Apache güvenliği

0
conan
Bu yazıda Apache'nin dağıtımla gelen halinden daha güvenli bir şekilde çalışabilmesi için yapmanızı tavsiye edeceğim bazı değişiklerlerden bahsedeceğim. Bu tavsiyelerden birçoğu ayar dosyalarıyla ilgili olacağından dolayı Apache httpd.conf dosyası hakkında bilgi edinmiş olmanızı öneririm.
Dağıtımlarla gelen Apache kurulumları çoğu zaman kullanıcıya rahatlık sunması açısından oldukça esnek yapılandırılırlar. Bu ayarlar basit kullanımlar için oldukça yararlıdır fakat güvenliğin on planda olduğu sunucularda gereğinden fazla esnektirler. Bu yüzden ayarlarınızı gözden geçirmenizde fayda var. Bu anlatacağım senaryoları şirketinizin aynası ya da belki de ürünü olacak web sunucularında yaptığınızı gözönünde bulundurmayı unutmayın. Örneğin kullanıcı homepage'lerini silin dediğimde, "aaa olur mu öyle sey!" gibi yorumlar duymak istemiyorum :)

Örneklerin çoğu RedHat baz alınarak verilmiştir.

  1. Kurulum: Makinaniza dagitimla gelen apache'yi kurmaniz ve bu sekilde birakmaniz demek guvenlik acisindan intihar demektir. Derhal apache'nin son surumunu (ister dagitimin guncelleme kanalindan, ister programin kendisini derleyerek) kurun.
  2. Modüller Genelde dagitimla gelen apache Dynamic Shared Object (DSO) ozelligi ile derlenmistir. DSO bize plugin seklinde eklentileri, apache'yle yeniden derlemeye gerek birakmadan kullanmamizi saglar. Dagitimla gelen modullerin bir coguna ihtiyaciniz yoktur. Asagidaki listeden gercektek ihtiyaciniz olmayanlari httpd.conf dosyasindan silin. mod_dav Distributed Authoring and Version
    mod_autoindex Dizinlerin icini otomatik olarak gosterir.
    mod_include Eger sayfalarinizda sunucu tarafindan include'lar yapmıyorsaniz silin.
    mod_info Sunucunun ayarlarini gosterir.
    mod_status Sunucunun durumunu gosterir.
    mod_userdir Kullanici Home dizinleri.
    Tavsiyem ayar dosyasindaki buna benzer mod_* satirlarini inceleyin ve minimum modül aktive edin. Modul referansi icin http://modules.apache.org/ adresine bakin.
  3. Kullanıcı dizini? O da ne? SİLİN! :)

    UserDir disable

    satırını httpd.conf dosyasina ekleyin. Daha da paranoyak olmak istiyorsanız

    LoadModule userdir_module modules/mod_userdir.so

    satırını silin ya da comment out edin.
  4. Dizin izinleri:
    Web sunucunuzun kök dizinin izin ayarlarını biraz daha sıkılaştırın.
    Örneğin
    Aşağıdaki ayar yerine:
    <Directory />
      Options FollowSymLinks
      AllowOverride None
    </Directory>
    
    bu ayarları deneyin:
    <Directory />
      Options None
      AllowOverride None
      Order allow,deny
      Deny from all
    </Directory>
    
  5. Sunucu bilgi gizleme.
    Bir web sunucu korsaninin saldiri icin yapacagi ilk adim belki de sunucu hakkinda bilgi toplamaktir. Bu nedenle sunucumuzun verdigi bilgiyi minimumda tutmamiz ilk korunma duvarimiz olacaktir. httpd.conf dosyasi icinde:

    ServerSignature off

    yazarsak sunucunun dinamik olarak yarattigi signature/imza satirindan kurtulmus oluruz (Ornegin 404 sayfalarinda)

    Bununla beraber apache HTTP basliginda da bilgi saklar ve gosterir.

    ServerTokens Prod

    satiri bu bilgiyi minimuma indirger. Bazi sunucu sayfalarinda ise sistemin yoneticisinin email adresi gosterilir. (Spamciler icin ideal! :)

    ServerAdmin root@localhost

    satırı bu emaili de saf dışı birakir.
  6. cgi-bin dizinin yok et:
    Eger web sunucunuz CGI calistirmayacaksa derhal gerekli ayarlari yokedin! :) (PHP degil, cgi...) Su satirlari silin ya da comment out edin.
     LoadModule cgi_module modules/mod_cgi.so
     LoadModule env_module modules/mod_env.so
     AddModule mod_cgi.c
     AddModule mod_env.c
     ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"
     <Directory "/var/www/cgi-bin">
        AllowOverride None
        Options None
        Order allow,deny
        Allow from all
     </Directory>
    
  7. Web dizinlerinin sistem izinleri.
    Sistem icinde webe acik dizinlerin ve dosyalarin hicbirisine web serverin calistigi kullaniciya ve guruba (apache, nobody gibi) yazma hakkinin verilmemesi lazimdir. Bu duruma uymayan dizin ve dosyalari bulmak/gormek icin su asagidaki komutlari kullanabilirsiniz. [root@webserver]# find /var/www/html -user apache -perm +202 -exec ls -ld {} ; [root@webserver]# find /var/www/html -group apache -perm +202 -exec ls -ld {} ;
  8. SSL
    Son olarak. Mutlaka gizli bilgilerinizi SSL yoluyla yollayin. Ornegin bir webmail servisi mi kuruyorsunuz? Mutlaka en azindan login kismini SSL ile koruyun. phpMyAdmin mi kullaniyorsunuz? SQL Sunucunuzun guvenligi icin bence SSL arkasinda tutun. Dagitimlarin cogu zaten kurulu ssl sertifikalari ile geliyordur. Eger gelmeyen birisiyle ugrasiyorsaniz kendi sertifikanizi yaratin. Onemli olan o sertifika vasitasiyla iki nokta arasinda sifreleme yapabilmeniz.
Daha fazla bilgi icin bazi adresler:
http://httpd.apache.org/docs/misc/security_tips.html http://www.apacheweek.com/security/
http://www.modsecurity.org/

Görüşler

0
Ansugo
Aslinda guvenlikten ziyade daha performansi artiran seylerden bahsedilmis.

Kisa ve ozdu. Begenerek okudum.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

10 Yıllık Prolog Programlama Yarışması Arşivi

FZ

1994, 1995, 1996, 1997, 1998, 1999, 2001, 2002, 2003 ve 2004 yıllarında dünyanın çeşitli yerlerindeki konferanslarda düzenlenmiş Prolog kodlama yarışmalarının soruları ve güzel çözümleri bu kitapta toplandı.

Kitap PDF olarak ücretsiz şekilde kamuya sunulmuş durumda.

Xmame : Birkaç Romalı Dövelim Mi?

darkhunter

Xmame, zamanında Atari salonlarında harçlıklarımızı tükettiğimiz oyunları GNU/Linux'a taşıyan bir emülatör. Emülatörler ve Emülasyon hakında daha fazla bilgi almak için buraya bakabilirsiniz. Bu klavuz xmame'in Debian GNU/Linux altında kurulumunu ve çalıştırılmasını anlatmaktadır. Ek olarak günün stresini Romalı döverek atmak isteyenlere yol göstermektedir. ;-)

Kitap Eleştirisi: Adım Adım LaTeX

FZ

Biz bilgisayarcılar için genellikle pek kaynak sıkıntısı yoktur, hemen hemen her türlü konuda diğer bilgisayarcılardan, USENET'ten, Google'dan, vs. kolayca bilgi edinebilir ve bunları pratik olarak uygulayabiliriz. Bununla birlikte bir konuya yeni başlayan birine derli toplu, sistematik olarak konuyu anlatan bir kitabın değeri ve pedagojik önemi tartışılmaz.

Adım Adım LATEX isimli kitap da yukarıdaki sebeplerden ötürü LaTeX konusunda önemli bir boşluğu dolduran belki de ilk ve tek Türkçe kaynak. Prof. Dr. Abdugafur Rahimov ve Orhan Kesemen tarafından yazılmış ve 2004 yılında kitabevlerinde satışa sunulmuş Adım Adım LaTeX kitabı, LaTeX isimli kaliteli belge oluşturma sistemine dair gerekli hemen hemen tüm bilgileri içeriyor. Kitabın ve LaTeX'in sadece matematikçilere ya da bilgisayarcılara hitap ettiğini düşünenler varsa, bu önyargılarını şimdiden silmelerinde fayda var. Psikolojiden, felsefeye, işletmeden hukuğa kadar, herhangi bir konuda ödev yazan, makale hazırlaması gereken ya da profesyonel görünümlü bitirme ödevi, yüksek lisans tezi, doktora tezi, kitap vs. yazmak isteyenlere bu kitabı rahatlıkla önerebilirim başucu kaynağı olarak.

Otostopçunun Galaksi Rehberi : Yeniden Raflarda

butch

"Galaksinin haritası bile çıkarılmamış ücra bir köşesinde, gözlerden uzak bir güneşin yörüngesinde, tamamıyla önemsiz küçük bir gezegen döner. Gezegenin maymundan gelen halkı genellikle mutsuzdu. Ağaçlardan inmekle büyük hata yaptıklarını düşünenlerin sayısı gün geçtikçe artıyordu. Bazıları ağaçlara çıkmanın bile yanlış bir hamle olduğunu ve okyanuslardan asla ayrılmamış olmaları gerektiğini söylüyordu. Sonra adamın birinin, sırf değişiklik olsun diye bundan böyle nazik davranmanın ne kadar iyi olacağını dile getirdiği için ağaca çivilenmesinden yaklaşık iki bin yıl sonra, bir perşembe günü, o önemsiz gezegen bir kestirme yol uğruna yok olup gidecekti. Ama bilinmeyen gerçek şuydu ki gezegenin yaratılış amacı yalnızca Nihai Soruya cevap bulmak için yapılan bir deneydi..."

Douglas Adams'ın efsane dizisi Otostopçunun Galaksi Rehberi yeniden raflarda. (Kabalcı Yayınevi)

PostgreSQL ile Programlama Kitabı Projesi

tongucyumruk

PostgreSQL'in bir veritabanı sunucusu olarak performansı bilinen bir gerçek. Buna karşılık veritabanı kullanan uygulamalar alanında MySQL çok daha yüksek bir kullanım oranına sahip. Bunun bir sebebi de PostgreSQL hakkında, özellikle Türkçe, belge eksikliği. LKD e-posta listelerinin PostgreSQL düşkünlerinden Volkan Yazıcı yeni bir proje ile bu eksiği kapatmaya niyetlenmiş durumda.