Zabezpieczanie serwera Apache na CentOS 6

Podczas zabezpieczania serwera łatwo jest korzystać ze skrótów, ale ryzykujesz utratę danych w przypadku, gdy osoba atakująca uzyska dostęp do konta root na dowolnym z Twoich serwerów. Nawet w przypadku prostych instalacji musisz wcześniej zabezpieczyć serwer. Zabezpieczanie serwerów to szeroki temat, który różni się w zależności od systemu operacyjnego i aplikacji na nich działających.

Ten samouczek koncentruje się na zabezpieczaniu Apache pod CentOS 6. Istnieje kilka kroków po instalacji, które możesz podjąć, aby uchronić się przed eskalacją przywilejów, a także atakami niedostatecznie uprzywilejowanymi.

Bez zbędnych ceregieli, zacznijmy.

Krok 1 - Instalacja serwera WWW

Oczywiście, jeśli nie masz zainstalowanego Apache lub PHP, powinieneś to zrobić teraz. Wykonaj to polecenie jako użytkownik root lub użyj sudo:

yum install httpd php

Krok 2 - Zabezpieczanie katalogów domowych

Teraz, gdy Apache jest zainstalowany, zacznijmy go zabezpieczać. Po pierwsze, chcemy mieć pewność, że katalogi innych użytkowników nie będą widoczne dla nikogo oprócz właściciela. Przeskoczymy wszystkie katalogi domowe do 700, aby tylko ich właściciele mogli przeglądać własne pliki. Uruchom tę komendę jako root lub użyj sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Używając symboli wieloznacznych, pokrywamy wszystkie pliki aktualnie znajdujące się w katalogu domowym.

Krok 3 - Zastosuj poprawkę bezpieczeństwa do Apache w celu rozdzielenia uprawnień użytkownika

Zanim załatamy Apache, musimy najpierw zainstalować repozytorium zawierające pakiet z łatką. Uruchom następujące polecenia jako root (lub sudo).

yum install epel-release
yum install httpd-itk

Dzięki „apache2-mpm-itk” możemy powiedzieć, który użytkownik PHP powinien działać jako oparty na wirtualnym hoście. Dodaje nową opcję konfiguracji AssignUserId virtualhost-user virtualhost-user-group, która pozwala nam powiedzieć Apache / PHP, aby wykonał kod użytkownika na określonym koncie użytkownika.

Jeśli udostępniasz ten serwer, zakładam, że już wcześniej utworzyłeś wirtualny host dla Apache. W takim przypadku możesz przejść do kroku 4.

Krok 3 - Utworzenie pierwszego wirtualnego hosta

Możesz wykonać poniższy szablon, aby utworzyć wirtualny host w Apache.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Otwórz swój ulubiony edytor tekstu, /etc/httpd/conf.d/example-virtualhost.confa następnie dodaj do niego powyższą zawartość. Oto polecenie używania nano:

nano /etc/httpd/conf.d/example-virtualhost.conf

Pozwól mi wyjaśnić konfigurację tutaj. Kiedy określamy „NameVirtualHost”, tak naprawdę informujemy serwer WWW, że hostujemy wiele domen pod jednym adresem IP . Teraz w tym przykładzie użyłem mytest.websitejako przykładowej domeny. Zmień to na swoje lub wybraną przez siebie domenę. DocumentRootmówi Apache, gdzie znajduje się treść. ServerNameto dyrektywa, której używamy, aby poinformować Apache o domenie witryny. I ostatni tag, </VirtualHost>który informuje Apache, że to koniec konfiguracji wirtualnego hosta.

Krok 4 - Konfigurowanie Apache do działania jako inny użytkownik

Jak wspomniano wcześniej, część ochrony serwera obejmuje uruchamianie Apache / PHP jako osobnego użytkownika dla każdego wirtualnego hosta. Powiedzenie Apacheowi, aby to zrobił, jest proste po zastosowaniu łatki - wystarczy dodać:

AssignUserId vhost-user vhost-user-group

... do twojej konfiguracji. Oto jak wyglądałby przykładowy wirtualny host po dodaniu tej opcji:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

Magia jest w linii, zaczynając od AssignUserId. Dzięki tej opcji mówimy Apache / PHP, aby działał jako następujący użytkownik / grupa.

Krok 5 - Ukrywanie wersji Apache

Ten krok jest dość prosty; wystarczy otworzyć plik konfiguracyjny Apache, wykonując następującą komendę jako użytkownik root:

nano /etc/httpd/conf/httpd.conf

Znajdź „ServerTokens” i zmień po nim opcję na „ProductOnly”. To mówi Apache, aby ujawnił tylko, że jest to „Apache”, zamiast „Apache / 2.2” lub coś podobnego.

Krok 6 - Ponowne uruchomienie Apache, aby zastosować zmiany

Po zabezpieczeniu serwera musimy zrestartować serwer Apache. Zrób to, uruchamiając następujące polecenie jako root lub sudo:

service httpd restart

Wniosek

To tylko kilka kroków, które możesz zrobić, aby zabezpieczyć serwer. Jeszcze raz, nawet jeśli ktoś zaufany hostuje witrynę na twoim serwerze, powinieneś ją chronić. W powyższych scenariuszach, nawet jeśli konto użytkownika zostanie przejęte, atakujący nie uzyska dostępu do całego serwera.



Leave a Comment

Jak zainstalować Anchor CMS na CentOS 7 LAMP VPS

Jak zainstalować Anchor CMS na CentOS 7 LAMP VPS

Używasz innego systemu? Anchor CMS to bardzo prosty i niezwykle lekki, darmowy i otwarty system zarządzania treścią (CMS) Blog Engine, który

Jak zaktualizować CentOS 7, Ubuntu 16.04 i Debian 8

Jak zaktualizować CentOS 7, Ubuntu 16.04 i Debian 8

Podczas konfigurowania nowego serwera Linux zaleca się aktualizację jądra systemu i innych pakietów do najnowszej stabilnej wersji. W tym artykule

Skonfiguruj klaster RethinkDB w CentOS 7

Skonfiguruj klaster RethinkDB w CentOS 7

Wprowadzenie RethinkDB to baza danych NoSQL, która przechowuje dane jako dokumenty JSON. Ma bardzo intuicyjny język zapytań i funkcje powszechnie dostępne

Skonfiguruj Magento na CentOS 6

Skonfiguruj Magento na CentOS 6

Niezależnie od tego, czy chcesz umieścić zapasy sklepów online, czy po prostu prosty sklep z akcesoriami technicznymi, Magento jest doskonałym rozwiązaniem dla eCommerce online. Ten artykuł

Jak zainstalować i skonfigurować OrientDB Community Edition na CentOS 7

Jak zainstalować i skonfigurować OrientDB Community Edition na CentOS 7

OrientDB to wielomodowy model open source NoSQL DBMS nowej generacji. Dzięki obsłudze wielu modeli danych, OrientDB może zapewnić większą funkcjonalność i elastyczność

Jak zainstalować Neos CMS na CentOS 7

Jak zainstalować Neos CMS na CentOS 7

Neos to innowacyjny system zarządzania treścią typu open source, który doskonale nadaje się do tworzenia i edytowania treści online. Z myślą o autorach i redaktorach, Neo

Jak zainstalować Vtiger CRM Open Source Edition na CentOS 7

Jak zainstalować Vtiger CRM Open Source Edition na CentOS 7

Vtiger CRM to popularna aplikacja do zarządzania relacjami z klientami, która może pomóc przedsiębiorstwom zwiększyć sprzedaż, zapewnić obsługę klienta i zwiększyć zyski. ja

Jak zainstalować MaraDNS na CentOS 6

Jak zainstalować MaraDNS na CentOS 6

MaraDNS to lekki, ale solidny program serwera DNS typu open source. W porównaniu z innymi aplikacjami tego samego rodzaju, takimi jak ISC BIND, PowerDNS i djbdns

Instalowanie Netdata na CentOS 7

Instalowanie Netdata na CentOS 7

Używasz innego systemu? Netdata jest wschodzącą gwiazdą w dziedzinie monitorowania wskaźników systemowych w czasie rzeczywistym. W porównaniu z innymi narzędziami tego samego rodzaju, Netdata:

Jak zainstalować Starbound Server na CentOS 7

Jak zainstalować Starbound Server na CentOS 7

Używasz innego systemu? W tym samouczku wyjaśnię, jak skonfigurować serwer Starbound na CentOS 7. Wymagania wstępne Musisz mieć tę grę na sobie

Clustering RabbitMQ na CentOS 7

Clustering RabbitMQ na CentOS 7

RabbitMQ to broker komunikatów typu open source, który obsługuje AMQP, STOMP i inne technologie komunikacyjne. Jest szeroko stosowany w aplikacjach dla przedsiębiorstw

Skonfiguruj SA-MP San Andreas Multiplayer Server na CentOS 6

Skonfiguruj SA-MP San Andreas Multiplayer Server na CentOS 6

Witamy w innym samouczku Vultr. Tutaj dowiesz się, jak zainstalować i uruchomić serwer SAMP. Ten przewodnik został napisany dla CentOS 6. Wymagania wstępne Będziesz potrzebował

Zainstaluj Elgg na CentOS 7

Zainstaluj Elgg na CentOS 7

Używasz innego systemu? Elgg to silnik sieci społecznościowych typu open source, który umożliwia tworzenie środowisk społecznościowych, takich jak kampusowe sieci społecznościowe

Jak zainstalować serwer RStudio na CentOS 7

Jak zainstalować serwer RStudio na CentOS 7

RStudio Server to internetowa wersja RStudio, która jest serią narzędzi zaprojektowanych w celu ułatwienia kodowania przy użyciu języka programowania R. W thi

Instalowanie Bolt CMS na CentOS 7

Instalowanie Bolt CMS na CentOS 7

Bolt to open source CMS napisany w PHP. Kod źródłowy Bolts jest hostowany na GitHub. Ten przewodnik pokaże Ci, jak zainstalować Bolt CMS na nowym CentOS 7 Vult

Jak zainstalować Elasticsearch na instancji serwera Vultr CentOS 7

Jak zainstalować Elasticsearch na instancji serwera Vultr CentOS 7

Elasticsearch to popularny wyszukiwarka pełnotekstowa i silnik analityczny typu open source. Dzięki swojej wszechstronności, skalowalności i łatwości użytkowania, Elasticsearch jest szeroko rozpowszechniony

Wdróż Kubernetes za pomocą Kubeadm na CentOS 7

Wdróż Kubernetes za pomocą Kubeadm na CentOS 7

Omówienie Ten artykuł ma na celu pomóc ci w szybkim uruchomieniu klastra Kubernetes z kubeadm. W tym przewodniku zostaną wdrożone dwa serwery

Sails.js należy skonfigurować do programowania w CentOS 7

Sails.js należy skonfigurować do programowania w CentOS 7

Używasz innego systemu? Wprowadzenie Sails.js to framework MVC dla Node.js, podobny do Ruby on Rails. Umożliwia tworzenie nowoczesnych aplikacji wer

Jak zainstalować PufferPanel (bezpłatny panel sterowania Minecraft) na CentOS 7

Jak zainstalować PufferPanel (bezpłatny panel sterowania Minecraft) na CentOS 7

Wprowadzenie W tym samouczku zainstaluj PufferPanel na naszym Vultr VPS. PufferPanel to otwarty, darmowy panel kontrolny do zarządzania tobą

Lepsze narzędzia monitorowania dla Ubuntu i CentOS

Lepsze narzędzia monitorowania dla Ubuntu i CentOS

Wprowadzenie Systemy Linux są domyślnie dostarczane z narzędziami do monitorowania, takimi jak top, df i du, które pomagają monitorować procesy i miejsce na dysku. Często jednak są

Funkcjonalności warstw architektury referencyjnej Big Data

Funkcjonalności warstw architektury referencyjnej Big Data

Przeczytaj blog, aby w najprostszy sposób poznać różne warstwy w architekturze Big Data i ich funkcjonalności.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Chcesz zobaczyć rewolucyjne wynalazki Google i jak te wynalazki zmieniły życie każdego człowieka dzisiaj? Następnie czytaj na blogu, aby zobaczyć wynalazki Google.

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Whatsapp w końcu uruchomił aplikację Desktop dla użytkowników komputerów Mac i Windows. Teraz możesz łatwo uzyskać dostęp do Whatsapp z systemu Windows lub Mac. Dostępne dla Windows 8+ i Mac OS 10.9+

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

Energia jądrowa jest zawsze pogardzana, nigdy jej nie szanujemy z powodu przeszłych wydarzeń, ale nie zawsze jest zła. Przeczytaj post, aby dowiedzieć się więcej na ten temat.

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Koncepcja autonomicznych samochodów, które wyjadą na drogi za pomocą sztucznej inteligencji, to marzenie, które mamy już od jakiegoś czasu. Ale pomimo kilku obietnic nigdzie ich nie widać. Przeczytaj ten blog, aby dowiedzieć się więcej…

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Wzrasta liczba ataków ransomware, ale czy sztuczna inteligencja może pomóc w radzeniu sobie z najnowszym wirusem komputerowym? Czy AI jest odpowiedzią? Przeczytaj tutaj, wiedz, że sztuczna inteligencja jest zmorą lub zgubą

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

Sztuczna inteligencja nie jest dla ludzi nową nazwą. Ponieważ sztuczna inteligencja jest włączona do każdego strumienia, jednym z nich jest opracowywanie narzędzi zwiększających ludzką wydajność i dokładność. Skorzystaj z tych niesamowitych narzędzi uczenia maszynowego i uprość swoje codzienne zadania.

Wgląd w 26 technik analizy Big Data: część 2

Wgląd w 26 technik analizy Big Data: część 2

Zawsze potrzebujemy Big Data Analytics do efektywnego zarządzania danymi. W tym artykule omówiliśmy kilka technik analizy Big Data. Sprawdź ten artykuł.

Ataki DDOS: krótki przegląd

Ataki DDOS: krótki przegląd

Czy jesteś również ofiarą ataków DDOS i nie masz pewności co do metod zapobiegania? Przeczytaj ten artykuł, aby rozwiązać swoje pytania.