Статьи

Укрепление Apache — разговор с автором

Информационная безопасность стала стандартной функцией для системных администраторов всех уровней и в любых размерах сред. Одна из самых важных частей загадки безопасности заключается в блокировании рабочих и производственных веб-серверов.

Новая книга Apress от Tony Mobily под названием Hardening Apache поднимает безопасность этого наиболее популярного веб-сервера на новый уровень и выводит пользователей всех уровней опыта в мир безопасной конфигурации.

Книга проходит интуитивно понятный процесс установки, от загрузки и проверки, настройки и модификации до запуска в производственном режиме. Вот Огненный Apache Содержание:

  1. Безопасная установка и настройка
  2. Общие атаки
  3. логирование
  4. Межсайтовые скриптовые атаки
  5. Модули безопасности Apache
  6. Апач в тюрьме
  7. Автоматизация безопасности
  8. Приложение. A: ресурсы Apache
  9. Приложение. B: HTTP и Apache
  10. Приложение. C: Главные контрольные точки
Чат с автором

Тони Мобили, ранее являвшийся автором Professional Apache Security для ныне несуществующей Wrox Press, знает свой Apache. Этот житель Западной Австралии начал становиться программистом, описывая свою раннюю работу как «хакерский».

«В начале, я думаю, я был немного« сценаристом детишкой »(я был молод, и я использовал готовые эксплойты!), Но затем, благодаря моим навыкам программирования, мне удалось глубже погрузиться в эту удивительную область и я стал лучше понимать основные методы и проблемы. Может быть, именно тогда я стал настоящим «хакером» — если я могу сказать, что я один из них », — сказал Mobily SitePoint.

Однако вскоре он осознал, что его сильные стороны были в системном администрировании, и порезал зубы на IBM AIX и Linux. Когда появился Интернет, он запрыгнул и решил, что «Сетевая безопасность — это его игра».

Когда его спросили, что вдохновило его написать «Закаленный апач», ответ Mobily показывает его страсть к этой теме.

«Кто-то должен был сделать это, но никто, казалось, не делал это правильно, и при этом это не выглядело так, как они сделали бы в ближайшем будущем. Например, если вы посмотрите на PHP, вы можете найти около 35 книг. 15 из них завершены Мусор. 10 из них читаются почти полностью. 8 из них очень хорошо сделаны. 2 из них — настоящие жемчужины — хорошо продуманные, написанные, отредактированные и опубликованные », — сказал он.

«Для безопасности Apache этого не произойдет, и моей целью было написать — ну,« очень хорошо написанная книга ». Первая попытка с [Wrox] не имела большого успеха. Я был только частью команды, и многие люди говорили, что книга не сработала, потому что она была слишком фрагментированной. С помощью Hardening Apache я хотел сделать это правильно. И я верю, что сделал »

основы

С самого начала Mobily просит читателя проявить терпение, поскольку он охватывает элемент безопасности, который не всегда является главным в голове администратора: правильность загрузки и простая и чистая установка.

Для некоторых это не может быть серьезной проблемой; Тем не менее, существуют инфраструктуры веб-сайтов, которые требуют высочайшего уровня безопасности, будь то по соображениям соответствия или просто для умиротворения параноиков.

Mobily выходит за рамки обычной контрольной суммы MD5 и предоставляет руководство по использованию GnuPG для проверки файла, даже если он загружен из авторизованного источника (с учетом возможного взлома сайта и исходного файла).

Предоставляется очень солидное руководство по сборке Apache из исходных текстов, которое касается как версий 1.3.x, так и 2.0.x.

Проверка на утечки

Эта книга впервые познакомила меня с Nikto , удобным инструментом, созданным людьми из Cirt.Net для комплексного сканирования безопасности ваших веб-серверов.

Как описано на сайте Cirt,

Nikto — это сканер веб-сервера с открытым исходным кодом (GPL), который выполняет всесторонние тесты на веб-серверах для нескольких элементов, включая более 2600 потенциально опасных файлов / CGI, версии на более чем 625 серверах и специфические для версий проблемы на более чем 230 серверах. Элементы сканирования и плагины часто обновляются и могут обновляться автоматически (при желании).

Он включает поддержку систем Unix (которые, разумеется, включают Linux и Macintosh OS X) и машин на базе Windows, и является заменой htmap из той же группы.

Это отличная отправная точка для тех, кто проводит тщательный анализ серверов, находящихся под их управлением, на предмет безопасности, уязвимости и ужесточения конфигураций.
конфигурация

Мне особенно понравился обзор Mobily по настройке httpd.conf до установки виртуальных серверов. Он держит корзину позади лошади, терпеливо следя за тем, чтобы система была готова к размещению этих доменов, с перегрузкой модулей Apache с точки зрения безопасности, наряду с некоторыми изменениями.

К ним относятся отличные пояснения по использованию сторонних модулей, таких как mod_security, mod_bandwidth и mod_dosevasive для повышения безопасности.

Некоторые из советов автора включают модификацию заголовков с помощью «ServerTokens Minimal» в httpd.conf — это удаляет номер версии Apache из заголовка, отправленного как часть HTTP-запроса.

Другим возможным спорным изменением является предложение отключить HTTP TRACE либо через контейнер <Location /> Смотрите определение W3C HTTP TRACE, если вам нужна дополнительная информация о нем.

 RewriteEngine on 
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .*  [F]

Обратите внимание, что все примеры кода, представленные в книге, доступны для скачивания на веб-сайте Apress .

Ключевые факторы в администрировании Apache

Книга охватывает две наиболее часто обсуждаемые функции в Apache, mod_rewrite и logging, и предлагает интуитивно понятные методы, с помощью которых обе могут эффективно использоваться для обеспечения безопасности. В частности, в книгу включен полный план развертывания независимого сервера веб-журналов с использованием шифрования для передачи данных.

Mobily объясняет: «Ведение журнала абсолютно необходимо, и оно должно выполняться на удаленном сервере, предназначенном для ведения журнала. Файлы журнала должны передаваться по TCP-соединению (а не по протоколу UDP) и должны быть зашифрованы, чтобы люди не могли вмешиваться в их содержимое. «

Глава о лесозаготовках концентрируется исключительно на том, как этого добиться, и Mobily считает, что его решение действительно весьма изобретательно.

«Возможно, регистрация не является угрозой безопасности; скорее, отсутствие надлежащей регистрации — огромная угроза безопасности», — сказал он.

Запуск Apache в тюрьме

Многие системные администраторы не решаются выполнять Chroot-тюрьмы. Действительно, это может быть сложной задачей, особенно если вам также нужно заключить в тюрьму базу данных и несколько языков сценариев. Mobily объясняет задачу в своей книге, в том числе подробности о том, как заставить Perl и PHP работать с Apache в тюрьме.

Тюрьмы Chroot создают на сервере квази-корневой сектор, поэтому, если они скомпрометированы, злоумышленник, подвергающий риску, находится в тюрьме исключительно в подмножестве каталогов, а не в истинной корневой файловой системе. Это связано с тем, что в программу включена командная оболочка «верить» /, которая относится к конкретному сектору файловой системы, а не к истинному корневому каталогу сервера.

Задача состоит в том, чтобы получить все необходимые библиотечные файлы на месте в тюрьме, что необходимо даже для запуска простой оболочки bash. Mobily делает процесс менее болезненным с его освещением здесь.

«Вы можете подумать, что странно иметь сервер, на котором большинство файлов находится в« клетке », — прокомментировал Mobily. «Люди могут задаться вопросом: какая разница? Зачем вообще беспокоиться о клетке? Что ж, дело в том, что даже если вся информация в клетке может быть скомпрометирована, вы все равно можете быть уверены, что сам сервер не был изменен, не содержит неприятного корневого набора и т. д. (в любом случае не через Apache). «

«Если вы понимаете, что были взломаны, вы можете просто взломать tar-файл из резервной копии (возможно, очень большой!) С содержимым всей тюрьмы chroot (конечно, вы будете создавать ежедневную копию этого файла) и затем проанализируйте свои файлы журналов, чтобы выяснить, кто и как совершил атаку. На уровне сервера это полная переустановка, которая является гораздо более болезненным и трудоемким процессом! «

Apache на Windows

В то время как большая часть юниверса Apache работает на платформе Linux / Unix в производственном процессе, на Apache идет натиск новичков, которые часто запускают свои первые сайты в рабочий стол на рабочем столе Windows. Мы спросили автора, есть ли у него какие-либо советы для тех, кто использует Apache в Windows.

«Первое правило: знайте свою систему. Если вам действительно нужно (или вы хотите) запустить Apache в Windows, вы должны знать Windows наизнанку. К сожалению, это легче сказать, чем сделать. Поэтому мой совет: получить очень хорошо знать Windows. Или, если вы хотите сэкономить время и получить хорошие результаты, установите Linux и купите хорошую книгу для изучения », — посоветовал Mobily.

Средства защиты журналов и анализа журналов

При ужесточении контроля над файлами журналов или использовании нетрадиционных методов, таких как описанные ранее, взаимодействие между необработанными журналами и приложениями анализа может осложниться.

Тони чувствует, что это обычная проблема — вы создаете очень безопасную систему, но затем становится полной болью в шее, чтобы получить что-либо. Если вы отправляете свои журналы на защищенный сервер журналов, у вас, скорее всего, будут проблемы с системным администрированием. Корень проблемы заключается в том, что машина журналов должна разрешать соединения исключительно для ведения журнала и (наиболее вероятно) для соединений ssh.

«Что вы можете сделать тогда? Уловка в этом случае проста: позволить самому серверу журналов подключаться к веб-серверу и ежедневно загружать информацию в формате« по умолчанию ». Затем извлекайте и форматируйте всю необходимую статистику из Веб-сервер, как обычно, с защищенной архитектурой подразумевает больше работы и знаний. Вероятно, поэтому большинство компаний отказываются от него и используют путь «скрестить пальцы», добавил Мобили.

Apache и SSL

Mobily предполагает, что использование SSL несколько повышает безопасность Apache — и он предостерегает от использования самозаверяющих сертификатов.

«Самозаверяющий сертификат по-прежнему позволяет компаниям шифровать соединение; поэтому, в некотором смысле, они по-прежнему хороши. Чего они не делают, так это говорят клиенту, что личность компании проверена доверенным учреждением или компанией ,» он сказал. «Я не уверен, что использовал бы их на производственном сервере, потому что вы можете получить сертификат довольно дешево сейчас, и (что более важно), потому что веб-пользователи не должны быть обучены говорить« да »диалоговым окнам, которые появляются в перед ними, пока они просматривают «.

Настройка в командной строке

Я поделился авторским методом настройки Apache почти исключительно в командной строке, научив администрированию из терминальной оболочки. Однако в свете безудержного роста панелей управления и графических инструментов администрирования я спросил Тони о его мнении.

«Я должен быть честным — я никогда не использовал графический интерфейс для настройки Apache! Поэтому я не могу точно сказать, есть ли графический интерфейс, который делает правильную работу. Однако, как я уже говорил ранее, вы должны знать свою систему наизнанку в чтобы обезопасить его, — ответил Мобили. «По моему мнению, безопасная настройка Apache означает, что вы можете запачкать руки в файле httpd.conf. В книге я советую иметь базовый короткий конфигурационный файл и медленно его обогащать, когда вы обнаружите, что вам нужна новая функция».

Мультиплатформенный Apache

Наконец, зная, что Apache является одним из тех уникальных решений с открытым исходным кодом, которые работают на бесконечном количестве платформ, включая Linux, Macintosh, Netware, Unix и Windows, я спросил Тони о том, работает ли веб-сервер более безопасно из коробки. на любой конкретной платформе.

«Я так не думаю. Я бы не стал запускать критически важный сервер с высоким риском в Windows, например, потому что его гораздо сложнее защитить, чем Linux. Но что касается Apache, правила остаются более или менее менее то же самое [от ОС к ОС], «Mobily сказал.

Закаливание Apache
Автор: Тони Мобилы
Издатель: Апресс
Цена: 29,95 $
Дополнительная информация: http://apress.com/book/bookDisplay.html?bID=320.