Od A do Z konfiguracji Linux-a do bezpiecznego lokalnego hostingu

Jestem w trakcie ponownej instalacji systemu operacyjnego na komputerze, który będzie używany do obsługi kilku aplikacji dla naszej firmy. Aplikacje będą tylko lokalne; dostęp z zewnętrznych klientów będzie możliwy tylko przez VPN.

Wcześniejsza konfiguracja korzystała z panelu kontrolnego hostingu (Plesk) dla większości administratorów i zastanawiałem się nad użyciem innego podobnego oprogramowania do ponownej instalacji - ale pomyślałem, że powinienem w końcu dowiedzieć się, jak to wszystko działa. Mogę zrobić większość rzeczy, które oprogramowanie by dla mnie zrobiło, ale nie jestem pewien, co do symbiozy tego wszystkiego. To wszystko jest próba dalszego dystansowania się od kraju programisty / programisty , jeśli to w ogóle możliwe.

Nigdzie nie mogę znaleźć pełnego przewodnika po tym, czego szukam, więc pomyślałem, że postawię to pytanie, a jeśli ludzie mogą mi pomóc w drodze, zredaguję je odpowiedziami i udokumentuję moje postępy / pułapki. Mam nadzieję, że któregoś dnia to pomoże komuś zejść na dalszy plan.

Szczegóły:

CentOS 5.5 x86_64
httpd: Apache / 2.2.3
MySQL: 5.0.77 (do aktualizacji)
PHP: 5.1 (do aktualizacji)

Wymagania:

BEZPIECZEŃSTWO!!
- Bezpieczny transfer plików
- Bezpieczny dostęp klienta (certyfikaty SSL i urząd certyfikacji)
- Bezpieczne przechowywanie danych
- Bezpieczne połączenie z innym komputerem lokalnym (MySQL)
Virtualhosts / wiele subdomen
Lokalny adres e-mail byłby miły, ale nie krytyczny

Kroki:

Pobierz najnowszą wersję DVD Cento DVD-iso (torrent działał dla mnie świetnie).

Zainstaluj CentOS:
Podczas instalacji sprawdziłem opcję Składniki serwera, myśląc, że będę używał innego administratora podobnego do Pleska. Z perspektywy czasu, biorąc pod uwagę, że zdecydowałem się pójść własną drogą, prawdopodobnie nie był to najlepszy pomysł.

Podstawowa konfiguracja:
skonfiguruj użytkowników, adres sieciowy / IP itp. Aktualizacja / aktualizacja Yum.

Uaktualnienie PHP / MySQL:
Aby zaktualizować PHP i MySQL do najnowszych wersji, musiałem szukać innego repozytorium poza CentOS. IUS wygląda świetnie i cieszę się, że go znalazłem!

Dodaj repozytorium IUS do naszego menedżera pakietów

cd /tmp
wget http://dl.iuscommunity.org/pub/ius/stable/Redhat/5/x86_64/epel-release-1-1.ius.el5.noarch.rpm
rpm -Uvh epel-release-1-1.ius.el5.noarch.rpm
wget http://dl.iuscommunity.org/pub/ius/stable/Redhat/5/x86_64/ius-release-1-4.ius.el5.noarch.rpm
rpm -Uvh ius-release-1-4.ius.el5.noarch.rpm
yum list | grep -w \.ius\. # list all the packages in the IUS repository; use this to find PHP/MySQL version and libraries you want to install

Usuń starą wersję PHP i zainstaluj nowszą wersję z IUS

rpm -qa | grep php # to list all of the installed php packages we want to remove
yum shell  # open an interactive yum shell
remove php-common php-mysql php-cli #remove installed PHP components
install php53 php53-mysql php53-cli php53-common #add packages you want
transaction solve #important!! checks for dependencies
transaction run #important!! does the actual installation of packages.
[control+d] #exit yum shell
php -v
PHP 5.3.2 (cli) (built: Apr  6 2010 18:13:45)

Zaktualizuj MySQL z repozytorium IUS

/etc/init.d/mysqld stop
rpm -qa | grep mysql # to see installed mysql packages
yum shell
remove mysql mysql-server #remove installed MySQL components
install mysql51 mysql51-server mysql51-devel
transaction solve #important!! checks for dependencies
transaction run #important!! does the actual installation of packages.
[control+d] #exit yum shell
service mysqld start

mysql -v
Server version: 5.1.42-ius Distributed by The IUS Community Project

Instrukcje aktualizacji dzięki uprzejmości IUS wiki: http://wiki.iuscommunity.org/Doc/ClientUsageGuide .

Zainstaluj rssh (zastrzeżoną powłokę), aby zapewnić dostęp scpi sftpdostęp bez zezwolenia na sshlogowanie

cd /tmp
wget http://dag.wieers.com/rpm/packages/rssh/rssh-2.3.2-1.2.el5.rf.x86_64.rpm
rpm -ivh rssh-2.3.2-1.2.el5.rf.x86_64.rpm
useradd -m -d /home/dev -s /usr/bin/rssh dev
passwd dev

Edytuj, /etc/rssh.confaby przyznać dostęp do SFTP użytkownikom rssh.

vi /etc/rssh.conf

Odkomentuj lub dodaj:

allowscp
allowsftp

Pozwala mi to połączyć się z maszyną za pomocą protokołu SFTP w Transmit (mój wybrany program FTP; jestem pewien, że jest podobny do innych aplikacji FTP).

instrukcje rssh zawłaszczone (z uznaniem!) z http://www.cyberciti.biz/tips/linux-unix-restrict-shell-access-with-rssh.html .

Skonfiguruj interfejsy wirtualne

ifconfig eth1:1 192.168.1.3 up #start up the virtual interface
cd /etc/sysconfig/network-scripts/
cp ifcfg-eth1 ifcfg-eth1:1 #copy default script and match name to our virtual interface
vi ifcfg-eth1:1 #modify eth1:1 script

# ifcfg-eth1: 1 | zmodyfikuj, aby wyglądało to tak:
DEVICE = eth1: 1
IPADDR = 192.168.1.3 NETMASK
= 255.255.255.0
NETWORK = 192.168.1.0
ONBOOT = tak
NAZWA = eth1: 1

W razie potrzeby dodaj więcej interfejsów wirtualnych, powtarzając. Ze względu na ONBOOT=yeswiersz w pliku ifcfg-eth1: 1 interfejs ten zostanie uruchomiony, gdy system uruchomi się lub sieć uruchomi się / uruchomi ponownie.

service network restart

Wyłączanie interfejsu eth0: [OK]
Wyłączanie interfejsu eth1: [OK]
Wyłączanie interfejsu sprzężenia zwrotnego: [OK]
Uruchomienie interfejsu sprzężenia zwrotnego: [OK]
Uruchomienie interfejsu eth0: [OK]
Uruchomienie interfejsu eth1: [OK]

ping 192.168.1.3

64 bajty z 192.168.1.3: icmp_seq = 1 ttl = 64 czas = 0,105 ms

Virtualhosts

W powyższej sekcji rssh dodałem użytkownika do użycia dla SFTP. W katalogu domowym tego użytkownika utworzyłem folder o nazwie „https”. W tym miejscu będą istnieć dokumenty tej witryny, więc muszę dodać wirtualny host, który będzie do niego wskazywał. Będę korzystać z powyższego interfejsu wirtualnego dla tej witryny (tutaj o nazwie dev.site.local).

vi /etc/http/conf/httpd.conf

Dodaj następujące na końcu httpd.conf:

<VirtualHost 192.168.1.3:80>  
    ServerAdmin dev@site.local  
    DocumentRoot /home/dev/https  
    ServerName dev.site.local  
    ErrorLog /home/dev/logs/error_log  
    TransferLog /home/dev/logs/access_log  
</VirtualHost>

Umieszczam fikcyjny plik index.html w katalogu https, żeby wszystko sprawdzić. Próbowałem przejść do niego i napotkałem błędy odmowy uprawnień. Dzienniki zawierały jedynie niejasne odniesienie do tego, co się działo:

[Pon 17 maja 14:57:11 2010] [błąd] [klient 192.168.1.100] (13) Odmowa dostępu: odmowa dostępu do /index.html

Próbowałem chmod 777 et. al., ale bezskutecznie. Okazuje się, że musiałem chmod + x katalog https i jego katalogi nadrzędne.

chmod +x /home
chmod +x /home/dev
chmod +x /home/dev/https

To rozwiązało ten problem.

DNS

Obsługuję DNS za pośrednictwem naszego lokalnego systemu Windows Server 2003. Jednak dokumentację CentOS dla BIND można znaleźć tutaj: http://www.centos.org/docs/5/html/Deployment_Guide-en-US/ch-bind.html

SSL

Aby SSL działał, zmieniłem następujące w httpd.conf:

NameVirtualHost 192.168.1.3:443 #make sure this line is in httpd.conf 

<VirtualHost 192.168.1.3:443>  #change port to 443
    ServerAdmin dev@site.local  
    DocumentRoot /home/dev/https  
    ServerName dev.site.local  
    ErrorLog /home/dev/logs/error_log  
    TransferLog /home/dev/logs/access_log  
</VirtualHost>

~~Niestety wciąż próbuję uzyskać dostęp do strony za pomocą protokołu SSL (kod błędu: ssl_error_rx_record_too_long).~~ Jak JamesHannah z wdziękiem podkreślił poniżej , nie ustawiłem lokalizacji certyfikatów w httpd.conf, w ten sposób powodowałem, że strona została rzucona na broswer, gdy certyfikat powodował niechęć przeglądarki.

Najpierw musiałem skonfigurować urząd certyfikacji i utworzyć pliki certyfikatów. Znalazłem świetny (jeśli stary) przewodnik na temat tego procesu tutaj: http://www.debian-administration.org/articles/284 .

Oto odpowiednie kroki, które podjąłem z tego artykułu:

mkdir /home/CA
cd /home/CA/
mkdir newcerts private
echo '01' > serial
touch index.txt #this and the above command are for the database that will keep track of certs

Utwórz openssl.cnfplik w katalogu /home/CA/i edytuj go zgodnie z powyższym opisem. (Dla porównania, mój gotowy plik openssl.cnf wyglądał tak: http://pastebin.com/raw.php?i=hnZDij4T )

openssl req -new -x509 -extensions v3_ca -keyout private/cakey.pem -out cacert.pem -days 3650 -config ./openssl.cnf #this creates the cacert.pem which gets distributed and imported to the browser(s)

Zmodyfikowano openssl.cnfponownie zgodnie z instrukcjami.

#generates certificate request, and key.pem which I renamed dev.key.pem.
openssl req -sha1 -new -nodes -out dev.req.pem -config ./openssl.cnf

Zmodyfikowano openssl.cnfponownie zgodnie z instrukcjami.

#create and sign certificate.
openssl ca -out dev.cert.pem -md sha1 -config ./openssl.cnf -infiles dev.req.pem

WAŻNY!

Przenieś pliki i odwołaj się do nich z httpd.conf w nowej lokalizacji

cp dev.cert.pem /home/dev/certs/cert.pem
cp dev.key.pem /home/certs/key.pem

Zaktualizowałem httpd.conf, aby odzwierciedlić certyfikaty i włączyć SSLEngine:

NameVirtualHost 192.168.1.3:443 

<VirtualHost 192.168.1.3:443>
    ServerAdmin dev@site.local  
    DocumentRoot /home/dev/https  
    SSLEngine on
    SSLCertificateFile /home/dev/certs/cert.pem
    SSLCertificateKeyFile /home/dev/certs/key.pem
    ServerName dev.site.local
    ErrorLog /home/dev/logs/error_log
    TransferLog /home/dev/logs/access_log
</VirtualHost>

Umieść certyfikat CA.p.pem w miejscu dostępnym w sieci i pobierz go / zaimportuj do mojej przeglądarki. Teraz mogę odwiedzić https: //dev.site.local bez błędów i ostrzeżeń.

I tu jestem. Będę kontynuować edycję tego, gdy będę robić postępy. Wszelkie wskazówki dotyczące konfiguracji wiadomości e-mail SSL i / lub konfigurowania bezpiecznego połączenia z innym urządzeniem Box, którym będzie serwer MySQL, będą mile widziane.

— drenażu burzowego
źródło

Nie rozumiem, dlaczego potrzebujesz interfejsów sieci wirtualnej?

— Milan Babuškov

@Milan, ponieważ na tym komputerze będę mieć wiele domen / subdomen. Aby korzystać z VirtualHost i SSL Każda domena / subdomena będzie musiała mieć swój własny adres IP. httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts

— stormdrain

Wygląda mi na marnotrawstwo adresów IP, ale ok. Alternatywnie możesz użyć różnych portów TCP / IP dla każdej domeny - wszystkie pod jednym adresem IP. W ten sposób serwer WWW jest mniej zależny od konfiguracji systemu.

— Milan Babuškov,

@Milan: Ponieważ konfiguracja jest tylko lokalna, mam luksus znacznie większej liczby dostępnych adresów IP niż kiedykolwiek będę potrzebować. Przekonałem się, że konfiguracja dodatkowych interfejsów jest stosunkowo szybkim i bezbolesnym procesem. Gdybym konfigurował ten system do użytku publicznego, dzięki aktualizacjom Apache2.2.x i TLS, VirtualHost wydaje się działać lepiej z SSL: serverfault.com/questions/109766/…

— stormdrain

Zdecydowanie poleciłbym koltsoff.com/pub/securing-centos - bardzo edukacyjny przewodnik na temat zabezpieczania CentOS (z których większość można łatwo zastosować do innych dystrybucji) - nie obejmuje hostingu, ale wszystko w nim powinno być zrozumiane i zastosowane do każdy serwer CentOS, który nie znajduje się za firewallem, który rozumiesz i kontrolujesz.

— dunxd

Ten przewodnik zawiera wiele odpowiedzi na temat używania protokołu SSL z Apache, zawiera instrukcje dotyczące tworzenia certyfikatu z podpisem własnym, uzyskiwania właściwego certyfikatu od uznanego urzędu certyfikacji oraz tworzenia własnego, niezaufanego urzędu certyfikacji w celu utworzenia certyfikatu pełny certyfikat. http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html

Jeśli chodzi o hosty wirtualne i SSL, każdy host będzie potrzebował własnego adresu IP lub brudniejszym rozwiązaniem jest hostowanie ich na innych portach niż standardowe :443ze względu na naturę certyfikatów SSL, wirtualny hosting oparty na nazwie nie dogaduje się z SSL; dlatego potrzebujesz innej metody rozróżnienia; różne porty / adresy IP.

Konfiguracja SSH jest dość łatwa, powinna już działać na twoim serwerze. Będziesz chciał zrobić wiele rzeczy, aby to zablokować.

PermitRootLogin no
AllowGroups admins
PubkeyAuthentication yes
PermitEmptyPasswords no
PasswordAuthentication no

Można go dodać do twojego, /etc/ssh/sshd_configaby ograniczyć zdalny dostęp do roota i usunąć uwierzytelnianie za pomocą hasła, zamiast tego używając loginu publicznego / prywatnego do logowania.

Aby utworzyć parę kluczy SSH, możesz użyć puttygenw systemie Windows; http://putty.very.rulez.org/download.html lub można utworzyć parę kluczy w środowisku Linux tak: ssh-keygen -b 2048 -t RSA -f my_keypair. Spowoduje to utworzenie my_keypairpliku i my_keypair.pubpliku (o nazwie tylko dla tego przykładu, może sugerować nazewnictwo dla twojej nazwy użytkownika lub pozostawienie -fi pozwolenie na wygenerowanie ~/.ssh/id_rsa).

Bezpiecznie przenieś my_keypairna swoją stację roboczą, aby w przyszłości uzyskać dostęp do SSH, jest to klucz prywatny, nie należy go nikomu udostępniać. Następnie na serwerze utwórz $HOME/.sshjeśli nie istnieje, mkdir ~/.ssh, skopiuj klucz publiczny ( my_keypair.pub), aby ~/.ssh/, jeśli masz już authorized_keysw ~/.sshbo zrobiłeś to na inne rzeczy można zrobić cat my_keypair.pub >> authorized_keys, aby dołączyć swój klucz publiczny, lub cp my_keypair.pub authorized_keysjeśli to nie istnieje.

Teraz uruchom chmod 700 ~/.sshi, chmod 644 ~/.ssh/my_keypair.pub ~/.ssh/authorized_keysaby ustawić uprawnienia. Możesz zachować kopię my_keypairw ~/.ssh/celu użycia podczas łączenia z innymi hostami, ale powinieneś zrobić, chmod 600 ~/.ssh/my_keypairaby upewnić się, że nikt inny nie może uzyskać do niej dostępu.

Będziesz chciał dodać dla siebie zwykłe konto użytkownika i dodać się do grupy innej niż users, jak adminsw moim przykładzie.

Prawdopodobnie będziesz również chciał dodać użytkownika lub grupę, /etc/sudoersaby umożliwić sudokorzystanie, jeśli jeszcze tego nie zrobiłeś. Dokonuje się tego za pomocą polecenia, visudoktóre jest jedynym sposobem edycji tego pliku. visudouruchamia sprawdzanie błędów i składni konfiguracji przed jej wypisaniem, zapobiegając utracie sudoużytkowania.

username ALL=(ALL) ALL

Dodane do /etc/sudoerspozwoli usernameuruchomić sudo yum install blahi poprosi o podanie własnego hasła. Jest to przydatne w przypadku, gdy masz innych administratorów lub tymczasowych administratorów, nie musisz udostępniać hasła roota.

— cpbills
źródło

Jeśli tworzysz parę kluczy w systemie Windows z puttygen, pamiętaj, że musisz zmienić format klucza publicznego po przesłaniu go na serwer. Nie pamiętam, jak to zrobić, ale w rzeczywistości jest film.

— ESW,

Problem z twoją konfiguracją SSL polega na tym, że tak naprawdę nie włączyłeś SSL, potrzebujesz do tego dyrektyw Apache:

SSLEngine on
SSLCertificateFile /path/to/cert.pem
SSLCertificateKeyFile /path/to/key.pem

Bez tego dostaniesz zbyt długie błędy rekordów, ponieważ zamiast nagłówków SSL, których oczekiwała twoja przeglądarka, otrzymujesz po prostu niezaszyfrowaną stronę internetową w dużym kawałku.

— JamesHannah
źródło

(bez tego wszystko, co stworzyłeś, to regularny

— vhost

MySQL z oryginalnego pakietu obsługuje SSL. Aby sprawdzić kompilację MySQL, uruchom

mysqladmin variables | grep ssl

Powinieneś znaleźć coś takiego have_ssl yes. Konfigurowanie opcji ssl-ca, ssl-keyi ssl-cert.

Utwórz konta użytkowników z wymaganiami SSL:

create user@host identified by 'password'
grant privilegelist on database.tables to user@host require ssl

— sumar
źródło

Dzięki za odpowiedzi. Zapomniałem jednak wspomnieć, że będę również przechowywać pliki na serwerze db, więc wygląda na to, że stunnel będzie działał lepiej w tym przypadku.

— Stormdrain