Представляю вашему вниманию перевод с английского статьи Артура Маджа. Перевод
осуществлен в рамках проекта GFS. Оригинал статьи находитья
по адресу _http://www.securityfocus.com/infocus/1694
Перевел Cobalt.
Эта статья в пошаговом режиме расскажет вам о том как установить и сконфигури-
ровать веб сервер Apache 1.3.x чтобы смягчить или исключить угрозу взлома вашего
сервера, когда в этом продукте будут найдены новые уязвимости.
Функциональнолсть
Перед тем как мы начнем заниматься безопасностью Apache, мы должны определить
какие нам требуются функции от нашего сервера. Разнообразие возможносых
конфигураций Апача делает давольно сложной задачу написания уневерсальной проце-
дуры для защиты сервера во всех случаях. Именно по этому мы будем основываться
на следующей конфигурации:
* Сервер должен быть доступен из интернета, и,
* Только статические HTML страницы будут использоваться
* Сервер будет поддерживать основанный на именах механизм виртуального
хостинга
* Определенные вебстраницы могут быть доступны только со специальных
IP-адресов или определенным пользователям (базавая аутентификация).
* Вебсервер будет логировать все запросы (включая информацию о браузере).
Необходимо подчеркнуть, что приведенная конфигурация на поддерживает PHP,JSP,
CGI и других технологий которые делают возможным интерактивный вебсервис.
Использование этих технологий увеличит угрозу безопасности ваших приложений. Так
даже маленький, несложный сценарий, может радикально уменьшить уровень безопас-
ности вашего сервера. Почему? Во-первых, ASP/CGI приложения могут содержать
уязвимости (например SQL-injkection или Cross-Site-Scripting). Во-вторых,
технологии могут быть опасными сами по себе (например уязвимости в PHP, в Perl
модулях и т.п.). Вот почему я настоятельно рекомендую исполльзовать эти технологии
только тогда, когда без интерактивного режима общения пользователя с сервером
не обойтись.
Предположения Безопасности
Одрим из самвх важных элементов любого компьютерного проекта является определение
предположений безопасности. Это должно быть выполнено перед снабжением проекта.
Для нашего сервера предположения безопасности будут следующими:
* Операционную систему необходимо максимально обезопасить от удаленных
и локальных атак.
* На сервере не должно быть ни каких сервисов кроме HTTP (80/tcp)
* Удаленный доступ к этому серверу должен фильтроваться фаерволом,
который будет блокировать все исходящие соединения и разрешать
входящие только на 80-й порт вебсервера.
* Apache должен быть единственным сервисом в данной системе.
* Только обязательные модуля апача должны быть включены.
* Любые диагностические страницы и автоматическое индексирование директ-
орий должно быть выключено.
* Сервер должен выдавать как можно меньше информации о себе.
* Apache должен быть запущен под уникальными UID/GID, который не
используют другие сервисы в системе.
* Процессы апача должны иметь ограниченный доступ к файловой системе
(chroot) и,
* Не должно присутствовать командных интерпритаторов в в апачевом
окружении chroot (т.к. /bin/sh, /bin/bash и т.п.).
Установка операционной системы
Перед установкой Apache, мы должны выбрать операционную систему под которой он
будет работать. Сдесь у нас давольно большая альтернатива, потому что Apache
может работать практически под всеми ОС. Далее мы будем говорить об установке
Apache на FreeBSD (4.7), однако описаный метод вполне сгодится и для других
Unix/Linux систем. Единственная операционная система на которую я категорически
не рекомендовал бы ставить Apache - это MS Windows. По моему мнению она имеет
довольно-таки ограниченный средства для безопасности сервера.
Первым шагом к безопасному веб серверу является непробиваеммость операционной
системы. Споры о том какая же ОС самая непробиваемая, выходят за рамки этой
статьи. Однако, довольно много документов в Сети описывают этот вопрос. Читатель
может сам поднять подобную дискуссию на одном из форумов.
После того как система установлена и защищена, мы добавим новую группу и
пользователя "apache". Во FreeBSD это делается так:
По умолчанию, Apache запущен под правами пользователя nobody (исключая главный
процесс который запущен под root) и группы nogroup. Это может представлять
значительную угрозу безопасности. В случае проникновения, нарушитель может
получить доступ ко всем остальным процессам которые доступны этим UID/GID.
Следовательно, оптимальным решением будет запуск апача под уникальными
пользователем и группой.
Подготовка програм
Следующим шагом будет скачивание последний версии Apache Web Server. Некоторые
опции сервера могут быть включены только на стадии компилирования, поэтому
важно скачать исходный код вместо бинарной версии.
После скачивания софта, мы должны распаковать его. Следующим шагом мы должны
решить, какие модули оставить включенными. Короткое описание всех модулей
можно найти тут: [Ссылки могут видеть только зарегистрированные пользователи. ]
Модуля Apache
Выбор модулей - важнейший шаг на пути к безопасности Apache. Мы будем следовать
следущему правилу: ЧЕМ МЕНЬШЕ,ТЕМ ЛУЧШЕ. Для выполнения требований функциональности
и предположений безопасности, следущие модуля должны быть обязательно включены:
Имя модуля
Описание:
httpd_core Ядро Apache. Требуется во всех инсталяциях.
mod_access Проводит контроль доступа основаный на кленском хосте, IP-адресе, или
других характеристиках клиентского запроса. Поскольку этот модуль нужен для использования "order", "allow" и "deny" дериктив, он должен быть включен.
mod_auth Требуется как инструмент обеспечения пользовательской
аутентификации с использованием текстовых фалов (HTTP Базовая Аутентификация), которая определена в функциональном предположении.
mod_dir Требуется для поиска и использования индексов по умолчанию: "index.html", "default.htm", etc.
mod_log_config Требуется как инструмент логирования запросов к серверу.
mod_mime Требуется для установки характеристик сервера, кодировки содержимого,
заголовков, языка страниц и MIME типов документов.
Все остальные модуля апача должны быть отключены. Мы можем без опасения их
выключить т.к. они нам не нужны. Путем отключения ненужных модулей мы можем
избежать потенциального проникновения когда в одном из них найдут новую багу.
Существуют два модуля которые могут быть опаснее остальных: mod_autoindex и
mod_info. Первый из них проводит автоматическую индексацию директорий и включен
по умолчанию. Когда этот модуль запущен, Apach выдает содержимое директории
если в ней нет индексного файла. Второй модуль, mod_info, никогда не должен быть
доступен из Интернет. Потому что он показывает конфигурацию серера.
Следующий вопрос - как скомпилировать модули. Наиболее предпочтительным выбором
кажеться статический метод. Если новые уязвимости будут найдены, мы мождем пере-
компилировать уязвимый модуль, а не все программу. При статической компиляции
мы исключаем необходимость использования модуля mod_so.
Компиляция программы
Во-первых, если присутствуют какие-либо патчи по безопасности, они должны быть
подключены. Потом сервер будет скомпилирован и установлен следующим образом:
make
su
umask 022
make install
chown -R root:sys /usr/local/apache
Chroot
Следующий шаг заключается в ограничении апачу доступа к файловой системе сервера
Этого можно достигнуть применяя chroot. Технология chroot позволяет создать
новую рутовую директорию, скопировать в нее все файлы демона, и запускать
демон уже из нового окружения. Благодаря этому, демон и все дочерние процессы
будут иметь доступ только к директории chroot.
И так, начнем процесс по созданию виртуальной root директории в папке
/chroot/httpd:
Владельцкм всех созданых директорий должен быть root, и права на них необходимо
установить в 0755. Далее, мы создадим специальное устройство /dev/null:
ls -al /dev/null
crw-rw-rw- 1 root wheel 2, 2 Mar 14 12:53 /dev/null
mknod /chroot/httpd/dev/null c 2 2
chown root:sys /chroot/httpd/dev/null
chmod 666 /chroot/httpd/dev/null
Другим методом должно быть создано устройство /chroot/httpd/dev/log, которое
необходимо для работы сервера. В случае использования FreeBSD, следующая строка
должна быть добавлена в /etc/rc.conf:
syslogd_flags="-l /chroot/httpd/dev/log
Мы должны перестартовать систему или syslogd lдля того чтобы изменения вступили
в силу. О том как создать устройство /chroot/httpd/dev/log в других ОС необходимо
смотреть в man syslogd.
Следующим шагом станет копирование httpd со всеми необходимыми бинарниками и
библиотеками в новое дерево директорий. Для этого надо подготовить список всех
требуемых файлов. Это можно сделать используя следующие команды:
Команда
ОС
Описание
ldd Все Выводит динамические зависимости запускаемых файлов или общих библиотек
ktrace/ktruss/kdump *BSD Включает трассировку ядра и показывает трассировочные данные
sotruss Solaris Трассировка вызова процедур из общих библиотек
strace/ltrace Linux Трассировка системных вызовов и сигналов
strings Все Находит печатную строку в двоичной библиотеке
trace AIX Записи выбраных показателей системы
trace (freeware) HP-UX <10.20 Печатает системные вызовы и трассеровку ядра
truss FreeBSD, Solaris, AIX 5L, SCO
Unixware Трассировка системных вызовов и сигналов
tusc (freeware) HP-UX>11 Трассировка системных вызовов и сигналов
Для примера покажу как использовать ldd, strings и truss:
Приведенные команды применимы не только для Apache, а также для всех библиотек
и бинарников которые требуют для своей работы другие модули. При использовании
FreeBSD вам понадобиться скопировать следующие файлы:
Примечательно, что из /chroot/httpd/etc/passwords мы можем удалить все строки
кроме "nobody" и "apache". Правда в этом случае надо также удалить все кроме
"apache" и "nogroup" из /chroot/httpd/etc/group. Дальше мы построем базу
паролей:
cd /chroot/httpd/etc
pwd_mkdb -d /chroot/httpd/etc passwords
rm -rf /chroot/httpd/etc/master.passwd
Следующим шагом станет проверка. Если httpd успешно запустился в новом окружении,
то мы скопируем дефолтовый апачевский конфиг и index.html:
После копирования, вышеуказаных файлов, мы должны изменить DocumentRoot как
показано ниже:
DocumentRoot "/www"
Теперь мы можем попробовать запустить наш сервер:
chroot /chroot/httpd /usr/local/apache/bin/httpd
Если в ходе запуска произошли какие-то проблемы, я рекомендую проанализировать
логи (/chroot/httpd/usr/local/apache/logs). Если же чтение логов не помогает,
можно воспользоваться следующей программой:
# =================================================
# General settings
# =================================================
Port 80
User apache
Group apache
ServerAdmin [email protected]
UseCanonicalName Off
ServerSignature Off
HostnameLookups Off
ServerTokens Prod
DirectoryIndex index.html
DocumentRoot "/www/vhosts"
# =================================================
# Access control
# =================================================
Options None
AllowOverride None
Order deny,allow
Deny from all
Приведенная конфигурация включает только те команды, которые необходимы для
выполнения предположений по безопасности и функциональности. В конфигурации
присутствуют два виртуальных хоста поддерживаемых сервером:
- [Ссылки могут видеть только зарегистрированные пользователи. ] ([Ссылки могут видеть только зарегистрированные пользователи. ])
- [Ссылки могут видеть только зарегистрированные пользователи. ]
Содержимое этих сайтов будет в следущих директориях:
Эти директории должны быть созданы перед запуском апача, иначе он не запустится
корректно. Владелец директорий должен быть root:sys, а права установлены в 0755.
Какие мы изменения внесли в сравнении с дефолтовым конфигом:
* уменьшили кол-во подключеных модулей
* Apache не выдает информацию о его версии
* Процессы апача запускаются под уникальными идентификаторами
* Apache разрешает доступ только к тем директориям, которые указаны
в конфигурационном файле.
* Ведутся более полные логи об HTTP запросах
Финальный Шаг
И наконец мы создадим загрузочный скрипт "apache.sh":
Приведенный скрипт необходимо скопировать в правильную директорию, где
содержаться сценарии загрузки. В случае FreeBSD это будет /usr/local/etc/rc.d.
Выводы
Приведенный метод позволяет значительно повысить безопасность сервера.
Благодаря тому, что подключены только самые необходимые модуля, обнаружение
новых уязвимостей в одном из них, не скажется на работе сервера в целом.
Отключеная информация о версии, автоиндекс директорий, и включеный chroot
делают проникновение в систему очень сложным. Окружение chroot само по себе
дает защиту от огромнейшего числа эксплойтов, т.к. в нем нет командных
интерпритаторов.
Регистрация: 10.11.2009
Сообщений: 78
Популярность: 753
Сказал(а) спасибо: 200
Защита Apache
Re: Защита Apache
