Apache em chroot + MySQL + PHP + mod_security + mod_evasive + vsftpd + Fail2ban + Debian Squeeze
Aqui abordarei a implementação de um Apache trabalhando em modo chroot, dando suporte a PHP 5, MySQL, Fail2ban, mod_security, mod_evasive e vsftpd.
[ Hits: 23.092 ]
Por: Douglas Q. dos Santos em 07/12/2012 | Blog: http://wiki.douglasqsantos.com.br
Adicionando suporte ao PHP, suporte ao mod_evasive e ao mod_security
Instalando o PHP5, ele não precisa ficar na jaula:
# aptitude install php5 libapache2-mod-php5 php5-gd php5-ps php5-cli php-pear php5-gd php5-mysql php5-imap php5-mcrypt php5-json -y
# aptitude install php5-xmlrpc php5-dev php5-common fail2ban libapache2-mod-security2 vsftpd postfix mysql-client-5.1 mysql-client -y
# chroot /var/chroot apt-get install imagemagick php5-common -y
Acertando permissões:
# rm -rf /var/chroot/dev/*
# for SEC in $(echo $(find /var/chroot/ -type f \( -perm -04000 -o -perm -02000 \) -print)); do chmod -s ${SEC}; done
# chmod -x /var/chroot/bin/su
# chmod -x /var/chroot/bin/stty
Configurando o módulo evasive para nos ajudar a prevenir os ataques do tipo DoS:
# apt-get install libapache2-mod-evasive
# echo "LoadModule evasive20_module /usr/lib/apache2/modules/mod_evasive20.so" > /etc/apache2/mods-available/evasive.load
Configurando o módulo /etc/apache2/mods-available/evasive.conf:
# vim /etc/apache2/mods-available/evasive.conf
Acertando o idioma do sistema:
# sed -i 's/# pt_BR.UTF-8 UTF-8/pt_BR.UTF-8 UTF-8/' /etc/locale.gen
# locale-gen
Vamos montar um virtualhost para testarmos o nosso chroot /etc/apache2/sites-available/www.douglas.wiki.br:
# vim /etc/apache2/sites-available/www.douglas.wiki.br
Montar a base do nosso site:
# mkdir -p /var/chroot/var/www/website/frontend/cgi-bin
# mkdir -p /var/chroot/var/www/website/logs
# ln -sf /var/chroot/var/www/website /var/www/website
Criando o arquivo index de teste:
# echo "<?php phpinfo(); ?>" > /var/www/website/frontend/index.php
Incluindo o shell /bin/true para o usuário ftp:
# echo "/bin/true" >> /etc/shells
Criando o usuário ftp para o nosso site:
# useradd -m -d /var/www/website -s /bin/true usuarioftp
Agora vamos definir uma senha para ele:
# passwd usuarioftp
Carregando o nosso site e descarregando os sites defaults:
# a2ensite www.douglas.wiki.br
# a2dissite default
# a2dissite default-ssl
# a2enmod rewrite
Agora vamos configurar o mod_security. Insira no final do arquivo /etc/apache2/apache2.conf o conteúdo abaixo:
# vim /etc/apache2/apache2.conf
Reiniciar o Apache:
# /etc/init.d/apache2 restart
Vamos analisar os logs do Apache:
# tail -f /var/log/apache2/error.log
Como pode ser notado, temos um aviso sobre o tipo de comentário no arquivo de configuração do PHP5: /etc/php5/apache2/conf.d/ps.ini. Vamos corrigir isso, só temos que trocar na linha 1 o "#" por ";", que é o tipo de comentário para arquivos de configuração do PHP5:
# vim /etc/php5/apache2/conf.d/ps.ini
Vamos também tirar a assinatura do nosso PHP:
# vim /etc/php5/apache2/php.ini
Agora já podemos reiniciar o nosso Apache novamente para ver se vamos ter mais algum aviso ou erro:
# /etc/init.d/apache2 restart
Vamos verificar os logs agora:
# tail -f /var/log/apache2/error.log
# aptitude install php5 libapache2-mod-php5 php5-gd php5-ps php5-cli php-pear php5-gd php5-mysql php5-imap php5-mcrypt php5-json -y
# aptitude install php5-xmlrpc php5-dev php5-common fail2ban libapache2-mod-security2 vsftpd postfix mysql-client-5.1 mysql-client -y
# chroot /var/chroot apt-get install imagemagick php5-common -y
Acertando permissões:
# rm -rf /var/chroot/dev/*
# for SEC in $(echo $(find /var/chroot/ -type f \( -perm -04000 -o -perm -02000 \) -print)); do chmod -s ${SEC}; done
# chmod -x /var/chroot/bin/su
# chmod -x /var/chroot/bin/stty
Configurando o módulo evasive para nos ajudar a prevenir os ataques do tipo DoS:
# apt-get install libapache2-mod-evasive
# echo "LoadModule evasive20_module /usr/lib/apache2/modules/mod_evasive20.so" > /etc/apache2/mods-available/evasive.load
Configurando o módulo /etc/apache2/mods-available/evasive.conf:
# vim /etc/apache2/mods-available/evasive.conf
<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 900
DOSWhitelist 66.249.65.*
DOSWhitelist 66.249.66.*
# As ultimas são as que o google usa para indexar.
</IfModule>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 900
DOSWhitelist 66.249.65.*
DOSWhitelist 66.249.66.*
# As ultimas são as que o google usa para indexar.
</IfModule>
Acertando o idioma do sistema:
# sed -i 's/# pt_BR.UTF-8 UTF-8/pt_BR.UTF-8 UTF-8/' /etc/locale.gen
# locale-gen
Vamos montar um virtualhost para testarmos o nosso chroot /etc/apache2/sites-available/www.douglas.wiki.br:
# vim /etc/apache2/sites-available/www.douglas.wiki.br
<VirtualHost *:80>
ServerName www.douglas.wiki.br
ServerAlias douglas.wiki.br
DocumentRoot "/var/www/website/frontend/"
<Directory "/var/www/website/frontend/">
Options -Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
ScriptAlias /cgi-bin/ "/var/www/website/frontend/cgi-bin/"
<Directory "/var/www/website/frontend/cgi-bin/">
AllowOverride All
Options ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/www.douglas.wiki.br-error.log
CustomLog ${APACHE_LOG_DIR}/www.douglas.wiki.br-access.log common
ServerSignature Off
IndexIgnore .??* *~ *# README RCS CVS *,v *,t *
# Possible values include: debug, info, notice, info, error, crit,
# alert, emerg.
LogLevel info
</VirtualHost>
ServerName www.douglas.wiki.br
ServerAlias douglas.wiki.br
DocumentRoot "/var/www/website/frontend/"
<Directory "/var/www/website/frontend/">
Options -Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
ScriptAlias /cgi-bin/ "/var/www/website/frontend/cgi-bin/"
<Directory "/var/www/website/frontend/cgi-bin/">
AllowOverride All
Options ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/www.douglas.wiki.br-error.log
CustomLog ${APACHE_LOG_DIR}/www.douglas.wiki.br-access.log common
ServerSignature Off
IndexIgnore .??* *~ *# README RCS CVS *,v *,t *
# Possible values include: debug, info, notice, info, error, crit,
# alert, emerg.
LogLevel info
</VirtualHost>
Montar a base do nosso site:
# mkdir -p /var/chroot/var/www/website/frontend/cgi-bin
# mkdir -p /var/chroot/var/www/website/logs
# ln -sf /var/chroot/var/www/website /var/www/website
Criando o arquivo index de teste:
# echo "<?php phpinfo(); ?>" > /var/www/website/frontend/index.php
Incluindo o shell /bin/true para o usuário ftp:
# echo "/bin/true" >> /etc/shells
Criando o usuário ftp para o nosso site:
# useradd -m -d /var/www/website -s /bin/true usuarioftp
Agora vamos definir uma senha para ele:
# passwd usuarioftp
Carregando o nosso site e descarregando os sites defaults:
# a2ensite www.douglas.wiki.br
# a2dissite default
# a2dissite default-ssl
# a2enmod rewrite
Agora vamos configurar o mod_security. Insira no final do arquivo /etc/apache2/apache2.conf o conteúdo abaixo:
# vim /etc/apache2/apache2.conf
[...]
#Final do arquivo
<IfModule mod_security.c>
# Turn the filtering engine On or Off
SecFilterEngine On
# Make sure that URL encoding is valid
SecFilterCheckURLEncoding On
# Unicode encoding check
SecFilterCheckUnicodeEncoding Off
# Only allow bytes from this range
SecFilterForceByteRange 0 255
# Only log suspicious requests
SecAuditEngine RelevantOnly
# The name of the audit log file
SecAuditLog /var/log/apache2/audit_log
# Debug level set to a minimum
SecFilterDebugLog /var/log/apache2/modsec_debug_log
SecFilterDebugLevel 0
# Should mod_security inspect POST payloads
SecFilterScanPOST On
# By default log and deny suspicious requests
# with HTTP status 500
SecFilterDefaultAction "deny,log,status:500"
</IfModule>
#Final do arquivo
<IfModule mod_security.c>
# Turn the filtering engine On or Off
SecFilterEngine On
# Make sure that URL encoding is valid
SecFilterCheckURLEncoding On
# Unicode encoding check
SecFilterCheckUnicodeEncoding Off
# Only allow bytes from this range
SecFilterForceByteRange 0 255
# Only log suspicious requests
SecAuditEngine RelevantOnly
# The name of the audit log file
SecAuditLog /var/log/apache2/audit_log
# Debug level set to a minimum
SecFilterDebugLog /var/log/apache2/modsec_debug_log
SecFilterDebugLevel 0
# Should mod_security inspect POST payloads
SecFilterScanPOST On
# By default log and deny suspicious requests
# with HTTP status 500
SecFilterDefaultAction "deny,log,status:500"
</IfModule>
Reiniciar o Apache:
# /etc/init.d/apache2 restart
Vamos analisar os logs do Apache:
# tail -f /var/log/apache2/error.log
PHP Deprecated: Comments starting with '#' are deprecated in /etc/php5/apache2/conf.d/ps.ini on line 1 in Unknown on line 0
[Fri Jun 24 09:50:34 2011] [notice] ModSecurity for Apache/2.5.12 (http: www.modsecurity.org/) configured.
[Fri Jun 24 09:50:34 2011] [notice] Apache/2.2.16 (Debian) PHP/5.3.3-7+squeeze1 with Suhosin-Patch configured -- resuming normal operations
[Fri Jun 24 09:51:55 2011] [notice] Graceful restart requested, doing restart
PHP Deprecated: Comments starting with '#' are deprecated in /etc/php5/apache2/conf.d/ps.ini on line 1 in Unknown on line 0
[Fri Jun 24 09:51:56 2011] [notice] Apache/2.2.16 (Debian) PHP/5.3.3-7+squeeze1 with Suhosin-Patch configured -- resuming normal operations
[Fri Jun 24 10:44:51 2011] [notice] caught SIGTERM, shutting down
[Fri Jun 24 10:44:53 2011] [notice] ModSecurity for Apache/2.5.12 (http: www.modsecurity.org/) configured.
PHP Deprecated: Comments starting with '#' are deprecated in /etc/php5/apache2/conf.d/ps.ini on line 1 in Unknown on line 0
[Fri Jun 24 10:44:54 2011] [notice] Apache/2.2.16 (Debian) PHP/5.3.3-7+squeeze1 with Suhosin-Patch configured -- resuming normal operations
Como pode ser notado, temos um aviso sobre o tipo de comentário no arquivo de configuração do PHP5: /etc/php5/apache2/conf.d/ps.ini. Vamos corrigir isso, só temos que trocar na linha 1 o "#" por ";", que é o tipo de comentário para arquivos de configuração do PHP5:
# vim /etc/php5/apache2/conf.d/ps.ini
; configuration for php ps module
extension=ps.so
extension=ps.so
Vamos também tirar a assinatura do nosso PHP:
# vim /etc/php5/apache2/php.ini
[...]
expose_php = Off
[...]
expose_php = Off
[...]
Agora já podemos reiniciar o nosso Apache novamente para ver se vamos ter mais algum aviso ou erro:
# /etc/init.d/apache2 restart
Vamos verificar os logs agora:
# tail -f /var/log/apache2/error.log
[Fri Jun 24 10:49:12 2011] [notice] caught SIGTERM, shutting down
[Fri Jun 24 10:49:14 2011] [notice] ModSecurity for Apache/2.5.12 (http: www.modsecurity.org/) configured.
[Fri Jun 24 10:49:15 2011] [notice] Apache/2.2.16 (Debian) PHP/5.3.3-7+squeeze1 with Suhosin-Patch configured -- resuming normal operations
Páginas do artigo
1. Preparando o ambiente2. Adicionando suporte ao PHP, suporte ao mod_evasive e ao mod_security
3. Adicionando suporte ao MySQL e configurando o vsftpd
4. Configurando o Fail2ban e ajustando o Apache
Outros artigos deste autor
Bind9 em chroot no Debian Lenny
Alta disponibilidade com Debian Lenny + Heartbeat + DRBD8 + OCFS2 + MONIT + LVS
Debian + Postfix + MySQL + PostfixAdmin + MailScanner + Webmail + Quotas
Bonding para Heartbeat + Bonding para DRBD + OCFS2 + Debian Squeeze
Leitura recomendada
Livestation - Assista TV em seu GNU/Linux
Criando uma rede virtual com servidor de internet e estações utilizando VirtualBox
Servidor de Internet, Firewall, Logs - Ubuntu 10.04.3 LTS Lucid Lynx
Teste a vulnerabilidade de seu PC
OpenMeetings - Configuração no Ubuntu Server 11.10
Comentários
[1] Comentário enviado por LeonardoGoretti em 14/12/2012 - 08:47h
Muito Bom....So o script que não ta lá!!
Muito Bom....So o script que não ta lá!!
[2] Comentário enviado por douglas_dksh em 14/12/2012 - 10:24h
Bom dia,
Desculpe o problema é que mudei o seu servidor para outra empresa e estou tento problemas com os scripts com isso estou disponibilizando ele em
http://www.douglas.wiki.br/doku.php?id=confinicialsqueeze
:D
Bom dia,
Desculpe o problema é que mudei o seu servidor para outra empresa e estou tento problemas com os scripts com isso estou disponibilizando ele em
http://www.douglas.wiki.br/doku.php?id=confinicialsqueeze
:D
[3] Comentário enviado por cavanso em 27/02/2013 - 07:29h
Douglas, como posso fazer por exemplo, tenho um servidor web, quero liberar o ftp para o webdesigner publicar alterações no site, instalei o ftp, porém toda vez que ele publica as permissões ficam usuario.usuario, com isto ocorre erros quando vamos abrir a pagina, ae toda vez tenho que da um chown -Rf usuario.www-data pasta/ , como posso contornar isto ? Tem como o vsftp já atribuir a permissão desta forma ?
Douglas, como posso fazer por exemplo, tenho um servidor web, quero liberar o ftp para o webdesigner publicar alterações no site, instalei o ftp, porém toda vez que ele publica as permissões ficam usuario.usuario, com isto ocorre erros quando vamos abrir a pagina, ae toda vez tenho que da um chown -Rf usuario.www-data pasta/ , como posso contornar isto ? Tem como o vsftp já atribuir a permissão desta forma ?
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Instalar e Configurar o Slackware Linux em 2025
Como configurar os repositórios do apt no Debian 12 em 2025
Passkeys: A Evolução da Autenticação Digital
Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla
Dicas
Configurando o Conky para iniciar corretamente no sistema
3 configurações básicas que podem melhorar muito a sua edição pelo editor nano
Como colorir os logs do terminal com ccze
Instalação Microsoft Edge no Linux Mint 22
Como configurar posicionamento e movimento de janelas no Lubuntu (Openbox) com atalhos de teclado
Tópicos
Ingress NGINX Controller CVSS base score of 9.8 (1)
Impossível corrigir problemas, você manteve (hold) pacotes quebrados. (1)
Linux Mint não conecta Wi-Fi sem fio (18)
Top 10 do mês
-
Xerxes
1° lugar - 73.825 pts -
Fábio Berbert de Paula
2° lugar - 52.545 pts -
Buckminster
3° lugar - 17.945 pts -
Mauricio Ferrari
4° lugar - 17.438 pts -
Daniel Lara Souza
5° lugar - 15.201 pts -
Alberto Federman Neto.
6° lugar - 14.923 pts -
Diego Mendes Rodrigues
7° lugar - 14.579 pts -
edps
8° lugar - 13.434 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 11.831 pts -
Andre (pinduvoz)
10° lugar - 11.690 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
