Zabezpieczanie serwera Apache na CentOS 6

• Krok 1 - Instalacja serwera WWW
• Krok 2 - Zabezpieczanie katalogów domowych
• Krok 3 - Zastosuj poprawkę bezpieczeństwa do Apache w celu rozdzielenia uprawnień użytkownika
• Krok 3 - Utworzenie pierwszego wirtualnego hosta
• Krok 4 - Konfigurowanie Apache do działania jako inny użytkownik
• Krok 5 - Ukrywanie wersji Apache
• Krok 6 - Ponowne uruchomienie Apache, aby zastosować zmiany
• Wniosek

Podczas zabezpieczania serwera łatwo jest korzystać ze skrótów, ale ryzykujesz utratę danych w przypadku, gdy osoba atakująca uzyska dostęp do konta root na dowolnym z Twoich serwerów. Nawet w przypadku prostych instalacji musisz wcześniej zabezpieczyć serwer. Zabezpieczanie serwerów to szeroki temat, który różni się w zależności od systemu operacyjnego i aplikacji na nich działających.

Ten samouczek koncentruje się na zabezpieczaniu Apache pod CentOS 6. Istnieje kilka kroków po instalacji, które możesz podjąć, aby uchronić się przed eskalacją przywilejów, a także atakami niedostatecznie uprzywilejowanymi.

Bez zbędnych ceregieli, zacznijmy.

Krok 1 - Instalacja serwera WWW

Oczywiście, jeśli nie masz zainstalowanego Apache lub PHP, powinieneś to zrobić teraz. Wykonaj to polecenie jako użytkownik root lub użyj sudo:

yum install httpd php

Krok 2 - Zabezpieczanie katalogów domowych

Teraz, gdy Apache jest zainstalowany, zacznijmy go zabezpieczać. Po pierwsze, chcemy mieć pewność, że katalogi innych użytkowników nie będą widoczne dla nikogo oprócz właściciela. Przeskoczymy wszystkie katalogi domowe do 700, aby tylko ich właściciele mogli przeglądać własne pliki. Uruchom tę komendę jako root lub użyj sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Używając symboli wieloznacznych, pokrywamy wszystkie pliki aktualnie znajdujące się w katalogu domowym.

Krok 3 - Zastosuj poprawkę bezpieczeństwa do Apache w celu rozdzielenia uprawnień użytkownika

Zanim załatamy Apache, musimy najpierw zainstalować repozytorium zawierające pakiet z łatką. Uruchom następujące polecenia jako root (lub sudo).

yum install epel-release
yum install httpd-itk

Dzięki „apache2-mpm-itk” możemy powiedzieć, który użytkownik PHP powinien działać jako oparty na wirtualnym hoście. Dodaje nową opcję konfiguracji AssignUserId virtualhost-user virtualhost-user-group, która pozwala nam powiedzieć Apache / PHP, aby wykonał kod użytkownika na określonym koncie użytkownika.

Jeśli udostępniasz ten serwer, zakładam, że już wcześniej utworzyłeś wirtualny host dla Apache. W takim przypadku możesz przejść do kroku 4.

Krok 3 - Utworzenie pierwszego wirtualnego hosta

Możesz wykonać poniższy szablon, aby utworzyć wirtualny host w Apache.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Otwórz swój ulubiony edytor tekstu, /etc/httpd/conf.d/example-virtualhost.confa następnie dodaj do niego powyższą zawartość. Oto polecenie używania nano:

nano /etc/httpd/conf.d/example-virtualhost.conf

Pozwól mi wyjaśnić konfigurację tutaj. Kiedy określamy „NameVirtualHost”, tak naprawdę informujemy serwer WWW, że hostujemy wiele domen pod jednym adresem IP . Teraz w tym przykładzie użyłem mytest.websitejako przykładowej domeny. Zmień to na swoje lub wybraną przez siebie domenę. DocumentRootmówi Apache, gdzie znajduje się treść. ServerNameto dyrektywa, której używamy, aby poinformować Apache o domenie witryny. I ostatni tag, </VirtualHost>który informuje Apache, że to koniec konfiguracji wirtualnego hosta.

Krok 4 - Konfigurowanie Apache do działania jako inny użytkownik

Jak wspomniano wcześniej, część ochrony serwera obejmuje uruchamianie Apache / PHP jako osobnego użytkownika dla każdego wirtualnego hosta. Powiedzenie Apacheowi, aby to zrobił, jest proste po zastosowaniu łatki - wystarczy dodać:

AssignUserId vhost-user vhost-user-group

... do twojej konfiguracji. Oto jak wyglądałby przykładowy wirtualny host po dodaniu tej opcji:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

Magia jest w linii, zaczynając od AssignUserId. Dzięki tej opcji mówimy Apache / PHP, aby działał jako następujący użytkownik / grupa.

Krok 5 - Ukrywanie wersji Apache

Ten krok jest dość prosty; wystarczy otworzyć plik konfiguracyjny Apache, wykonując następującą komendę jako użytkownik root:

nano /etc/httpd/conf/httpd.conf

Znajdź „ServerTokens” i zmień po nim opcję na „ProductOnly”. To mówi Apache, aby ujawnił tylko, że jest to „Apache”, zamiast „Apache / 2.2” lub coś podobnego.

Krok 6 - Ponowne uruchomienie Apache, aby zastosować zmiany

Po zabezpieczeniu serwera musimy zrestartować serwer Apache. Zrób to, uruchamiając następujące polecenie jako root lub sudo:

service httpd restart

Wniosek

To tylko kilka kroków, które możesz zrobić, aby zabezpieczyć serwer. Jeszcze raz, nawet jeśli ktoś zaufany hostuje witrynę na twoim serwerze, powinieneś ją chronić. W powyższych scenariuszach, nawet jeśli konto użytkownika zostanie przejęte, atakujący nie uzyska dostępu do całego serwera.