Hacking Security Sites part 16

Cần thiết để ứng hiệu báo cáo những yêu cầu thực hiện đến server. mod_mime: Cần thiết để chỉnh lý nhóm chữ cái, mã hoá nội dung, tùy tác, ngôn ngữ nội dung và các loại MIME đại diện cho các loại tài liệu.Hacking Security Sites part 16
Nội dung trích xuất từ tài liệu:
Hacking Security Sites part 16mod_log_config: Cần thiết để ứng hiệu báo cáo những yêu cầu thực hiện đến server.mod_mime: Cần thiết để chỉnh lý nhóm chữ cái, mã hoá nội dung, tùy tác, ngôn ngữ nộidung và các loại MIME đại diện cho các loại tài liệu.Tất cả các modules khác của Apache phải được tắt bỏ. Chúng ta có thể tắt bỏ chúng mộtcách an toàn bởi vì chúng ta không cần đến chúng. Do tắt bỏ những modules không cầnthiết, chúng ta tránh được trường hợp có thể bị đột phá khi những yếu điểm bảo mật vừađược khám phá thuộc về một trong những modules này.Cũng nên nhắc đến là có hai modules của Apache có thể nguy hiểm hơn các moduleskhác là: mod_autoindex và mod_info. Module thứ nhất cung cấp chức năng tự động sắpxếp thư mục và module này được phép chạy theo mặc định. Có thể dễ dàng dùng nó đểxác định xem Apache được dùng trên một server nào đó hay không (ví dụ:http://server_name/icons/) và để lấy nội dung của các thư mục trên Web server dẫu khôngcó các mục lục trong những thư mục này. Module thứ nhì, mod_info không nên cho phéptruy cập từ Internet chính vì lý do nó tiết lộ cấu hình của Apache.Câu hỏi kế tiếp là làm sao biên dịch các modules. Phương pháp tĩnh được xem là lựachọn tốt hơn hết. Nếu những yếu điểm của Apache vừa được khám phá, có lẽ chúng ta sẽkhông những tái biên dịch các modules bị lỗi mà sẽ tái biên dịch trọn bộ software. Chọnphương pháp tĩnh, chúng ta triệt tiêu nhu cầu của thêm một module nữa - mod_so.Lời bàn và mở rộng:Chọn lựa các modules cho Apache server thích hợp với từng nhu cầu là một việc khókhăn và mất thời gian. Chọn lựa đúng module và bảo đảm tính bảo mật lại càng khó khănhơn. Ðể xác định module nào cần thiết và bảo đảm, việc chọn lựa và theo dõi bug trackcho từng module là một điều rất cần thiết. Hiện nay có trên 200 modules lớn nhỏ, đủ loạichức năng cho Apache server. Bạn nên tham khảo thông tin ở website này cho công táclựa chọn: http://modules.apache.org/Website trên có sẵn search engine giúp bạn trong việc khảo sát và lựa chọn modules.Biên dịch softwareTrước tiên - nếu có bất cứ miếng vá (patch) nào cho bảo mật thì phải thực hiện ngay. Sauđó, server được biên dịch và cài đặt như sau:Code:./configure --prefix=/usr/local/apache --disable-module=all --server-uid=apache --server-gid=apache --enable-module=access --enable-module=log_config --enable-module=dir --enable-module=mime --enable-module=auth(lệnh trên trải dài trong 1 dòng, không tách rời ra thành nhiều dòng)makesuumask 022make installchown -R root:sys /usr/local/apacheLời bàn và mở rộng:Ðối với các bạn chưa làm quen hoặc chỉ mới bắt đầu làm quen đến *nix, khái niệm biêndịch software có lẽ khá mới mẻ và lạ lẫm. Tuy nhiên, cảm giác này chỉ ở bước đầu trongquá trình làm quen mà thôi. Hầu như các bước trong phân đoạn biên dịch software chocác software khác nhau đều tương tự như nhau.Ðiều lý thú trong vấn đề biên dịch software trên phương diện bảo mật ở đây, ngoài cơhội có thể xem mã nguồn, tìm lỗi, tìm lổ hổng từ mã nguồn, bạn còn có cơ hội thiết lập vàbiên dịch software mình cần theo ý muốn. Trong đoạn lệnh ./configure ở trên minh hoạcụ thể tính tự do ở chỗ bạn có toàn quyền muốn thêm hoặc bớt module tùy thích. Tínhlinh động trong vấn đề biên dịch software và tính đóng kín khi dùng một installshieldtrở nên hiển nhiên khi đem ra so sánh. Khi bạn phải cài một software gồm các binaries đãđược biên dịch (theo khuôn khổ nào đó) sẵn, bạn không có nhiều cơ hội quyết định hoặcchọn lựa theo ý muốn nữa. Ðây là một trong những nguyên tắc khá quan trọng cho nhữngai quan tâm hoặc làm việc trực tiếp đến vấn đề bảo mật.Ðổi root của serverBước kế tiếp giới hạn các process của Apache truy dụng vào các hệ thống hồ sơ. Chúngta có thể thực hiện vấn đề này bằng cách chrooting phần daemon chính của server(httpd). Tổng thể mà nói, thủ thuật chrooting có nghĩa là tạo một cấu trúc nguồn thưmục mới, dời chuyển các hồ sơ daemon vào đó và chạy các daemon thích ứng trong môitrường mới này. Nhờ vào đó, daemon (và cái process con) chỉ sẽ truy dụng đến cấu trúcthư mục mới.Chúng ta bắt đầu chu trình này bằng cách tạo ra một thư mục mới bên trong thư mục/chroot/httpd:mkdir -p /chroot/httpd/devmkdir -p /chroot/httpd/etcmkdir -p /chroot/httpd/var/runmkdir -p /chroot/httpd/usr/libmkdir -p /chroot/httpd/usr/libexecmkdir -p /chroot/httpd/usr/local/apache/binmkdir -p /chroot/httpd/usr/local/apache/logsmkdir -p /chroot/httpd/usr/local/apache/confmkdir -p /chroot/httpd/wwwChủ nhân của các thư mục trên phải là root và quyền truy dụng nên chỉnh lý ở mức 0755.Kế tiếp, chúng ta tạo hồ sơ thiết bị đặc biệt /dev/null:ls -al /dev/null(crw-rw-rw- 1 root wheel 2, 2 Mar 14 12:53 /dev/null)mknod /chroot/httpd/dev/null c 2 2chown root:sys /chroot/httpd/dev/nullchmod 666 /chroot/httpd/dev/nullMột phương pháp khác cần dùng để tạo thiết bị /chroot/httpd/dev/log, thiết bị này cầnthiết để server làm việc đúng mức. Trong trường hợp hệ thống FreeBSD, cần thê ...