Diğer uygulamaların 80 ve 443 numaralı bağlantı noktalarına bağlanmasını önleme

Geçen hafta korkmuş bir müşteriden telefon aldım çünkü web sitesinin saldırıya uğradığını düşündü. Web sitesine baktığımda apache2varsayılan sayfayı gördüm . O gece sunucum ( Ubuntu 16.04 LTS) yükseltilmiş ve yeniden başlatılmıştı. Normalde bir şeyler ters gittiğinde gece boyunca uyarılırdım. Bu kez değil, çünkü izleme sistemi HTTP durum kodu 200'ü kontrol eder ve apache2varsayılan sayfa 200 durum kodu ile birlikte gelir.

Olan şey, başlangıç ​​sırasında apache280 ve 443 numaralı bağlantı noktalarına bağlanmak için gerçek web sunucusu nginx'imden daha hızlı olmasıdır. Apache2'yi kendim kurmadım. Aracılığıyla aptitude why apache2php7.0 paketinin gerektirdiğini öğrendim.

apache2Görünüşe göre php7.0 gerektirdiği için kaldırma işlemi işe yaramaz. 80 ve 443 numaralı bağlantı noktasına yalnızca nginx'in bağlanmasına izin vermek için bir şekilde bir kısıtlama oluşturmak mümkün mü?

Diğer çözümler de memnuniyetle karşılanmaktadır.

Bir bağlantı noktasının yanlış hizmet tarafından bağlanmasını engelleyemezsiniz. Sizin durumunuzda, apache'yi otomatik başlatmadan kaldırın ve iyi olmalısınız.

16.04 ve daha yeni sürümler için:

sudo systemctl disable apache2

Eski Ubuntu sürümleri için:

sudo update-rc.d apache2 disable

Gerçekten kullanmıyorsanız apache2ve bunu gerektiren PHP 7.0 ise, libapache2-mod-php7.0yüklediğiniz gibi görünüyor . Bu paket Apache olmadan işe yaramaz. Nginx kullandığınızdan, muhtemelen bağımlılık gereksinimlerinizi karşılamak için yeterli olan php7.0-fpmveya php7.0-cgiyüklediğiniz php7.0:

$ apt-cache depends php7.0
php7.0
 |Depends: php7.0-fpm
 |Depends: libapache2-mod-php7.0
  Depends: php7.0-cgi
  Depends: php7.0-common
  Conflicts: <php5>

Yüklü sistemlerden herhangi birine php7.0-{fpm,cgi}sahipseniz, devam edip Apache'yi kaldırabilirsiniz.

Sorunuzu cevaplamak için, bir bağlantı noktasını SElinux kullanarak belirli bir uygulamayla sınırlayabilirsiniz. Kendim kullanmadım ve yetenekleri hakkında sadece yüzeysel bilgiye sahibim, ama işte bu sitede bulduğum bir işaretçi:

/server//a/257056/392230

Bu yanıtta wzzrd, belirli bir uygulamaya (foo) belirli bir bağlantı noktasına bağlanmak için nasıl izin verileceğini gösteriyor (803). Yalnızca ayarladığınız bağlantı noktalarına (80 ve 443) yalnızca uygulamanıza (nginx) izin verilecek şekilde ilke ayarlamanız gerekir.

Kendimi wzzrd'ın cevabına dayandırmak, bunu politikaya eklemek kadar basit olabilir

allow nginx_t nginx_port_t:tcp_socket name_bind;

ve bunu çalıştırıyorum

semanage port -a -t nginx_port_t -p tcp 80
semanage port -a -t nginx_port_t -p tcp 443

Yine de, politikada başka hiçbir programın bu bağlantı noktalarına bağlanamayacağını belirten bir satıra ihtiyacınız olacağını hayal ediyorum.

Sonunda, sadece uygun yapılandırmanın ne olduğunu tahmin ediyorum.

Her neyse, varsayılan olarak SElinux yüklü ve etkinleştirilmiş bir Ubuntu olduğunu sanmıyorum. Çeşitli yardımcı programlara ve bir çekirdek seçeneğine belirli yamaların uygulanmasını gerektirdiğine inanıyorum, SElinux'un yüklü ve etkinleştirilmiş halde kullanılmasını sağlayan Centos'u kullanmak daha kolay olabilir.

Üzgünüm, daha fazla yardım etmem. Belki başka bir zaman, Centos'un bir görüntüsünü indireceğim ve bunu deneyeceğim; iyi bir öğrenme adımı olacak. Eğer yaparsam bu cevabı güncelleyeceğim.

Henüz cevaplarda görmediğim bir şey, ama yine de bir olasılık:

Her durumda, başka bir bağlantı noktasını dinlemek için Apache yapılandırmasını değiştirin. Bunu, Apache yapılandırma dosyasını açıp Listen 80başka bir bağlantı noktasına sahip olan satırları değiştirerek yapabilirsiniz .

Tam sorunuza bir cevabım yok, ama belki dağıtımınıza bakmanız gerekiyor. Yüklemedeki hizmetlerin (burada apache2) güvensiz olmasını sağlayan herhangi bir dağıtımı düşünürüm. Bunu yapmayan bir dağıtımı düşünün. Archlinux'da bu davranışı daha önce gördüğümü söyleyemem, eminim başkaları da var.