Jak bezpečněji na multihosting a zabránit rozšíření případné infiltrace | Buchtič blog o IT a PC Buchtič blog

... je jedním z nejnavštěvovanějších tuzemských blogů zabývajících se IT a češtinami do programů a her. Pokud máte problém nejen
s počítačem pravděpodobně u mě naleznete řešení, případně si o něj napište. Zajímám se rovněž o herní průmysl a internet věcí - každý produkt pořádně prověřím. Přiblížíme si tvorbu webových prezentací a budeme cestovat po světě skrz Google Earth. »

 

Pokud na jednom serveru provozujete více webových služeb, možná jste si někdy položili otázku: „co se stane, pokud jednu službu napadne malware?“ Odpověď je prostá, běží-li všechny webové stránky pod jedním uživatelem (v našem případě Apache), malware se může rozšířit po celém serveru. Protože web A nepotřebuje přistupovat k souborům webu B a opačně, dnes si ukážeme, jak vytvořit pro každou složku ve /var/www unikátního uživatele.

Nejprve v operačním systému vytvoříme uživatele:
useradd -m username
Následně uživateli odebereme heslo. Tím zajistíme, že se nebude schopen přihlásit.
passwd -d username
Přiřadíme jej do skupiny apache:
usermod -aG apache username
Změníme uživateli domovskou složku na tu, v níž se nacházejí soubory dané služby
usermod -d /var/www/userdir -m username
Změníme oprávnění souborů v domovské složce uživatele:
chown -R username:apache /var/www/userdir

Zda jsme uživatele úspěšně přidali do skupiny a změnili homedir můžeme ověřit pomocí níže uvedených příkazů:
grep apache /etc/group
grep username /etc/passwd

Ve složce /etc/httpd/conf.modules.d/ si otevřeme soubor 00-mpm-itk.conf a odkomentováním povolíme načtení modulu mpm_itk_module.

Následně přejdeme do složky /etc/httpd/sites-enabled a do virtualhostu dané webové služby přidáme
<IfModule mpm_itk_module>
AssignUserId username apache
</IfModule>

Na závěr restartujeme službu Apache příkazem:
systemctl reload httpd

Martin Buchta | Kategorie: Nezařazené

← Líbil se vám článek? Podělte se o něj s přáteli!