仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 1292|回复: 7
打印 上一主题 下一主题

[CentOS(社区)] 给大家带来apache的宁静加强设置(利用mod_chroot,mod_security)

[复制链接]
因胸联盟 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-14 20:32:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!apache的宁静加强设置(利用mod_chroot,mod_security)LAMP情况的一样平常进侵,大抵经由sql注进,上传webshell,当地提权至root,装置rootkit等步调。接纳以下的设置,mod_chroot和独自分区挂载可让当地提权变得极其坚苦,而mod-security能够封堵一样平常的sql注进等使用层打击。
以下内容是在ubuntu10.04上理论今后总结出来的,间接上下令,就不做过量注释了,程度无限,毛病在所不免,接待斧正。
起首确保apache,php,mysql已一般事情,呈现成绩的话,检察/var/log/apache2,/var/log/syslog,/var/log/mysql/error.log特别是apparmor招致的权限毛病,不容易发明。

1.mod_chroot的装置,设置
方针是chroot到/var/www。
(1)装置:
sudoserviceapache2stop
sudoapt-getlibapache2-mod-chroot
sudovi/etc/apache2/mod-available/mod_chroot.conf
内容为
<IfModulemod_chroot.c>
LoadFile/lib/libgcc_s.so.1
ChrootDir/var/www
</IfModule>

sudoa2enmodmod_chroot
/etc/apache2/site-enabled/000-default中DocumentRoot改成/
sudoln-s/var/www/var/run/apache2.pid/var/run/apache2.pid
并把
ln-s/var/www/var/run/apache2.pid/var/run/apache2.pid
加到/etc/rc.local中
sudomkdir/var/www/tmp#放session
sudochmod1777tmp
sudomkdir-p/var/www/var/run/mysqld
sudoln-s//var/www/var/www
装置好apache,静态页面和php一般后,弄mysql
1),sudoservicemysqlstop.
2).改/etc/apparmor.d/usr.sbin.mysqld,
把"/var/run/mysqld.sockw,"那一行复制并改成
"/var/www/var/run/mysqld.sockw,"
3),改/etc/mysql/my.cnf
在[client],[mysqld_safe],[mysqld]每节里socket路径改成
"socket=/var/www/var/run/mysqld/mysqld.sock"
4),sudoservicemysqlstart.

一些其他成绩
date()不一般,办理举措:
sudomkdir-p/var/www/usr/share/var/www/etc
sudocp-rp/usr/share/zoneinfo/var/www/usr/share/
sudocp/etc/localtime/var/www/etc/
DNS大概出成绩(没试过)
sudocp/etc/resolv.conf/var/www/etc/resolv.conf
找不到毛病页面
sudocp-rp/usr/share/apache2//var/www/usr/share/

2.mod_security的装置,设置
装置
sudoaptitudeinstalllibapache2-mod-security2
sudocp/usr/share/doc/mod-security-common/examples/rules/modsecurity_crs_10_config.conf/etc/apache2/mods-enabled/mod-security.conf
sudoa2enmodmod-security
sudoapache2ctlstop
修正/etc/apache2/mods-available/mod-security.conf中的debug_log和audit_log路径到符合的地位,并增加以下两行

Include/usr/share/doc/mod-security-common/examples/rules/modsecurity_crs_10_global_config.conf
Include/usr/share/doc/mod-security-common/examples/rules/base_rules/*.conf

sudoapache2ctlstart
#/usr/share/doc/mod-security-common/examples/rules/目次下另有一些划定规矩可用
参照gentoo的ebuild中的以下内容(http://gentoo-portage.com/www-apache/mod_security/ChangeLog)

[cpp]viewplaincopy

  • if!usevanilla;then
  • mv"${D}"${APACHE_MODULES_CONFDIR}/mod_security/modsecurity_*{41_phpids,50_outbound}*/
  • "${D}"${APACHE_MODULES_CONFDIR}/mod_security/optional_rules||die
  • fi


modsecurity_*{41_phpids,50_outbound}*的这几个划定规矩仍是不要用对照好。
别的,http://www.gotroot.com/tiki-index.php?page=mod_security+rules供应一些划定规矩

3.别的,能够把/var/www/放在一个独自的分区上,用noexec,nosuid,nodev参数挂载,翻开mysql的apparmor,能够极年夜加强宁静性。

参考材料:
/usr/share/doc/mod-chroot-common/
http://core.segfault.pl/~hobbit/mod_chroot/index.html
http://server.it168.com/a2010/0714/1077/000001077357.shtml
http://www.howtoforge.com/chrooting-apache2-mod-chroot-debian-etch
/usr/share/doc/mod-security-common

前期增补一些:
chroot的关头是确保/var/www/,/var/www/var/www都存在,而且/var/www/var/www是指向/的标记毗连
对apachechroot的历程,我的了解(若有不合错误,接待斧正)是
1,先初始化其他模块
2,chroot到/var/www
3,改动以后目次到/var/www(此时实践上是改动到/var/www/var/www目次下)
4,当http哀求到来时,好比http://127.0.0.1/index.php,依据vhost的设置(假如documentroot是/,网页实践放在/var/www/下的话),apache寻觅/index.php(实践上是/var/www/index.php)

别的,另有个诊断***是检察/proc/<apachepid>/root和/proc/<apachepid>/cwd,一个是apache的root路径,一个是apache确当前目次(<apachepid>是apache的pid),再看看apache的会见日记
欢迎大家来到仓酷云论坛!
若天明 该用户已被删除
沙发
发表于 2015-1-16 19:53:03 | 只看该作者

给大家带来apache的宁静加强设置(利用mod_chroot,mod_security)

随着Linux应用的扩展,出现了不少Linux社区。有一些非常优秀的社区往往是Linux高手的舞台,如果在探讨高级技巧的论坛张贴非常初级的问题经常会没有结果。
再现理想 该用户已被删除
板凳
发表于 2015-1-25 15:07:14 | 只看该作者
和私有操作系统不同,各个Linux的发行版本的技术支持时间都较短,这对于Linux初学者是往往不够的。
飘灵儿 该用户已被删除
地板
发表于 2015-2-2 22:39:16 | 只看该作者
任何一个叫做操作系统的东西都是这样子构成的:内核+用户界面+一般应用程序。
变相怪杰 该用户已被删除
5#
发表于 2015-2-8 20:04:49 | 只看该作者
选择一些适于初学者的Linux社区。
若相依 该用户已被删除
6#
发表于 2015-2-26 04:14:43 | 只看该作者
Linux操作系统这个名词记得在很早以前就听过,但当时并不知道具体是什么样的操作系统,只知道是一个与嵌入式密切相关的操作系统。
小魔女 该用户已被删除
7#
发表于 2015-3-8 12:33:49 | 只看该作者
我想即使Linux高手也很难快速准确精练的回答你。
深爱那片海 该用户已被删除
8#
发表于 2015-3-16 06:46:22 | 只看该作者
期间我阅读了不少关于Linux的相关资料,其中也不乏一些有趣的小故事,这既丰富了我的课余生活,也让我加深了对一些术语的理解,比玩游戏强多了。?
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 04:37

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表