Информационная Безопасность. Аудит Безопасности


Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Защита сервера
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Защита сервера

24.08.2010

Сегодня я хочу показать как хотя бы чуть чуть можно защитить свой сервер.
ОС будет CentOS (RedHat) .Так как это стабильная nix (по лучше чем fedora core).

Итак у нас есть IP и password.Конектимся к серваку по SSH через путти по дефолту 22 порт.

Что мы с перва сделаем. Первое это будет полное обновление системы php mysql apache2,и так далее,за одно обновим версию ОС , выполняем команду yum update или yum upgrade.И так мы обновили систему. Для обновления "major" релизов CentOS лучше воспользоваться пунктом Upgrade в инсталляторе (yum upgrade).Следующим я думаю стоить установить nginx.Что такое nginx.NGINX это веб-сервер и почтовый прокси-сервер, работающий на Unix-подобных операционных системах (тестировалась сборка и работа на FreeBSD, OpenBSD, Linux, Solaris, Mac OS X).Вот что я взял с википедии.

HTTP-сервер
обслуживание статических запросов, индексных файлов, автоматическое создание списка файлов, кеш дескрипторов открытых файлов
акселерированное проксирование без кэширования, простое распределение нагрузки и отказоустойчивость
поддержка кеширования при акселерированном проксировании и FastCGI
акселерированная поддержка FastCGI и memcached серверов, простое распределение нагрузки и отказоустойчивость
модульность, фильтры, в том числе сжатие (gzip), byte-ranges (докачка), chunked ответы, HTTP-аутентификация, SSI-фильтр
несколько подзапросов на одной странице, обрабатываемые в SSI-фильтре через прокси или FastCGI, выполняются параллельно
поддержка SSL
экспериментальная поддержка встроенного Perl

IMAP/POP3-прокси сервер
перенаправление пользователя на IMAP/POP3-бэкенд с использованием внешнего HTTP-сервера аутентификации
простая аутентификация (LOGIN, USER/PASS)
поддержка SSL и StartTLS

Вообщем ставим.
1)yum install nginx
2)Если у нас стоит ISPmanagerLite то для того, чтобы связать ISPManager и nginx очищаем кэш пакетов ISPManager.Почему я выбрал ISPmanager.Во первых она мало грузит сервер а вот вторых там есть все не обходимое для хостинга.
Выполним такую команду
pkgctl -D cache
и рестартим ИСП
killall -9 -r ispmgr
Идем в пункт Возможности(Features) панели ISPManager и там устанавливаем Nginx. Теперь рестартуем nginx и apache

service httpd restart
service nginx restart
Если что то не получилось проще можете сделать так
# yum update #обновление всех пакетов;
# rpm -Uvh http://download.fedora.redhat.com/pu...1.el5.i386.rpm # забираем пакет
# pkgctl -D cache # устанавливаем nginx
# service nginx start # стартуем

Вот и подошла следующая часть моей статьи.

Все мы знаем что можно выудить если зайти на сайт и невзначай вбить левую php-шную страничку (ну или что то другое).Правильно.Увидеть конфиг сервака.Вот что нам выпадет от сервера.

Not Found
The requested URL /slavarusskimhackeram.php was not found on this server.
Сервер говорит нам что такой страницы нет. При этом сервачек нам выдает достаточно хорошую инфу
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Apache/2.2.9 (Unix) mod_ssl/2.2.9 OpenSSL/0.9.7a mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 PHP/4.4.8 Server at whitehouse.gov/ Port 80
Вот к примеру мы увидели версию апача и установленное ПО.
Для того чтобы нам скрыть всю полезную инфу о сервере залезем в файл httpd.conf находиться он в /etc/httpd/conf/httpd.conf. Листаем в самый низ и добавляем волшебные заветные строчки
ServerSignature Off
ServerTokens Prod
Далее: Apache поддерживает два типа аутентификации: basic и digest (обеспечивается модулем mod_auth_digest). В первом случае пароль передается в открытом виде. При использовании этого типа аутентификации у злоумышленника есть возможность перехватить логин и пароль и получить доступ ко всей «охраняемой» области. В digest передается Response, который представляет собой контрольную (обычно MD5) сумму от комбинации логина, пароля, запрашиваемого URL, метода HTTP и строки nonce, генерируемой сервером при ответе. Строка nonce позволяет сделать эту строку поистине уникальной. Для включения digest-аутентификации используем:
AuthType Digest

Чтобы кулхацкер не смог заюзать конфиг и временные файлы заюзае м такие строки в httpd.conf

<Files "(^\.ht|~$|\.bak$|\.BAK$)">
Order Allow,Deny
Deny from all
</Files>

Если изменить значения некоторых параметров, можно смягчить эффект DoS-атаки. Например, Timeout определяет, в течение какого времени сервер будет ожидать ответа клиента. В более ранних версиях Apache значение этой директивы равнялось 1200 секундам, затем оно было уменьшено до 300 сек. Мы можем спокойно его урезать, например, до 60 сек (это отразится только на пользователях с плохим соединением):

Timeout 60

Теперь устанвом mod_security


Делаем.

wget http://sourceforge.net/settings/mirr..._2.5.11.tar.gz забираем пакет

Или заходим на офф сайт http://www.modsecurity.org/download/
tar zxf modsecurity-apache_2.5.11
cd modsecurity-apache_2.5.11
cd apache2

Ну а потом делаем service httpd restart.То есть рестарен httpd.
Примечание: если вы получаете ошибки, подобные libxml2, apxs не найден, то вам потребуется установить следующие пакеты, используя Yum.
yum install httpd-devel libxml2

Вот мы установили mod_security.

Думаю устанавливать safe_mod не актуально так как многие двиги на отрез отказываються работать с ним.

Лучше давай установим ПО Suhosin.
Info

Задача проекта Suhosin (www.hardened-php.net/suhosin) - защита серверов и пользователей от целого ряда известных проблем в приложениях и ядре PHP, так как safe_mode помогает далеко не всегда. Сам Suhosin состоит из двух независимых частей, которые могут использоваться как раздельно, так и совместно. Первая часть – небольшой патч к ядру, осуществляющий низкоуровневую защиту структур данных от переполнения буфера, уязвимости форматной строки и ошибок в реализации функции realpath, присущей некоторым платформам, а также от других потенциальных уязвимостей ядра PHP. Вторая часть реализована в виде расширения, которое фактически и осуществляет всю основную защиту, при необходимости его очень просто доустановить в уже рабочую систему без полной пересборки PHP. С полным списком возможностей можно познакомиться на сайте проекта www.hardened-php.net/suhosin/a_feature_list.html.
В случае нарушения установленных правил возможна блокировка переменных, отсылка определенного HTTP-кода ответа, перенаправление браузера пользователя, выполнение другого PHP-скрипта. Все события заносятся в журналы, для чего может использоваться syslog, свой модуль или внешний скрипт. Последние версии расширения Suhosin совместимы практически со всеми версиями PHP.
Итак преступим.
Установка в CentOS не так проста, как с Debian. Пакет Suhosin в настоящее время доступен только в тестовом репо.

Сначала мы должны добавить тестовое репо:
cd /etc/yum.repos.d
wget http://dev.centos.org/centos/5/CentOS-Testing.repo

Теперь мы фактически установим пакет php_suhosin
yum --enablerepo=c5-testing install php-suhosin

suhosin.ini должен располагаться в /etc/php.d.

Я предполагаю, что этот же процесс будет работать с другими версиями CentOS. Теперь мы переходим к конфигурации.

Конфигурация

Базовая конфигурация, поставляемая с Suhosin, будет работать замечательно, но я добавил несколько настроек.

В php.ini мы добавим следующее:

Включите Suhosin
extension=suhosin.so

Отключить шифрование сессии (требуется для большинства логин скриптов)

HTML Code:
suhosin.session.encrypt = Off
Регистрация всех ошибок

HTML Code:
suhosin.log.syslog=511
Макс обхода в глубину т.е. ‘../../’

HTML Code:
suhosin.executor.include.max_traversal=4
Отключить оценку

HTML Code:
suhosin.executor.disable_eval=On
Отключить /e модификатор

HTML Code:
suhosin.executor.disable_emodifier=On
Запретить новые строки в Subject:, To: заголовки и двойные строки в дополнительных заголовках

HTML Code:
suhosin.mail.protect=2
Рекомендованные настройки

Молча отказать неудавшимся SQL запросам

HTML Code:
suhosin.sql.bailout_on_error=On
Вот думаю и все.
Конечно эта статья полностью не защитит ваш сервер но от некоторых хацкеров все же поможет.

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Защита от взлома
Опубликовал: SafeEject
Просмотров: 11419
Проголосовало через SMS: 0
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • В darknet сливают данные 100 000 российских банковских карт
  • Вирус Escobar ворует коды двухфакторной аутентификации из Google ...
  • DeadBolt использует уязвимость, исправленную в декабре
  • Почти миллион WordPress-сайтов в опасности из-за уязвимости в поп...
  • Шифровальщик DeadBolt взломал 3600 NAS. Qnap устанавливает обновл...
  • Банковский троян Chaes устанавливает вредоносные расширения для C...
  • Взломана платформа Qubit Finance, хакеры похитили 80 млн долларов
  • Арест участников REvil взволновал других преступников
  • Обнаружена malware MoonBounce, внедряющаяся в UEFI
  • Администратор кардерского форума UniCC и участник хак-группы The ...

    Все новости... Все статьи... Прислать новость RSS
  • Разное / Предложения работы » Взлом авторизации CRM
  • Разное / Предложения работы » взломать сайт и выграть электронную жеребьёвку
  • Разное / Предложения работы » разблокировать сбер аккаунт
  • Разное / Болталка » Re: Форум жив?
  • Разное / Болталка » Форум жив?
  • Разное / Болталка » С Новым 2022 Годом!
  • Взлом и безопасность / Программы » Re: Hasp ключ для ABC-4
  • Портал / Отзывы и предложения » Предлагаем партнерство вашему форуму.
  • Разное / Предложения работы » взлом почты
  • Разное / Куплю, приму в дар » Покупка аккаунтов Uphold

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}