Sveiki, jau trečia savaitė ruošiu informaciją apie saugaus web serverio paruošimą CentOS 5.0 aplinkoje. Tikiuosi viską užbaigti per ateinantį mėnesį. Dokumentacija susidės iš pilno Apache+Lighttpd serverio paruošimo, proxy ir "load-balancingo" paruošimo, saugaus php, jo optimizavimo, mysql, postgre ir oracle 'supporto' serveryje, limitų apribojimo, apsaugos nuo atakų, keletas minčių apie fuzzinimą ir auditą tinkle/serveryje.
Kadangi ne viskas rašosi taip greitai kaip norėtusi, todėl pateikiu dar pilnai nebaigtas dalis, šį kartą apie Apache. Tikiuosi greitu metu pateiksiu ir antrą dalį apie php
Jeigu šis būdas Jums pasirodys keistas ir/arba nepriimtinas - bibliotekas galite instaliuotis iš 'packaged source', tai priklauso tik nuo jūsų.
Taip pat neradau vietos forume, kur galėčiau postinti < ?
1. Bibliotekų paruošimas.
# mkdir -p /root/siuntiniai
# wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/
# wget http://www.gzip.org/zlib/zlib-1.2.3.tar.bz2
# wget http://www.openssl.org/source/openssl-0.9.8e.tar.gz
# wget http://www.libgd.org/releases/gd-latest.tar.bz2
1.1 rpmbuild.
Jeigu iškils problemų su 'rpmbuild', siūlau susikurti šias direktorijas :
# mkdir $HOME/rpm
# mkdir $HOME/rpm/SOURCES
# mkdir $HOME/rpm/SPECS
# mkdir $HOME/rpm/BUILD
# mkdir $HOME/rpm/SRPMS
# mkdir $HOME/rpm/RPMS
# mkdir $HOME/rpm/RPMS/i386
# echo "%_topdir $HOME/rpm" >> $HOME/.rpmmacros
Užrašai : Kaip žinia $HOME - tai jūsų vartotojo 'namų' direktorija, pvz /root , /home/beck, taip pat mano siūlymas būtų - naudoti 'rpmbuil' ne su 'root' teisėmis, o su paprastu vartotoju, vėliau 'suidintis'.
2. Apache 2 Instaliavimas.
Taigi, pradedame instaliuoti apache. Yra du būdai, vienas iš jų - instaliuoti iš 'source', o kitas - pasidaryti rpm, tarkime 'yum' ir 'rpm' šiuo atveju atkrenta, nes apache 'statymas iš 'repositorių' tokių kaip rpm,yum, apt-get, emerge ar kitų yra paprasčiausiai _negerai_ .
# wget http://www.apache.lt/httpd/httpd-2.2.4.tar.gz && tar zxf httpd-2.2.4.tar.gz && cd httpd-2.2.4
# ./configure --help
Užrašai : Prieš pradėdami kompiliuoti - pasiskaitykite apie galimą konfiguraciją.
# ./configure --prefix=/etc/httpd --exec-prefix=/etc/httpd --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/httpd/conf --enable-info --enable-auth-digest --enable-cache --enable-cern-meta --enable-deflate --enable-disk-cache --enable-expires --enable-headers --enable-proxy --enable-vhost-alias --enable-echo --enable-file-cache --enable-ssl --enable-module=so --enable-rewrite --enable-so --enable-suexec --with-suexec-docroot=/ --with-suexec-caller=apache --with-suexec-userdir=public_html --with-suexec-logfile=/var/log/httpd/suexec_log --with-suexec-bin=/usr/sbin/suexec --with-mpm=prefork --includedir=/usr/include/apache --libexecdir=/usr/lib/apache --datadir=/var/www --localstatedir=/var
Šių paketų turėtų užtekti, kartais reikalyngos 'apr' bibliotekos, jeigu 'kompiliavimo' metu iškils problemų - žiūrėkite čia : http://packages.ubuntu.com/cgi-bin/search_...amp;release=all
Užrašai : Pateikta konfiguracija, naudos "/etc/httpd" direktoriją taip pat suexec galimybę (įrašai saugomi - /var/log/httpd/suexec_log faile) , o tinklapių direktorija bus "public_html".
Apsvarstymas - suexec ar suPHP ?
Taigi, prieš konfiguruodami ir paleisdami savo web serverį į platujį internetą turėsite nuspręsti - kurį iš šių modulių naudoti. Yra daug už/prieš tiek suexec pusėje tiek suPHP.
suPHP suteikia daugiau galimybių, stipriai padidina saufumą, tačiau neveikia su kešavimu ir tinkalpių akseleravimu (eAccelerator, MMCache). Tačiau kitoje medalio pusėje - suExec. suExec - puikiai veikia su jau minėtais kešavimo ir akseleravimo produktais, tačiau turi nedaug konfiguravimo galimybių.
Jeigu nekilo jokių problemų su konfiguravimu, tesiame darbą toliau :
# make && make install
Patikriname ar _tikrai_ visi reikalyngi moduliai buvo sukompiliuoti su apache.
# httpd -l | wc -l
Šiuo atveju turėtų būti viso 47 moduliai.
Jeigu norite galite naudoti rpm.
Mūsų dažniausiai naudojami failai httpd.conf,httpd-ssl.conf ir httpd-vhosts.conf randasi kiek 'toli' (/etc/httpd/conf/*extra/), todėl naudojame 'ln' (symlink) darbo pagreitinimui - tai sutrumpins kelia iki failų.
# ln -s /etc/httpd/conf/httpd.conf /etc/httpd.conf
# ln -s /etc/httpd/conf/extra/httpd-ssl.conf /etc/ssl.conf
# ln -s /etc/httpd/conf/extra/httpd-vhosts.conf /etc/vhosts.conf
3. Apache paruošimas darbui.
Viską metam 'kažkur' į apache http.conf failą.
#apache procesų limitavimas.
RLimitMEM 496911018
RLimitCPU 240
#Pakeiskite timout iki 15s.
Timeout 15
#Šį nustatymą pakeiskite į "Prod"
ServerTokens Prod
# Pakeiskite šį nustatymą Į "Off" arba "mail", kad rodytų jūsų nustatytą serverio 'root' el.paštą.
ServerSignature Off
#Klaidų nukreipimas, žinoma galima pasirinkti ir specialiai sukurtus tinklapius.
ErrorDocument 500 /
ErrorDocument 404 /
ErrorDocument 403 /
ErrorDocument 402 /
3.1 Klaidų nukreipimas.
Galite panaudoti 404 klaidai, 404.shtml failą, jame pridėti ši tekstą :
<!-- Klaida : tinklapis nebuvo rastas -->
<!--#echo var="HTTP_REFERER" --> </br>
<!--#echo var="REMOTE_ADDR" --> </br>
<!--#echo var="REQUEST_URI" --> </br>
<!--#echo var="HTTP_HOST" --> </br>
<!--#echo var="HTTP_USER_AGENT" --> </br>
<!--#echo var="REDIRECT_STATUS" --> </br>
Užrašas : pirma eilutė pridės tekstą prie HTML kodo (jis nebus matomas), HTTP_REFERER - nurodo vietą iš kurios atvyko lankytojas, REMOTE_ADDR - lankytojo IP adresas,
REQUEST_URI - lankytojo ieškotas puslapis, HTTP_HOST - jūsų web serverio adresas, HTTP_USER_AGENT - vartotojo naršyklės informacija, REDIRECT_STATUS - statusas. Daugiau apie klaidų handling'ą skaitykite 'apache' dokumentacijoje.
# Prie mod_rewrite pridėkite šį tekstą, jis bus naudojamas su visais tinklapiais serveryje, tai panaikins TRACE galimybę, jeigu norite galite naudoti tik 'virtual host' direktyvose.
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
</IfModule>
4.0 Apache serverio modulių instaliavimas ir paruošimas darbui.
Greitai aptarsime mūsų naudojamus modulius, sukonfiguruosime, patikrinsime ir paleisime. Prisiminkite, kad visados galite keisti jų nustatymus, bei pritaikyti savo poreikiams.
4.1 Instaliuojame ir konfiguruojame "mod_evasive".
Nedidelis komponentas leisiantis mums kiek apsisaugoti nuo atakų, 'crawlerių' ir nekviestų svečių.
# wget http://www.zdziarski.com/projects/mod_evas...e_1.10.1.tar.gz
# tar zxf mod_evasive_1.10.1.tar.gz
# cd mod_evasive
# /usr/sbin/apxs -i -a -c mod_evasive20.c
Į httpd.conf automatiškai bus pridėtas "LoadModule evasive20_module /usr/lib/apache/mod_evasive20.so", jeigu ne, pridėkite.
httpd.conf faile pridėkite :
<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 10
DOSBlockingPeriod 600
</IfModule>
Priklausomai nuo lankytojų, jų aplankomų puslapių, atvertimų skaičiaus, tai gali būti kiek per griežti 'rulesetai', todėl galite naudoti ir kiek paprastesnius, pvz .:
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
Malonu susipažinti, štai ir pasaulį išvydo mūsų "trumpų įrašų" dienoraštis internete. Sėdėjau mūsų ofise, sekmadienis, laukia šliapa ir lyja, todėl iš to didelio nuobodžiavimo sumaniau pradėti daryti... Labai gražus tinklapio dizainas, minimalistinis (mm) ir aš jį ruošiuosi šiek tiek pakeisti, na bet ne dabar, laikas toliau dirbti .
4.1 Instaliuojame ir konfiguruojame "mod_cband" .
Šis modulis skirtas mūsų serverio perduodamų duomenų srauto limitavimui, tai padės priskirti prioritetus tinklapiams (tarkime tai bus mūsų mažas 'trafficshaperis') - turime vieną bendrą katilą, kuriame yra tinklapio lankytojai, redaktoriai, administratoriai ir Jūs, todėl ši sistema gali būti pritaikyta ne vien vartotojams, bet ir tiems puslapiams ir/arba vietoms prie kurių visados turi būti priėjimas (jeigu interneto kanalas yra nedidelis).
4.1.1 Instaliavimas.
# cd /tmp
# wget http://cband.linux.pl/download/mod-cband-0.9.7.4.tgz
# tar xzvf mod-cband-0.9.7.4.tgz
# cd mod-cband-0.9.7.4
# ./configure (naudokite "--help" vėliavėlę (flag) jeigu reikia kokių nors specifinių nustatymų)
# make
# make install
Pabaigoje turėtumete pamatyti užrašą :
# chmod 755 /usr/lib/apache/mod_cband.so
# [activating module `cband' in /etc/httpd/conf/httpd.conf]
Ir jeigu taip neatsitiko, savo httpd.conf faile pridėkite - "LoadModule cband_module /usr/lib/apache/mod_cband.so"
4.1.2 Konfiguravimas
"mod_cband" naudoja šiuos vienetus duomenų srauto skaičiavimui :
Perdavimo greitis :
* kbps: 1024 bitų per sekundę.
* Mbps: 1024*1024 bitų per sekundę.
* Gbps: 1024*1024*1024 bitų per sekundę.
* Pagal nutylėjimą naudojamas kbps.
Duomenų kvotos:
* K: 1000 bitai.
* M: 1000*1000 bitai.
* G: 1000*1000*1000 bitai.
* Ki: 1024 bitai.
* Mi: 1024*1024 bitai.
* Gi: 1024*1024*1024 bitai.
* Pagal nutylėjimą naudojamas K.
Laiko tarpai:
* S: sekundės.
* M: minutės.
* H: valandos.
* D: dienos.
* W: savaitės.
* Pagal nutylėjimą naudojamas S.
4.1.3 Nurodome httpd.conf faile 'cband' informacijos 'išvalymą'.
CBandScoreFlushPeriod 1
CBandRandomPulse On
4.1.4 Nurodome perduodamų duomenų greitį.
<VirtualHost 10.19.3.15>
ServerName www.speedserver.lt
ServerAdmin
[email protected] DocumentRoot /home/speedracer/public_html
CBandSpeed 10240 120 80
CBandRemoteSpeed 230kb/s 3 3
</VirtualHost>
Šiuo atveju "CBandSpeed" direktyva nurodo maksimalų 10240 kbps greitį (t.y. 10 mbps; 1280 kb/s), maksimaliai 120 užklausų vienu metu ir 80 'open' prisijungimų mūsų speedserver.lt tinkalpiui.
4.1.5 Antroji dalis. Dar labiau limituojame tinklapio srautą ir perduotų duomenų skaičių.
<VirtualHost 10.19.3.15>
ServerName www.speedserver.lt
ServerAdmin
[email protected] DocumentRoot /home/speedracer/public_html
CBandLimit 10000M
CBandSpeed 10240 120 80
CBandRemoteSpeed 230kb/s 3 3
CBandPeriod 4W
CBandExceededURL http://www.speedserver.lt/vat_ir_baigesi_srautas.html
</VirtualHost>
Na o čia nurodomas 'CBandLimit 10000M' - tai 10000 Mb duomenų per 4 savaites (CBandPeriod 4W), o 'CBandExceededURL' nurodo puslapį į kurį bus nukreipiami lankytojai, kai baigsis duomenų srautas.
4.1.6 Web priėjimas prie statistikos
Norėdami peržiūrėti dabartinius srauto limitus, apkrovas, vartotojus ir kitą, pridėkite "/cband-status" direktyvą savo '/etc/vhost.conf' faile.
<VirtualHost 10.19.3.15>
ServerName www.speedserver.lt
ServerAdmin
[email protected] DocumentRoot /home/speedracer/public_html
CBandLimit 10000M
CBandSpeed 10240 120 80
CBandRemoteSpeed 230kb/s 3 3
CBandPeriod 4W
CBandExceededURL http://www.speedserver.lt/vat_ir_baigesi_srautas.html
<Location /cband-status>
SetHandler cband-status
</Location>
<Location /cband-status-me>
SetHandler cband-status-me
</Location>
</VirtualHost>
Užrašas : Platesnę informaciją ir dokumentaciją rasite http://cband.linux.pl/documentation puslapyje.
Jeigu radote klaidų, prašau leisti man apie tai žinoti, dėkui...
link gavo reakciją nuo DeiLau Online aukcionas - laimek daug geru prizu!
link gavo reakciją nuo suvalgysiu Atsisiuntei? Susitiksime teisme