Apache güvenliği

0
conan
Bu yazıda Apache'nin dağıtımla gelen halinden daha güvenli bir şekilde çalışabilmesi için yapmanızı tavsiye edeceğim bazı değişiklerlerden bahsedeceğim. Bu tavsiyelerden birçoğu ayar dosyalarıyla ilgili olacağından dolayı Apache httpd.conf dosyası hakkında bilgi edinmiş olmanızı öneririm.
Dağıtımlarla gelen Apache kurulumları çoğu zaman kullanıcıya rahatlık sunması açısından oldukça esnek yapılandırılırlar. Bu ayarlar basit kullanımlar için oldukça yararlıdır fakat güvenliğin on planda olduğu sunucularda gereğinden fazla esnektirler. Bu yüzden ayarlarınızı gözden geçirmenizde fayda var. Bu anlatacağım senaryoları şirketinizin aynası ya da belki de ürünü olacak web sunucularında yaptığınızı gözönünde bulundurmayı unutmayın. Örneğin kullanıcı homepage'lerini silin dediğimde, "aaa olur mu öyle sey!" gibi yorumlar duymak istemiyorum :)

Örneklerin çoğu RedHat baz alınarak verilmiştir.

  1. Kurulum: Makinaniza dagitimla gelen apache'yi kurmaniz ve bu sekilde birakmaniz demek guvenlik acisindan intihar demektir. Derhal apache'nin son surumunu (ister dagitimin guncelleme kanalindan, ister programin kendisini derleyerek) kurun.
  2. Modüller Genelde dagitimla gelen apache Dynamic Shared Object (DSO) ozelligi ile derlenmistir. DSO bize plugin seklinde eklentileri, apache'yle yeniden derlemeye gerek birakmadan kullanmamizi saglar. Dagitimla gelen modullerin bir coguna ihtiyaciniz yoktur. Asagidaki listeden gercektek ihtiyaciniz olmayanlari httpd.conf dosyasindan silin. mod_dav Distributed Authoring and Version
    mod_autoindex Dizinlerin icini otomatik olarak gosterir.
    mod_include Eger sayfalarinizda sunucu tarafindan include'lar yapmıyorsaniz silin.
    mod_info Sunucunun ayarlarini gosterir.
    mod_status Sunucunun durumunu gosterir.
    mod_userdir Kullanici Home dizinleri.
    Tavsiyem ayar dosyasindaki buna benzer mod_* satirlarini inceleyin ve minimum modül aktive edin. Modul referansi icin http://modules.apache.org/ adresine bakin.
  3. Kullanıcı dizini? O da ne? SİLİN! :)

    UserDir disable

    satırını httpd.conf dosyasina ekleyin. Daha da paranoyak olmak istiyorsanız

    LoadModule userdir_module modules/mod_userdir.so

    satırını silin ya da comment out edin.
  4. Dizin izinleri:
    Web sunucunuzun kök dizinin izin ayarlarını biraz daha sıkılaştırın.
    Örneğin
    Aşağıdaki ayar yerine:
    <Directory />
      Options FollowSymLinks
      AllowOverride None
    </Directory>
    
    bu ayarları deneyin:
    <Directory />
      Options None
      AllowOverride None
      Order allow,deny
      Deny from all
    </Directory>
    
  5. Sunucu bilgi gizleme.
    Bir web sunucu korsaninin saldiri icin yapacagi ilk adim belki de sunucu hakkinda bilgi toplamaktir. Bu nedenle sunucumuzun verdigi bilgiyi minimumda tutmamiz ilk korunma duvarimiz olacaktir. httpd.conf dosyasi icinde:

    ServerSignature off

    yazarsak sunucunun dinamik olarak yarattigi signature/imza satirindan kurtulmus oluruz (Ornegin 404 sayfalarinda)

    Bununla beraber apache HTTP basliginda da bilgi saklar ve gosterir.

    ServerTokens Prod

    satiri bu bilgiyi minimuma indirger. Bazi sunucu sayfalarinda ise sistemin yoneticisinin email adresi gosterilir. (Spamciler icin ideal! :)

    ServerAdmin root@localhost

    satırı bu emaili de saf dışı birakir.
  6. cgi-bin dizinin yok et:
    Eger web sunucunuz CGI calistirmayacaksa derhal gerekli ayarlari yokedin! :) (PHP degil, cgi...) Su satirlari silin ya da comment out edin.
     LoadModule cgi_module modules/mod_cgi.so
     LoadModule env_module modules/mod_env.so
     AddModule mod_cgi.c
     AddModule mod_env.c
     ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"
     <Directory "/var/www/cgi-bin">
        AllowOverride None
        Options None
        Order allow,deny
        Allow from all
     </Directory>
    
  7. Web dizinlerinin sistem izinleri.
    Sistem icinde webe acik dizinlerin ve dosyalarin hicbirisine web serverin calistigi kullaniciya ve guruba (apache, nobody gibi) yazma hakkinin verilmemesi lazimdir. Bu duruma uymayan dizin ve dosyalari bulmak/gormek icin su asagidaki komutlari kullanabilirsiniz. [root@webserver]# find /var/www/html -user apache -perm +202 -exec ls -ld {} ; [root@webserver]# find /var/www/html -group apache -perm +202 -exec ls -ld {} ;
  8. SSL
    Son olarak. Mutlaka gizli bilgilerinizi SSL yoluyla yollayin. Ornegin bir webmail servisi mi kuruyorsunuz? Mutlaka en azindan login kismini SSL ile koruyun. phpMyAdmin mi kullaniyorsunuz? SQL Sunucunuzun guvenligi icin bence SSL arkasinda tutun. Dagitimlarin cogu zaten kurulu ssl sertifikalari ile geliyordur. Eger gelmeyen birisiyle ugrasiyorsaniz kendi sertifikanizi yaratin. Onemli olan o sertifika vasitasiyla iki nokta arasinda sifreleme yapabilmeniz.
Daha fazla bilgi icin bazi adresler:
http://httpd.apache.org/docs/misc/security_tips.html http://www.apacheweek.com/security/
http://www.modsecurity.org/

Görüşler

0
Ansugo
Aslinda guvenlikten ziyade daha performansi artiran seylerden bahsedilmis.

Kisa ve ozdu. Begenerek okudum.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Matrix ve Felsefe

FZ

Sizin de kafanız Keanu Revees gibi Matrix'ten sonra karıştıysa bu kitap kesinlikle sizin için yazılmış. Eğer film kafanızı karıştırmadıysa, hemen bir doktora görünün. Matrix'i henüz seyretmediyseniz, o zaman bu kitabı mutlaka okumalısınız. Böylece bu filmin insanlar için neden o kadar önemli olduğunu bulursunuz.

Açık Akademi'den qmail kitabı!

anonim

FreeBSD İşletim Sistemi kitabı ile yayın hayatına başlayan Açık Akademi Yayınevi, ikinci kitabı "qmail, E-Posta Sunucusu" nu çıkardı. qmail e-posta sunucusu hakkında başlangıçtan ileri düzeye hemen her konunun yer aldığı kitap, EnderUNIX Yazılım Geliştirme Grubu üyeleri İsmail Yenigül, Barış Şimşek ve Huzeyfe Önal tarafından kaleme alınmıştır. qmail hakkında tek türkçe kaynak olan kitap 25 YTL'den satışa sunulmuştur.

http://www.acikakademi.com

Emacs ile Oracle Sql*Plus ve sql-mode

zekzekus

İş yerinde yoğun olarak Oracle veritabanı ile çalışıyorum. Sorun tespit etmek için sorgular yazıyorum, PL/SQL ifadeleri çalıştırıyorum. Bu işlemleri en rahat yaptığım araç Oracle tarafından sağlanan Sql*Plus. Rahat dediğime bakmayın sade ve son derece hafif olan bu istemcinin insanı deli eden “özellikleri” var. En basitinden yazdığınız uzun bir SQL cümlesinin başında küçük bir hata yaptıysanız, imleci geri götüremiyorsunuz (henüz enter tuşuna basmamış olsanız da). Daha önce yazdığınız komutları listeleyen ve çabuk bir şekilde kullanmanıza olanak veren bir tarihçe (history) özelliği de yok. Emacs editörü (editör demek bir nevi haksızlık oluyor artık) her zaman olduğu gibi bu konuda da devreye giriyor.

Emacs ve sql-mode ile ilgili bilgi veren yazının devamı burada...

KNOPPIX ile disk kurtarma

yalcink01

Evdeki sistem yine çöktü. Garibimi bu sefer tekrar kurmak yerine, kurtaralım bari dedik. Knoppix'in bu konudaki maharetinden bahsedilip duruluyor. Ben de evdeki emektar Knoppix Cd si ile sistemi kurtarmaya karar verdim. İyi bir kılavuz bulup önce dersimizi çalıştık. Çalışırken yazmak gibi bir huyum olduğu için arada çevirmişte olduk. Benim işime yaramadı /* çünkü Knoppix CDim çalışmıyor. Garibim perişan olmuş yüzü gözü çizik içinde*/ belki birinin işine yarar. KNOPPIX İLE SİSTEM KURTARMA

Saygılarımla,
Yalçın KOLUKISA
NOT: Çeviride oldukça fazla imla hatası olma ihtimali mevcut. Henüz kontrol yapmaya fırsatım olmadı. Yazım ve imla hatalarını bildirirseniz sevinirim. Hafta sonu gerekli düzenlemeleri yapmak niyetindeyim.

Dil Üstadları ile Araç Ustaları: IDE Ayrımı

FZ

Geliştirici dünyası iki kampa ayrılmıştır. Bir kampta dil üstadları vardır, bu yazılımcılar yüksek seviyeli programlamadan -- birinci-sınıf fonksiyonlar, aşamalı programlama, AOP, MOP, kendi kendini sorgulama -- bahsederler. Araç ustaları ise tümleşik geliştirme ve hata ayıklama araçlarında ustadırlar, kod tamamlama, "refactoring", vs. Dil üstadları Emacs ya da VIM kullanır, bu tür editörler yeni dilleri denemek için daha uygundur. Araç ustaları ise Visual Studio, Eclipse, IntelliJ gibi IDE'leri kullanırlar.

Laszlo ve Groovy gibi yeni diller ya da AOP (Aspect Oriented Programming) gibi dil uzantıları genellikle öncelikli olarak metin-editörü tabanlı yazılım geliştirme ortamlarında ortaya çıkarlar ve ancak ondan bir süre sonra IDE dünyası bu tür desteklere kavuşur. Eğer dil ya da uzantı gerçekten başarılı ise araçlar da bunu desteklemeye başlar. Bu ayrımın tek sebebi araç geliştirmenin dil geliştirmekten zor olması değildir. Asıl mesele bir dile hakim olmak ile bir araç setine hakim olmanın çok farklı iki mantalite olmasıdır, belli bir ölçüye dek bunlar birbirlerini dışlayan alternatiflerdir. Acaba neden? İşte sebepleri...

Oliver Steele'nin The IDE Divide başlıklı makalesini tüm yazılım geliştiricilerin okumasında fayda var. (Not: Şöyle sağlam bir FM üyesi çıksa da bahsi geçen makaleyi Türk diline kazandırsa... hani yani küçük bir olasılık olsa da, belki diyorum, belki biri üstlenir, FM'ye bir katkıda bulunur...)