Een Apache-server beveiligen op CentOS 6

• Stap 1 - De webserver installeren
• Stap 2 - Beveilig uw homedirectory's
• Stap 3 - Pas een beveiligingspatch toe op Apache voor scheiding van gebruikersrechten
• Stap 3 - Uw eerste virtuele host maken
• Stap 4 - Apache configureren om als een andere gebruiker te worden uitgevoerd
• Stap 5 - Apache's versie verbergen
• Stap 6 - Apache opnieuw opstarten om de wijzigingen toe te passen
• Gevolgtrekking

Het is gemakkelijk om snelkoppelingen te nemen bij het beveiligen van een server, maar u riskeert gegevensverlies als een aanvaller root-toegang krijgt tot een van uw servers. Zelfs voor eenvoudige installaties moet u uw server van tevoren beveiligen. Het beveiligen van servers is een breed onderwerp en varieert afhankelijk van het besturingssysteem en de applicaties die erop worden uitgevoerd.

Deze tutorial richt zich op het beveiligen van Apache onder CentOS 6. Er zijn een paar stappen na de installatie die u kunt nemen om uzelf te beschermen tegen escalatie van privileges en aanvallen onder privileges.

Laten we beginnen zonder verder oponthoud.

Stap 1 - De webserver installeren

Natuurlijk, als je Apache of PHP niet hebt geïnstalleerd, moet je dat nu doen. Voer deze opdracht uit als de rootgebruiker of gebruik sudo:

yum install httpd php

Stap 2 - Beveilig uw homedirectory's

Nu Apache is geïnstalleerd, gaan we door en beginnen we het te beveiligen. Ten eerste willen we ervoor zorgen dat de mappen van andere gebruikers voor niemand zichtbaar zijn, behalve voor de eigenaar. We zullen alle homedirectory's chmoden naar 700, zodat alleen de respectievelijke eigenaren van de homedirectory's hun eigen bestanden kunnen bekijken. Voer deze opdracht uit als root of gebruik sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Door jokertekens te gebruiken, behandelen we alle bestanden die momenteel in de homedirectory staan.

Stap 3 - Pas een beveiligingspatch toe op Apache voor scheiding van gebruikersrechten

Voordat we Apache patchen, moeten we eerst de repository installeren die het pakket met de patch bevat. Voer de volgende opdrachten uit als root (of sudo).

yum install epel-release
yum install httpd-itk

Met "apache2-mpm-itk" kunnen we op basis van de virtuele host zien welke gebruiker PHP moet draaien. Het voegt een nieuwe configuratieoptie toe AssignUserId virtualhost-user virtualhost-user-group, waarmee we Apache / PHP kunnen vertellen om gebruikerscode uit te voeren onder een specifiek gebruikersaccount.

Als je deze server deelt, neem ik aan dat je al eerder een virtuele host voor Apache hebt gemaakt. In dat geval kunt u doorgaan naar stap 4.

Stap 3 - Uw eerste virtuele host maken

U kunt de onderstaande sjabloon volgen om een ​​virtuele host in Apache te maken.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Open uw favoriete teksteditor naar /etc/httpd/conf.d/example-virtualhost.confen voeg vervolgens de inhoud hierboven toe. Hier is het commando voor het gebruik van nano:

nano /etc/httpd/conf.d/example-virtualhost.conf

Laat me de configuratie hier uitleggen. Wanneer we "NameVirtualHost" specificeren, vertellen we de webserver eigenlijk dat we meerdere domeinen op één IP hosten . In dit voorbeeld heb ik nu mytest.websiteals voorbeelddomein gebruikt . Verander dat in de jouwe, of een domein naar keuze. DocumentRootis wat Apache vertelt waar de inhoud zich bevindt. ServerNameis een richtlijn die we gebruiken om Apache het domein van de website te vertellen. En nog een laatste tag, </VirtualHost>die Apache vertelt dat dit het einde is van de virtuele hostconfiguratie.

Stap 4 - Apache configureren om als een andere gebruiker te worden uitgevoerd

Zoals eerder vermeld, omvat een deel van het beveiligen van uw server het uitvoeren van Apache / PHP als een afzonderlijke gebruiker voor elke virtuele host. Apache vertellen om dit te doen is eenvoudig nadat we de patch hebben aangebracht - het enige wat u hoeft te doen is toe te voegen:

AssignUserId vhost-user vhost-user-group

... naar uw configuratie. Hier is hoe de voorbeeld virtuele host eruit zou zien nadat we deze optie hebben toegevoegd:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

De magie staat in de lijn die begint met AssignUserId. Met deze optie vertellen we Apache / PHP om te draaien als de volgende gebruiker / groep.

Stap 5 - Apache's versie verbergen

Deze stap is vrij eenvoudig; open gewoon het configuratiebestand van Apache door de volgende opdracht uit te voeren als rootgebruiker:

nano /etc/httpd/conf/httpd.conf

Zoek "ServerTokens" en wijzig de optie daarna in "ProductOnly". Dit vertelt Apache om alleen te onthullen dat het "Apache" is, in plaats van "Apache / 2.2" of iets soortgelijks.

Stap 6 - Apache opnieuw opstarten om de wijzigingen toe te passen

Nu we de server hebben beveiligd, moeten we de Apache-server opnieuw opstarten. Doe dit door het volgende commando uit te voeren als root of met sudo:

service httpd restart

Gevolgtrekking

Dit zijn slechts enkele stappen die u kunt nemen om uw server te beveiligen. Nogmaals, zelfs als het iemand is die u vertrouwt die een website op uw server host, moet u van plan zijn deze te beschermen. In de bovenstaande scenario's heeft de aanvaller, zelfs als een gebruikersaccount is gehackt, geen toegang tot de volledige server gekregen.