Защита сервера Apache в CentOS 6

• Шаг 1 - Установка веб-сервера
• Шаг 2 - Защита ваших домашних каталогов
• Шаг 3 - Примените исправление безопасности для Apache для разделения привилегий пользователя
• Шаг 3 - Создание вашего первого виртуального хоста
• Шаг 4 - Настройка Apache для запуска от имени другого пользователя
• Шаг 5 - Скрытие версии Apache
• Шаг 6 - Перезапуск Apache для применения изменений
• Заключение

При защите сервера легко использовать ярлыки, но вы рискуете потерять данные в случае, если злоумышленник получит root-доступ к любому из ваших серверов. Даже для простых установок вам необходимо заранее защитить свой сервер. Защита серверов - это широкая тема, которая варьируется в зависимости от ОС и приложений, которые на них выполняются.

Это руководство посвящено защите Apache под CentOS 6. Существует несколько шагов после установки, которые вы можете предпринять, чтобы защитить себя от повышения привилегий, а также от атак с ограниченными правами.

Без дальнейших церемоний, давайте начнем.

Шаг 1 - Установка веб-сервера

Конечно, если у вас не установлен Apache или PHP, вы должны сделать это сейчас. Выполните эту команду от имени пользователя root или используйте sudo:

yum install httpd php

Шаг 2 - Защита ваших домашних каталогов

Теперь, когда Apache установлен, давайте начнем защищать его. Во-первых, мы хотим убедиться, что каталоги других пользователей не видны никому, кроме владельца. Мы изменим все домашние каталоги до 700, чтобы только соответствующие владельцы домашних каталогов могли просматривать свои собственные файлы. Запустите эту команду от имени пользователя root или используйте sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Используя подстановочные знаки, мы покрываем все файлы, которые в настоящее время находятся в домашнем каталоге.

Шаг 3 - Примените исправление безопасности для Apache для разделения привилегий пользователя

Прежде чем мы исправим Apache, нам нужно сначала установить репозиторий, содержащий пакет с патчем. Выполните следующие команды как root (или sudo).

yum install epel-release
yum install httpd-itk

С помощью «apache2-mpm-itk» мы можем сказать, какой пользователь должен запускать PHP, исходя из виртуального хоста. Он добавляет новую опцию конфигурации AssignUserId virtualhost-user virtualhost-user-group, которая позволяет нам указывать Apache / PHP выполнять код пользователя под определенной учетной записью пользователя.

Если вы используете этот сервер совместно, я предполагаю, что вы уже создали виртуальный хост для Apache. В этом случае вы можете перейти к шагу 4.

Шаг 3 - Создание вашего первого виртуального хоста

Вы можете следовать шаблону ниже, чтобы создать виртуальный хост в Apache.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Откройте ваш любимый текстовый редактор /etc/httpd/conf.d/example-virtualhost.confи добавьте в него содержимое выше. Вот команда для использования nano:

nano /etc/httpd/conf.d/example-virtualhost.conf

Позвольте мне объяснить конфигурацию здесь. Когда мы указываем «NameVirtualHost», мы фактически сообщаем веб-серверу, что мы размещаем несколько доменов на одном IP . Теперь в этом примере я использовал mytest.websiteв качестве примера домен. Измените это на свой или домен по вашему выбору. DocumentRootэто то, что сообщает Apache, где находится контент. ServerNameэто директива, которую мы используем, чтобы сообщить Apache домен сайта. И последний тег, </VirtualHost>который сообщает Apache, что это конец конфигурации виртуального хоста.

Шаг 4 - Настройка Apache для запуска от имени другого пользователя

Как упоминалось ранее, часть защиты вашего сервера включает запуск Apache / PHP в качестве отдельного пользователя для каждого виртуального хоста. После того, как мы применили патч, сказать Apache сделать это просто - все что вам нужно сделать, это добавить:

AssignUserId vhost-user vhost-user-group

... к вашей конфигурации. Вот как будет выглядеть пример виртуального хоста после добавления этой опции:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

Магия в строке, начинающейся с AssignUserId. С этой опцией мы говорим, что Apache / PHP должен работать как следующий пользователь / группа.

Шаг 5 - Скрытие версии Apache

Этот шаг довольно прост; просто откройте файл конфигурации Apache, выполнив следующую команду от имени пользователя root:

nano /etc/httpd/conf/httpd.conf

Найдите «ServerTokens» и измените параметр после него на «ProductOnly». Это говорит Apache только для того, чтобы показать, что это «Apache», а не «Apache / 2.2» или что-то подобное.

Шаг 6 - Перезапуск Apache для применения изменений

Теперь, когда мы защитили сервер, мы должны перезапустить сервер Apache. Сделайте это, выполнив следующую команду от имени пользователя root или с помощью sudo:

service httpd restart

Заключение

Это всего лишь несколько шагов, которые вы можете предпринять, чтобы защитить свой сервер. Еще раз, даже если кто-то, кому вы доверяете, размещает веб-сайт на вашем сервере, вы должны планировать его защиту. В приведенных выше сценариях, даже если учетная запись пользователя взломана, злоумышленник не получит доступ ко всему серверу.