Installer et sécuriser un serveur web LAMP

Transcription

1 Installer et sécuriser un serveur web LAMP Version Date Révision Auteur /01/2015 Initiation du document Shura /11/2015 Ajout des dockers à l annexe Shura

2 Description Installer un serveur lamp Linux, Apache, MySQL, PHP est plutôt simple, cependant la plupart ne sont pas sécurisés côté système. Il existe pourtant des moyens simples et rapides à mettre en place pour compliquer la vie aux hackers qui tenteront d'en prendre le contrôle. Dans cet article nous allons passer en revue les configurations et outils permettant de blinder votre serveur web. Installation est configuration de base Mise à jour du système Le système choisi et une Debian stable, qu'il faut commencer par mettre à jour. # aptitude update && aptitude upgrade Installer Apache et MySQL Choisissez les paquets appropriés, dans notre cas nous prenons les derniers disponibles à l'écriture de cet article. # aptitude install apache2 apache2-utils php5 php5-dev mysql-server-5.5 php5-mysql PHPMyAdmin PHPMyAdmin est l'outil indispensable pour gérer vos bases de données, nous l'installons également. # aptitude install phpmyadmin A ce stade vous avez un serveur web fonctionnel, dont l'administration des données peut se faire via Ce qui n'est pas bon, c est trop facilement trouvable, il faut changer l'url par défaut de phpmyadmin. Éditez le fichier /etc/apache2/conf.d/phpmyadmin.conf et remplacer : Alias /phpmyadmin /usr/share/phpmyadmin par : Alias /alias_phpmyadmin /usr/share/phpmyadmin Recharger la configuration : # service apache2 reload Configuration d'un site web Ajouter un utilisateur Nous allons créer un utilisateur dont les droits se limiteront à la lecture et l'écriture des fichiers de votre site internet. # adduser developper --home /var/www/monsite.com/ 2

3 L'accès à votre site se fera via client SFTP de façon à crypter la liaison. Pour autoriser et limiter l'accès à cet utilisateur, ajouter les éléments suivant à la fin de la configuration sshd /etc/ssh/sshd_config. Match user developper ChrootDirectory /var/www/monsite.com/ ForceCommand internal-sftp AllowTCPForwarding no Redémarrer le service sshd : # service ssh restart Création des répertoires Répertoires racines du site : # mkdir /var/www/monsite.com # mkdir /var/www/monsite.com/www # chown developper.developper /var/www/monsite.com/www Si vous souhaitez mettre en place sur votre site un système d'upload de fichier, vous pouvez créer le répertoire comme ceci. # mkdir /var/www/path/to/upload # chown developper.developper /var/www/path/to/upload # chmod 777 /var/www/path/to/upload A ce stade vous devriez être capable de vous connecter de manière sécurisée en SFTP (avec FileZilla par exemple), et d'uploader le site avec les droits de l'utilisateur developper. Activation de mod_rewrite Certains sites comme ceux développés avec Zend Framework ont besoin d'un moteur de réécriture à base de règles (définie dans un.htaccess). Pour les utiliser, il faut activer le mod_rewrite d'apache. # a2enmod rewrite (Il ne faut pas oublier l'instruction «AllowOverride all» dans votre VirtualHost) Création du VirtualHost Voici un exemple de configuration d'un VirtualHost (/etc/apache2/sitesavailable/monsite.com) avec mod_rewrite pour le domaine monsite.com situé en /var/www/monsite.com/ : <VirtualHost *:80> ServerAdmin webmaster@monsite.com ServerName ServerAlias monsite.com DocumentRoot /var/www/monsite.com/www/ <Directory /var/www/monsite.com/www/> Order allow,deny allow from all AllowOverride all </Directory> 3

4 ErrorLog /var/log/apache2/monsite.com-error.log TransferLog /var/log/apache2/monsite.com-access.log </VirtualHost> Comme ci-dessus, spécifier les fichiers de logs par nom de (sous) domaine, c'est plus facile de s'y retrouver en cas de besoin d analyse. Appliquer la configuration à apache : # a2ensite monsite.com # service apache2 reload Création d'une base MySQL Connectez-vous à phpmyadmin : Utilisateur : root ; Mot de passe : Celui choisi lors de l'installation de mysql. Puis créer une base de données pour le site ainsi qu'un utilisateur associé. Utiliser de préférence le générateur de mots de passe et ne donner que les droits minimum à votre utilisateur. Généralement ceci suffit : SELECT INSERT UPDATE DELETE Ne perdez pas de vu qu'il est possible avec MySQL d'affiner et de créer des droits même pour un seul champ d'une table. Sans tomber dans l'excès pouvant gêner l'évolution de l'application, il est possible de sécuriser les données. Egalement, ne perdez pas de vu non plus qu'il est possible de créer plusieurs utilisateurs pour des utilisations spécifiques de la base de données ou des tables. Sécurisation Apache Fuites d'informations Afin d'éviter de fournir des informations de versions, par exemple lors d'une erreur 404 mal gérée, il convient de ne pas afficher la bannière de ce type. 4

5 Ajouter donc les 2 instructions suivantes à la fin du fichier /etc/apache2/conf.d/security : ServerSignature Off ServerTokens Prod Listage de répertoires Pour éviter une erreur d'un développeur qui a oublié de mettre un index il convient de spécifier à la fin du fichier de configuration /etc/apache2/apaches2.conf : <Directory /var/www/* > Options -Indexes </Directory> Remonter dans les répertoires Pour ne pas qu'un script PHP (ex : une backdoor) permette d'explorer les répertoires en amont de celui de /monsite.com il faut le spécifier dans le VirtualHost. <Directory /var/www/monsite.com/www/ >... php_admin_value open_basedir /var/www/monsite.com/... </Directory> Ajouter également : <Directory /var/www/monsite.com/www/ >... php_admin_value upload_tmp_dir /var/www/monsite.com/tmp/... </Directory> Comme vous appliqué cette restriction à /var/www/monsite.com/, le site n'a plus accès à /tmp, il faut créer un nouveau répertoire tmp. # mkdir /var/www/monsite.com/tmp # chown monsite.monsite /var/www/monsite.com/tmp # chmod 777 /var/www/monsite.com/tmp Apache mod_security mod_security est un module de protection d'apache et des failles applicatives PHP connu (XSS, SQL Injection, include, etc.). 5

6 Installation # aptitude install libapache2-modsecurity # a2enmod mod-security # cd /etc/modsecurity # mv modsecurity.conf-recommended modsecurity.conf Ajout des règles de filtrage Pour les versions <= libapache2-modsecurity_2.6.6 : # wget # mv v2.2.5 v2.2.5.tar.gz # tar xvzf v2.2.5.tar.gz # mv SpiderLabs-owasp-modsecurity-crs-5c28b52 modsecurity-crs # cd modsecurity-crs # mv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf Sinon, pour les autres versions, adapter la version des règles à la version de mod_security. À la fin de cette étape les attaques seront logées dans le fichier /var/log/apache2/modsec_audit.log. Configuration Pour activer le mode bloquant éditer le fichier /etc/modsecurity/modsecurity.conf et replacer : SecRuleEngine DetectionOnly Par : SecRuleEngine On Pour exclure un VirtualHost des règles de filtrage comme PHPMyAdmin, ajouter la ligne suivante au VirtualHost /etc/apache2/conf.d/phpmyadmin.conf. SecRuleEngine Off Ajouter à la fin de votre fichier /etc/apache2/apache2.conf ceci afin d'activer les règles : <IfModule security2_module> Include /etc/modsecurity/modsecurity-crs/modsecurity_crs_10_setup.conf Include /etc/modsecurity/modsecurity-crs/base_rules/*.conf </IfModule> Appliquer la configuration : # service apache2 restart Apache mod_evasive mod_evasive est un module de protection d'apache pour contrer les attaques DOS. Il détectera lorsqu'un utilisateur (ou un outil automatisé) demande un trop grand nombre de pages sur un site web selon un délai de temps défini. 6

7 Installation # aptitude install libapache2-mod-evasive # a2enmod mod-evasive # mkdir -p /var/log/apache2/mod_evasive # chown -R www-data:www-data /var/log/apache2/mod_evasive # ln -s /usr/bin/mail /bin/mail Configuration Ajouter à la fin de votre fichier /etc/apache2/apache2.conf : <IfModule mod_evasive20.c> DOSHashTableSize 3097 # Max 50 requêtes par seconde par IP DOSSiteCount 50 DOSSiteInterval 1 # Max 5 pages ouvertes en 5 secondes par IP DOSPageCount 5 DOSPageInterval 5 # On bloque l'ip 30 secondes DOSBlockingPeriod 30 # Fichiers de log DOSLogDir "/var/log/apache2/mod_evasive/" </IfModule> Quelques explications : Directives Descriptions DOSHashTableSize Taille de la table de hachage. Plus cette valeur sera grande, moins il faudra d'itérations pour identifier un enregistrement. En revanche, la consommation de mémoire sera plus importante. Sur des serveurs Web à forte charge, il est recommandé d'augmenter cette valeur. DOSSiteCount/DOSSiteInterval Le nombre maximal de requêtes qu'une adresse IP peut faire sur le site pendant l'intervalle de temps DOSSiteInterval (en secondes). DOSPageCount/DOSPageInterval Le nombre maximal de requêtes qu'une adresse IP peut faire sur la même URL pendant une unité de temps DOSPageInterval (en secondes). Notez que dans l'url les paramètres ne sont pas pris en compte. DOSBlockingPeriod Durée pendant laquelle une adresse IP en liste noire sera refusée. Une IP refusée se verra retourner une erreur 403. DOS Notify Adresse à laquelle envoyer une notification lorsqu'une adresse IP est ajoutée en liste noire. DOSSystemCommand Commande appelée lorsqu'une IP est bloquée. On peut, par exemple, utiliser iptable et rejeter toutes les requêtes provenant de cette IP. 7

8 DOSWhiteList Spécifie une ou plusieurs adresses IP à ne jamais positionner en liste noire. Apache avec SSL Configuration Voici la configuration d'https pour Apache dans le cas d'intégration d'un certificat wildcard. Pour les autres cas Google est votre ami. Activer SSL pour Apache : # a2enmod ssl Ajouter ces lignes au fichier /etc/apache2/ports.conf : <IfModule mod_ssl.c> Listen 443 NameVirtualHost VOTRE_ADRESSE_IP:443 </IfModule> Créer le répertoire suivant et copier vos clés dedans : # mkdir /etc/ssl/ssl-monsite.com/ Re-hash de la structure SSL : # c_rehash /etc/ssl/certs Création du VirtualHost /etc/apache2/sites-available/ssl-monsite.com : <VirtualHost *:443> ServerAdmin webmaster@monsite.com ServerName ServerAlias monsite.com DocumentRoot /var/www/monsite.com/www/ <Directory /var/www/monsite.com/www/> Order allow,deny allow from all php_admin_value open_basedir /var/www/monsite.com/ php_admin_value upload_tmp_dir /var/www/monsite.com/tmp/ AllowOverride all </Directory> SSLEngine On SSLCertificateFile /etc/ssl/ssl-monsite.com/monserveur.crt SSLCertificateKeyFile /etc/ssl/ssl-monsite.com/monserveur.key ErrorLog /var/log/apache2/monsite.com-error.log TransferLog /var/log/apache2/monsite.com-access.log </VirtualHost> Appliquer la configuration : # a2ensite ssl-monsite.com # service apache2 restart 8

9 MySQL Politique de mots de passe Les mots de passe de MySQL sont convoités par les attaquants, leur permettant d'avoir accès aux données. Les mots de passe sont stockés dans mysql.user, accessible par défaut avec le compte root. De nombreuses méthodes comme des sites web de craquage en ligne de hash MySQL, attaques par dictionnaire, brutforce ou raimbow tables existent. Pour éviter qu'un attaquant les récupère par exemple avec une SQL Injection, il ne faut JAMAIS utiliser le compte root de MySQL pour autre chose que l'administration. Pour toute autre action, créez des comptes utilisateurs. Un mot de passe fort doit faire au moins 12 caractères et contenir des minuscules, majuscules, chiffres. Post-Installation Exécuter la commande suivante puis répondez «Yes» à toutes les questions : # mysql_secure_installation Bonnes pratiques Éviter autant que possible d'ouvrir le port MySQL à tout le monde, limité l'accès à des IP spécifiques, si le service MySQL est accessible à distance il ne faut pas autoriser l'accès à distance au compte root mais uniquement sur le localhost (PHPMyAdmin aura toujours accès). Lorsque vous créez un compte utilisateur pour une base de données, il ne faut lui donner que les droits absolument nécessaires. Politique de mise à jour Tous les jours de nouvelles failles sont découvertes et des patchs sont publiés, donc les mises à jour d'un système sont importantes pour sa sécurité. On peut définir 2 politiques de mise à jour pour les systèmes critiques et non critiques. Système critique Demandant une administration quotidienne et une forte continuité d'activité, le système critique demandera des mises à jour manuelles de sécurité en contrôlant les dépendances avant upgrade. Attention à la rétrocompatibilité des versions de PHP à mettre à jour avec les applications qui sont en production! Système non critique Ses paquets installés sont peu nombreux et sans problèmes de compatibilités et ne demandant pas de continuité d'activée et d'administration paranoïaque. Les systèmes non critiques pourront faire leurs mises à jour de sécurité automatiquement quotidiennement. # aptitude install unattended-upgrades # dpkg-reconfigure -plow unattended-upgrades Pour paramétrer plus finement les mises à jour (update/upgrade), vous pouvez utiliser le fichier /etc/apt/apt.conf.d/20auto-upgrades. 9

10 Pour choisir le type de mise à jour autorisé, décommettez les lignes du fichier /etc/apt/apt.conf.d/50unattended-upgrades que vous souhaitez activer. Le résultat des mises à jour sera journalisé dans ce répertoire : /var/log/unattendedupgrades/. Annexe : Durcissement Système Sans parler d'outils d'analyse réseau (ex : SNORT) qui sort du contexte de ce document, lors de projet d'envergure aux données très sensibles il convient de durcir le système en installant un HIDS/IPS et d'isoler les démons sensibles tels qu'apache et MySQL. Cette partie ce veut juste informative, elle permet de donner un point de départ. Il serait trop long de détailler toutes les configurations des outils présentés. Détection d'intrusion H-IDS OSSEC OSSEC est un (Host Intrusion Detection System) est tout à fait applicable à un serveur web. Il permet de surveiller l'intégrité des fichiers systèmes. Il détecte les rootkits, les scans de ports, et analyse les logs du système, des applications et des services. Le logiciel propose également un système de réponses actives (IPS). Manuel d'installation d'ossec : Isoler les démons Chroot Chroot est utilisé pour isoler un ou plusieurs démons dans une arborescence restreinte. Vous pouvez l'utiliser pour isoler des services d'autres services, pour que les problèmes de sécurité d'un paquet logiciel ne mettent pas en péril le serveur tout entier. Exemple d'installation chroot pour Apache : Entre virtualisation et container Les Dockers Les dockers permettent de simuler un ensemble applicatif au sein de l OS de l hôte, cela de façon isolée au sein d un container. Il ne s agit donc pas de créer une machine virtuelle. Docker est un outil qui peut empaqueter une application et ses dépendances dans un conteneur virtuel, qui pourra être exécuté sur n'importe quel serveur Linux. 10