การรักษาความปลอดภัยเซิร์ฟเวอร์ Apache บน CentOS 6

• ขั้นตอนที่ 1 - การติดตั้งเว็บเซิร์ฟเวอร์
• ขั้นตอนที่ 2 - การรักษาความปลอดภัยไดเรกทอรีบ้านของคุณ
• ขั้นตอนที่ 3 - ใช้แพทช์รักษาความปลอดภัยกับ Apache สำหรับการแยกสิทธิ์ของผู้ใช้
• ขั้นตอนที่ 3 - การสร้างโฮสต์เสมือนแรกของคุณ
• ขั้นตอนที่ 4 - การกำหนดค่า Apache ให้ทำงานในฐานะผู้ใช้รายอื่น
• ขั้นตอนที่ 5 - ซ่อนเวอร์ชันของ Apache
• ขั้นตอนที่ 6 - รีสตาร์ท Apache เพื่อใช้การเปลี่ยนแปลง
• ข้อสรุป

เป็นเรื่องง่ายที่จะใช้ทางลัดเมื่อรักษาความปลอดภัยเซิร์ฟเวอร์ แต่คุณจะเสี่ยงต่อการสูญเสียข้อมูลในกรณีที่ผู้โจมตีได้รับสิทธิ์การเข้าถึงรูทเซิร์ฟเวอร์ของคุณ แม้แต่การติดตั้งง่าย ๆ คุณจำเป็นต้องรักษาความปลอดภัยเซิร์ฟเวอร์ของคุณไว้ก่อน การรักษาความปลอดภัยเซิร์ฟเวอร์เป็นหัวข้อกว้าง ๆ และแตกต่างกันไปขึ้นอยู่กับระบบปฏิบัติการและแอพพลิเคชั่นที่ทำงานอยู่

บทช่วยสอนนี้มุ่งเน้นไปที่การรักษาความปลอดภัย Apache ภายใต้ CentOS 6 มีขั้นตอนการติดตั้งไม่กี่โพสต์ที่คุณสามารถทำได้เพื่อป้องกันตัวคุณเองจากการเพิ่มระดับสิทธิ์และการโจมตีที่ไม่ได้รับสิทธิพิเศษ

โดยไม่ต้องกังวลใจต่อไปเริ่มกันเลย

ขั้นตอนที่ 1 - การติดตั้งเว็บเซิร์ฟเวอร์

แน่นอนถ้าคุณไม่ได้ติดตั้ง Apache หรือ PHP คุณควรทำตอนนี้ ดำเนินการคำสั่งนี้ในฐานะผู้ใช้รูทหรือใช้ sudo:

yum install httpd php

ขั้นตอนที่ 2 - การรักษาความปลอดภัยไดเรกทอรีบ้านของคุณ

ตอนนี้ Apache ได้รับการติดตั้งแล้วมาเริ่มกันเลย อันดับแรกเราต้องการให้แน่ใจว่าไม่มีใครเห็นไดเรกทอรีของผู้ใช้รายอื่นยกเว้นเจ้าของ เราจะ chmod โฮมไดเร็กตอรี่ทั้งหมดถึง 700, เพื่อให้เฉพาะเจ้าของไดเรคทอรี่โฮมที่เกี่ยวข้องสามารถดูไฟล์ของตนเองได้ รันคำสั่งนี้เป็นรูทหรือใช้ sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

ด้วยการใช้ไวด์การ์ดเราจะครอบคลุมไฟล์ทั้งหมดที่อยู่ในโฮมไดเร็กตอรี่ปัจจุบัน

ขั้นตอนที่ 3 - ใช้แพทช์รักษาความปลอดภัยกับ Apache สำหรับการแยกสิทธิ์ของผู้ใช้

ก่อนที่เราจะแก้ไข Apache เราต้องติดตั้งที่เก็บที่มีแพ็คเกจด้วยโปรแกรมแก้ไขก่อน รันคำสั่งต่อไปนี้ในฐานะ root (หรือ sudo)

yum install epel-release
yum install httpd-itk

ด้วย "apache2-mpm-itk" เราสามารถบอกได้ว่าผู้ใช้ PHP ควรทำงานแบบใดบนพื้นฐานของโฮสต์เสมือน เพิ่มตัวเลือกการกำหนดค่าใหม่AssignUserId virtualhost-user virtualhost-user-groupซึ่งช่วยให้เราบอก Apache / PHP ให้รันรหัสผู้ใช้ภายใต้บัญชีผู้ใช้ที่ระบุ

หากคุณแชร์เซิร์ฟเวอร์นี้ฉันถือว่าคุณได้สร้างโฮสต์เสมือนสำหรับ Apache มาก่อนแล้ว ในกรณีนั้นคุณสามารถข้ามไปที่ขั้นตอนที่ 4

ขั้นตอนที่ 3 - การสร้างโฮสต์เสมือนแรกของคุณ

คุณสามารถทำตามเทมเพลตด้านล่างเพื่อสร้างโฮสต์เสมือนใน Apache

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

เปิดโปรแกรมแก้ไขข้อความที่คุณชื่นชอบ/etc/httpd/conf.d/example-virtualhost.confแล้วเพิ่มเนื้อหาข้างบน นี่คือคำสั่งสำหรับการใช้นาโน:

nano /etc/httpd/conf.d/example-virtualhost.conf

ให้ฉันอธิบายการตั้งค่าที่นี่ เมื่อเราระบุ "NameVirtualHost" เราจะบอกเว็บเซิร์ฟเวอร์ว่าเราโฮสต์หลายโดเมนในIPเดียว ตอนนี้ในตัวอย่างนี้ฉันใช้mytest.websiteเป็นโดเมนตัวอย่าง เปลี่ยนเป็นของคุณหรือโดเมนที่คุณเลือก DocumentRootเป็นสิ่งที่บอก Apache ว่าเนื้อหาอยู่ที่ใด ServerNameเป็นคำสั่งที่เราใช้บอก Apache โดเมนของเว็บไซต์ และหนึ่งแท็กสุดท้าย</VirtualHost>ซึ่งบอก Apache ว่าเป็นจุดสิ้นสุดของการกำหนดค่าโฮสต์เสมือน

ขั้นตอนที่ 4 - การกำหนดค่า Apache ให้ทำงานในฐานะผู้ใช้รายอื่น

ดังที่กล่าวไว้ก่อนหน้านี้ส่วนหนึ่งของการรักษาความปลอดภัยเซิร์ฟเวอร์ของคุณนั้นรวมถึงการใช้ Apache / PHP ในฐานะผู้ใช้แยกต่างหากสำหรับแต่ละโฮสต์เสมือน การบอกให้ Apache ทำสิ่งนี้ง่าย ๆ หลังจากที่เราได้นำ patch มาใช้ - สิ่งที่คุณต้องทำคือเพิ่ม:

AssignUserId vhost-user vhost-user-group

... กับการกำหนดค่าของคุณ นี่คือตัวอย่างโฮสต์เสมือนหลังจากที่เราเพิ่มตัวเลือกนี้:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

AssignUserIdความมหัศจรรย์อยู่ในจุดเริ่มต้นบรรทัดด้วย ด้วยตัวเลือกนี้เราจะบอก Apache / PHP ให้ทำงานในฐานะผู้ใช้ / กลุ่มต่อไปนี้

ขั้นตอนที่ 5 - ซ่อนเวอร์ชันของ Apache

ขั้นตอนนี้ค่อนข้างง่าย เพียงแค่เปิดไฟล์กำหนดค่าของ Apache โดยดำเนินการคำสั่งต่อไปนี้ในฐานะผู้ใช้รูท:

nano /etc/httpd/conf/httpd.conf

ค้นหา "ServerTokens" และเปลี่ยนตัวเลือกหลังจากนั้นเป็น "ProductOnly" สิ่งนี้บอกให้ Apache เปิดเผยว่าเป็น "Apache" แทน "Apache / 2.2" หรืออะไรทำนองนั้น

ขั้นตอนที่ 6 - รีสตาร์ท Apache เพื่อใช้การเปลี่ยนแปลง

ตอนนี้เราได้รักษาความปลอดภัยให้กับเซิร์ฟเวอร์แล้วเราต้องรีสตาร์ทเซิร์ฟเวอร์ Apache ทำสิ่งนี้โดยการรันคำสั่งต่อไปนี้ในฐานะรูทหรือด้วย sudo:

service httpd restart

ข้อสรุป

เหล่านี้เป็นเพียงไม่กี่ขั้นตอนคุณสามารถใช้เพื่อรักษาความปลอดภัยเซิร์ฟเวอร์ของคุณ อีกครั้งแม้ว่าจะเป็นคนที่คุณเชื่อถือได้ว่าโฮสต์เว็บไซต์บนเซิร์ฟเวอร์ของคุณคุณควรวางแผนที่จะปกป้องเว็บไซต์ ในสถานการณ์ข้างต้นแม้ว่าบัญชีผู้ใช้จะถูกบุกรุกผู้โจมตีจะไม่สามารถเข้าถึงเซิร์ฟเวอร์ทั้งหมดได้