بررسی امنیت وب سرور های رایج در لینوکس (1)

گنجشکی باعجله و تمام توان به آتش نزدیک میشد و برمیگشت!

پرسیدند:چه میکنی؟گفت:در این نزدیکی چشمه آبی هست

ومن نوک خود را پر از آب میکنم وآن را روی آتش میریزم.گفتند:

حجم آتش در مقایسه با آبی که تو میاوری بسیار زیاد است

و این آب فایده ای ندارد.گفت:

شاید نتوانم آتش را خاموش کنم ، اما آن هنگام که خداوند میپرسد :

زمانی که دوستت در آتش میسوخت تو چه کردی؟

پاسخ میدهم :

هر آنچه از من بر می آمد ...انجام دادم ...

با عرض سلام.

در اولین پست این وبلاگ میخوام یه مقداری درباره وب سرور های رایج در لینوکس براتون بگم .

در لینوکس 2 وب سرور (WebServer) هستند که استفاده ی بسیاری دارند که عبارتند از Apache و LiteSpeed.

اول به امنیت وب سرور LiteSpeed میپردازیم.


امنیت در برابر حملات DOS و DDOS

این وب سرور در برابر حملات DOS و DDOS نسبت به آپاچی امنیت بسیار خوبی رو از خودش نشون داده و اکثرا" با یه کم دستکاری در کانفیگ این وب سرور (که اگه عمری بود در آینده براتون توضیح خواهم داد) می تونید جلوی بسیاری از حملات از این نوع رو بگیرید . یک نکته ی خیلی جالب در این وب سرور هم real-time statics هست که شما می تونید دقیقا" وب سایتی رو که هدف این حملات هست رو با استفاده از این قابلیت پیدا کنید و جلوی این حمله رو به صورت دستی (با گذاشتن htaccess و ...) بگیرید.

External Application Firewall

این وب سرور خودش به تنهایی (بدون نصب App Firewall جدا) امنیت نسبتا" خوبی در برابر حملات Application ها (مثل صفحات پویا PHP و CGI) نشون داده. هر درحواستی که به سرور میره اول از این فایروال عبور میکنه و یک خوبی دیگر این فایروال هم نسبت به فایروال های دیگه این هست که حساسیت زیاد بالا و کاذب نداره که هر درخواستی رو فیلتر کنه و معمولا" اشتباهاتش زیاد نیست در این زمینه (به صورت تجربی!) .
یکی از امکانات این فایروال این هست که تشخیص میده کدوم برنامه بر سرور از منابع سرور زیادی بهره میبره و سعی میکنه اون ها رو cache کنه و به کاربر نشون بده که استفاده های زیادی هم دارخ. مثلا زمانی که حملات DOS به سرور هست فایروال احساس میکنه که فلان برنامه از منابع سرور (به خاطر حمله DOS) استفاده ی بیش از حد داره میبره پس میاد و مطالب رو کش میکنه که این عمل باعث میشه باز هم نسبت به حملات DOS مقاوم تر بشه.

محدود کردن استفاده از منابع CGI

این وب سرور قدرتمند استفاده هر برنامه از منابع CGI رو محدود کرده و نمی ذاره هر برنامه بیش از حد مجاز از منابع CGI استفاده ببره که این عمل باعث جلوگیری از حملات "Fork Bomb" هم میشه.
حالا این وب سرور چه کار میکنه که جلوی این حملات تقریبا" گرفته شده :

1. حداکثر پروسه CGI در این وب سرور محدود شده
2. برای هر درخواست CGI وب سرور نیاز داره که یک پروسه (فرآیند) CGI مستقل باز کنه و اون رو مدیریت کنه و در سیستم های یونیکس هم تعداد فرآیند های هم زمان محدود هست که فرآیند های بیش از حد هم باعث از کار افتادن سرور میشه. در این وب سرور هم تعداد فرآیند ها قابل کانفیگ کردن هست
3. مقدار استفاده منابع سرور توسط هر پروسه CGI هم محدود شده هست مثل استفاده از CPU و ... .

امنیت فایل های سیستم

این وب سرور فقط در شرایط خاص اجازه ی اجرای فایل های استاتیک رو میده :

1. پسوند های ".ht" و ".svn" در یک decoded url اجازه ی اجرا ندارند.
2. فایل در دایرکتوری های ممنوع قابل مشاهده نیست.
3. هر فایل باید دارای مجوز کافی برای مشاهده باشد ( چی میگی :O )
4. فایل هایی که symbolic link باشند (همون فایل های symlink شده ی خودمون) اجازه ی اجرا ندارند

امیدوارم این مطالب براتون سودمند باشه.

انشالا در پست بعد براتون امنیت Apache رو هم آماده میکنم و در پایان هم همه رو در یک Pdf جمع و جور براتون قرار میدم.

هرگونه کپی برداری از این مطلب با ذکر منبع بلامانع می باشد.

پیروز و پایدار باشید.