Een Apache-server beveiligen op CentOS 6

Het is gemakkelijk om snelkoppelingen te nemen bij het beveiligen van een server, maar u riskeert gegevensverlies als een aanvaller root-toegang krijgt tot een van uw servers. Zelfs voor eenvoudige installaties moet u uw server van tevoren beveiligen. Het beveiligen van servers is een breed onderwerp en varieert afhankelijk van het besturingssysteem en de applicaties die erop worden uitgevoerd.

Deze tutorial richt zich op het beveiligen van Apache onder CentOS 6. Er zijn een paar stappen na de installatie die u kunt nemen om uzelf te beschermen tegen escalatie van privileges en aanvallen onder privileges.

Laten we beginnen zonder verder oponthoud.

Stap 1 - De webserver installeren

Natuurlijk, als je Apache of PHP niet hebt geïnstalleerd, moet je dat nu doen. Voer deze opdracht uit als de rootgebruiker of gebruik sudo:

yum install httpd php

Stap 2 - Beveilig uw homedirectory's

Nu Apache is geïnstalleerd, gaan we door en beginnen we het te beveiligen. Ten eerste willen we ervoor zorgen dat de mappen van andere gebruikers voor niemand zichtbaar zijn, behalve voor de eigenaar. We zullen alle homedirectory's chmoden naar 700, zodat alleen de respectievelijke eigenaren van de homedirectory's hun eigen bestanden kunnen bekijken. Voer deze opdracht uit als root of gebruik sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Door jokertekens te gebruiken, behandelen we alle bestanden die momenteel in de homedirectory staan.

Stap 3 - Pas een beveiligingspatch toe op Apache voor scheiding van gebruikersrechten

Voordat we Apache patchen, moeten we eerst de repository installeren die het pakket met de patch bevat. Voer de volgende opdrachten uit als root (of sudo).

yum install epel-release
yum install httpd-itk

Met "apache2-mpm-itk" kunnen we op basis van de virtuele host zien welke gebruiker PHP moet draaien. Het voegt een nieuwe configuratieoptie toe AssignUserId virtualhost-user virtualhost-user-group, waarmee we Apache / PHP kunnen vertellen om gebruikerscode uit te voeren onder een specifiek gebruikersaccount.

Als je deze server deelt, neem ik aan dat je al eerder een virtuele host voor Apache hebt gemaakt. In dat geval kunt u doorgaan naar stap 4.

Stap 3 - Uw eerste virtuele host maken

U kunt de onderstaande sjabloon volgen om een ​​virtuele host in Apache te maken.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Open uw favoriete teksteditor naar /etc/httpd/conf.d/example-virtualhost.confen voeg vervolgens de inhoud hierboven toe. Hier is het commando voor het gebruik van nano:

nano /etc/httpd/conf.d/example-virtualhost.conf

Laat me de configuratie hier uitleggen. Wanneer we "NameVirtualHost" specificeren, vertellen we de webserver eigenlijk dat we meerdere domeinen op één IP hosten . In dit voorbeeld heb ik nu mytest.websiteals voorbeelddomein gebruikt . Verander dat in de jouwe, of een domein naar keuze. DocumentRootis wat Apache vertelt waar de inhoud zich bevindt. ServerNameis een richtlijn die we gebruiken om Apache het domein van de website te vertellen. En nog een laatste tag, </VirtualHost>die Apache vertelt dat dit het einde is van de virtuele hostconfiguratie.

Stap 4 - Apache configureren om als een andere gebruiker te worden uitgevoerd

Zoals eerder vermeld, omvat een deel van het beveiligen van uw server het uitvoeren van Apache / PHP als een afzonderlijke gebruiker voor elke virtuele host. Apache vertellen om dit te doen is eenvoudig nadat we de patch hebben aangebracht - het enige wat u hoeft te doen is toe te voegen:

AssignUserId vhost-user vhost-user-group

... naar uw configuratie. Hier is hoe de voorbeeld virtuele host eruit zou zien nadat we deze optie hebben toegevoegd:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

De magie staat in de lijn die begint met AssignUserId. Met deze optie vertellen we Apache / PHP om te draaien als de volgende gebruiker / groep.

Stap 5 - Apache's versie verbergen

Deze stap is vrij eenvoudig; open gewoon het configuratiebestand van Apache door de volgende opdracht uit te voeren als rootgebruiker:

nano /etc/httpd/conf/httpd.conf

Zoek "ServerTokens" en wijzig de optie daarna in "ProductOnly". Dit vertelt Apache om alleen te onthullen dat het "Apache" is, in plaats van "Apache / 2.2" of iets soortgelijks.

Stap 6 - Apache opnieuw opstarten om de wijzigingen toe te passen

Nu we de server hebben beveiligd, moeten we de Apache-server opnieuw opstarten. Doe dit door het volgende commando uit te voeren als root of met sudo:

service httpd restart

Gevolgtrekking

Dit zijn slechts enkele stappen die u kunt nemen om uw server te beveiligen. Nogmaals, zelfs als het iemand is die u vertrouwt die een website op uw server host, moet u van plan zijn deze te beschermen. In de bovenstaande scenario's heeft de aanvaller, zelfs als een gebruikersaccount is gehackt, geen toegang tot de volledige server gekregen.



Leave a Comment

CyberPanel installeren en configureren op uw CentOS 7-server

CyberPanel installeren en configureren op uw CentOS 7-server

Gebruikt u een ander systeem? Introductie CyberPanel is een van de eerste bedieningspanelen op de markt die zowel open source is als OpenLiteSpeed ​​gebruikt. Wat thi

Sensu Monitoring installeren en configureren op CentOS 7

Sensu Monitoring installeren en configureren op CentOS 7

Introductie Sensu is een gratis en open source monitoringoplossing die kan worden gebruikt om server, applicatie en verschillende systeemservices te monitoren. Sensu i

Sudo gebruiken op Debian, CentOS en FreeBSD

Sudo gebruiken op Debian, CentOS en FreeBSD

Het gebruik van een sudo-gebruiker om toegang te krijgen tot een server en opdrachten uit te voeren op rootniveau is een veel voorkomende praktijk onder Linux en Unix-systeembeheerder. Het gebruik van een sud

Stel Nginx-RTMP in op CentOS 7

Stel Nginx-RTMP in op CentOS 7

Gebruikt u een ander systeem? RTMP is geweldig voor het weergeven van live inhoud. Wanneer RTMP is gekoppeld aan FFmpeg, kunnen streams worden omgezet in verschillende kwaliteiten. Vultr ik

Hoe TaskBoard 0.3.1 op CentOS 7 te installeren

Hoe TaskBoard 0.3.1 op CentOS 7 te installeren

TaskBoard is een gratis en open source webbeheer voor tijdbeheer. Geïnspireerd door Kanban, kan TaskBoard u helpen bij het bijhouden van dingen die moeten worden gedaan in een

Gradle installeren op CentOS 7

Gradle installeren op CentOS 7

Gebruikt u een ander systeem? Gradle is een gratis en open source toolset voor het automatiseren van builds, gebaseerd op de concepten van Apache Ant en Apache Maven. Gradle biedt

Installeer een FTP-server met ProFTPd op CentOS 6 of CentOS 7

Installeer een FTP-server met ProFTPd op CentOS 6 of CentOS 7

Gebruikt u een ander systeem? In deze handleiding zullen we zien hoe u een FTP-server (ProFTPd) configureert om bestanden over te zetten tussen uw pc en uw server.

Netdata installeren op CentOS 7

Netdata installeren op CentOS 7

Gebruikt u een ander systeem? Netdata is een rijzende ster op het gebied van realtime monitoring van systeemstatistieken. Vergeleken met andere tools van dezelfde soort, Netdata:

Hoe Apache Cassandra 3.11.x op CentOS 7 te installeren

Hoe Apache Cassandra 3.11.x op CentOS 7 te installeren

Gebruikt u een ander systeem? Apache Cassandra is een gratis en open source NoSQL-databasebeheersysteem dat is ontworpen om schaalbaarheid te bieden

Hoe Just Cause 2 (JC2-MP) -server op CentOS 7 te installeren

Hoe Just Cause 2 (JC2-MP) -server op CentOS 7 te installeren

In deze tutorial leer je goed hoe je een Just Cause 2 multiplayer-server opzet. Vereisten Zorg ervoor dat het systeem volledig is bijgewerkt voordat we beginnen

Hoe Starbound Server op CentOS 7 te installeren

Hoe Starbound Server op CentOS 7 te installeren

Gebruikt u een ander systeem? In deze tutorial leg ik uit hoe je een Starbound-server instelt op CentOS 7. Vereisten Je moet dit spel op je hebben

ZNC installeren en configureren op CentOS 7

ZNC installeren en configureren op CentOS 7

ZNC is een gratis en open-source IRC-uitsmijter die permanent verbonden blijft met een netwerk, zodat klanten berichten kunnen ontvangen die worden verzonden terwijl ze offline zijn. Thi

Django installeren op CentOS 7

Django installeren op CentOS 7

Django is een populair Python-framework voor het schrijven van webapplicaties. Met Django kun je sneller applicaties bouwen, zonder het wiel opnieuw uit te vinden. Als je wilt

MantisBT 2.5 installeren op CentOS 7

MantisBT 2.5 installeren op CentOS 7

MantisBT, of Mantis Bug Tracker, is een open source issue tracker geschreven in PHP. MantisBT is uitgebalanceerd tussen gebruiksgemak en functionaliteit, mits

Installeer Elgg op CentOS 7

Installeer Elgg op CentOS 7

Gebruikt u een ander systeem? Elgg is een open source engine voor sociaal netwerken waarmee sociale omgevingen kunnen worden gecreëerd, zoals sociale campusnetwerken

Hoe installeer ik het Froxlor Server Management Panel op CentOS 7

Hoe installeer ik het Froxlor Server Management Panel op CentOS 7

Froxlor is een open source, gratis, lichtgewicht en toch krachtig serverbeheerpaneel dat geweldig is voor het opzetten en beheren van webhostingservices. Thi

Hoe Alfresco Community Edition op CentOS 7 te installeren

Hoe Alfresco Community Edition op CentOS 7 te installeren

Gebruikt u een ander systeem? Alfresco Community Edition is een open source-versie van de Alfresco Content Services. Het is geschreven in Java en gebruikt PostgreSQL t

Hoe Vtiger CRM Open Source Edition op CentOS 7 te installeren

Hoe Vtiger CRM Open Source Edition op CentOS 7 te installeren

Vtiger CRM is een populaire applicatie voor klantrelatiebeheer die bedrijven kan helpen hun verkoop te laten groeien, klantenservice te bieden en de winst te vergroten. ik

Een netwerk van Minecraft-servers maken met BungeeCord op Debian 8, Debian 9 of CentOS 7

Een netwerk van Minecraft-servers maken met BungeeCord op Debian 8, Debian 9 of CentOS 7

Wat je nodig hebt Een Vultr VPS met minimaal 1 GB RAM. SSH-toegang (met root- / beheerdersrechten). Stap 1: BungeeCord installeren Eerste dingen eerst

Hoe MaraDNS op CentOS 6 te installeren

Hoe MaraDNS op CentOS 6 te installeren

MaraDNS is een lichtgewicht maar robuust open source DNS-serverprogramma. Vergeleken met andere applicaties van dezelfde soort, zoals ISC BIND, PowerDNS en djbdns

Kan AI vechten met toenemend aantal ransomware-aanvallen?

Kan AI vechten met toenemend aantal ransomware-aanvallen?

Ransomware-aanvallen nemen toe, maar kan AI helpen het nieuwste computervirus het hoofd te bieden? Is AI het antwoord? Lees hier weten is AI boezem of vloek

ReactOS: is dit de toekomst van Windows?

ReactOS: is dit de toekomst van Windows?

ReactOS, een open source en gratis besturingssysteem is hier met de nieuwste versie. Kan het voldoen aan de behoeften van moderne Windows-gebruikers en Microsoft uitschakelen? Laten we meer te weten komen over deze oude stijl, maar een nieuwere OS-ervaring.

Blijf verbonden via WhatsApp Desktop-app 24 * 7

Blijf verbonden via WhatsApp Desktop-app 24 * 7

WhatsApp heeft eindelijk de Desktop-app voor Mac- en Windows-gebruikers gelanceerd. Nu heb je eenvoudig toegang tot WhatsApp vanuit Windows of Mac. Beschikbaar voor Windows 8+ en Mac OS 10.9+

Hoe AI procesautomatisering naar een hoger niveau kan tillen?

Hoe AI procesautomatisering naar een hoger niveau kan tillen?

Lees dit om te weten hoe kunstmatige intelligentie populair wordt onder de kleinschalige bedrijven en hoe het de kansen vergroot om ze te laten groeien en hun concurrenten voorsprong te geven.

macOS Catalina 10.15.4 Supplement Update veroorzaakt meer problemen dan het oplost

macOS Catalina 10.15.4 Supplement Update veroorzaakt meer problemen dan het oplost

Onlangs heeft Apple macOS Catalina 10.15.4 uitgebracht, een aanvullende update om problemen op te lossen, maar het lijkt erop dat de update meer problemen veroorzaakt die ertoe leiden dat mac-machines worden gemetseld. Lees dit artikel voor meer informatie

13 Commerciële data-extractietools voor big data

13 Commerciële data-extractietools voor big data

13 Commerciële data-extractietools voor big data

Wat is een logboekbestandssysteem en hoe werkt het?

Wat is een logboekbestandssysteem en hoe werkt het?

Onze computer slaat alle gegevens op een georganiseerde manier op, het zogenaamde Journaling-bestandssysteem. Het is een efficiënte methode waarmee de computer bestanden kan zoeken en weergeven zodra u op zoeken drukt.https://wethegeek.com/?p=94116&preview=true

Technologische singulariteit: een verre toekomst van de menselijke beschaving?

Technologische singulariteit: een verre toekomst van de menselijke beschaving?

Naarmate de wetenschap zich snel ontwikkelt en veel van onze inspanningen overneemt, nemen ook de risico's toe om onszelf te onderwerpen aan een onverklaarbare singulariteit. Lees, wat singulariteit voor ons kan betekenen.

Een inzicht in 26 Big Data-analysetechnieken: deel 1

Een inzicht in 26 Big Data-analysetechnieken: deel 1

Een inzicht in 26 Big Data-analysetechnieken: deel 1

De impact van kunstmatige intelligentie in de gezondheidszorg 2021

De impact van kunstmatige intelligentie in de gezondheidszorg 2021

AI in de zorg heeft de afgelopen decennia grote sprongen gemaakt. De toekomst van AI in de gezondheidszorg groeit dus nog steeds met de dag.