Безопасная настройка виртуального хостинга Debian + Apache2 + vsftpd

    1. Постановка задачи


    Дано
    Debian-сервер «из коробки» (установлен из дистрибутива)

    Задача
    Организовать работу нескольких проектов на сервере, чтобы люди, которые ими занимаются, не имели доступа к соседним проектам:
    • Ограничить возможность обзора файловой системы определенной папкой для пользователя проекта.
    • Ограничить возможность запуска бинарников пользователями
    • Ограничить возможность открытия портов на сервере (нужно как-то по другому сформулировать)
    • Автоматизировать добавление пользователя в систему: создание папки, конфига apache, пользователей mysql или postgres


    2. Решение


    • 2.0 Обновление системы
    • 2.1 SSH
    • 2.2 Файловая система
    • 2.3 Apache
    • 2.3.1 Права пользователей [apache2-mpm-itk ]
    • 2.3.2 Отдельные tmp для каждого сайта
    • 2.3.3 Sendmail
    • 2.4 FTP
    • 2.5 MySQL + Postgres
    • 2.6 Firewall
    • 2.7 chroot
    • 2.8 Автоматизация


    2.0 Обновляемся


    Ставим свежие версии пакетов. Вот мой список репозиториев:

    # file: /etc/apt/sources.list
    # Yandex
    deb http://mirror.yandex.ru/debian/ lenny main 
    deb http://mirror.yandex.ru/debian/ lenny contrib non-free 
    deb-src http://mirror.yandex.ru/debian/ lenny main 
    deb-src http://mirror.yandex.ru/debian/ lenny contrib non-free 
    # Security fix 
    deb http://security.debian.org/ lenny/updates main 
    deb http://security.debian.org/ lenny/updates contrib non-free 
    deb-src http://security.debian.org/ lenny/updates main 
    deb-src http://security.debian.org/ lenny/updates contrib non-free 
    


    debian:~# apt-get update
    debian:~# apt-get dist-upgrade


    2.1 Генерируем ключи для SSH


    Дабы исключить возможность перехвата парольной фразы, мы сгенерируем rsa ключи для входа на сервер.

    neoveneficus@book:~$ ssh-keygen
    Generating public/private rsa key pair.
    Enter file in which to save the key (/home/neoveneficus/.ssh/id_rsa): 
    /home/neoveneficus/.ssh/id_rsa already exists.
    Overwrite (y/n)? y
    Enter passphrase (empty for no passphrase): 
    Enter same passphrase again: 
    Your identification has been saved in /home/neoveneficus/.ssh/id_rsa.
    Your public key has been saved in /home/neoveneficus/.ssh/id_rsa.pub.
    The key fingerprint is:
    cb:07:dd:67:21:37:ab:93:e1:60:40:ce:0e:b8:b8:e3 neoveneficus@book
    The key's randomart image is:
    +--[ RSA 2048]----+
    |    .            |
    | . +             |
    |. . +     . +    |
    |.. o .   . + +   |
    |+   . o S . o o  |
    |.o   . + = . o   |
    |.E    . * o      |
    |       . o       |
    |        .        |
    +-----------------+


    Обратите внимание — ключи генерируются на Вашей рабочей машине, а затем публичный ключ заливается на сервер:

    neoveneficus@book:~/.ssh$ scp ~/.ssh/id_rsa.pub root@217.212.252.146:.ssh/authorized_keys
    neoveneficus@book:~/.ssh$ cat ~/.ssh/id_rsa.pub | ssh root@217.212.252.146 "cat > ~/.ssh/authorized_keys; chmod 600 ~/.ssh/authorized_keys"


    Теперь мы сможем заходить на сервер — по ключу, с паролем или без — в зависимости от Ваших настроек. Хочется подчеркнуть, что если Вы сгенерировали ключи без пароля, то уровень безопасности сервера эквивалентен уровню безопасности Вашего секретного ключа на Вашей машине. Будьте внимательны и берегите ключ.

    2.2 Файловая система. Права пользователей.


    Поговорим про файловую систему. Я предлагаю выделить для наших сайтов отдельную папку в корне файловой системы.

    debian:~# cd / 
    debian:/# mkdir -m 755 web


    Домашние папки наших пользователей будут такого вида:
    • /web/site1
    • /web/site2

    Создаем пользователей и расставляем права:

    debian:~# useradd site1 -b /web/ -m -U -s /bin/false
    debian:~# passwd site1
    debian:~# chmod 754 /web/site1
    debian:~# mkdir -p -m 754 /web/site1/public_html/www
    debian:~# mkdir -p -m 777 /web/site1/tmp
    debian:~# chmod +t /web/site1/tmp
    debian:~# chown -R site1:site1 /web/site1/


    Пользователь site1 будет иметь домашнюю папку /web/site1. Ключ -m означает, что папка будет создана автоматически. -U — так же будет создана одноименная группа, куда пользователь будет помещен. Пользователь не будет иметь шелла. Все, что будет доступно из веба — будет находится в папке public_html. Если когда-нибудь захочется иметь поддомены — разместим их в папках рядом с www.

    2.3 Apache


    2.3.1 Права пользователей. Модификация Apache [apache2-mpm-itk]


    Как нам известно, по умолчанию web-сервер apache работает от одного пользователя для всех сайтов, находящихся на сервере. А это означает, что, воспользовавшись web-шеллом, можно прочитать файлы соседних проектов.

    Для исправления этого недоразумения нам понадобится установить модифицированную версию аpache. Пакет называется apache2-mpm-itk. Установив пакет, мы получим возможность в конфигах файла указывать, от какого пользователя и группы должен работать apache при обработке сайта.

    debian:~# apt-get install apache2-mpm-itk


    Пользователь и группа задается строкой в конфиге:

    AssignUserId site1 site1


    В тоже время мы хотим, чтобы, используя web-шелл, нельзя было править файлы нашего проекта, кроме тех, на которыx стоят права o+w.

    drwxr-xr-- 2 site1 site1 4096 Мар  5 10:17 .
    drwxr-xr-x 3 site1 site1 4096 Мар  5 10:14 ..
    -rwxr-x--- 1 site1 site1    0 Мар  5 10:14 index.php
    -rwxrw---- 1 site1 site1    0 Мар  5 10:17 tmp.txt


    Для этого в нашем конфиге мы будем писать:

    AssignUserId www-data site1


    Таким образом apache сможет прочитать index.php, выполнить и отдать в браузер, но не сможет изменить его. А tmp.txt изменить сможет.
    Важный момент — нужно запретить консоль у пользователя www-data

    debian:~# usermod -s /bin/false www-data


    2.3.2 Отдельный tmp для каждого сайта

    Предотвращаем инклуд сессий с соседнего сайта. + Запрещаем php выходить выше пользовательской домашней дирректории.

    В конфиг нашего сайта нужно добавить диррективы open_basedir, upload_tmp_dir, session.save_path

    Получаем такой минималистичный конфиг:

    # file: /etc/apache2/sites-available/site1
    <VirtualHost *:80>
            DocumentRoot "/web/site1/public_html/www/"
            ServerName "test1"
            ErrorLog /web/site1/error_log
            CustomLog /web/site1/access_log combined
            AssignUserId www-data site1
    
            php_admin_value open_basedir "/web/site1/:."
            php_admin_value upload_tmp_dir "/web/site1/tmp"
            php_admin_value session.save_path "/web/site1/tmp"
    </VirtualHost>


    После создания конфига нужно сделать сайт активным с помощью команды:

    debian:~# a2ensite site1


    А затем перечитать конфиги:

    debian:~# /etc/init.d/apache2 reload


    2.3.3 Sendmail

    Почему я вынес Sendmail отдельным пунктом? Потому что по умолчанию он не работал. Пришлось повозится. Я расскажу самый простой способ. Чтобы php умел отправлять письма, проделываем следующие операции.

    # file: /etc/php5/apacge2/php.ini [раскомментируем и изменим строку]
    ++ sendmail_path = /usr/sbin/exim4 -t


    Для конфигурации Exim4 (по умолчанию в качестве Mail Transfer Agent используется именно он) существует пакет exim4-config. Воспользоваться им можно так:

    debian:~# dpkg-reconfigure exim4-config


    После этого вам начнут задавать вопросы. На первый (Общий тип почтовой конфигурации) отвечаем:
    • интернет-сайт; прием и отправка почты напрямую, используя SMTP

    А далее жмем Enter до конца настройки. Теперь все должно работать.

    2.4 vsftpd


    Теперь разберемся с FTP. Для работы был выбран vsftpd.

    debian:~# apt-get install vsftpd


    Далее меняем конфиг:

    # file:/etc/vsftpd.conf
    listen=YES
    # Запрещаем анонимный доступ
    anonymous_enable=NO
    # Открываем локальным пользователям доступ к домашним директориям по FTP
    local_enable=YES
    # Разрешаем команды на запись
    write_enable=YES
    
    dirmessage_enable=YES
    xferlog_enable=YES
    connect_from_port_20=YES
    ascii_upload_enable=YES
    ascii_download_enable=YES
    ftpd_banner=Welcome to our FTP service.
    
    # "Запираем" пользователей в домашних папках
    chroot_local_user=YES
    secure_chroot_dir=/var/run/vsftpd
    
    pam_service_name=vsftpd
    rsa_cert_file=/etc/ssl/certs/vsftpd.pem


    Говорим демону vsftpd перечитать конфиги:

    debian:~# /etc/init.d/vsftpd reload


    2.5 MySQL + PostgreSQL


    Ставим MySQL

    debian:~# apt-get install mysql-server phpmyadmin


    Создаем нового пользователя.

    debian:~# echo "CREATE USER 'site1'@'localhost' IDENTIFIED BY 'Пароль_для_пользователя_site1'; GRANT USAGE ON * . * TO 'site1'@'localhost' IDENTIFIED BY 'Пароль_для_пользователя_site1' WITH MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0; CREATE DATABASE IF NOT EXISTS site1 DEFAULT CHARACTER SET utf8 COLLATE utf8_unicode_ci; ; GRANT ALL PRIVILEGES ON site1 . * TO 'site1'@'localhost';" | mysql --user=root --password=Пароль_mysqlroot mysql


    Ставим Postgres

    debian:~# apt-get install postgressql phppgadmin


    Меняем пароль на пользователя postgres:

    debian:~# echo "\password" | sudo -u postgres psql
    Enter new password: Новый_пароль_postgres 
    Enter it again: Новый_пароль_postgres


    После установки рутового пароля для пользователя postgres нам мнужно поправить конфиг. По умолчанию любой локальный пользователь может запустить psql с правами суперпользователя без ввода пароля. Исправляем.

    #file /etc/postgresql/8.3/main/pg_hba.conf
    -- local all postgres ident sameuser
    -- local all all ident sameuser
    ++ local all postgres md5
    ++ local all postgres md5
    


    В /etc/phppgadmin/apache.conf открываем доступ извне.

    order deny,allow deny from all allow from 127.0.0.0/255.0.0.0 ::1/128 # allow from all


    Меняем на:

    order deny,allow
    deny from all
    allow from 127.0.0.0/255.0.0.0 ::1/128
    # allow from all


    Говорим apache перечитать конфиги:

    debian:~# /etc/init.d/apache2 reload


    У постгрес есть один нюанс. Юзеры всегда видят названия соседних БД. Чтобы они не мозолили глаз нашим пользователям в phppgadmin, правим конфиг:

    # file:/etc/phppgadmin/config.inc.php
    -- $conf['owned_only'] = false; ++ $conf['owned_only'] = true;


    Пользователи создаются такой командой:

    debian:~# echo "CREATE USER site1 WITH PASSWORD 'Пароль_для_пользователя_site1' NOCREATEDB NOINHERIT NOCREATEUSER ; CREATE DATABASE site1 owner site1;" | sudo -u postgres psql


    2.6 Firewall


    В нашем случае цели просты — запретить злоумышленнику открывать порты. Поэтому решение будет простым — мы не будем вдаваться в нюансы правил iptables, а воспользуемся пакетом arno-iptables-firewall, который упростит нам жизнь. Он сам спросит нас, что мы хотим во время установки. Ответы на вопросы ниже.

    debian:~# apt-get install arno-iptables-firewall
    
        * Do you want to manage the firewall setup with debconf? : Да
        * External network interfaces: eth0
        * Open external TCP-portrs: 21 22 53 80 443 3128 5432 5001 5900 6881:6889
        * Open external UDP-portrs: 53 3130 5001 6881:6889
        * Internal network interfaces: <в нашем случае оставляем пустым>
        * Соглашаемся на перезагрузку firewall'а.


    2.7 Запуск Apache2 в chroot среде [посредством libapache2-mod-chroot]


    Что такое chroot'инг? Это создание специальной среды (песочницы), изолированной от окружения. Скажем, процесс apache не должен иметь доступа к папкам home. В тоже время в изолированную среду нужно брать все, что нужно для работы. Самый простой способ — это воспользоваться libapache2-mod-chroot.

    debian:~# apt-get install libapache2-mod-chroot debian:~# a2enmod mod_chroot
    debian:~# /etc/init.d/apache2 restart


    Chroot'инг — это интересная тема с кучей своих проблем, связанных с тем, что помимо apache обычно требуется куча дополнительных программ, библиотек и средств для работы. Поэтому я не буду делать статью в статье, и отправлю Вас на отличный материал по этой теме. Используйте программу ldd и берите с собой в изолированное окружение все, что нужно именно Вам.

    sudouser.com/zapusk-web-servera-apache2-v-srede-chroot-v-debian-i-ubuntu.html

    2.8 Автоматизация добавления новых пользователей


    Начал писать скрипт и понял, что монстр, который может все, будет использовать неудобно. В статье все команды писались так, чтобы их потом просто было засунуть в sh скрипт. Поэтому я думаю, что каждый пользователь за несколько минут легко состряпает сценарий, необходимый и удобный именно ему.

    Постскриптум


    Буду рад замечаниям. Особенно интересны мысли по поводу chroot. Кто знает простые рецепты?
    • +22
    • 29,2k
    • 8
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 8

      +2
      Спасибо, вроде все это в манах есть, но очень удобно прочитать это одной цельной статьей с самым необходимым.
        0
        Писалось изначально для себя и лишь потом переросло в статью, благодаря которой и попал на Хабр. Очень удобно настраивать нулевый сервер по такого рода инструкции.
        +1
        Вы забыли про пассивный режим в ftp.
        Лучше всего указать конкретно порты для пассивного соединения, напимер:

        pasv_min_port=49000
        pasv_max_port=49039

        И открыть из на файрволе.
        Иначе FTP будет работать только в активном режиме, что ни есть true.
        В остальном хорошо изложено.
          +3
          довольно добротно написано.
          Но вот отступления от стандартов на иерархию ФС — нехорошо. Вместо
          /web/site1
          правильнее помещать сайты в /var/www, либо в /srv/www
          Это не аксиома, конечно, но придерживаться стандартов — всегда хорошо.
          • НЛО прилетело и опубликовало эту надпись здесь
            0
            Очень хорошо изложено. Добавил в закладки.
            Как небольшое пожелание — было бы не плохо прикруть ещё и веб морду для всего этого.
            • НЛО прилетело и опубликовало эту надпись здесь
              0
              огромное спасибо. статья понравилась, т.к. для корпоративных целей собирался целый сервак арендовать и администрировать под сотню сайтов… и не хотелось админ панельку использовать =)

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое