ugrás a tartalomhoz

Apache biztonságos beállítások

stan · 2009. Aug. 10. (H), 16.56
A tárhelyemen ez fut: Apache/2.2.9 (Debian) PHP/5.2.6, emellett mysql-t is használok.

Már sok helyen szó volt arról, hogy milyen beállításokkal lesz biztonságos az oldal, de sajnos nem találtam egy összefoglalót, ahol az összes fontos beállítás le lett volna írva egy helyen. Tehát milyen beállításokra kell odafigyelni a biztonság szempontjából?
‹ shtml + rövid webcím localhost feltöltés sávszélesség korlátozás ›
 
1

Google

gabesz666 · 2009. Aug. 10. (H), 18.59
Itt találsz pár tippet. Nem néztem végig, de releváns találatoknak tűnnek így ránézésre. Másrészt az sem árt, ha végigolvasod az apache doksiját, ahol szintén bemutatnak pár security tippet!
2

Upgrade

janoszen · 2009. Aug. 11. (K), 02.01
Első körben upgradeld meg a PHP-dat, mert csak hogy egy példát mondjak, abban a verzióban van egy safe mode bypass.

Egyébiránt feltételezve, hogy NEM hostingot akarsz, hanem magad menedzseled a siteo(ka)t, egy pár példa:
  • Ne látsszon, milyen webszerver, PHP verziót használsz
  • HTTP Trace off
  • Follow symlinks off
  • Web partició legyen noexec-el mountolva
  • Jogosultságokra figyeljünk
  • CGI exec off
  • Alkalmazás kódja a webrooton kívül legyen
  • Kiterjesztés szerinti content negotiation off
  • Directory indexes off
  • ServerStatus csak localból legyen elérhető
  • Minden modul csak akkor legyen betöltve, ha tényleg szükség van rá
  • Nagy terhelés mellett keepalive off
  • PHP upload dir legyen az open_basediren belül (5.2 óta egyébként is kötelező)
  • PHP-ban a socket nyitást, symlink gyártást, execet, stb letiltani, ha nem kell.
  • Legyen open_basedir
  • Legyenek rendszer-szinten limitek (pl hely)
  • Legyen monitorozás (Nagios, munin, monit)
  • Ha paranoiás vagy, akkor chroot jail


Mindettől NEM lesz biztonságos. Ahhoz bizony végig kell csámcsogni a doksit és meg kell érteni a működést. Az alkalmazáson egyébként is baromi sok múlik, ha az szar, akkor nem segít semmi.
3

Hosting van

stan · 2009. Aug. 11. (K), 03.52
Egy tárhelyszolgáltató hostingolja a tárhelyem, ami egy osztott erőforrás, tehát a szervergépet nem én használom egyedül. Ez azért van így, mert nincs pénzem saját szervergépet bérelni náluk. Így valószínűleg nem tudják majd teljesíteni minden beállításra vonatkozó kérésemet.

Egyébként ha több pénzem lesz, saját szervert fogok bérelni náluk, tehát a biztonságra több pénzt fogok fektetni, de addig megpróbálom egy elfogadható szintre csökkenteni a biztonságot, a lehetőségekhez mérten.

Köszönöm a tanácsokat, forrásokat!
4

Forget it

janoszen · 2009. Aug. 11. (K), 08.02
Hacsak a tárhely szolgáltató nem FastCGIt, suPHPt vagy MPM ITKt használ, a biztonság egy illúzzió, mert a felhasználók rendszer szinten nincsenek elszeparálva.
5

off

gex · 2009. Aug. 11. (K), 10.01
megpróbálom egy elfogadható szintre csökkenteni a biztonságot
remélem ez elírás volt.
6

Igen, elírtam

stan · 2009. Aug. 11. (K), 18.08
Elírtam: nem a biztonságot akarom csökkenteni nyilván, hanem a kockázatokat.

De mondjuk kiváncsi lennék, hogy hol van az a bizonyos elfogadhatóan alacsony kockázati szint, amikor már egy komolyabb webalkalmazást futtatni érdemes. Bár ez függ a kezelni kívánt információk értékétől.
7

FastCGI

janoszen · 2009. Aug. 11. (K), 18.36
Ott, ahol a vhostok külön user alatt futnak. Pont ma volt megint egy basedir bypass, ha jól láttam.
8

Bővebben?

stan · 2009. Aug. 12. (Sze), 10.19
Sajnos szerver beállításokban még nem vagyok otthon, de szeretném kitanulni. Kifejtenéd bővebben, hogy ez mit jelent?
9

weblabor cikk

gex · 2009. Aug. 12. (Sze), 10.27
kezdetnek: http://weblabor.hu/cikkek/phpfastcgimodban
10

"keepalive off"

Hodicska Gergely · 2009. Aug. 13. (Cs), 08.56
Nagy terhelés mellett keepalive off
Ez így általában nem igaz, főleg ebben az esetben nem. Ez akkor éri meg, ha van külön szervered a statikus tartalmak kiszolgálására, de ha ugyanarról szerverről szolgálod ki (ahogy itt is), akkor nem jó ötlet kikapcsolni.