بررسی امنیت وب سرور های رایج در لینوکس (2)
بعضی ها از دور می درخشند!
نزدیک که میشوی یک تکه شیشه ی شکسته ای بیشتر نیستند
که باید لگدی بهش زد تا از مسیر نور آفتاب دور شوند
و چشمان دیگری را خیره نکند و گول نزنند . . .
سلام خدمت دوستان عزیز.
درپست قبل با هم امنیت وب سرور معروف LiteSpeed رو بررسی کردیم و در این پست هم می خواهیم وب سرور Apache رو بررسی کنیم.
این وب سرور نسبت به وب سرور لایت اسپید چیز خاصی نداره ولی خوبی که خیلی ها از جمله خودم اون رو ترجیح میدهند اینه که اولا" رایگان هست و ثانیا از انعطاف بالایی برخورداره و میشه اون رو جدا" شخصی سازی کرد و به اون شکلی که می خواید در بیارید (با برنامه های مختلف - دست بردن در فایل کانفیگ و ... ) و به همین دلیل من ترجیح دادم در این پست 10 راه کار برای افزایش امنیت آپاچی براتون بنویسم.
1. غیرفعال کردن Apache Signature یا Apache Banner
این 2 تا تقریبا یک چیز هستند . این 2 تا به کاربر یه سری اطلاعات از آپاچی میده مثل ورژن و ... که کاربر نیازی به دونستن اونا نداره پس اونا رو off می کنیم :
به فایل کانفیگ آپاچی میریم که در ابونتو : /etc/apache2/apache2.conf
و در بقیه جا ها (معمولا") : apache/conf/httpd.conf
2 پاراماتر ServerSignature و ServerTokens رو Off می کنیم.
!
( در ubuntu) و یا با دستور ساده زیر در SSH این فایل ها رو پاک کنید :
5. پاک کردن WebDav
WebDav یک protocol هست که با اون میشه فایل دانلود یا آپلود کرد که تا هرچی دلتون بخواد باگ داده :) فقط کافیه در سایت exploit-db یه سرچ بزنید WebDav و ببینید . البته استفاده های بسیار خوبی داره ولی ترجیحا پاک کنید و از پروتکل های دیگه یا حتی همون SSH استفاده کنید!
برای پاک کردن هم دستورات زیر:
که البته در ابونتو هست مسیر ها.
6. فعال کردن PHP BaseDir
شما میتونید با کانفیگ کردن آپاچی به یک سری از دایرکتوری های خاص (مثل chroot!!) دسترسی داشته باشید.
و کلا" شما میتونید تنظیم کنید که در وبسایت فقط به فایل های درون فولدر خودش دسترسی داشته باشه که خب حتما باید اعمال کنید.
برای فعال کردن BaseDir میتونید متن زیر رو در فایل htaccess موجود در روت بزارید :
Php_value open_basedir /var/www/foo.bar/:/usr/local/php/
که دایرکتوری مشخص شده دایرکتوری هست که میتونه دسترسی داشته باشه که راه های فعال کردن بسیار بهتر و امن تری داره که در مقالات بعدی بهشون می پردازیم.
7. نصب فایروال برای Database
خود آپاچی چنین فایروالی نداره پس شما باید جداگانه نصب کنید که پیشنهاد من به شما GreenSQL Express هست که نسخه رایگان فایروال GreenSQL هست.
8. نصب فایروال برای Web App ها
نصب یک فایروال برای application های نوشته شده توسط PHP و CGI هم نیاز هست که بهترین اونها Mod_security هست که نصبش دردسر داره ولی اگه انجام تونستید بدید خیلی امنتیتتون ارتقا پیدا می کنه.
9. نصب فایروال برای جلوگیری از حملات DOS
حملات داس هزاران نوع هست و نمیشه جلوی همش رو گرفت اما خب حداقل باید جلوی خیلی هاش رو بگیرید که پیشنهاد ما به شما DOS Defiate هست که فایروال بسیار قدرتمندی هست .
10 . گشت و گذار در گوگل!
با وجود این راه ها اگر شما در گوگل زیاد سرچ نکنید و همیشه گوش به زنگ نباشید ممکن هست هر روز یک اکسپلویت برای هر برنامه ای در آپاچی نوشته بشه و شما به راحتی توسط اون برنامه هک بشید پیش همیشه گوش به زنگ باشید!
خب اینم از مقاله دوم این وبسایت.
امیدوارم استفاده ی لازم رو برده باشید و اگر میخواید کپی کنید یه منبع هم بزار.
پیروز و پایدار باشید
Phantom Wolf
