LINUX.ORG.RU
решено ФорумSecurity

Как правильно настроить apache 2 сервер, что бы не «сквозил» дырами.

 ,


0

0

Итак ситуация такая. У меня есть сервер под управлением Debian и при сканировании одним сервисом-«сканнером» я заметил, что мой сервер «сквозит», да так, что любой адекватный человек сможет легко и просто натворить всякой всячины с сервером... Вот список уязвимостей из-за Apache 2:

  1. CVE-2017-7679
  2. CVE-2017-7659
  3. CVE-2017-9788
  4. CVE-2017-9798
  5. CVE-2017-15710
  6. CVE-2018-1283
  7. CVE-2017-7668
  8. CVE-2017-15715
  9. CVE-2017-3167
  10. CVE-2017-3169
  11. CVE-2018-1333
  12. CVE-2018-1312

NodeJS с точки зрения админства и секурности. установка пакетов по `npm install -g`
Вступлю в сеть доверия
Ответ на: комментарий от anonymous

Я все это делал. И apt-get ipdate && apt-get upgrade. И apt-get install apache2. Только и выдает, что «Обновлений не найдено». Уж и не знаю, что далее делать... Ну iptables настроил... Ну загрузил mod-evasive для Apache 2. Все бестолку. Дыры так и сквозят...

Vented
() автор топика
Ответ на: комментарий от Vented

Сервис сканер ни чего не знает про бекбортирование заплаток в дебиане.

mandala ★★★★★
()
Ответ на: комментарий от comma

В догонку. Не плохо бы понимать откуда у тебя в системе этот apache. Может его вообще из исходников поставили.

comma
()
Ответ на: комментарий от comma

а сейчас все мануалы в сети такие - качаем с сайта и make install. а кто заплатки ставить будет? Пушкин. копирайтеры хреновы.

darkenshvein ★★★★★
()
Ответ на: комментарий от comma

Из нашей Российской репы я установил Apache2. Вот ссылка: 

http://ftp.ru.debian.org

Кроме этого репозитория есть еще такой же но с префиксом security: 

http://security.ftp.ru.debian.org

Более реп нету. А что туда еще не завезли обнову под Apache2?

Vented
() автор топика

апач обычно держат за nginx'ом.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Jopich1

Debian-то 9-ой версии. Насчет nginx хочу сказать спасибо. Так попытаюсь облегчить и себе, и знающим/комментирующим задачу. Итак я понял, что во-первых у меня Apache имеет привилегии читать и писать в разделах, которые находятся выше /var/www/html/, во-вторых я понял, что к Apache имеют полный доступ только www-data и root. Ну и я так же понял, что Apache нужно каким-то образом настроить, но к несчастью все инструкции устаревшие и они тупо не работают...

Vented
() автор топика
Ответ на: комментарий от Vented

Версия Apache deb9u1

Давно уже 2.4.25-3+deb9u5 на дворе

YAR ★★★★★
()

Список репозиториев апта покажи. Может у тебя апдейты и секьюрити-фиксы не подключены.

imul ★★★★★
()

А почему ты не хочешь заняться микрохирургией?

Anoxemian ★★★★★
()
Ответ на: комментарий от imul

Да у него, похоже, и с основным репозиторием проблема. Security-ветка актуальна до выпуска очередной подверсии, потом пакеты переливаются в основную ветку репозитория. А у него тут уже 4 суб-релиза вышло, а Апач до сих пор старый.

YAR ★★★★★
()
Ответ на: комментарий от YAR

Ну у меня вот так отконфигурирован sources.list 

# deb cdrom:[Debian GNU/Linux 9.5.0 _Stretch_ - Official amd64 NETINST 20180714$

#deb cdrom:[Debian GNU/Linux 9.5.0 _Stretch_ - Official amd64 NETINST 20180714-$

deb http://ftp.ru.debian.org/debian/ stretch main
deb-src http://ftp.ru.debian.org/debian/ stretch main

deb http://security.debian.org/debian-security stretch/updates main
deb-src http://security.debian.org/debian-security stretch/updates main

# stretch-updates, previously known as 'volatile'
deb http://ftp.ru.debian.org/debian/ stretch-updates main
deb-src http://ftp.ru.debian.org/debian/ stretch-updates main

И что все так плохо? А ведь можно же реализовать скачку apache через их сайт?...

Vented
() автор топика
Ответ на: комментарий от Vented

А попробуй ради интереса добавить другое зеркало какое-нибудь.

http://ftp.ru.debian.org/debian/pool/main/a/apache2/apache2_2.4.25-3+deb9u5_a... - хотя вот, например, свежий апдейт.

apt-get update ; apt-cache policy apache2 что показывает?

YAR ★★★★★
()
Последнее исправление: YAR (всего исправлений: 1)
Ответ на: комментарий от Vented

У дебиана редко, но иногда случается глюк какой-то из-за которого он часть пакетов в репозитории не видит. Может помочь очистка кэша репозитория

praseodim ★★★★★
()
Ответ на: комментарий от YAR

Спасибо. Он установил апдейт, но... К превеликому моему огорчению список дыр не был «пофикшен». Т.е как были так и остались дыры... Итак что же мне делать? Искать в тырнете 1000 и 1 ответ как настроить безопасность в apache2 или как предложили установить nginx и через боль и страдания настроить nginx и каким нибудь образом извратиться и «закинуть» за nginx Апач...

Vented
() автор топика

У cis-а есть security benchmark, там должно быть много советов. вебаки поломали сайт, т.ч. закачивается только про ось. но можно нагуглить копии в разных местах.

DonkeyHot ★★★★★
()
Ответ на: комментарий от DonkeyHot

Благодарю. Но все таки, кто может порекомендовать как настроить nginx как фронтенд и apache 2 как бэкенд? Просто инструкции которые я накопал в тыр нете уже не первой свежести, а мои познания в настройке/администрирования серверов ну кхм... Не то, что бы не очень, но они плохие....

Vented
() автор топика

при сканировании одним сервисом-«сканнером»

Твой говносервис-говносканер не проверяет на уязвимости, он просто смотрит версию апача и выдает список уязвимостей из базы для такой версии. Короче, поменьше пользуйся говносервисами и почаще ставь секурити апдейты.

entefeed ☆☆☆
()
Ответ на: комментарий от Vented

Да, если нет особенных хотелок, только через apt-get(в Debian-подобных дистрибутивах). Извини за некропостинг.

S_Paul ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
NodeJS с точки зрения админства и секурности. установка пакетов по `npm install -g`
Security
Вступлю в сеть доверия