20 советов по увеличению безопасности Apache

09.12.2005 15:05

В статье "20 ways to Secure your Apache Configuration" кратко описаны 20 способов увеличения безопасности Apache. Вот некоторые из них:


 Сокрытие версии HTTP-сервера.
   ServerSignature Off
   ServerTokens Prod

 Запрещение показа списка файлов в директориях
   Options -Indexes

 Запрещение SSI
   Options -Includes

 Запрещение CGI
   Options -ExecCGI

 Запрещение .htaccess
   AllowOverride None

 Использование mod_security

 Уменьшение таймаута
   Timeout 45

 Лимиты на размер данных передаваемых в запросе.
   LimitRequestBody 1048576

 Лимит размера данных для mod_dav
   LimitXMLRequestBody 10485760

 Установка числа процессов в MaxClients, которые сможет обработать система;

 Блокировка IP
   Order Deny,Allow
   Deny from all
   Allow from 176.16.0.0/16

 Тюнинг KeepAlive
   MaxKeepAliveRequests 100
   KeepAiveTimeout 15

 Запуска Apache в chroot

исправить +/–

Главная ссылка к новости (http://www.petefreitag.com/ite...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/6597-apache

Ключевые слова: apache, security, limit

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (35)

1.1, Alex (??), 15:45, 09/12/2005 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Order Deny,Allow Deny from all Всё. и никто не сломает. =)

1.2, TaranTuL (??), 15:50, 09/12/2005 [ответить] [﹢﹢﹢] [ · · · ]	+/–
apachectl stop наверное надежнее.

1.3, USSR (?), 15:55, 09/12/2005 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Осталось выключить питание, порубить силовой кабель на куски, закрыть сервер в шкаф с крутым замком. В комнату со шкафом напустить свору голодных волкодавов. И главное-никакого инета :-)

1.4, sash (??), 16:09, 09/12/2005 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Лимиты на размер данных передаваемых в запросе. >LimitRequestBody 1048576 а как же закачка файлов больше 1Мб?

2.5, sash (??), 16:10, 09/12/2005 [^] [^^] [^^^] [ответить]	+/–
upload имею ввиду.

1.6, echo (??), 16:19, 09/12/2005 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Никчёмная, бестолковая статья. Все эти механизмы требуются для нормальной работы. Даже версия сервера может помочь клиенту. Волков бояться - в лес не ходить. Присоединяюсь к хору.

2.8, B.O.B.A.H. (??), 16:47, 09/12/2005 [^] [^^] [^^^] [ответить]	+/–
не обязательно делать всё что прочитал :-) это же советы, а не от начальства ;-) \|^^^^^^^^^^^^^''^\\| \|\|\____ \| Водка-Водка \| \|\|','''\|'''''''\_____, \| _..... _ \| \|\|__\|'__\|_____\|\|< '''''(@)'(@)''''''''''''''''''''''\|(@)(@)***\|(@)

1.7, AlexVS (??), 16:45, 09/12/2005 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А зачем запрещать .htaccess? Я на оборот через него все права доступа указываю.

1.9, MiRacLe (?), 19:04, 09/12/2005 [ответить] [﹢﹢﹢] [ · · · ]	+/–
21-ое правило: порезать сетевой кабель на куски 22-ое: разбить вдребезги все внешние накопители 23-ее и последнее: Спать в презервативе.

2.12, andy (??), 06:08, 10/12/2005 [^] [^^] [^^^] [ответить]	+/–
меня уже цитируют? приятно :) по теме: правила действительно бестолковые. С такими настройками больше проблем, чем пользы

1.10, dev (??), 02:26, 10/12/2005 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Зря смеется, реально видел как у "неккккооотторых" хостингов апач под рутом пущен! Такие указание для "подооообных" хостов - академические!

2.11, Tangar (ok), 03:05, 10/12/2005 [^] [^^] [^^^] [ответить]	+/–
У кого ТАК(см.выше) работает - тут не читают! :)

1.13, morgg (?), 10:01, 10/12/2005 [ответить] [﹢﹢﹢] [ · · · ]	+/–
а под чем еще апач пускать? один процесс под рутом, остальные www:www

2.14, Юрий (??), 13:30, 10/12/2005 [^] [^^] [^^^] [ответить]	+/–
привелегии root используются только для байндинга на 80 порт, насколько я помню.

2.17, uldus (ok), 17:35, 10/12/2005 [^] [^^] [^^^] [ответить]

+/–

>а под чем еще апач пускать? один процесс под рутом, остальные www:www

Имели в ввиду, что апачевый root процесс висит и форкает рутовых детей, которые используются, чтобы всякие mod_php выполняли скрипты от uid пользователя, типа вшитый suexec.

1.15, Michael Shigorin (?), 13:31, 10/12/2005 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Добрая половина этого в апаче из ALT Linux сделана из коробки или с mod_security (это та, которая разумная половина). Недобрая половина, включая "держите апач в чруте" (без ссылок на mod_chroot хотя бы) -- нафиг-нафиг. :) (мазохисты могут пробовать, как это приготовлено в опёнке)

2.16, KBAKEP (??), 16:58, 10/12/2005 [^] [^^] [^^^] [ответить]	+/–
А что в опёнке там жутко ужасного в chroot apache?

3.18, Otto Katz Feldkurat (?), 19:28, 10/12/2005 [^] [^^] [^^^] [ответить]	+/–
да как в любом руте - тащить в рут все окружение. Я попробовал и плюнул. Непропорциональные результату затраты.

4.19, Mikk (?), 19:35, 10/12/2005 [^] [^^] [^^^] [ответить]	+/–
Ахринеть - тебе всё в одну авоську. Знаешь, а ведь либо безопастность со всем вытекающем гемором. Либо ну нафик. А некоторые ещё и виртуализацию используют.

5.20, Otto Katz Feldkurat (?), 07:33, 11/12/2005 [^] [^^] [^^^] [ответить]

+/–

но пора все зарутать. Не сегодня.

ПХП - в рут. ГД для него - тоже в рут. И так дальше и тому подобно...

Как с нуля коробку заводить.

6.21, ksp (?), 11:39, 11/12/2005 [^] [^^] [^^^] [ответить]	+/–
Используйте mod_chroot + mod_suphp - и будет вам счастье :) Дело то всего - переписать в chroot бинарник php-cgi, подмонтировать в chroot bind mount-ом /lib и /usr/lib, скопировать в chroot/etc несколько файлов из /etc... и получаете надежный хостинг, даже на Fedora Core, которую тут многие не любят.

7.22, Аноним (-), 12:06, 11/12/2005 [^] [^^] [^^^] [ответить]	+/–
mod_suphp - !!!! как впечатления ? есть проблемы со скриптами ?

8.23, Otto Katz Feldkurat (?), 17:54, 11/12/2005 [^] [^^] [^^^] [ответить]	+/–
ща взбодрюсь пивком и приступлю... текст свёрнут, показать

9.24, Otto Katz Feldkurat (?), 11:30, 12/12/2005 [^] [^^] [^^^] [ответить]	+/–
Что в чруте, что не в чруте - если через дыру в приложении в tmp залит руткит и... текст свёрнут, показать

10.25, uldus (ok), 11:57, 12/12/2005 [^] [^^] [^^^] [ответить]	+/–
Если вы даете непривилегированным приложениям в вашем чруте делать bind и conn... текст свёрнут, показать

11.28, Otto Katz Feldkurat (?), 16:09, 12/12/2005 [^] [^^] [^^^] [ответить]	+/–
сёдни в 10 утра мне Цы97 из Иджипта заливал Ща порутаю все апачи Вечерком Пок... текст свёрнут, показать

12.29, uldus (ok), 17:01, 12/12/2005 [^] [^^] [^^^] [ответить]	+/–
Вы меня с кем-то путайте ... текст свёрнут, показать

13.30, Otto Katz Feldkurat (?), 19:05, 12/12/2005 [^] [^^] [^^^] [ответить]	+/–
от доброго webрута все-таки спасает только mod_security и Guardian Snort Если д... текст свёрнут, показать

14.31, uldus (ok), 19:10, 12/12/2005 [^] [^^] [^^^] [ответить]	+/–
Вы забыли про дыры в mod_security или snort - ... текст свёрнут, показать

15.32, Otto Katz Feldkurat (?), 20:29, 12/12/2005 [^] [^^] [^^^] [ответить]	+/–
Ну, это не всякому даже и бразильцу по уму, хотя ребята они шустрые до немогу Ч... текст свёрнут, показать

14.33, ksp (?), 10:05, 13/12/2005 [^] [^^] [^^^] [ответить]	+/–
Вот что спасет отца русской демократии 48 - apache uid iptables -A OUTPUT -o... текст свёрнут, показать

10.26, Alexey (??), 13:34, 12/12/2005 [^] [^^] [^^^] [ответить]	+/–
А вы всегда так tmp маунтите, что оттуда можно выполнять программы ... текст свёрнут, показать

11.27, Otto Katz Feldkurat (?), 15:53, 12/12/2005 [^] [^^] [^^^] [ответить]	+/–
ставленная не мной, в которой tmp - директория в корневой фс Переразбивть аппа... текст свёрнут, показать

12.34, konst (??), 18:55, 19/12/2005 [^] [^^] [^^^] [ответить]	+/–
mount -bind tmp с noexec - очень сложно ... текст свёрнут, показать

13.35, playnet (?), 20:59, 23/12/2005 [^] [^^] [^^^] [ответить]	+/–
Править fstab, зачем что-то переразбивать И зачем маунтить руками что-то ... текст свёрнут, показать

Добавить комментарий

Текст: