Apache em chroot + MySQL + PHP + mod_security + mod_evasive + vsftpd + Fail2ban + Debian Squeeze
Aqui abordarei a implementação de um Apache trabalhando em modo chroot, dando suporte a PHP 5, MySQL, Fail2ban, mod_security, mod_evasive e vsftpd.
[ Hits: 22.937 ]
Por: Douglas Q. dos Santos em 07/12/2012 | Blog: http://wiki.douglasqsantos.com.br
Adicionando suporte ao PHP, suporte ao mod_evasive e ao mod_security
Instalando o PHP5, ele não precisa ficar na jaula:
# aptitude install php5 libapache2-mod-php5 php5-gd php5-ps php5-cli php-pear php5-gd php5-mysql php5-imap php5-mcrypt php5-json -y
# aptitude install php5-xmlrpc php5-dev php5-common fail2ban libapache2-mod-security2 vsftpd postfix mysql-client-5.1 mysql-client -y
# chroot /var/chroot apt-get install imagemagick php5-common -y
Acertando permissões:
# rm -rf /var/chroot/dev/*
# for SEC in $(echo $(find /var/chroot/ -type f \( -perm -04000 -o -perm -02000 \) -print)); do chmod -s ${SEC}; done
# chmod -x /var/chroot/bin/su
# chmod -x /var/chroot/bin/stty
Configurando o módulo evasive para nos ajudar a prevenir os ataques do tipo DoS:
# apt-get install libapache2-mod-evasive
# echo "LoadModule evasive20_module /usr/lib/apache2/modules/mod_evasive20.so" > /etc/apache2/mods-available/evasive.load
Configurando o módulo /etc/apache2/mods-available/evasive.conf:
# vim /etc/apache2/mods-available/evasive.conf
Acertando o idioma do sistema:
# sed -i 's/# pt_BR.UTF-8 UTF-8/pt_BR.UTF-8 UTF-8/' /etc/locale.gen
# locale-gen
Vamos montar um virtualhost para testarmos o nosso chroot /etc/apache2/sites-available/www.douglas.wiki.br:
# vim /etc/apache2/sites-available/www.douglas.wiki.br
Montar a base do nosso site:
# mkdir -p /var/chroot/var/www/website/frontend/cgi-bin
# mkdir -p /var/chroot/var/www/website/logs
# ln -sf /var/chroot/var/www/website /var/www/website
Criando o arquivo index de teste:
# echo "<?php phpinfo(); ?>" > /var/www/website/frontend/index.php
Incluindo o shell /bin/true para o usuário ftp:
# echo "/bin/true" >> /etc/shells
Criando o usuário ftp para o nosso site:
# useradd -m -d /var/www/website -s /bin/true usuarioftp
Agora vamos definir uma senha para ele:
# passwd usuarioftp
Carregando o nosso site e descarregando os sites defaults:
# a2ensite www.douglas.wiki.br
# a2dissite default
# a2dissite default-ssl
# a2enmod rewrite
Agora vamos configurar o mod_security. Insira no final do arquivo /etc/apache2/apache2.conf o conteúdo abaixo:
# vim /etc/apache2/apache2.conf
Reiniciar o Apache:
# /etc/init.d/apache2 restart
Vamos analisar os logs do Apache:
# tail -f /var/log/apache2/error.log
Como pode ser notado, temos um aviso sobre o tipo de comentário no arquivo de configuração do PHP5: /etc/php5/apache2/conf.d/ps.ini. Vamos corrigir isso, só temos que trocar na linha 1 o "#" por ";", que é o tipo de comentário para arquivos de configuração do PHP5:
# vim /etc/php5/apache2/conf.d/ps.ini
Vamos também tirar a assinatura do nosso PHP:
# vim /etc/php5/apache2/php.ini
Agora já podemos reiniciar o nosso Apache novamente para ver se vamos ter mais algum aviso ou erro:
# /etc/init.d/apache2 restart
Vamos verificar os logs agora:
# tail -f /var/log/apache2/error.log
# aptitude install php5 libapache2-mod-php5 php5-gd php5-ps php5-cli php-pear php5-gd php5-mysql php5-imap php5-mcrypt php5-json -y
# aptitude install php5-xmlrpc php5-dev php5-common fail2ban libapache2-mod-security2 vsftpd postfix mysql-client-5.1 mysql-client -y
# chroot /var/chroot apt-get install imagemagick php5-common -y
Acertando permissões:
# rm -rf /var/chroot/dev/*
# for SEC in $(echo $(find /var/chroot/ -type f \( -perm -04000 -o -perm -02000 \) -print)); do chmod -s ${SEC}; done
# chmod -x /var/chroot/bin/su
# chmod -x /var/chroot/bin/stty
Configurando o módulo evasive para nos ajudar a prevenir os ataques do tipo DoS:
# apt-get install libapache2-mod-evasive
# echo "LoadModule evasive20_module /usr/lib/apache2/modules/mod_evasive20.so" > /etc/apache2/mods-available/evasive.load
Configurando o módulo /etc/apache2/mods-available/evasive.conf:
# vim /etc/apache2/mods-available/evasive.conf
<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 900
DOSWhitelist 66.249.65.*
DOSWhitelist 66.249.66.*
# As ultimas são as que o google usa para indexar.
</IfModule>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 900
DOSWhitelist 66.249.65.*
DOSWhitelist 66.249.66.*
# As ultimas são as que o google usa para indexar.
</IfModule>
Acertando o idioma do sistema:
# sed -i 's/# pt_BR.UTF-8 UTF-8/pt_BR.UTF-8 UTF-8/' /etc/locale.gen
# locale-gen
Vamos montar um virtualhost para testarmos o nosso chroot /etc/apache2/sites-available/www.douglas.wiki.br:
# vim /etc/apache2/sites-available/www.douglas.wiki.br
<VirtualHost *:80>
ServerName www.douglas.wiki.br
ServerAlias douglas.wiki.br
DocumentRoot "/var/www/website/frontend/"
<Directory "/var/www/website/frontend/">
Options -Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
ScriptAlias /cgi-bin/ "/var/www/website/frontend/cgi-bin/"
<Directory "/var/www/website/frontend/cgi-bin/">
AllowOverride All
Options ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/www.douglas.wiki.br-error.log
CustomLog ${APACHE_LOG_DIR}/www.douglas.wiki.br-access.log common
ServerSignature Off
IndexIgnore .??* *~ *# README RCS CVS *,v *,t *
# Possible values include: debug, info, notice, info, error, crit,
# alert, emerg.
LogLevel info
</VirtualHost>
ServerName www.douglas.wiki.br
ServerAlias douglas.wiki.br
DocumentRoot "/var/www/website/frontend/"
<Directory "/var/www/website/frontend/">
Options -Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
ScriptAlias /cgi-bin/ "/var/www/website/frontend/cgi-bin/"
<Directory "/var/www/website/frontend/cgi-bin/">
AllowOverride All
Options ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/www.douglas.wiki.br-error.log
CustomLog ${APACHE_LOG_DIR}/www.douglas.wiki.br-access.log common
ServerSignature Off
IndexIgnore .??* *~ *# README RCS CVS *,v *,t *
# Possible values include: debug, info, notice, info, error, crit,
# alert, emerg.
LogLevel info
</VirtualHost>
Montar a base do nosso site:
# mkdir -p /var/chroot/var/www/website/frontend/cgi-bin
# mkdir -p /var/chroot/var/www/website/logs
# ln -sf /var/chroot/var/www/website /var/www/website
Criando o arquivo index de teste:
# echo "<?php phpinfo(); ?>" > /var/www/website/frontend/index.php
Incluindo o shell /bin/true para o usuário ftp:
# echo "/bin/true" >> /etc/shells
Criando o usuário ftp para o nosso site:
# useradd -m -d /var/www/website -s /bin/true usuarioftp
Agora vamos definir uma senha para ele:
# passwd usuarioftp
Carregando o nosso site e descarregando os sites defaults:
# a2ensite www.douglas.wiki.br
# a2dissite default
# a2dissite default-ssl
# a2enmod rewrite
Agora vamos configurar o mod_security. Insira no final do arquivo /etc/apache2/apache2.conf o conteúdo abaixo:
# vim /etc/apache2/apache2.conf
[...]
#Final do arquivo
<IfModule mod_security.c>
# Turn the filtering engine On or Off
SecFilterEngine On
# Make sure that URL encoding is valid
SecFilterCheckURLEncoding On
# Unicode encoding check
SecFilterCheckUnicodeEncoding Off
# Only allow bytes from this range
SecFilterForceByteRange 0 255
# Only log suspicious requests
SecAuditEngine RelevantOnly
# The name of the audit log file
SecAuditLog /var/log/apache2/audit_log
# Debug level set to a minimum
SecFilterDebugLog /var/log/apache2/modsec_debug_log
SecFilterDebugLevel 0
# Should mod_security inspect POST payloads
SecFilterScanPOST On
# By default log and deny suspicious requests
# with HTTP status 500
SecFilterDefaultAction "deny,log,status:500"
</IfModule>
#Final do arquivo
<IfModule mod_security.c>
# Turn the filtering engine On or Off
SecFilterEngine On
# Make sure that URL encoding is valid
SecFilterCheckURLEncoding On
# Unicode encoding check
SecFilterCheckUnicodeEncoding Off
# Only allow bytes from this range
SecFilterForceByteRange 0 255
# Only log suspicious requests
SecAuditEngine RelevantOnly
# The name of the audit log file
SecAuditLog /var/log/apache2/audit_log
# Debug level set to a minimum
SecFilterDebugLog /var/log/apache2/modsec_debug_log
SecFilterDebugLevel 0
# Should mod_security inspect POST payloads
SecFilterScanPOST On
# By default log and deny suspicious requests
# with HTTP status 500
SecFilterDefaultAction "deny,log,status:500"
</IfModule>
Reiniciar o Apache:
# /etc/init.d/apache2 restart
Vamos analisar os logs do Apache:
# tail -f /var/log/apache2/error.log
PHP Deprecated: Comments starting with '#' are deprecated in /etc/php5/apache2/conf.d/ps.ini on line 1 in Unknown on line 0
[Fri Jun 24 09:50:34 2011] [notice] ModSecurity for Apache/2.5.12 (http: www.modsecurity.org/) configured.
[Fri Jun 24 09:50:34 2011] [notice] Apache/2.2.16 (Debian) PHP/5.3.3-7+squeeze1 with Suhosin-Patch configured -- resuming normal operations
[Fri Jun 24 09:51:55 2011] [notice] Graceful restart requested, doing restart
PHP Deprecated: Comments starting with '#' are deprecated in /etc/php5/apache2/conf.d/ps.ini on line 1 in Unknown on line 0
[Fri Jun 24 09:51:56 2011] [notice] Apache/2.2.16 (Debian) PHP/5.3.3-7+squeeze1 with Suhosin-Patch configured -- resuming normal operations
[Fri Jun 24 10:44:51 2011] [notice] caught SIGTERM, shutting down
[Fri Jun 24 10:44:53 2011] [notice] ModSecurity for Apache/2.5.12 (http: www.modsecurity.org/) configured.
PHP Deprecated: Comments starting with '#' are deprecated in /etc/php5/apache2/conf.d/ps.ini on line 1 in Unknown on line 0
[Fri Jun 24 10:44:54 2011] [notice] Apache/2.2.16 (Debian) PHP/5.3.3-7+squeeze1 with Suhosin-Patch configured -- resuming normal operations
Como pode ser notado, temos um aviso sobre o tipo de comentário no arquivo de configuração do PHP5: /etc/php5/apache2/conf.d/ps.ini. Vamos corrigir isso, só temos que trocar na linha 1 o "#" por ";", que é o tipo de comentário para arquivos de configuração do PHP5:
# vim /etc/php5/apache2/conf.d/ps.ini
; configuration for php ps module
extension=ps.so
extension=ps.so
Vamos também tirar a assinatura do nosso PHP:
# vim /etc/php5/apache2/php.ini
[...]
expose_php = Off
[...]
expose_php = Off
[...]
Agora já podemos reiniciar o nosso Apache novamente para ver se vamos ter mais algum aviso ou erro:
# /etc/init.d/apache2 restart
Vamos verificar os logs agora:
# tail -f /var/log/apache2/error.log
[Fri Jun 24 10:49:12 2011] [notice] caught SIGTERM, shutting down
[Fri Jun 24 10:49:14 2011] [notice] ModSecurity for Apache/2.5.12 (http: www.modsecurity.org/) configured.
[Fri Jun 24 10:49:15 2011] [notice] Apache/2.2.16 (Debian) PHP/5.3.3-7+squeeze1 with Suhosin-Patch configured -- resuming normal operations
Páginas do artigo
1. Preparando o ambiente2. Adicionando suporte ao PHP, suporte ao mod_evasive e ao mod_security
3. Adicionando suporte ao MySQL e configurando o vsftpd
4. Configurando o Fail2ban e ajustando o Apache
Outros artigos deste autor
Bind9 em chroot no Debian Lenny
Bonding para Heartbeat + Bonding para DRBD + OCFS2 + Debian Squeeze
IDS com Snort + Guardian + Debian Lenny
Debian + Postfix + MySQL + PostfixAdmin + MailScanner + Webmail + Quotas
Servidor Jabber com Openfire + MySQL + Debian Lenny
Leitura recomendada
Instalando o mplayerplug-in do "jeito Debian"
Aircrack-ng e sua família para quebrar WEP e WPA1
Redirecionando acesso ao VNC e ocultando o ícone
Apache + SSL + Nenhuma mensagem de erro de certificado no IE
Instalando Apache 1.3.33 com suporte a PHP no Slackware
Comentários
[1] Comentário enviado por LeonardoGoretti em 14/12/2012 - 08:47h
Muito Bom....So o script que não ta lá!!
Muito Bom....So o script que não ta lá!!
[2] Comentário enviado por douglas_dksh em 14/12/2012 - 10:24h
Bom dia,
Desculpe o problema é que mudei o seu servidor para outra empresa e estou tento problemas com os scripts com isso estou disponibilizando ele em
http://www.douglas.wiki.br/doku.php?id=confinicialsqueeze
:D
Bom dia,
Desculpe o problema é que mudei o seu servidor para outra empresa e estou tento problemas com os scripts com isso estou disponibilizando ele em
http://www.douglas.wiki.br/doku.php?id=confinicialsqueeze
:D
[3] Comentário enviado por cavanso em 27/02/2013 - 07:29h
Douglas, como posso fazer por exemplo, tenho um servidor web, quero liberar o ftp para o webdesigner publicar alterações no site, instalei o ftp, porém toda vez que ele publica as permissões ficam usuario.usuario, com isto ocorre erros quando vamos abrir a pagina, ae toda vez tenho que da um chown -Rf usuario.www-data pasta/ , como posso contornar isto ? Tem como o vsftp já atribuir a permissão desta forma ?
Douglas, como posso fazer por exemplo, tenho um servidor web, quero liberar o ftp para o webdesigner publicar alterações no site, instalei o ftp, porém toda vez que ele publica as permissões ficam usuario.usuario, com isto ocorre erros quando vamos abrir a pagina, ae toda vez tenho que da um chown -Rf usuario.www-data pasta/ , como posso contornar isto ? Tem como o vsftp já atribuir a permissão desta forma ?
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Enviar mensagem ao usuário trabalhando com as opções do php.ini
Meu Fork do Plugin de Integração do CVS para o KDevelop
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Compartilhamento de Rede com samba em modo Público/Anônimo de forma simples, rápido e fácil
Cups: Mapear/listar todas as impressoras de outro Servidor CUPS de forma rápida e fácil
Criando uma VPC na AWS via CLI
Tópicos
Tem como instalar o gerenciador AMD Adrenalin no Ubuntu 24.04? (6)
Top 10 do mês
-
Xerxes
1° lugar - 67.137 pts -
Fábio Berbert de Paula
2° lugar - 49.676 pts -
Renato Michnik de Carvalho
3° lugar - 27.311 pts -
Buckminster
4° lugar - 17.064 pts -
Mauricio Ferrari
5° lugar - 14.900 pts -
Alberto Federman Neto.
6° lugar - 14.142 pts -
Diego Mendes Rodrigues
7° lugar - 13.550 pts -
Daniel Lara Souza
8° lugar - 13.491 pts -
edps
9° lugar - 11.425 pts -
Andre (pinduvoz)
10° lugar - 11.220 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
