打造Linux下超级安全的LAMP服务器

欢迎转载，请保留作者信息
包子@郑州大学网络安全园
http://secu.zzu.edu.cn

本文已经投稿到黑客防线03年11期的文章，讲的比较基础详细，有兴趣的朋友榨干了看吧:)

谨以此文献给郑州大学网络中心的领导和老师

并祝各位朋友、老师和同学们在新的一年里，身体健康，工作顺利，学业有成，新年新气象！

编前:本文全面细致的介绍了在Linux下加固apache php mysql的方法，通过仔细阅读本文,你可以快速掌握安全配置apache,php,和mysql的方方面面，还有chroot这个前沿而强悍的技术，依靠这些知识，完全可以让你的WWW服务器在层出不穷的SQL注射(SQL Injection)和CSS跨站脚本攻击(Cross Site Script)中屹立不倒

从动网的几个漏洞到独孤剑客的网站被黑，脚本攻击闹的沸沸扬扬，可见它在网络攻击中终于显现出他的重要性了。由于程序开发人员无意或有意的不小心，用Perl、PHP、ASP等编写的脚本就会出现这样或那样的错误，轻则导致泄露路径，重则导致整个服务器被攻陷甚至蔓延到整个网络。难道我们就非得把所用的脚本读N遍，认真的分析？我相信不是人人都有这等功力的，就算有这样的功力也不会枉费那么多的时间和精力。
你可能会问：“我既想用网上免费的程序，又不想因此受到重创。难道就没有一个两全的办法？”

针对windows主机，我们可以使用IISLockdown,SecureIIS之类的

针对*nix主机给大家提出两个方案，一个就是给apache装上mod-security模块，另外一个办法就是把LAMP放置在一个chroot jail环境中。当然，最强的还是把两个方案结合在一起咯:)
下面，让我们一起来分享这两个方案
前提：我们只需要有普通的linux操作经验，包括vi的使用等

首先，我们先弄清楚几个概念

什么是Debian:一个完全自由的Linux操作系统，他最令我心仪的就是他的apt包管理工具，让你安装或者升级软件无忧！如果你是CERNET用户的话，推荐你到电子科大http://debian.ustc.edu.cn或者我的网站http://secu.zzu.edu.cn升级，CHINANET用户可以在http://mirror.gennkbone.org升级

什么是LAMP:就是Linux Apache MySQL Php的缩写，几乎是最强的架站组合

什么是chroot:是change root的缩写，就是把一个进程守护程序限制在某个特定的root环境中执行，这个被chroot了的程序几乎接近无法访问任何超出了这个root的任何文件或空间，这个root目录（也就是下面我们说到的jail）包含了执行进程守护程序所需要的所有文件，在你正确配置之后，绝大多数的入侵者是不可能跳出jail而接触到外面的文件的。这样我们就可以最大限度的限制入侵者保护自己。

本文主要涉及到的软件

makejail http://www.floc.net/makejail/
是一个自动把建立jail所需要的程序放到jail内的软件，使用python编写,他有debian和openbsd的版本

Zend Performance Suit http://www.zend.com
Zend公司开发的一套给PHP加速的东西，包括一个代码优化器(optimizer)和一个加速器(accelerator)

,还有cache功能,很好使的，有了他，php程序跑起来就跟飞一样！可以申请30天试用版本的，如果你觉得好用的话就买下来吧:)

mod-security http://www.modsecurity.org/
他是apache的一个模块，他有请求过滤，日志审计等功能，可以防止SQL Injection，跨站脚本攻击，很不错的一个模块

OK，动手
我们假设我们手头上有一个装好的debian woody，并且已经正确设置了了apt源

二话不说，先升级到debian sarge,也就是testing版本，我觉得这个版本还是不错的，因为他的软件比较新，而且有security支持，最主要这个版本的软件列表包含makejail这个软件

首先su到root升级系统并安装apache,php,mysql,gd
更新apt源，我在教育网，所以使用中科大的apt源debian.ustc.edu.cn速度很快
[root@debian /]apt-get update (如图update.jpg)
再更新所有软件包
[root@debian /]apt-get dist-upgrade(如图upgrade.jpg)

[root@debian /]apt-get install apache php4 php4-gd2 php4-mysql mysql-server mysql-client
并且把extension=gd.so和extension=mysql.so加到php.ini中
你的系统就已经装上了apache-1.3.27,php-4.1.2,mysql-4.0.13
这样一个基本的LAMP就起来了，简单吧。
再加一个系统用户，这个用户是我们等会chroot要用的
[root@debian /]adduser --home /chroot/apache --shell /dev/null --no-create-home --system --group chrapax

接着我们编辑httpd.conf文件并做一些修改，删除多余的apache模块并激活php模块

[root@debian /]vi /etc/apache/httpd.conf

注释掉除了mod_access,mod_auth,mod_dir,mod_log_config,mod_mime，mod_alias之外的所有模块
去掉注释LoadModule php4_module /usr/lib/apache/1.3/libphp4.so以支持PHP (如图apache_mod.jpg )

设置ServerAdmin fatb@zzu.edu.cn
设置ServerName secu.zzu.edu.cn
把
下面的Options Indexes Includes FollowSymLinks MultiViews的Indexes去掉,这样避免被别人索引目录
把用户和组改成chrapax
User chrapax
Group chrapax
在下面加上index.php如下

DirectoryIndex index.php index.html index.htm index.shtml index.cgi

默认使用中文字符集
AddDefaultCharset gb2312
加出错重定向，这样当出现下面的错误的时候，用户就会被重顶向到到你指定的页面
ErrorDocument 404 http://secu.zzu.edu.cn/index.php
ErrorDocument 402 http://secu.zzu.edu.cn/index.php
ErrorDocument 403 http://secu.zzu.edu.cn/index.php
ErrorDocument 500 http://secu.zzu.edu.cn/index.php
把signature关掉
ServerSignature Off
如果signature打开的话,当有人访问到一个被禁止或者不存在的页面的话，会出现一些错误信息的
这样的信息，不好，去掉他 (如图403.jpg)
如果不需要cgi支持的话，删除
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

AllowOverride None
Options ExecCGI -MultiViews
Order allow,deny
Allow from all

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有