خانه > آموزش کامپیوتر, آموزش اینترنت > امنيت در سرور آپاچي

امنيت در سرور آپاچي


امنيت برتر در سرورهاي Apache


اين مقاله به صورت قدم به قدم به شما نحوه نصب و تنظيم نمودن وب سرورهاي آپاچي نسخه1.3.xجهت امنيت بالاتر را نشان مي دهد كه سعي شده جزئيات كار به خوبي مورد بررسي قرار بگيرد .

قبل از اينكه ما مرحله امنيت وب سرور آپاچي را مورد بررسي قرار دهيم بايد اين را مشخص نماييم كه چه استفاده اي از سرور را خواهيم نمود . متنوع بودن استفاده از وب سرورهاي آپاچي نوشتن يك روند جهاني جهت امنيت اين سرور را بسيار مشكل مي سازد . به همين دليل است كه در اين مقاله ما چنين وب سروري با چنين شرايطي را در نظر مي گيريم :

اين وب سرور از طريق اينترنت قابل دسترسي است

فقط صفحات اچ-تي-ام-ال ثابت در آن قرار مي گيرد

اين سرور مكانيزم هاستينگ مجازي را پشتيباني خواهد نمود

صفحات مهم وب سايت فقط از طريق يك آدرسIPمخصوص و يا كاربران خاص مورد استفاده قرار مي گيرد (Basic authentication)

اين سرور همه درخواست هاي دريافتي را ضبط مي كند ( شامل اطلاعاتي در مورد مرورگرهاي وب نيز خواهد شد )

از اين جهت قابل تاكيد است كه كه مدل ذكر شده در بالا PHP, JSP, CGI و ديگر تكنولوژي هايي كه امكان تداخل با سرويس هاي وب سرور را دارد را پشتيباني نمي كند . استفاده از تكنولوژي هايي كه در بالا ذكر شد با اين كه در دنياي امروز مورد احتياج هسنتد ممكن است يك ريسك امنيتي بزرگ در امنيت باشد كه قابل ذكر است يك اسكريپت كوچك مي تواند امنيت سرور را به كلي كاهش دهد . ولي چرا ؟ بايد بگم اسكريپت هاي كاربردي
ASP/CGIممكن است داراي حفره هاي امنيتي باشد ( مانندSQL Injection , CSS ). دوم اين تكنولوژي ها ممكن است خود نيز داراي مشكل باشد (  مانند آسيب پذيري هاي ماژول هايPHP, Perl
و … ) به همين دليل است استفاده از اين تكنولوژي ها را زماني پيشنهاد مي شود كه واقعا مورد احتياج باشند .

فرض هاي امنيتي

يكي از مهم ترين موارد در هر پروژه كامپيوتري توجه به فرض هاي امنيتي است ( با  توجه به توضيحاتي كه در زير آورده مي شود اين موضوع به راحتي قابل تحليل است )  و اين فرض ها بايد قبل از اينكه يك پروژه به انجام برسد در نظر گرفته شود . فرض هاي امنيتي كه ما جهت وب سرورمان در نظر گرفته ايم اين ها هستند :

سيستم عامل بايد تا آنجايي كه امكان دارد از نظر امنيت مورد بررسي قرار گرفته باشد و مشكلات امنيتي ان برطرف گردد ( هم در مقابل حملات داخلي و هم ريموت )

وب سرور نبايد هيچ سرويس ديگري غير از سرويس اچ-تي-تي-پي را ارائه دهد

دسترسي ريموت به سرور بايد توسط يك فايروال كنترل گردد

سرويس آپاچي بايد تنها سرويسي باشد كه در سيستم وجود دارد

فقط ماژول هاي آپاچي آن هايي كه مورد احتياج هستند بايد فعال باشند

پروسه هاي آپاچي بايد دسترسي محدود شده به فايل هاي سيستمي داشته باشند

نصب سيستم عامل

قبل از نصب وب سرور آپاچي ما بايد يك سيستم عامل را انتخاب نماييم . سرور آپاچي مي تواند بر روي بيشتر سيستم عامل ها كامپايل و نصب شود . بيشتر مقاله بر روي امنيت وب سرور آپاچي در سيستم عامل FreeBSD ( نسخه 4.7 ) تاكيد دارد ولي سعي شده تا آن جا كه امكان داشته روش هاي به گونه اي باشند كه در بيشتر سيستم عامل ها قابل استفاده باشد . من استفاده از سيستم عامل ويندوز را پيشنهاد نمي كنم چون جهت بالا بردن امنيت آپاچي سازگاري كمي دارد .

اولين قدم در بالا بردن امنيت وب سرور , رفع مشكلات امنيتي سيستم عامل به طور كامل است كه البته مقالات بسياري بر روي اينترنت جهت اين كار موجود است .

خوب بعد از اينكه سيستم عامل نصب شد و مشكلات امنيتي آن رفع گرديد ما بايد يك گروه جديد ( Apache ) را به پروسه ها اضافه كنيم ( مثال زير اين روند را در FreeBSD نشان مي دهد )

 pw groupadd apache
  pw useradd apache -c «Apache Server» -d
/dev/null -g apache -s  /sbin/nologin

 

به طور پيش فرض پروسه هاي آپاچي با سطح دسترسيnobody( به غير از پروسه اصلي آن كه با سطح دسترسي روت اجرا مي شود ) اجرا مي شوند كه اين نيز خود يك مشكل امنيتي است .

اما نرم افزارها …

قدم بعدي دريافت آخرين نسخه http://httpd.apache.org وب سرور آپاچي است . كه بعضي از تنظيمات اين سرور در هنگام كامپايل قابل تغيير است به همين دليل اين حائز اهميت است كه سورس آن را در مقابل نسخه باينري دريافت نماييد .

اما بعد از دريافت ما بايد تصميم بگيريم كه چه ماژول هايي از سرور فعال شوند و توضيح كوتاهي در اين مورد در http://httpd.apache.org/docs/mod قابل مشاهده است .

ماژول هاي آپاچي

انتخاب ماژول هاي اين سرور از موارد مهم در امنيت سرور است. ما بايد اين قانون را مورد توجه قرار دهيم ( هر چه كم تر , بهتر ! ) . اما جهت روند امنيتي ماژول هايي كه مورد احتياج هستند در اينجا ذكر شده ‌:

httpd_coreديگر ماژول هاي آپاچي بايد غيرفعال شوند . اين ارزش را دارد كه بگويم دو ماژول آپاچي وجود دارند كه خطرناك تر از ديگر ماژول ها هستند :
و mod_autoindex
mod_info  . اولين ماژول فراهم كننده directory indexing به صورت خودكار است و صورت پيش فرش فعال شده است . اين براحتي قابل متوجه شدن است كه اين ماژول نصب شده است يا نه ( براي مثال http://server_name/icons
)
و محتواي دايركتوري ها را ببينيم و دومين ماژول mod_info هرگز نيايد از طريق اينترنت قابل دسترسي باشد به اين دليل كهسترسي به تنظيمات سرور را امكان پذير مي سازد.سوال بعدي چگونگي كامپايل ماژول ها است . روش ثابت راه حل مناسب تري به نظر مي رسد .

كامپايل نمودن نرم افزار

اول از همه بايد بگويم
اگر :: پچ امنيتي جديدي وجود داشت :: بايد بروز رسانده شود بعد از آن بايد سرور
كامپايل شود و از اين طريق نصب شود :

lddهمه

مثال هايي از استفاده از دستورهاي ldd وstrings و truss :

localhost# ldd

/usr/local/apache/bin/httpd
/usr/local/apache/bin/httpd:
        libcrypt.so.2 => /usr/lib/libcrypt.so.2
(0x280bd000)
        libc.so.4 => /usr/lib/libc.so.4
(0x280d6000)

localhost# strings /usr/local/apache/bin/httpd | grep lib
/usr/libexec/ld-elf.so.1
libcrypt.so.2
libc.so.4

localhost# truss /usr/local/apache/bin/httpd | grep open
(…)
open(«/var/run/ld-elf.so.hints»,0,00)
= 3 (0x3)
open(«/usr/lib/libcrypt.so.2»,0,027757775370)    = 3 (0x3)
open(«/usr/lib/libc.so.4»,0,027757775370)
= 3 (0x3)
open(«/etc/spwd.db»,0,00)
= 3 (0x3)
open(«/etc/group»,0,0666)
= 3 (0x3)
open(«/usr/local/apache/conf/httpd.conf»,0,0666) = 3 (0x3)
(…)
دستورات بالا نه تنها جهت httpd بايد اجرا شوند بلكه جهت همه باينري ها و لايبرري ها مورد احتياج هستند . به دليل اينكه سيستم عامل ما

cp /etc/hosts

/chroot/httpd/etc/
cp /etc/host.conf /chroot/httpd/etc/
cp /etc/resolv.conf /chroot/httpd/etc/
cp /etc/group /chroot/httpd/etc/
cp /etc/master.passwd /chroot/httpd/etc/passwords
cp /usr/local/apache/conf/mime.types /chroot/httpd/usr/local/apache/conf/
دقت كنيد كه در /chroot/httpd/etc/passwords ما بايد همه لاين ها را به غير از nobody و apache را حذف كنيم . در يك جاي ديگر ما بايد چنين عملي را نيز دوباره در
/chroot/httpd/etc/group تكرار كنيم  . سپس ما بايد بانك اطلاعاتي پسورد ها را اين گونه بسازيم :

cd

/chroot/httpd/etc
pwd_mkdb -d /chroot/httpd/etc passwords
rm -rf /chroot/httpd/etc/master.passwd
قدم بعدي اين است كه تست كنيم كه آيا httpd به درستي كار مي كند يا نه . جهت انجام اين كار ما بايد فايل تنظيمات آپاچي وindex.html

cp /usr/local/apache/conf/httpd.conf

/chroot/httpd/usr/local/apache/co
nf/
cp /usr/local/apache/htdocs/index.html.en /chroot/httpd/www/index.html

بعد از كپي فايل هاي مورد احتياج ما بايد DocumentRoot رو همين طور كه در زير نشان داده شده تغيير دهيم :

DocumentRoot

«/www»

سپس سرور را اجرا كنيم :


chroot /chroot/httpd /usr/local/apache/bin/httpd

اگر با مشكلي برخورد نموديد من پيشنهاد مي كنم فايل ضبط كننده وقايع (chroot/httpd/usr/local/apache/logs) را آناليز كنيد . از راه ديگر چنين فرماني نيز مي تواند به كار برده شود:

truss chroot

/chroot/httpd /usr/local/apache/bin/httpd
اين فرمان مي تواند دليل مشكل ايجاد شده را نشان دهد . بعد از رفع مشكل همه خطاها ما مي توانيم سرور را تنظيم نماييم .

تنظيم نمودن سرور

قدم اول حذف فايل/chroot/httpd/usr/local/apache/conf/httpd.conf است و جايگزين يك فايل جديد به جاي آن است . محتواي فايل بايد :

#

=================================================
# Basic settings
# =================================================
ServerType standalone
ServerRoot «/usr/local/apache»
PidFile /usr/local/apache/logs/httpd.pid
ScoreBoardFile /usr/local/apache/logs/httpd.scoreboard
ResourceConfig /dev/null
AccessConfig /dev/null

# =================================================
# Performance settings
# =================================================
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
MinSpareServers 5
MaxSpareServers 10
StartServers 5
MaxClients 150
MaxRequestsPerChild 0

# =================================================
# Apache’s modules
# =================================================
ClearModuleList
AddModule mod_log_config.c
AddModule mod_mime.c
AddModule mod_dir.c
AddModule mod_access.c
AddModule mod_auth.c

# =================================================
# General settings
# =================================================
Port 80
User apache
Group apache
ServerAdmin Webmaster@www.ebank.lab
UseCanonicalName Off
ServerSignature Off
HostnameLookups Off
ServerTokens Prod

    DirectoryIndex index.html

DocumentRoot «/www/vhosts»

# =================================================
# Access control
# =================================================

    Options None
    AllowOverride None
    Order deny,allow
    Deny from all

    Order allow,deny
    Allow from all

    Order allow,deny
    Allow from all

# =================================================
# MIME encoding
# =================================================

    TypesConfig /usr/local/apache/conf/mime.types

DefaultType text/plain

    AddEncoding x-compress Z
    AddEncoding x-gzip gz tgz
    AddType application/x-tar .tgz

# =================================================
# Logs
# =================================================
LogLevel warn
LogFormat «%h %l %u %t /»%r/» %>s %b /»%{Referer}i/» /»%{User-Agent}i/»»
combined
LogFormat «%h %l %u %t /»%r/» %>s %b» common
LogFormat «%{Referer}i -> %U» referer
LogFormat «%{User-agent}i» agent
ErrorLog /usr/local/apache/logs/error_log
CustomLog /usr/local/apache/logs/access_log combined

# =================================================
# Virtual hosts
# =================================================
NameVirtualHost *

DocumentRoot «/www/vhosts/www.ebank.lab»
ServerName «www.ebank.lab»
ServerAlias «www.e-bank.lab»
ErrorLog logs/www.ebank.lab/error_log
CustomLog logs/www.ebank.lab/access_log combined

DocumentRoot «/www/vhosts/www.test.lab»
ServerName «www.test.lab»
ErrorLog logs/www.test.lab/error_log
CustomLog logs/www.test.lab/access_log combined

تنظيمات ارائه شده در بالا شامل فرمان هايي مي گردد كه جهت فعاليت سرور و امنيت آن مورد احتياج است . دو هاست مجازي وجود دارند كه توسط سرور پشتيباني شده اند :

http://www.ebank.lab (www.e-bank.lab)
http://www.test.lab

محتواي وب سايت هاي بالا به طور فيزيكي در اين دايركتوري ها وجود دارد :

– /chroot/httpd/www/vhosts/www.ebank.lab
– /chroot/httpd/www/vhosts/www.test.lab

و هر وب سايت لاگ فايل مخصوص به خود را دارد كه در اين دايركتوري هستند‌:

– /chroot/httpd/usr/local/apache/logs/www.ebank.lab
– /chroot/httpd/usr/local/apache/logs/www.test.lab

اين دايركتوري ها قبل از اينكه سرور آپاچي براي اولين بار اجرا مي شود بايد ايجاد شوند . مالك اين دايركتوري ها بايد به root:sys است شود و سطح دسترسي به 0755 تغيير يابد .

حال اگر فايل تنظيمات آپاچي را با نسخه اي كه در اينجا ارائه شد مقايسه كنيم چنين تغييراتي را مي بينيم كه به چندي از آن ها اشاره مي كنم :
تعدادي از ماژول هاي فعال آپاچي كاهش يافت
آپاچي اطلاعاتي بيشتري را در مورد درخواست ها لاگ خواهد نمود
آپاچي فقط دسترسي به فايل و دايركتوري ها را امكان پذير ميسازد كه در فايل تنظيمات مشخص شده است
و …

قدم بعدي ايجاد يك استارت آپ اسكرپت «apache.sh» است كه محتواي آن بايد :

#!/bin/sh

CHROOT=/chroot/httpd/
HTTPD=/usr/local/apache/bin/httpd
PIDFILE=/usr/local/apache/logs/httpd.pid

echo -n » apache»

case «$1» in
start)
/usr/sbin/chroot $CHROOT $HTTPD
;;
stop)
kill `cat ${CHROOT}/${PIDFILE}`
;;
*)
echo «»
echo «Usage: `basename $0` {start|stop}» >&2
exit 64
;;
esac

exit 0

كه اين اسكرسپت بايد به دايركتوري مربوطه كپي شود كه بستگي به نوع سيستم عامل دارد . مثلا در FreeBSD دايركتوري مربوطه /usr/local/etc/rc.d مي باشد

حال اين مقاله مي تواند در بالا بردن امنيت سرورهاي آپاچي بسيار مفيد باشد …

 

برگرفته از سايت http://www.iritn.com

var qsParm = new Array(); fillQsParams() if(qsParm[‹KEYWORD›]!=undefined) { text1 = document.getElementById(«GeneralDivRight»).innerHTML document.getElementById(«GeneralDivRight»).innerHTML = text1.replace(eval(‹/’+KWord()+’/gi›), ««+KWord()+»«) } function fillQsParams() { var query = window.location.search.substring(1); var parms = query.split(‹&›); for (var i=0; i
0) { var key = parms[i].substring(0,pos); var val = parms[i].substring(pos+1); qsParm[key] = val; } } } function KWord() { if(qsParm[‹KEYWORD›]!=undefined) { t = »; t = t.replace(/\+/gi,» «); t = t.replace(‹ ‹,»); t = t.replace(‹%20›,»); return t; } }

  1. هنوز دیدگاهی داده نشده است.
  1. No trackbacks yet.

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: