Escondendo a versão do Apache

Transcrição

1 Escondendo a versão do Apache Se você instala seu httpd através dos fontes, você pode alterar seu src/include e editar o httpd.h Localize as linhas: SERVER_BASEPRODUCT SERVER_ BASEREVISION Você pode usar sua imaginação, por exemplo mentir que o daemon httpd é um IIS. Agora vamos mudar algumas linhas no httpd.conf. A primeira coisa a fazer é esconder a assinatura do servidor, localize em seu httpd.conf a linha: ServerSignature On Altere para: ServerSignature Off Uma linha que não vem incluída por padrão no httpd.conf que pode ser muito útil, é a ServerTokens, abaixo vamos comentar esta opção. No seu httpd.conf, adicione a linha: ServerTokens [option] As possiveis opções são: ServerTokens Prod Está opção revela somente o nome do produto, caso scaneado só apareceria o nome "Apache"

2 ServerTokens Min Esta opção revela: Produto e a versão: Apache/ ServerTokens OS Esta opção revela: Produto, Versão e o Sistema Operacional: Apache/ (Unix) ServerTokens Full Esta opção revela: Produto, Versão, OS e Modulos O mais recomendado destas opções seria a opção "Prod" Com estes 3 passos já criamos uma boa obscuridade em nosso favor, dificultando o atacante. Bloqueando a Listagem de Diretórios no Apache A listagem de diretórios é um recurso que permite ao visitante, visualizar todo o conteúdo de um determinado diretório do servidor WEB através do browser, se este não conter um arquivo de índice. Este recurso é bom por um lado, porém automaticamente abre brechas, pois acaba expondo todos os arquivos de um determinado diretório para qualquer visitante que chegar ao seu site. Para corrigir isto, existem duas formas: Através do arquivo httpd.conf: você pode desabilitar a listagem de diretórios do Apache através do arquivo httpd.conf. Para isto, basta procurar a seção <directory> correspondente ao diretório a qual deseja bloquear a listagem ou ainda criar uma seção e adicionar ou editar a seguinte opção: <Directory /var/www/html/teste > Options -Indexes </Directory> Caso queira ativar e não desativar a listagem de diretórios, substitua a diretiva: Options -Indexes Por: Options Indexes

3 Acesso e bloqueio à Links simbólicos Caso queira acessar os links simbólicos do diretório /var/www/html/renatofilizola que apontam para outro diretório do site crie a seguinte entrada: <Directory /var/www/html/renatofilizola> Options +FollowSymLinks Order deny,allow Allow from All </Directory> Para bloquear o acesso utiliza a a opção: -FollowSymLinks <Directory /var/www/html/renatofilizola> Options -FollowSymLinks Order deny,allow Allow from All </Directory>

4 Diretório do apache com senha 1 - Criar o arquivo de senha dos usuários do Apache: OBS - NUNCA criar o arquivo no diretório Web que será protegido. 1- Criar o usuário renato.filizola 2- Adicionar o usuário joao.silva # htpasswd -c /etc/http/conf/.htpasswd renato.filizola # htpasswd /etc/http/conf/.htpasswd joao.silva 2 - Criar o arquivo.htaccess no diretório que será protegido # touch /var/www/html/teste/.htaccess AuthName "Nome que aparecerá no título da janela" AuthType Basic AuthUserFile /var/www/html/teste/passwd require valid-user OBS: As opções de restrição podem tanto ser especificadas nas diretivas <Directory>, <Location> ou <Files> quanto nos arquivos.htaccess (ou outro nome de arquivo de controle de acesso especificado pela opção AccessFileName do arquivo de configuração do Apache) - AuthName=Nome que aparecerá no título da janela - AuthType= Tipo de Autenticação - AuthUserFile= Arquivo com os usuários e senhas - require valid-user= Tipo de Validação 3 Alterar no arquivo de configuração do Apache a opção: AllowOverride None para: AllowOverride AuthConfig O controle de que opções estarão disponíveis no.htaccess são definidas na diretiva AllowOverride que pode conter o seguintes parâmetros: None - O servidor não buscará o arquivo.htaccess nos diretórios All - O servidor utilizará todas as opções abaixo no arquivo.htaccess AuthConfig - Permite o uso de diretivas de autenticação (AuthDBMGroupFile, AuthDBMUserFile, AuthGroupFile, AuthName, AuthType, AuthUserFile, Require, etc.). FileInfo - Permite o uso de diretivas controlando o tipo de documento (AddEncoding, AddLanguage, AddType, DefaultType, ErrorDocument, LanguagePriority, etc.). Indexes - Permite o uso de diretivas controlando a indexação de diretório (AddDescription, AddIcon, AddIconByEncoding, AddIconByType, DefaultIcon,

5 DirectoryIndex, FancyIndexing, HeaderName, IndexIgnore, IndexOptions, ReadmeName, etc.). Limit - Permite o uso de diretivas controlando o acesso ao computador (allow, deny e order). Options - Permite o uso de diretivas controlando características específicas do diretório (Options e XBitHack). OBS: Não tem sentido usar a opção AllowOverride dentro da diretiva <Location>, ela será simplesmente ignorada. Entendendo o Options Como a própria documentação do Apache diz, podemos usar as seguintes opções para diretórios: None, All, ou qualquer combinação de Indexes, Includes, FollowSymLinks, ExecCGI, or MultiViews. A opção Indexes faz com que quando não tiver nenhum arquivo do tipo index.html, index.htm, ou páginas iniciais, o Apache cria uma página com a lista dos arquivos existentes no diretório. O Includes permite colocar arquivos do tipo SSI (Server Side Includes), que são páginas dinâmicas antigamente usadas por muitos (Agora a moda é PHP, Python, Perl, etc). O FollowSymLinks faz com que o Apache aceite links simbólicos no sistema, seguindo os diretórios ou arquivos que os links apontam. O ExecCGI faz com que neste diretório possam ser executados arquivos CGI (Common Gateway Interface). A opção ExecCGI pode ser (e geralmente é) encontrada para o diretório /var/www/cgi-bin, onde estão localizados os scripts CGI. Já o MultiViews serve para por exemplo, servir páginas de acordo com a preferência de língua do usuário (index.html.pt_br, indeex.html.en, etc). O All significa todas as opções (menos o MultiViews) e o None significa nenhuma :) Deixando de lado essa parte, vamos ao que realmente interessa. A opção AllowOverride AuthConfig é a que diz para o Apache verificar pelos arquivos.htaccess nos diretórios e aplicar as regras contidas no arquivo nos diretórios e subdiretórios de onde o arquivo esteja localizado. Colocada esta opção, é só dar um restart ou reload no servidor Web e tudo funcionará. Para fins de entendimento, o nome AllowOverride já diz tudo: Ele sobrescreve as configurações padrões do servidor Apache para colocar novas configurações para aquele diretório. Estas configurações podem ser permissões dee acesso, opções (como as que mostrei acima), entre outros.

6 Alias para diretório No Apache podemos criar apelidos alias para o caminho do diretório realmente existente. Por exemplo, se uma determinada página está em /var/www/html/dir1/dir2, podemos criar um alias para esse caminho. Executamos a entrada do alias no arquivo de configuração do apache, httpd.conf ou no diretório do Include. No Red Hat por exemplo é o /etc/httpd/conf.d/. Se quisermos que ao digitarmos abra a página que está localizada em /var/www/html/dir1/dir2 executamos a seguinte entrada: vim /etc/httpd/conf.d/alias.conf # Alias /brasil /var/www/html/dir1/dir2 Logs customizados No Apache podemos criar logs customizados, com as diretivas de interesse do administrador. Para isso utilizados a entrada CustomLog. Por exemplo, Para criarmos um log de nome meus_logs com as informações: - Endereço IP da máquina cliente %a - A porta do servidor servindo a requisição %p - Hora, no formato do arquivo de log %t Utilizamos a seguinte diretiva: CustomLog /var/log/httpd/meus_logs.log "%a %p %t" Os seguintes formatos são válidos: %b - Bytes enviados, excluindo cabeçalhos HTTP. %f - Nome do arquivo. %{FOOBAR}e - O conteúdo da variável de ambiente FOOBAR. %h - Máquina cliente. %a - Endereço IP da máquina cliente. %A - Endereço IP local. Muito útil em virtual hostings. %{Foobar}i - O conteúdo de Foobar: linhas de cabeçalho na requisição enviada ao servidor. %l - O nome de login remoto enviado pelo identd (se fornecido). %{Foobar}n - O conteúdo de "FooBar" de outro módulo.

7 %{Foobar}o: - O conteúdo de Foobar: linhas de cabeçalho na resposta. %p - A porta do servidor servindo a requisição. %P - A identificação do processo filho que serviu a requisição. %r - A primeira linha da requisição. %s - Status. Para requisições que foram redirecionadas. internamente. Este é o status de uma requisição *original*. Use %s para a última. %t - Hora, no formato do arquivo de log (formato inglês padrão). %{format}t - Hora, no formato definido por strftime. %T - O tempo necessário para servir a requisição, em segundos. %u - Usuário remoto (através do auth, pode ser falso se o status de retorno (%s) for 401). %U - O caminho da URL requisitada. %v - O nome canônico definido por ServerName que serviu a requisição. %V - O nome do servidor de acordo com a configuração de UseCanonicalName.

8 Criando um VirtualHost O que é um VirtualHost? O VirtualHost permite hospedar vários sites, com domínios diferentes, usando um único servidor e um único endereço IP. Crie uma entrada no arquivo de configuração do apache ou em um novo arquivo. /etc/httpd/conf/httpd.conf ou /etc/httpd/conf.d/virtualhosts.conf NameVirtualHost *:80 <VirtualHost *> DocumentRoot /var/www/html/site1/ ServerName ErrorLog /var/log/httpd/site1.log </VirtualHost> <VirtualHost *> DocumentRoot /var/www/html/site2/ ServerName ErrorLog /var/log/httpd/site2.log </VirtualHost> O NameVirtualHost diz ao apache que ele deve mapear todos os Ips do servidor para os hosts virtuais abaixo. Entrada do Arquivo <VirtualHost *> DocumentRoot /var/www/html/site1 ServerName ErrorLog /var/log/httpd/site1.log </VirtualHost> Entrada do Arquivo <VirtualHost *> DocumentRoot /var/www/html/site2 ServerName ErrorLog /var/log/httpd/site2.log </VirtualHost> Função Início da entrada do VirtualHost Localização do site1 Nome no qual o diretório responderá Arquivo de log referente ao site1 Final da entrada do VirtualHost Função Início da entrada do VirtualHost Localização do site2 Nome no qual o diretório responderá Arquivo de log referente ao site2 Final da entrada do VirtualHost

9 Caso queira testar na sua rede local edite na sua máquina o arquivo de hosts. Arquivo: /etc/hosts O que é o "PHPInfo"? É um comando que, ao ser incluído em uma página ".php" apresenta diversas informações sobre o estado atual do PHP. Isto inclui informações sobre as opções de compilação do PHP e extensões, a versão do PHP, informações do servidor e ambiente (se compilado como um módulo), o ambiente PHP, informação da versão do SO, caminhos, valores principais e locais das opções de configuração, cabeçalhos HTTP e a licença do PHP. Para testar o phpinfo crie um arquivo com as seguintes opções: <?php phpinfo();?> Obs: É importante lembrar que o módulo do PHP precisa estar ativado no arquivo de configuaração do Apache. LoadModule php5_module modules/libphp5.so Executar comandos pelo PHP <?php $results = shell_exec('ls -l /tmp'); echo $results;?> W3M for Linux O W3M é um browser em modo texto que facilita a navegação e é muito útil quando testado no localhost por exemplo além de ser um browser muito leve. Instalação do W3M (Red Hat / CentOS / Fedora) # yum install w3m (Debian / Ubuntu) # apt-get install w3m Para navergarmos basta utilizar o comando w3m seguido do endereço no qual você colocaria no seu navegador gráfico. # w3m # w3m # w3m

10 Instalação do Mysql Server 1 - Instalar o Mysql Server (Red Hat / CentOS / Fedora) # yum install mysql mysql-server (Debian / Ubuntu) # apt-get install mysql-server 2 - Para iniciar o Bando de Dados # mysql_install_db 3 - Startar o Serviço do Mysql # /etc/init.d/mysqld start 4 - Vamos definir a senha de root do Banco de Dados # mysqladmin -u root password <senha> 5 - Para trocar a senha do root o comando é: # mysqladmin -u root -p password <senha> 6 - Para acessar o banco como administrador # mysql -u root -p <enter> e digite a senha 7 - Criar um BD # mysql> CREATE DATABASE RENATOFILIZOLA; 8 - Para ver se o banco foi criado # SHOW DATABASES; mysql> show databases; Database information_schema RENATOFILIZOLA mysql test rows in set (0.00 sec) Para sair do banco mysql> quit

11 Apache com SSL (HTTPS) SSL O SSL, ou Secure Sockets Layer, é um padrão Web que permite trafegar dados sensíveis e confidenciais com segurança através da internet. O protocolo HTTPS é utilizado em bancos e empresas que utilizam autenticação com criptografia, depende da configuração do SSL, bem como a criação de chaves e certificados. O Apache que trabalha com SSL usando o módulo mod_ssl. O primeiro passo é instalar o pacote openssl, caso ainda não esteja instalado. 1 Instalar o Openssl (Red Hat / CentOS / Fedora) # yum install openssl mod_ssl (Debian / Ubuntu) # apt-get install openssl 2 Verifique se o módulo SSL está habilitado, caso não esteja habilite-o: (Debian / Ubuntu) # a2enmod ssl 3 - O protocolo HTTPS trabalha por padrão na porta 443, então é necessário fazer com que o apache ouça nesta porta: (Red Hat / CentOS / Fedora) # echo Listen 443 >> /etc/httpd/conf/httpd.conf (Debian / Ubuntu) # echo Listen 443 >> /etc/apache2/ports.conf

12 Certificado digital: Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes a entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a chave pública referente a chave privada que acredita-se ser de posse unicamente da entidade especificada no certificado. Um certificado digital normalmente é usado para ligar uma entidade a uma chave pública. Para garantir digitalmente, no caso de uma Infraestrutura de Chaves Públicas (ICP), o certificado é assinado pela Autoridade Certificadora que o emitiu e no caso de um modelo de Teia de Confiança (Web of trust) como o PGP, o certificado é assinado pela própria entidade e assinado por outros que dizem confiar naquela entidade. Em ambos os casos as assinaturas contidas em um certificado são atestamentos feitos por uma entidade que diz confiar nos dados contidos naquele certificado. O SSL trabalha com o conceito de certificados públicos, então, devemos efetuar os procedimentos de criação do certificado que será fornecido aos clientes. Crie a chave que será usada para assinar o certificado: # openssl genrsa -out /etc/ssl/web.key 1024 Generating RSA private key, 1024 bit long modulus e is (0x10001) Com a chave em mãos, crie o certificado (fique atento as perguntas) # openssl req -new -key /etc/ssl/web.key -out /etc/ssl/web.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank Country Name (2 letter code) [XX]:BR State or Province Name (full name) []:PE Locality Name (eg, city) [Default City]:Recife Organization Name (eg, company) [Default Company Ltd]:RENATOFILIZOLA.COM Organizational Unit Name (eg, section) []:RENATOFILIZOLA.COM

13 Common Name (eg, your name or your server's hostname) []:RENATOFILIZOLA.COM Address Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Depois de criar o certificado, você pode enviá-lo a uma unidade certificadora, que o assinará por um valor anual, ou, caso você mesmo pode assinar o certificado, lembrando que, neste caso, o cliente dirá que o certificado não foi reconhecido por uma unidade certificadora. # openssl x509 -req -days 365 -in /etc/ssl/web.csr -signkey /etc/ssl/web.key -out /etc/ssl/web.crt Signature ok subject=/c=br/st=pe/l=recife/o=renatofilizola.com/ou=renatofilizola.com/ CN=RENATOFILIZOLA.COM/ Address=contato@renatofilizola.com Getting Private key Após gerar o certificado, configure seu domínio Virtual: NameVirtualHost *:443 <VirtualHost *:443> DocumentRoot /var/www/html/site_seguro/ ServerName ServerAdmin contato@renatofilizola.com ErrorLog /var/log/httpd/siteseguro-error.log CustomLog /var/log/httpd/siteseguro.com.br-access.log common SSLEngine on SSLCertificateFile /etc/ssl/web.crt SSLCertificateKeyFile /etc/ssl/web.key </VirtualHost> <VirtualHost *> DocumentRoot /var/www/html/site1/ ServerName ErrorLog /var/log/httpd/site1.log </VirtualHost> OBS: É necessário ter o módulo do SSL carregado no arquivo de configuração do Apache. LoadModule ssl_module modules/mod_ssl.so

14 Caso queira fazer o redirecionamento de HTTP para HTTPS adicione o seguinte código: RewriteEngine On RewriteCond %{REQUEST_METHOD} ^(TRACE TRACK) RewriteRule.* - [F] RewriteRule /site_seguro(.*) OBS: Para que haja o redirecionamento é necessário estar configurado o VirtualHost na porta 80 Ex: <VirtualHost *:80> ServerAdmin contato@renatofilizola.com DocumentRoot /var/www/site_seguro ErrorLog /var/log/httpdsite_segurox.log LogLevel warn CustomLog /var/log/httpd/site_seguro.log combined RewriteEngine On RewriteCond %{REQUEST_METHOD} ^(TRACE TRACK) RewriteRule.* - [F] RewriteRule ^(.*)$ </VirtualHost> Ex: A solicitação que ele fizer para ele redirecionará para OBS: É necessário ter o módulo carregado no arquivo de configuração do Apache. LoadModule rewrite_module modules/mod_rewrite.so

15 Proxy reverso para Apache Crie um arquivo no /etc/httpd/conf.d/modproxy.conf e adicione as seguintes informações: ProxyRequests Off ProxyPreserveHost On <Proxy *> Order deny,allow Allow from </Proxy> # Sistemas ProxyPass /sistemas ProxyPassReverse /sistemas ProxyPass /intranet ProxyPassReverse /intranet Caso o IP do Servidor que você vai configurar seja: Com o modproxy configurado, no browser você irá digitar: Acessar o servidor local http /sistemas Acessar o servidor de Sistemas com IP http /intranet Acessar o servidor da Intranet com IP Ele fará um redirecionamento, porém toda solicitação será do próprio servidor. Servidor Local Servidor Sistemas É muito interessante caso você tenha um único IP válido e precisa que os clientes acessem os outros servidores Web que estão localizados na sua Intranet.