تبلیغات
آموزش هک - امنیت برتر در سرورهای Apache قسمت اول

به نام خدا

آموزش هک
امروز   به وبلاگ  آموزش هک  خوش آمدید


¿امنیت برتر در سرورهای Apache قسمت اول
یکشنبه 24 مهر 1384

این مقاله به صورت قدم به قدم به شما نحوه نصب و تنظیم نمودن وب سرورهای آپاچی نسخه 1.3.x جهت امنیت بالاتر را نشان می دهد كه سعی شده جزئیات كار به خوبی مورد بررسی قرار بگیرد .

قبل از اینكه ما مرحله امنیت وب سرور آپاچی را مورد بررسی قرار دهیم باید این را مشخص نماییم كه چه استفاده ای از سرور را خواهیم نمود . متنوع بودن استفاده از وب سرورهای آپاچی نوشتن یك روند جهانی جهت امنیت این سرور را بسیار مشكل می سازد . به همین دلیل است كه در این مقاله ما چنین وب سروری با چنین شرایطی را در نظر می گیریم :

  • این وب سرور از طریق اینترنت قابل دسترسی است

  • فقط صفحات اچ-تی-ام-ال ثابت در آن قرار می گیرد

  • این سرور مكانیزم هاستینگ مجازی را پشتیبانی خواهد نمود

  • صفحات مهم وب سایت فقط از طریق یك آدرس IP مخصوص و یا كاربران خاص مورد استفاده قرار می گیرد ( basic authentication )

  • این سرور همه درخواست های دریافتی را ضبط می كند ( شامل اطلاعاتی در مورد مرورگرهای وب نیز خواهد شد )

از این جهت قابل تاكید است كه كه مدل ذكر شده در بالا PHP, JSP, CGI و دیگر تكنولوژی هایی كه امكان تداخل با سرویس های وب سرور را دارد را پشتیبانی نمی كند . استفاده از تكنولوژی هایی كه در بالا ذكر شد با این كه در دنیای امروز مورد احتیاج هسنتد ممكن است یك ریسك امنیتی بزرگ در امنیت باشد كه قابل ذكر است یك اسكریپت كوچك می تواند امنیت سرور را به كلی كاهش دهد . ولی چرا ؟ باید بگم اسكریپت های كاربردی ASP/CGI ممكن است دارای حفره های امنیتی باشد ( مانند SQL Injection , CSS ) . دوم این تكنولوژی ها ممكن است خود نیز دارای مشكل باشد (  مانند آسیب پذیری های ماژول های PHP, Perl و ... ) به همین دلیل است استفاده از این تكنولوژی ها را زمانی پیشنهاد می شود كه واقعا مورد احتیاج باشند .

فرض های امنیتی

یكی از مهم ترین موارد در هر پروژه كامپیوتری توجه به فرض های امنیتی است ( با  توجه به توضیحاتی كه در زیر آورده می شود این موضوع به راحتی قابل تحلیل است )  و این فرض ها باید قبل از اینكه یك پروژه به انجام برسد در نظر گرفته شود . فرض های امنیتی كه ما جهت وب سرورمان در نظر گرفته ایم این ها هستند :

  • سیستم عامل باید تا آنجایی كه امكان دارد از نظر امنیت مورد بررسی قرار گرفته باشد و مشكلات امنیتی ان برطرف گردد ( هم در مقابل حملات داخلی و هم ریموت )

  • وب سرور نباید هیچ سرویس دیگری غیر از سرویس اچ-تی-تی-پی را ارائه دهد

  • دسترسی ریموت به سرور باید توسط یك فایروال كنترل گردد

  • سرویس آپاچی باید تنها سرویسی باشد كه در سیستم وجود دارد

  • فقط ماژول های آپاچی آن هایی كه مورد احتیاج هستند باید فعال باشند

  • پروسه های آپاچی باید دسترسی محدود شده به فایل های سیستمی داشته باشند

نصب سیستم عامل

قبل از نصب وب سرور آپاچی ما باید یك سیستم عامل را انتخاب نماییم . سرور آپاچی می تواند بر روی بیشتر سیستم عامل ها كامپایل و نصب شود . بیشتر مقاله بر روی امنیت وب سرور آپاچی در سیستم عامل FreeBSD ( نسخه 4.7 ) تاكید دارد ولی سعی شده تا آن جا كه امكان داشته روش های به گونه ای باشند كه در بیشتر سیستم عامل ها قابل استفاده باشد . من استفاده از سیستم عامل ویندوز را پیشنهاد نمی كنم چون جهت بالا بردن امنیت آپاچی سازگاری كمی دارد .

اولین قدم در بالا بردن امنیت وب سرور , رفع مشكلات امنیتی سیستم عامل به طور كامل است كه البته مقالات بسیاری بر روی اینترنت جهت این كار موجود است .

خوب بعد از اینكه سیستم عامل نصب شد و مشكلات امنیتی آن رفع گردید ما باید یك گروه جدید ( Apache ) را به پروسه ها اضافه كنیم ( مثال زیر این روند را در FreeBSD نشان می دهد )

 pw groupadd apache
 pw useradd apache -c "Apache Server" -d /dev/null -g apache -s  /sbin/nologin

به طور پیش فرض پروسه های آپاچی با سطح دسترسی nobody ( به غیر از پروسه اصلی آن كه با سطح دسترسی روت اجرا می شود ) اجرا می شوند كه این نیز خود یك مشكل امنیتی است .

ادامه دارد....

نوشته شده در یکشنبه 24 مهر 1384 و ساعت 07:10 ق.ظ توسط : حمید نجفی
ویرایش شده در - و ساعت -