Корень зла [2006] - Apache - Сеть - Каталог статей

	Документация по ОС FreeBSD	Пятница, 16.01.2026, 14:51
		Главная Регистрация Вход

Приветствую Вас Гость | RSS

Меню сайта

Категории каталога

Apache [58]

DNS [25]

FTP [27]

Mail [74]

Samba [24]

Squid [46]

SSH [23]

VPN [35]

РРР [20]

Net [173]

Главная » Статьи » Сеть » Apache

Корень зла [2006]

Сегодня у нас на повестке дня вопросы, касающиеся обеспечения безопасности Web-сервера на базе OpenBSD. Мы научим PHP, MySQL и Sendmail работать с Apache, который запускается в окружении chroot - измененном корневом каталоге /var/www с правами непривилегированного пользователя www. Таким образом, нам удастся обеспечить дополнительный уровень защиты и максимально снизить возможный ущерб в том случае, если злоумышленнику окажется под силу взломать нашу систему. Применив полученные знания на практике, в твоем арсенале будет настолько защищенная система, что ты сможешь совершенно спокойно взяться за разработку любого проекта, будь то личный блог, новостной сайт компании или даже интернет-магазин с мириадами клиентов. предварительный ликбез Последняя версия ультрасекьюрной OpenBSD (3.9 на момент написания статьи) как нельзя лучше подойдет для выполнения нашей миссии. Короткая история взломов, прекрасная реализация стека TCP/IP, отличный файервол Packet Filter (pf), залатанный Apache 1.3.29 с поддержкой SSL, наличие последних версий OpenSSH и OpenSSL, тысячи добротно протестированных прекомпилированных пакетов - все это говорит в пользу сделанного выбора. Хотя стоит отметить, что в качестве используемой операционной системы может выступать любая из Free/Net/DragonFlyBSD. За основу нашей конструкции примем PHP и MySQL. Не секрет, что за последние годы эта связка стала стандартом де-факто для интернет-проектов различного масштаба. Поэтому давай не будем на этом останавливаться и перейдем непосредственно к настройке. каждой службе - свой раздел Прежде всего, необходимо грамотно подойти к разделению дискового пространства. Лично я предпочитаю для каждой критически важной сетевой службы выделять собственный раздел. Для наглядности приведу содержимое конфига fstab(5) полностью: # vi /etc/fstab /dev/wd0a / ffs rw 1 1 /dev/wd1h /backup ffs rw,nodev,nosuid,softdep 1 2 /dev/wd1a /cvs ffs rw,nodev,nosuid 1 2 /dev/wd0g /export ffs rw,nodev,nosuid,softdep 1 2 /dev/wd1i /home ffs rw,nodev,nosuid,softdep 1 2 /dev/wd0d /tmp ffs rw,nodev,nosuid,noexec,softdep 1 2 /dev/wd0f /usr ffs rw,nodev,softdep 1 2 /dev/wd0e /var ffs rw,nodev,nosuid,softdep 1 2 /dev/wd1d /var/mail ffs rw,nodev,nosuid,noatime,softdep 1 2 /dev/wd1e /var/mysql ffs rw,nodev,nosuid,softdep 1 2 /dev/wd1f /var/squid ffs rw,nodev,nosuid,softdep 1 2 /dev/wd1g /var/www ffs rw,nodev,nosuid,softdep 1 2 /dev/wd1b none swap sw 0 0 Преимущества такой конфигурации видны даже невооруженным глазом: - ПЕРЕПОЛНЕНИЕ ОДНОГО ИЗ РАЗДЕЛОВ НЕ ПОВЛИЯЕТ НА РАБОТУ БОЛЬШИНСТВА СЛУЖБ; - ПРИ СЛУЧАЙНОМ ОТКЛЮЧЕНИИ ПИТАНИЯ ВО ВРЕМЯ ВЫПОЛНЕНИЯ ОПЕРАЦИИ ЗАПИСИ НА ОДНУ ИЗ ФАЙЛОВЫХ СИСТЕМ СНИЖАЕТСЯ ВОЗМОЖНОСТЬ ПОВРЕЖДЕНИЯ ОСТАЛЬНЫХ ФС; - УВЕЛИЧЕНИЕ БЕЗОПАСНОСТИ СИСТЕМЫ ЗА СЧЕТ УКАЗАНИЯ ДЛЯ КАЖДОЙ ФС СПЕЦИАЛЬНЫХ ФЛАГОВ МОНТИРОВАНИЯ. MySQL: записная книжка с SQL-интерфейсом Теперь перейдем к установке и конфигурированию сервера баз данных. Собираем из портов три MySQL-пакета - client, server, tests: # cd /usr/ports/databases/mysql # make package Для проверки правильности сборки выполняем набор прилагаемых тестов: # make do-regress Если все тесты прошли успешно, переходим к установке прекомпилированного пакета клиентской части MySQL: # pkg_add /usr/ports/packages/i386/all/mysql-client-5.0.22.tgz Уделяем внимание зависимостям mysql-server'а: # cd /usr/ports/databases/p5-DBD-mysql # make install clean CLEANDEPENDS=Yes И устанавливаем пакадж серверной части MySQL: # pkg_add /usr/ports/packages/i386/all/mysql-server-5.0.22.tgz При необходимости создаем директорию /var/mysql: # mkdir -p /var/mysql # chown _mysql:_mysql /var/mysql Настало время проверить работоспособность БД и запустить скрипт для создания типовых баз mysql и test: # /usr/local/bin/mysql_install_db Теперь в стартовом сценарии /etc/rc.local указываем опции для mysqld_safe - своего рода обертки, которая запускает mysqld с заданными параметрами, производит мониторинг состояния демона и при необходимости перезапускает главный процесс MySQL. # vi /etc/rc.local if [ -x /usr/local/bin/mysqld_safe ]; then echo -n ' mysqld' /usr/local/bin/mysqld_safe --user=_mysql \ --open-files=1000 --skip-networking \ --socket=/var/www/var/run/mysql/mysql.sock & fi Прокомментирую опции, которые мы указали при старте MySQL: - --USER=_MYSQL - ЗАПУСК ДЕМОНА ОТ ИМЕНИ НЕПРИВИЛЕГИРОВАННОГО ПОЛЬЗОВАТЕЛЯ _MYSQL; - --OPEN-FILES=1000 - МАКСИМАЛЬНОЕ ЧИСЛО ОТКРЫТЫХ ФАЙЛОВ; - --SKIP-NETWORKING - MYSQLD НЕ ДОЛЖЕН БИНДИТЬСЯ НА СЕТЕВЫЕ АДРЕСА; - --SOCKET=/VAR/WWW/VAR/RUN/MYSQL/MYSQL.SOCK - ТАК КАК НАША БД БУДЕТ ИСПОЛЬЗОВАТЬСЯ ТОЛЬКО ЛОКАЛЬНО УСТАНОВЛЕННЫМИ ПРОГРАММАМИ, РАБОТАЕМ ЧЕРЕЗ СОКЕТ; - '&' - ВЫПОЛНЯЕМ ПЕРЕВОД MYSQLD_SAFE В ФОНОВЫЙ РЕЖИМ. Чтобы не изобретать велосипед, давай возьмем предлагаемый разработчиками пример конфига MySQL, назначим ему корректные права доступа и отредактируем применительно к нашим задачам: # cp /usr/local/share/mysql/my-medium.cnf /etc/my.cnf # chmod 644 /etc/my.cnf # vi /etc/my.cnf [client] socket = /var/www/var/run/mysql/mysql.sock [mysqld] socket = /var/www/var/run/mysql/mysql.sock skip-locking key_buffer = 16M max_allowed_packet = 1M table_cache = 64 sort_buffer_size = 512K net_buffer_length = 8K myisam_sort_buffer_size = 8M [mysqldump] quick max_allowed_packet = 16M [mysql] no-auto-rehash Как ты мог заметить, главное отличие от дефолтного my-medium.cnf заключается в определении местоположения абсолютного пути до сокета клиента и сервера MySQL. Вместо /var/run/mysql/mysql.sock мы будем использовать /var/www/var/run/mysql/mysql.sock, поэтому своевременно подготавливаем соответствующую поддиректорию: # mkdir -p /var/www/var/run/mysql # chown _mysql:_mysql /var/www/var/run/mysql Для хранения временных файлов необходимо создать каталог /var/www/tmp с либеральными правами доступа: # mkdir -p -m 777 /var/www/tmp С установкой и конфигурированием разобрались, переходим к запуску демона на орбиту: # /usr/local/bin/mysqld_safe --user=_mysql --open-files=1000 \ --skip-networking --socket=/var/www/var/run/mysql/mysql.sock & Проверяем, готов ли mysqld принимать входящие подключения: # fstat \| grep mysql _mysql mysqld 22841 wd /var/mysql 2 drwxr-xr-x r 1024 _mysql mysqld 22841 0 / 67197 crw-rw-rw- r null _mysql mysqld 22841 1 /var/mysql 3 -rw-rw---- w 25648 _mysql mysqld 22841 2 /var/mysql 3 -rw-rw---- w 25648 _mysql mysqld 22841 3 pipe 0xd69e8828 state И создаем (для надежности) символическую ссылку на стандартное расположение сокета: # ln -sf /var/www/var/run/mysql/mysql.sock /var/run/mysql/mysql.sock нardening MySQL в подробностях Опциональный шаг: выполняем ряд несложных операций по увеличению безопасности MySQL: # /usr/local/bin/mysql -u root // Пустой пароль для администратора MySQL-сервера нам не подходит, устанавливаем новый mysql> set password for root@localhost=password("noidea"); // Удаляем базу данных test, которая была создана скриптом mysql_install_db mysql> drop database test; // Удаляем все MySQL'ные учетные записи, кроме root mysql> use mysql; mysql> delete from db; mysql> delete from user where not (host="localhost" and user="root"); mysql> flush privileges; // Чтобы усложнить атаки типа bruteforce, можно изменить имя главной учетной записи с root на admin mysql> update user set user="admin" where user="root"; mysql> flush privileges; // Настройка закончена mysql> quit хардкорные разборки с PHP Далее на очереди - PHP4 со своими расширениями. Следующими командами мы установим пакет с основным движком - так называемый core-пакадж, модуль для работы с базами данных и библиотеку pear (набор специальных компонентов и расширений для PHP). # pkg_add php4-core-4.4.1p0.tgz # pkg_add php4-mysql-4.4.1p0.tgz # pkg_add php4-pear-4.4.1p0.tgz Активируем модуль libphp4.so: # /usr/local/sbin/phpxs -s Воспользуемся рекомендованной разработчиками версией php.ini: # cp /usr/local/share/examples/php4/php.ini-recommended /var/www/conf/php.ini Выставляем корректные права доступа: # chown root:www /var/www/conf/php.ini # chmod 640 /var/www/conf/php.ini Указываем путь до сокета MySQL: # vi /var/www/conf/php.ini mysql.default_socket = /var/run/mysql/mysql.sock И активируем MySQL-модуль: # /usr/local/sbin/phpxs -a mysql сам себе надежный почтальон Для корректной работы электронной почты в Apache chroot необходимо установить статически слинкованную версию mini_sendmail. Этот фэйковый почтовик будет передавать из среды chroot всю исходящую почту полноценному транспортному агенту. # cd /usr/port/mail/mini_sendmail # env SUBPACKAGE=-chroot make install # cp -p /bin/sh /var/www/bin # mkdir -p /var/www/etc # cp /etc/{hosts,resolv.conf} /var/www/etc Теперь снова возвращаемся в php.ini и указываем абсолютный путь до mini_sendmail относительно /var/www (внимание: запись «-fwww@mydomain.ru» обязательно должна идти без пробела). # vi /var/www/conf/php.ini sendmail_path = "/bin/mini_sendmail -fwww@mydomain.ru -t" не выпускай суккуба из песочницы Разработчики OpenBSD выполнили львиную долю работы за нас, посадив Apache/mod_ssl в chroot-окружение. Нам лишь остается активировать поддержку PHP и разобраться с виртуальными хостами. Для этого переходим к редактированию главного конфигурационного файла индейца: # vi /var/www/conf/httpd.conf // Подгружаем модуль PHP4 LoadModule php4_module /usr/lib/apache/modules/libphp4.so // Добавляем PHP'шные классы к типу MIME <IfModule mod_php4.c> AddType application/x-httpd-php .php .php4 AddType application/x-httpd-php-source .phps </IfModule> // Расширяем список файлов, которые при WWW-запросе будут обрабатываться в первую очередь DirectoryIndex index.html index.php index.php4 // Указываем виртуальные интерфейсы (в данном случае используется виртуальный хостинг на основе имен) NameVirtualHost 192.168.1.1 NameVirtualHost 192.168.3.1 NameVirtualHost 212.XX.XY.162 // Внутри контейнера VirtualHost задаем параметры конфигурации для www.mydomain.ru <VirtualHost 192.168.1.1 192.168.3.1 212.XX.XY.162> ServerAdmin admin@mydomain.ru DocumentRoot /var/www/virtual/www.mydomain.ru ServerName www.mydomain.ru ServerAlias mydomain.ru ErrorLog logs/virtual.www.mydomain.ru-error_log CustomLog logs/virtual.www.mydomain.ru-access_log common </VirtualHost> // Определяем списки контроля доступа для директории с файлами, предназначенными только для администрирования CMS <Directory "/var/www/virtual/www.mydomain.ru/admin"> Order deny,allow Deny from all Allow from localhost 192.168.1.0/24 192.168.3.0/24 212.XX.XY.162 </Directory> управляем MySQL с комфортом PHPMyAdmin представляет собой набор PHP-скриптов для управления сервером MySQL. Прекрасно подходит для поклонников визуального администрирования и тех, у кого синтаксис SQL-запросов вызывает определенную сложность. Кроме того, с помощью PHPMyAdmin довольно удобно выполнять рутинные операции по бэкапу, созданию и модификации баз данных, таблиц, пользователей и т.д. Устанавливаем: # ftp http://switch.dl.sourceforge.net/sourceforge/phpmyadmin/phpMyAdmin-2.8.2.tar.gz # tar zxvf phpMyAdmin-2.8.2.tar.gz # mkdir -p /var/www/virtual # cp -Rp phpMyAdmin-2.8.2 /var/www/virtual/phpmyadmin.mydomain.ru # cd /var/www/virtual/phpmyadmin.mydomain.ru # cp libraries/config.default.php config.inc.php В конфиге config.inc.php указываем, что в качестве типа соединения у нас используется «сокет» (напомню, mysqld не подвешен даже на интерфейс обратной петли), а также имя и пароль администратора MySQL: # vi config.inc.php $cfg['Servers'][$i]['socket'] = ''; $cfg['Servers'][$i]['connect_type'] = 'socket'; $cfg['Servers'][$i]['auth_type'] = 'config'; $cfg['Servers'][$i]['user'] = 'admin'; $cfg['Servers'][$i]['password'] = 'noidea'; Описание поддомена phpmyadmin.mydomain.ru в httpd.conf будет выглядеть следующим образом: # vi /var/www/conf/httpd.conf <VirtualHost 192.168.1.1 192.168.3.1> ServerAdmin admin@mydomain.ru DocumentRoot /var/www/virtual/phpmyadmin.mydomain.ru ServerName phpmyadmin.mydomain.ru ErrorLog logs/virtual.phpmyadmin.mydomain-error_log CustomLog logs/virtual.phpmyadmin.mydomain-access_log common </VirtualHost> Совершенно очевидно, что доступ к phpMyAdmin необходимо ограничить. Этого можно добиться разными способами. Для расширения кругозора предлагаю воспользоваться аутентификацией по паролю. Чтобы проконтролировать доступ к каталогу /var/www/virtual/phpmyadmin.mydomain.ru и запретить по сети передавать пароли в открытом виде (директива SSLRequireSSL), создаем еще один управляющий файл - .htaccess. Преимущество использования такого подхода состоит в том, что мы не захламляем httpd.conf дополнительными директивами для описания правил доступа, указания местонахождения Auth-конфигов и методов аутентификации. Плюс к этому, при изменении конфигурации в файле .htaccess не придется перезагружать Web-сервер. # vi /var/www/virtual/phpmyadmin.mydomain.ru/.htaccess SSLRequireSSL AuthType Basic AuthName "Password Required" AuthUserFile /var/www/conf/.htpasswd AuthGroupFile /dev/null <Limit GET POST> require user admin </Limit> Аутентификационную базу /var/www/conf/.htpasswd (ни в коем случае не размещай .htpasswd в каталоге /var/www/virtual/phpmyadmin.mydomain.ru) будем вести с помощью утилиты htpasswd(1). Ключ '-c' отвечает за создание базы, ключ '-m' задает использование алгоритма шифрования MD5, вместо применяемой по умолчанию DES'овской функции crypt(3): # htpasswd -cm /var/www/conf/.htpasswd admin Только суперпользователь и демон httpd имеют право обращаться к базе с паролями: # chown root:www /var/www/conf/.htpasswd # chmod 640 /var/www/conf/.htpasswd проводим безопасные транзакции по протоколу https Чтобы получить возможность устанавливать защищенные сеансы по протоколу https, необходимо создать приватный ключ, ввести регистрационные данные и подписать сертификат собственным ключом. Начнем с генерации секретного RSA-ключа длиной 1024 бит: # openssl genrsa -out /etc/ssl/private/server.key 1024 Создаем запрос на сертификат: # openssl req -new -key /etc/ssl/private/server.key \ -out /etc/ssl/private/server.csr Country Name (2 letter code) []:RU State or Province Name (full name) []:Russia Locality Name (eg, city) []:Moscow Organization Name (eg, company) []:MySite Organizational Unit Name (eg, section) []:<Enter> Common Name (eg, fully qualified host name) []:www.mydomain.ru Email Address []:admin@mydomain.ru A challenge password []:<Enter> An optional company name []:<Enter> Подписываем сертификат, который будет действовать на протяжении 10 лет (аргумент '-days 3650'), своим ключом: # openssl x509 -req -days 3650 -in /etc/ssl/private/server.csr \ -signkey /etc/ssl/private/server.key -out /etc/ssl/server.crt Выполняем остановку и повторный запуск httpd(8), но уже с поддержкой https: # apachectl stop # apachectl startssl Проверяем, забиндился ли апач на соответствующие порты: % netstat -na -f inet \| egrep '80\|443' tcp 0 0 .80 .* LISTEN tcp 0 0 .443 .* LISTEN В /etc/pf.conf создаем правило, разрешающее прохождение запросов к портам 80 и 443: # vi /etc/pf.conf $ext_if = "fxp0" pass in log on $ext_if inet proto tcp from any to $ext_if \ port { www, https } flags S/SA keep state Чтобы внесенные изменения вступили в силу, не забудь перезагрузить набор рулесетов файервола: # pfctl -f /etc/pf.conf В конфиге /etc/rc.conf следующими записями разрешаем автоматическую загрузку Apache SSL и Packet Filter при старте системы: # vi /etc/rc.conf httpd_flags="-DSSL" pf=YES постскриптумы На этом настройку можно считать завершенной. Протестировать работу модуля php4 и его взаимодействие с MySQL можно с помощью php-файла, исходный код которого приведен ниже. Если при запросе www.mydomain.ru/test.php ты получишь лаконичный ответ «ok», смело начинай заливать любимую CMS'ку в каталог /var/www/virtual/www.mydomain.ru. Удачи. # vi /var/www/virtual/www.mydomain.ru/test.php <html><body> <?php mysql_connect("localhost", "admin", "noidea") or die("failed"); print "ok"; mysql_close(); ?> </body></html> Источник: http://www.xakep.ru/magazine/xs/069/050/1.asp
Категория: Apache \| Добавил: oleg (08.03.2008) \| Автор: ANDREY MATVEEV
Просмотров: 1357 \| Рейтинг: 0.0/0 \|

Всего комментариев: 0

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Форма входа

Друзья сайта

Google+