあなたが選んだドメインに変更してください。DocumentRootコンテンツがどこにあるかをApacheに伝えます。ServerNameApacheにWebサイトのドメインを伝えるために使用するディレクティブです。そして最後の1つのタグ</VirtualHost>は、仮想ホスト構成の終わりであることをApacheに伝えます。

ステップ4-別のユーザーとして実行するようにApacheを構成する

前述のように、サーバーのセキュリティ保護には、Apache / PHPを各仮想ホストの個別のユーザーとして実行することが含まれます。パッチを適用した後、Apacheにこれを実行するように指示するのは簡単です。実行する必要があるのは追加することだけです。

AssignUserId vhost-user vhost-user-group

...あなたの構成に。このオプションを追加した後の仮想ホストの例は次のとおりです。

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

魔法はで始まる行にありAssignUserIdます。このオプションでは、Apache / PHPに次のユーザー/グループとして実行するように指示しています。

ステップ5-Apacheのバージョンを非表示にする

この手順は非常に簡単です。rootユーザーとして次のコマンドを実行して、Apacheの構成ファイルを開くだけです。

nano /etc/httpd/conf/httpd.conf

「ServerTokens」を見つけ、その後のオプションを「ProductOnly」に変更します。これは、Apacheに「Apache / 2.2」などの代わりに「Apache」であることだけを明らかにするように指示します。

手順6-Apacheを再起動して変更を適用する

サーバーを保護したので、Apacheサーバーを再起動する必要があります。これを行うには、次のコマンドをrootまたはsudoで実行します。

service httpd restart

結論

これらは、サーバーを保護するために実行できるいくつかの手順にすぎません。繰り返しになりますが、サーバーでWebサイトをホストしているのが信頼できる人物である場合でも、保護することを計画する必要があります。上記のシナリオでは、ユーザーアカウントが侵害されても、攻撃者はサーバー全体にアクセスすることはできません。