Freebsd: Separare il servizio Apache e www-data (htdocs) con le prigioni, ne vale la pena?

Naviga le tue risposte
4

Vale la pena separare i servizi www-data e apache gli uni dagli altri, nelle carceri?

Al momento ho questa configurazione:

Freebsd 9

1x IP pubblico (le jail sono in IP privati, nat'ed)

2 domini separati, gestiti da 1 persona ciascuno.

  • Jail1: servizio apache
  • Jail2: servizio mysql + file di database

Ho pensato di aggiungere:

  • Jail3: www-data (htdocs) con un mount nullfs in jail 1 (apache), sola lettura. Questa prigione sarà accessibile solo tramite ssh, tramite una porta filtrata.

L'idea è di separare il contenuto disponibile e il servizio pubblico Apache. Se qualcuno è in grado di accedere alla prigione di Apache, non sarà in grado di caricare o modificare i contenuti, considerando che si trovano in una prigione completamente diversa.

Penso che separare il login ssh e il servizio Apache aggiunga un ulteriore livello di sicurezza. Qualcuno che farebbe un ssh in per caricare i propri file non sarebbe in grado di interrompere il servizio di apache. Inoltre, non darebbe ad un attaccante la possibilità di manomettere Apache.

Tuttavia, non sono sicuro che ne valga la pena. Forse chmod dà la stessa sicurezza di cui sopra? Come proteggeresti il tuo web server quando apache, mysql, freebsd e jail?

    
posta connery 03.06.2012 - 11:51
fonte

2 risposte

3

Non so se ne valga la pena,

Penso che l'esecuzione di backup regolari dei contenuti Web possa offrire alcuni dei vantaggi derivanti dal blocco del contenuto Web dal server Apache e che i backup potrebbero essere più facili da implementare. I backup non impediscono a un server Apache compromesso di modificare il contenuto web, ma ti dà la possibilità di tornare a uno stato senza compromessi se dovessi essere compromesso.

In definitiva, solo tu puoi decidere se ne vale la pena, ma la mia sensazione è che non sia valsa la pena di arrestare il contenuto del web separatamente. Non aiuterà con i tipi più comuni di vulnerabilità. In questi giorni, le vulnerabilità nel server Apache stesso sono relativamente rare. Invece, il caso più comune sono le vulnerabilità nell'applicazione web (ad esempio, nel codice PHP / Ruby / Java), e il blocco del contenuto Web non aiuta in questo tipo di vulnerabilità. Pertanto, ritengo che consiglierei di concentrare i vostri sforzi per rafforzare le difese e le attenuazioni che aiutano le vulnerabilità a livello di applicazione nelle vostre applicazioni Web.

    
risposta data 04.06.2012 - 05:12
fonte
2

Separare MySQL e la tua applicazione web è molto importante. Questo può essere fatto in modo errato. Ad esempio su Ubuntu 10.04 era possibile bypassare l'isolamento del processo di AppArmor, usare mysql's into outfile per creare un file php in / tmp e quindi usare un File locale Include vulnerabilità per eseguirlo . Un carcere di chroot non dovrebbe essere vulnerabile a questo problema.

Tuttavia, la maggior parte degli attacchi non è così complessa. Il più delle volte l'attaccante usa i bot per compromettere il maggior numero possibile di macchine. A volte questi bot cercano il file index.html o index.php e aggiungono un iframe a queste pagine per provare a compromettere i browser. Per evitare che ciò accada, chow la web root come un altro utente, root funzionerebbe, e quindi fare un chmod 550 -r WEBROOT . Assicurati che apache sia nel gruppo.

Tuttavia, una prigione chroot e la modifica delle autorizzazioni dei file non impediscono le vulnerabilità comuni come sql injection o xss. È possibile sfogliare la prima pagina di un sito Web utilizzando XSS memorizzato . Per risolvere questi problemi, testarei la tua applicazione utilizzando uno scanner di applicazioni Web. Strumenti open source come wapiti e skipfish , lavoro per un'azienda che fornisce un servizio di scansione vulnerabilità gratuito . Gli strumenti automatici non sono in grado di rilevare tutto, ma è meglio di niente. Dopo che l'applicazione è stata testata, ti consiglio di utilizzare un firewall per applicazioni Web open source come mod_security .

    
risposta data 03.06.2012 - 19:57
fonte

Leggi altre domande sui tag

Fattibilità computazionale della ricerca di "buoni collegamenti" del seguente formato Fornire informazioni sul conto commerciale al programmatore web