Como faço para impedir que o Apache seja executado como root?

7

Novo no trabalho, pequeno lugar e as coisas de segurança acabaram de chegar na minha mesa. Fui contratado para ser um desenvolvedor de front-end. Feliz em aprender coisas novas, mas nunca teve que fazer coisas sysadmin antes.

Comecei a cavar e parece que o apache, o site e tudo está sendo executado no root. Não há outros grupos ou usuários. ACK!

Quais passos devo tomar para mudar isso? Eu sei que isso é um grande não-não ...

Pontos de bônus se alguém puder me indicar um bom tutorial básico sobre segurança do apache / php.

    
por r00tAcc3ss 21.02.2012 / 16:57

2 respostas

11

É incomum encontrar o Apache rodando como root em qualquer configuração de estoque. Como você determinou que o Apache está sendo executado como root? Note que o Apache deve iniciar como root para se ligar a portas com privilégios, mas normalmente lança seus privilégios mais tarde.

Você pode examinar sua configuração do Apache (geralmente em /etc/httpd ou /etc/apache2 , dependendo de sua distribuição) para as diretivas User e Group (documentado aqui ). Essas duas diretivas controlam sob qual ID de usuário o Apache é executado.

Também é incomum encontrar um sistema que tenha "nenhum outro grupo ou usuário". O que getent passwd e getent group mostram? Existem realmente outros usuários ou grupos que não sejam root ? A maioria das distribuições é enviada com um usuário apache ou www-data ou algo assim e uma configuração correspondente que executará o Apache como esse usuário.

Há uma variedade de guias introdutórios à configuração e segurança do Apache. Uma simples pesquisa no Google gera muitos resultados esperados. O Guia de Implantação do RedHat / CentOS é um bom lugar para começar (se você estiver em um sistema RedHat / CentOS).

    
por 21.02.2012 / 17:56
0

Você pode executar o Apache como qualquer usuário com números de porta maiores que o número da porta privilegiada 1024+. Em seguida, use o encaminhamento de porta para encaminhar o tráfego das portas 80 e 443 para suas portas específicas.

    
por 01.05.2018 / 23:52