Zapobieganie wiązaniu innych aplikacji z portami 80 i 443

W zeszłym tygodniu zadzwonił do mnie przestraszony klient, ponieważ myślał, że jego witryna została zhakowana. Kiedy spojrzałem na jego stronę internetową, zobaczyłem apache2stronę domyślną. Tej nocy mój serwer ( Ubuntu 16.04 LTS) zaktualizował się i uruchomił ponownie. Zwykle gdy coś pójdzie nie tak, zostałbym powiadomiony w nocy. Tym razem nie, ponieważ system monitorowania sprawdza kod stanu HTTP 200, a apache2strona domyślna zawiera kod stanu 200.

Stało się tak, że podczas uruchamiania apache2było szybsze połączenie z portami 80 i 443 niż mój rzeczywisty serwer WWW nginx. Sam nie instalowałem apache2. Przez aptitude why apache2dowiedziałem się pakiet php7.0 wymaga.

Proste usunięcie apache2nie zadziała, ponieważ najwyraźniej wymaga tego php7.0. Czy w jakiś sposób można stworzyć ograniczenie, aby tylko nginx mógł się łączyć z portami 80 i 443?

Inne rozwiązania są również mile widziane.

Nie można zapobiec powiązaniu portu z niewłaściwą usługą. W twoim przypadku po prostu usuń apache z autostartu i powinieneś być dobry.

W przypadku wersji 16.04 i nowszych:

sudo systemctl disable apache2

W przypadku starszych wersji Ubuntu:

sudo update-rc.d apache2 disable

Jeśli tak naprawdę nie używasz apache2, a PHP 7.0 tego wymaga, wygląda na to, że masz libapache2-mod-php7.0zainstalowany. Ten pakiet jest bezużyteczny bez Apache. Ponieważ używasz nginx, prawdopodobnie masz również zainstalowany php7.0-fpmlub php7.0-cgizainstalowany, z których każdy jest wystarczający do spełnienia php7.0wymagań dotyczących zależności:

$ apt-cache depends php7.0
php7.0
 |Depends: php7.0-fpm
 |Depends: libapache2-mod-php7.0
  Depends: php7.0-cgi
  Depends: php7.0-common
  Conflicts: <php5>

Jeśli masz którykolwiek z nich php7.0-{fpm,cgi}, możesz śmiało odinstalować Apache.

Aby odpowiedzieć na twoje pytanie, prawdopodobnie możesz ograniczyć port do konkretnej aplikacji za pomocą SElinux. Sam go nie używałem i mam jedynie powierzchowną wiedzę o jego możliwościach, ale oto wskaźnik, który znalazłem na tej stronie:

/server//a/257056/392230

W tej odpowiedzi wzzrd wydaje się pokazywać, jak udzielić określonej aplikacji (foo) uprawnienia do łączenia się z określonym portem (803). Musisz tylko skonfigurować zasady, aby tylko twoja aplikacja (nginx) była dozwolona dla określonych portów (80 i 443).

Opierając się na odpowiedzi wzzrd, może to być tak proste, jak dodanie tego do polityki

allow nginx_t nginx_port_t:tcp_socket name_bind;

i uruchamiam to

semanage port -a -t nginx_port_t -p tcp 80
semanage port -a -t nginx_port_t -p tcp 443

Chociaż wydaje mi się, że będziesz potrzebować również linii w polityce, która określa, że ​​żaden inny program nie może się połączyć z tymi portami.

W końcu zgaduję, jaka jest odpowiednia konfiguracja.

W każdym razie nie sądzę, aby istniało Ubuntu z zainstalowanym i domyślnie włączonym SElinux. Ponieważ uważam, że wymaga zastosowania pewnych poprawek do różnych narzędzi i opcji jądra, łatwiejsze może być po prostu użycie Centos z zainstalowanym i włączonym SElinux od samego początku.

Przepraszam, nie jestem więcej pomocy. Może kiedyś ściągnę obraz Centos i spróbuję tego; to będzie dobry krok do nauki. Zaktualizuję tę odpowiedź, jeśli to zrobię.

Coś, czego jeszcze nie widziałem w odpowiedziach, ale wciąż istnieje możliwość:

Zmień konfigurację Apache, aby nasłuchiwać na inny port, na wszelki wypadek. Możesz to zrobić, otwierając plik konfiguracyjny Apache i zmieniając linie, które mają Listen 80inny port.

Nie mam odpowiedzi na twoje dokładne pytanie, ale może musisz spojrzeć na swoją dystrybucję. Uważam, że każda dystrybucja, która umożliwia usługi (tutaj Apache2) podczas instalacji, jest niepewna. Zastanów się nad dystrybucją, która tego nie robi. Nie mogę powiedzieć, że kiedykolwiek widziałem takie zachowanie na Archlinux, jestem pewien, że są też inni.