Securizarea unui server Apache pe CentOS 6

• Pasul 1 - Instalarea serverului web
• Pasul 2 - Securizarea directoarelor de acasă
• Pasul 3 - Aplicați un patch de securitate pentru Apache pentru separarea privilegiilor utilizatorului
• Pasul 3 - Crearea primei dvs. gazde virtuale
• Pasul 4 - Configurarea lui Apache pentru a rula ca alt utilizator
• Pasul 5 - Ascunderea versiunii lui Apache
• Pasul 6 - Reporniți Apache pentru a aplica modificările
• Concluzie

Este ușor să efectuați comenzi rapide când securizați un server, dar riscați pierderea datelor în cazul în care un atacator obține acces root la oricare dintre serverele dvs. Chiar și pentru instalări simple, trebuie să vă asigurați serverul în prealabil. Securizarea serverelor este un subiect larg și variază în funcție de sistemul de operare și aplicațiile care sunt rulate pe acestea.

Acest tutorial se concentrează pe securizarea Apache sub CentOS 6. Există câțiva pași de instalare post-pași pentru a vă proteja împotriva escaladării privilegiilor, precum și a atacurilor sub privilegi.

Fără alte detalii, să începem.

Pasul 1 - Instalarea serverului web

Desigur, dacă nu aveți instalat Apache sau PHP, ar trebui să faceți asta acum. Executați această comandă ca utilizator rădăcină sau folosiți sudo:

yum install httpd php

Pasul 2 - Securizarea directoarelor de acasă

Acum că Apache este instalat, să mergem mai departe și să începem să îl securizăm. În primul rând, vrem să ne asigurăm că directoarele altor utilizatori nu sunt vizibile de nimeni, cu excepția proprietarului. Vom modifica toate directoarele de acasă la 700, astfel încât numai proprietarii respectivi ai directorilor de acasă să își poată vizualiza propriile fișiere. Rulați această comandă ca root, sau utilizați sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Folosind wildcards, acoperim toate fișierele aflate în prezent în directorul de origine.

Pasul 3 - Aplicați un patch de securitate pentru Apache pentru separarea privilegiilor utilizatorului

Înainte de a face patch-uri pe Apache, trebuie să instalăm mai întâi depozitul care conține pachetul cu patch-ul. Executați următoarele comenzi ca root (sau sudo).

yum install epel-release
yum install httpd-itk

Cu „apache2-mpm-itk”, putem spune ce utilizator PHP ar trebui să funcționeze pe baza gazdei virtuale. Adăugă o nouă opțiune de configurare AssignUserId virtualhost-user virtualhost-user-group, care ne permite să spunem Apache / PHP să execute codul de utilizator sub un cont de utilizator specific.

Dacă partajați acest server, presupun că ați creat deja o gazdă virtuală pentru Apache. În acest caz, puteți săriți la pasul 4.

Pasul 3 - Crearea primei dvs. gazde virtuale

Puteți urmări șablonul de mai jos pentru a crea o gazdă virtuală în Apache.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Deschideți editorul de text preferat /etc/httpd/conf.d/example-virtualhost.confși apoi adăugați conținutul de mai sus în el. Iată comanda pentru utilizarea nano:

nano /etc/httpd/conf.d/example-virtualhost.conf

Permiteți-mi să explic aici configurația. Când specificăm „NameVirtualHost”, spunem de fapt serverului web că găzduim mai multe domenii pe un singur IP . Acum, în acest exemplu, am folosit mytest.websiteca domeniu de exemplu. Schimbați-l pe al dvs. sau pe un domeniu ales. DocumentRooteste ceea ce îi spune lui Apache unde se află conținutul. ServerNameeste o directivă pe care o folosim pentru a spune lui Apache domeniul site-ului web. Și o ultimă etichetă, </VirtualHost>care spune că Apache este sfârșitul configurației de gazdă virtuală.

Pasul 4 - Configurarea lui Apache pentru a rula ca alt utilizator

După cum am menționat anterior, o parte din securizarea serverului dvs. include rularea Apache / PHP ca utilizator separat pentru fiecare gazdă virtuală. Spune-i lui Apache să facă acest lucru este simplu după ce am aplicat corecția - tot ce trebuie să faceți este să adăugați:

AssignUserId vhost-user vhost-user-group

... la configurația ta. Iată cum ar arăta exemplul gazdă virtuală după ce am adăugat această opțiune:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

Magia este în linie începând cu AssignUserId. Cu această opțiune, îi spunem lui Apache / PHP să funcționeze ca următor utilizator / grup.

Pasul 5 - Ascunderea versiunii lui Apache

Acest pas este destul de simplu; trebuie doar să deschideți fișierul de configurare al lui Apache executând următoarea comandă ca utilizator rădăcină:

nano /etc/httpd/conf/httpd.conf

Găsiți „ServerTokens” și schimbați opțiunea după aceasta în „ProductOnly”. Acest lucru îi spune lui Apache să dezvăluie doar că este „Apache”, în loc de „Apache / 2.2” sau ceva similar.

Pasul 6 - Reporniți Apache pentru a aplica modificările

Acum că am securizat serverul, trebuie să repornim serverul Apache. Faceți acest lucru rulând următoarea comandă ca root sau cu sudo:

service httpd restart

Concluzie

Acestea sunt doar câțiva pași pe care îi puteți face pentru a vă securiza serverul. Încă o dată, chiar dacă este cineva în care ai încredere că găzduiește un site web pe serverul tău, ar trebui să planifici protejarea acestuia. În scenariile de mai sus, chiar dacă un cont de utilizator este compromis, atacatorul nu va avea acces la întregul server.