Apache güvenliği

0
Img 5856
conan
27 Kasım 2004 , 3 dakika okuma süresi
Bu yazıda Apache'nin dağıtımla gelen halinden daha güvenli bir şekilde çalışabilmesi için yapmanızı tavsiye edeceğim bazı değişiklerlerden bahsedeceğim. Bu tavsiyelerden birçoğu ayar dosyalarıyla ilgili olacağından dolayı Apache httpd.conf dosyası hakkında bilgi edinmiş olmanızı öneririm.
Dağıtımlarla gelen Apache kurulumları çoğu zaman kullanıcıya rahatlık sunması açısından oldukça esnek yapılandırılırlar. Bu ayarlar basit kullanımlar için oldukça yararlıdır fakat güvenliğin on planda olduğu sunucularda gereğinden fazla esnektirler. Bu yüzden ayarlarınızı gözden geçirmenizde fayda var. Bu anlatacağım senaryoları şirketinizin aynası ya da belki de ürünü olacak web sunucularında yaptığınızı gözönünde bulundurmayı unutmayın. Örneğin kullanıcı homepage'lerini silin dediğimde, "aaa olur mu öyle sey!" gibi yorumlar duymak istemiyorum :)

Örneklerin çoğu RedHat baz alınarak verilmiştir.

  1. Kurulum: Makinaniza dagitimla gelen apache'yi kurmaniz ve bu sekilde birakmaniz demek guvenlik acisindan intihar demektir. Derhal apache'nin son surumunu (ister dagitimin guncelleme kanalindan, ister programin kendisini derleyerek) kurun.
  2. Modüller Genelde dagitimla gelen apache Dynamic Shared Object (DSO) ozelligi ile derlenmistir. DSO bize plugin seklinde eklentileri, apache'yle yeniden derlemeye gerek birakmadan kullanmamizi saglar. Dagitimla gelen modullerin bir coguna ihtiyaciniz yoktur. Asagidaki listeden gercektek ihtiyaciniz olmayanlari httpd.conf dosyasindan silin. mod_dav Distributed Authoring and Version
    mod_autoindex Dizinlerin icini otomatik olarak gosterir.
    mod_include Eger sayfalarinizda sunucu tarafindan include'lar yapmıyorsaniz silin.
    mod_info Sunucunun ayarlarini gosterir.
    mod_status Sunucunun durumunu gosterir.
    mod_userdir Kullanici Home dizinleri.
    Tavsiyem ayar dosyasindaki buna benzer mod_* satirlarini inceleyin ve minimum modül aktive edin. Modul referansi icin http://modules.apache.org/ adresine bakin.
  3. Kullanıcı dizini? O da ne? SİLİN! :)

    UserDir disable

    satırını httpd.conf dosyasina ekleyin. Daha da paranoyak olmak istiyorsanız

    LoadModule userdir_module modules/mod_userdir.so

    satırını silin ya da comment out edin.
  4. Dizin izinleri:
    Web sunucunuzun kök dizinin izin ayarlarını biraz daha sıkılaştırın.
    Örneğin
    Aşağıdaki ayar yerine: 
    <Directory />
  Options FollowSymLinks
  AllowOverride None
</Directory>
    bu ayarları deneyin:
    <Directory />
  Options None
  AllowOverride None
  Order allow,deny
  Deny from all
</Directory>
  5. Sunucu bilgi gizleme.
    Bir web sunucu korsaninin saldiri icin yapacagi ilk adim belki de sunucu hakkinda bilgi toplamaktir. Bu nedenle sunucumuzun verdigi bilgiyi minimumda tutmamiz ilk korunma duvarimiz olacaktir. httpd.conf dosyasi icinde:

    ServerSignature off

    yazarsak sunucunun dinamik olarak yarattigi signature/imza satirindan kurtulmus oluruz (Ornegin 404 sayfalarinda)

    Bununla beraber apache HTTP basliginda da bilgi saklar ve gosterir.

    ServerTokens Prod

    satiri bu bilgiyi minimuma indirger. Bazi sunucu sayfalarinda ise sistemin yoneticisinin email adresi gosterilir. (Spamciler icin ideal! :)

    ServerAdmin root@localhost

    satırı bu emaili de saf dışı birakir.
  6. cgi-bin dizinin yok et:
    Eger web sunucunuz CGI calistirmayacaksa derhal gerekli ayarlari yokedin! :) (PHP degil, cgi...) Su satirlari silin ya da comment out edin. 
     LoadModule cgi_module modules/mod_cgi.so
 LoadModule env_module modules/mod_env.so
 AddModule mod_cgi.c
 AddModule mod_env.c
 ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"
 <Directory "/var/www/cgi-bin">
    AllowOverride None
    Options None
    Order allow,deny
    Allow from all
 </Directory>
  7. Web dizinlerinin sistem izinleri.
    Sistem icinde webe acik dizinlerin ve dosyalarin hicbirisine web serverin calistigi kullaniciya ve guruba (apache, nobody gibi) yazma hakkinin verilmemesi lazimdir. Bu duruma uymayan dizin ve dosyalari bulmak/gormek icin su asagidaki komutlari kullanabilirsiniz. [root@webserver]# find /var/www/html -user apache -perm +202 -exec ls -ld {} ; [root@webserver]# find /var/www/html -group apache -perm +202 -exec ls -ld {} ;
  8. SSL
    Son olarak. Mutlaka gizli bilgilerinizi SSL yoluyla yollayin. Ornegin bir webmail servisi mi kuruyorsunuz? Mutlaka en azindan login kismini SSL ile koruyun. phpMyAdmin mi kullaniyorsunuz? SQL Sunucunuzun guvenligi icin bence SSL arkasinda tutun. Dagitimlarin cogu zaten kurulu ssl sertifikalari ile geliyordur. Eger gelmeyen birisiyle ugrasiyorsaniz kendi sertifikanizi yaratin. Onemli olan o sertifika vasitasiyla iki nokta arasinda sifreleme yapabilmeniz.
Daha fazla bilgi icin bazi adresler:
http://httpd.apache.org/docs/misc/security_tips.html http://www.apacheweek.com/security/
http://www.modsecurity.org/
kitap
1
Linkedin Facebook Twitter Google plus

Görüşler

Ansugo
0
Ansugo
Aslinda guvenlikten ziyade daha performansi artiran seylerden bahsedilmis.

Kisa ve ozdu. Begenerek okudum.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Open Source Development with CVS, 3rd Edition
anonim
18 Şubat 2005, 1 dakika okuma süresi

CVs konusundaki bir soruma yanıt ararken rastladım bu kitaba. Benim gibi CVS ye yeni başlayanlar için herşeyi sıfırdan alarak hayat kurtaran bir kitap. Karl Fogel ve Moshe Bar ın yazdığı bu kitabı CVS kurması yönetmesi veya kullanması gereken herkese tavsiye ederim.

Ah.. En iyi kısmı yazmayı neredeyse unutuyordum. Kitabı bu adresten ücretsiz olarak indirebilirsiniz.

Windows Üzerinde Kaynak Kod Versiyon Kontrol Sistemi ve CVSNT.
ae
6 Haziran 2005, 15 dakika okuma süresi

Özellikle yazılım geliştirme dünyasında iseniz, yazdığınız kodların güvenilir bir şekilde saklanması, versiyonların takip edilmesi, kodun gelişimine katkıda bulunanların ve kodun kontrol altında tutulması ihtiyacınız doğmuştur. Windows ortamında kaynak kod güvenliğini ve versiyonlama takibini yapabilmek için bir kaç alternatifiniz bulunuyor. Özellikle MS ürünleri ile yazılım gerçekleştiriyor iseniz mutlaka karşınıza çıkmış olan Visual Source Safe, açık kod dünyasından RCS , SVN, CVS ve CVSNT Yabancı terimlerin Türkçeye çevrilmesindeki bazı güçlüklerden dolayı açıklamaların başında Türkçe manasını verip metin içinde orjinal kısaltmaları kullanmaya çalışacağım.

Dr. Cem Say´la Yapay Zekâ ve Doğal Dil İşleme Üstüne
FZ
29 Mart 2004, 15 dakika okuma süresi

Boğaziçi Üniversitesi Bilgisayar Mühendisliği öğretim görevlilerinden Dr. Cem Say ile bilgisayar dünyasının popüler ve bir o kadar da zorlu konuları olan yapay zekâ, doğal dil işleme ve kuantum bilgi işlem üzerine söyleştik.

FZ: Hocam, yapay zekânın hangi alanlarında, ne kadar süredir çalışıyorsunuz?

CS: Doktora zamanından beri yapay zekâ (YZ) ile ilgileniyorum. Doktora konum, İngilizcesi "Qualitative Reasoning" olan ve "Nitel Uslamlama" olarak Türkçeye çevirebileceğimiz konu idi, ne olduğunu birazdan açıklayacağım. Demek ki, işte 1980'lerin sonlarından bu yana YZ ile ilgileniyormuşum. Ayrıca yukarıda bahsi geçen konuya ek olarak Doğal Dil İşleme özellikle Türkçe dil işleme ile bir süredir ilgileniyorum. YZ konusunda ilgilendiğim temel iki alan bu ikisi.

Yeni bir E-dergi : pozi+if
boreas
9 Mart 2006, 1 dakika okuma süresi

E-lapis, penguence gibi ücretsiz dergilerin arasına yaklaşık üç ay önce yayına başlayan yeni bir e-dergi pozi+if eklendi. Programlama, özgür yazılımlar gibi konuların yanında donanım ve yazılım testi gibi konularada ağırlık veren bu dergi yaklaşık 200 sayfalık içeriğiyle umut vaad ediyor.

Adres : http://www.pozitifpc.com/

Vpopmail Kullanım Kılavuzu
anonim
19 Ocak 2005, 12 dakika okuma süresi

Vpopmail bir sanal domain ve sanal kullanıcı yonetim aracı olarak yazılmıştır, yazılmasında temel MTA (Mail Transfer Agent)olarak qmail ele alındığı için bu sadece bu MTA ile çalışır. Son zamanlarda postfix ile birlikte de çalışabilmesi için gerekli düzenlemeler yapılmıştır. Postfix ile çalıştırabilmeniz için yine aynı sitede bulunan vpopmail-postfix dökümanına göz atabilirsiniz.