книги хакеры / журнал хакер / 106_Optimized

«Антивирусы, автоматически проверяющие все открываемые файлы на лету, брандмауэры и прочие защитные механизмы на сервере лучше всего не устанавливать»

Внешне Win2k3 очень похож на XP

•DNSClient(«DNS-клиент»)—Microsoftпугаетнас,чтоеслиотключить этуслужбу,токомпьютернесможетраспознаватьдоменныеимена. Чепуха!Практическивсесетевыеприложениязанимаютсяраспознанием доменныхименсамостоятельно,имненеизвестнаниоднапрограмма, котораябынапрямуювзаимодействоваласDNS-клиентом.Авотслужба ActiveDirectoryбезнегоработатьнебудет,этоточно.

•ErrorReportingService(«Сервиссоставленияотчетовобошибках»)стоит прищемитьнакорнюкакзлостногостукача,собирающегоинформацию обошибкахиотправляющегоеевMicrosoft.

•HelpandSupport(«Помощьиподдержка»)—ещеоднаабсолютноненуж- наяслужба,отключениекоторойникомунеповредит.

•IPSECServices(«СервисыIPSEC»)идутвмусорку,потомучтоимсовершеннонечегоделатьврамкахлокальнойсети,когдазлоумышленнику прощесестьзакомпьютер,чемврезатьсявкабель.

•LogicalDiskManager(«Менеджерлогическихдисков»)реальнонужен толькотем,кто,следуязаветамMicrosoft,обновилобычныедискидо динамическихиобзавелсяпроблемамипополной.Всемостальнымэта службадолампочки.

•NetworkLocationAwareness(NLA)—ещеодинбесполезныйстукач,сле-

дящийзасостояниемсетиипосылающийуведомленияслужбамWindows FirewallиInternetConnectionSharing,которыенафайловомсерверетакже стоитотключить.

•RemoteRegistry(«Удаленныйдоступкреестру»)—зачемнамудаленный доступкреестру?Выключаемнемедленно.Ареестромбудемрулитьчерез физическийдоступилиутилитытипаRAdmin.

•WirelessConfiguration(«Беспроводнаяконфигурация»)—отключаем, еслилокальнаясетьпостроенанавитойпаре,аненановомодныхWi-Fi адаптерах.

Примечание:отключениенекоторыхслужбможетпривестиктому, чтосервервообщеоткажетсязагружаться.Непаникуй!Простозайдив RecoveryConsole(«Консольвосстановления»)ивоспользуйсякомандой enable,принимающейдвааргумента:имязапускаемойслужбыитип запуска,например:enableeventlogservice_auto_start.

Еслитынеуверенвсвоихдействиях,товместоотключения(disabled) службывыбирайручнойтипзапуска(manual),которыйнасамомделене совсемручной,апростоподразумеваетвозможностьзапускаслужбыиз другихслужб,которыевнейнуждаютсяикоторыебезнеемогутработать неправильноилинеработатьсовсем.Еслипослепереводаслужбыв manualприследующейзагрузкесервераонавсе-такистартовала(статус Started),значитимеютсянеустраненныезависимостиипереводитьеев disabledследуетсоченьбольшойосторожностью.

Такжеможнопопробоватьостановитьслужбупрямонарабочемсервереи посмотреть,чтоизэтогополучится.Кстатиговоря,вотличиеотпредыду-

щихверсий,Win2k3препятствуетотключениюжизненноважныхслужб (например,службыудаленноговызовапроцедур—RPC,накоторойдер- житсявсяподсистемаwin32),такчтоможносмелоэкспериментировать.

Шаг шестой: отказ от антивирусов

Антивирусы,автоматическипроверяющиевсеоткрываемыефайлына лету,брандмауэрыипрочиезащитныемеханизмынасерверелучшевсего неустанавливать.Поверьмоемупечальномуопыту.СампосебеWin2k3

—довольнонадежнаяштука,инаисправномжелезеонаработаетбез перезагрузокгодами,авотзащитныесистемывнедряютсявядронастольконеумело,чтоголубыеэкраныпоявляютсясзавиднойрегулярностью, особеннонадвуядерныхпроцессорахиSMP-системах.

Можно,конечно,отключитьвсепроактивныекомпоненты,оставиводин лишьантивирусныйсканер,вызываемыйпорасписанию(некоторые администраторыименнотакипоступают),новседеловтом,чтосканер (дажезапущенныйсминимальнымприоритетом)серьезнотормозитработусервера,вызываянедовольствопользователей.Теоретическиможно спланироватьрасписаниетак,чтобысканерзапускалсятольковночное времяилиповыходным,ноиногдафирмамприходитсяработатьвавральномрежимеиночью(неговоряужеовыходных),исервертуттормозить будетсовсемнекстати.

Антивирусов,установленныхнарабочихстанциях,вполнедостаточнодля обеспечениянадлежащегоуровнябезопасности,темболеекогдафайловомусерверузакрытдоступвинтернет.

Шаг седьмой: создание резервных копий

СразужепослеустановкиWin2k3настоятельнорекомендуетсясоздать резервнуюкопиюсистемыспомощьюутилитыMSBackup(смотристатью «Реставрируемокна»),позволяющейвосстановитьупавшийсерверза несколькоминутбезнеобходимостиегопереустановки.

Такжеполезноподключитьксерверуещеодинжесткийдиск,установить нанегоWin2k3(илисделатькопиюсистемногодискаспомощьюNorton Ghost)и...физическиотключитьегодолучшихвремен.Тогдаприкрахе системымысможемнемедленнопереключитьсянарезервныйдиск, простопереткнувшлейфы.

Заключение

Разумеется,тонкостиустановкииработысWin2k3этимнеисчерпываются,ивперединасждетмного«интересных»дней,нештатныхситуацийи головоломныхпроблем.Нобезвыходныхситуацийнебывает,такчтоне стоитопускатьсвойхвостипасоватьпередсложностями.Этодажехорошо,чтожизньтакаясложная.Иначебынам,администраторам,пришлось быразделитьучастьмамонтов.z

ХАКЕР.Pro

подготовительные Мероприятия

ЗапоследниедесятьлетбыловыпущенонескольковерсийExchangeServer (4.0,5.0,5.5,2000и2003),каждаяизкоторыхполучилаобновленные функции.ВыходExchange2007(ранееизвестногокакExchange12)тожене сталисключением.Приегоразработке,котораяначаласьещедопоявленияверсии2003,былипроанализированыиучтенытенденциипоследних летипожеланияпользователейиадминистраторов.

УстановкаExchangeникогданебыласложнойзадачей,еслизаранеепроанализированасетьивыполненывсеусловия.Дляпроверкиготовности следуетиспользоватьинструментExchangeServerBestPracticesAnalyzer

—ExBPA(technet.microsoft.com/en-us/exchange/bb288481.aspx),хотяон большеполезенприобновленииипоследующейдоводкесистемы, чем при первичной установке. Далее следует убедиться, что используемая среда отвечает всем требованиям. Одни требования касаются

>>

ХАКЕР

Создание обслуживаемого домена

аппаратнойипрограммнойчасти,другие—настроекActiveDirectoryи сервисов,участвующихвработеExchange.

ПриустановкеExchange2007будутсозданыуниверсальныегруппыбезопасности,которыемогутсуществоватьтольковдоменах,находящихсяв основномрежимеWindows2000Serverиливболеесовершенномрежиме. Есликонтроллердоменанаходитсявсмешанномрежиме,установкабудет прервана.Чтобыизменитьфункциональныйуровеньдомена,открываем оснастку«ActiveDirectory—доменыидоверие»,находимвдеревеконсоли свойдоменивконтекстномменюпункт«Повыситьфункциональныйуровеньдомена».Выбираем«ОсновнойрежимWindows2000»или«Windows Server2003»инажимаемкнопку«Повысить».Длявсехдоменоввлесу ActiveDirectory,гдебудетустановленExchange2007,междулесамидолжны бытьустановленыдоверительныеотношения.

Контроллердомена,являющийсяхозяиномсхемы(Schemamaster)и глобальнымкаталогом(GlobalCatalog),долженработатьподуправлениемWindowsServer2003сустановленнымпакетомобновленийSP1или SP2.Естественно,необходимаужеработающаяDNS-инфраструктура. Но,вотличиеотпредыдущихверсий,администраторуненужновручную подготавливатьActiveDirectory,всенеобходимоесделаетмастервовремя установки.Идажеесликакие-либотребованиянебудутвыполнены, мастервыдаствсенадлежащиерекомендациипоисправлениюситуации.

ЗапустивнаSchemaMasterфайлsetup.exeсключом/PrepareAD,можно подготовитьдоменвручную,ноеслиорганизацияужеиспользуетранние версииExchange,следуетиспользоватьключи/PrepareLegacyExchangePe rmissionsи/PrepareSchema.Стоиттакжеотметить,чтоневсероли,вкоторыхможетвыступатьExchange,требуютобязательногоналичияAD.

Вконце2005годабылообъявлено,чтодляувеличениямасштабируемости

ипроизводительностиExchange2007будетработатьтолькона64 разрядныхпроцессорах.Ведьприиспользовании64 разряднойадресациисервер можнооснаститьбольшимобъемомоперативнойпамяти,котораяможет бытьиспользована,например,длякэшированиястраницбазыданных,да

иодругихпараметрах,вродемаксимальногоразмерафайла,заботиться ужененужно.Такойшагвызвалмножествоспоров,и,хотясегоднявспискеприсутствуют32 битныесистемы,важноучесть,что32 разряднаяверсияExchange2007предоставляетсятолькодлятестированияиобучения, дляпроизводственныхсредонанепредназначена.Дляработыследует устанавливатьииспользоватьтолько64 разряднуюверсию.

Итак,дляустановкинампотребуетсякомпьютерспроцессоромкласса x64,поддерживающимIntelEM64TилиAMD64(нонепроцессорцы Itanium).РекомендуемымобъемомОЗУявляется2Гбплюс5Мбнакаждыйпочтовыйящик.Раздел,вкоторыйустанавливаетсяExchange,должен бытьотформатированподфайловуюсистемуNTFSииметьнеменее1,2Гб

Этап проверки готовности сервера

свободногоместа.Вотличиеотпредыдущихверсий,Exchange2007имеет встроенныеслужбыSMTP(SimpleMailTransferProtocol),адляпередачи сообщениймеждусерверамивнутриорганизациииспользуетсяMAPI,

поэтомуслужбыNNTP(NetworkNewsTransferProtocol)иSMTPнедолжны бытьустановлены.Длянекоторыхролейпонадобитсявключитьили установитьсетевойдоступкCOM+,настроитьслужбуIIS.Кромеэтого,в системедолжныбытьустановленытриобязательныхпродукта:Microsoft

.NETFramework2.0(go.microsoft.com/fwlink/?linkid=63033),MMC3.0 (support.microsoft.com/?kbid=907265)иWindowsPowerShell1.0(support. microsoft.com/kb/926139).ЕслимастерустановкиExchangeнеобнаружит наличиеэтихкомпонентов,ссылкидляихустановкибудутприведеныв сводномэкране.Установленныекомпонентыбудутнеактивныиподсвеченысерымцветом.

Установка Exchange 2007

Установочныйфайлразмеромпочти700Мбможноскачатьнасайте Microsoftпослерегистрации.Дляустановкипонадобятсяправаадминистраторадомена.Распаковываемархивизапускаемнаходящийсявнутри файлsetup.exe.Мастерустановки,которыйзапускаетсяпослевыбора «УстановитьMicrosoftExchange»,имеетинтуитивныйинтерфейс,поэтому сампроцессдостаточнопонятендаженовичку.

УстановкаExchangeстоитчетвертойпосписку,первыетрипункта должныбытьвыполнены(отмеченысерым).Далеепринимаемусловия лицензионногосоглашения,решаем,следуетлиотправлятьотчетыоб ошибкахвMicrosoft,ивыбираемвариантустановки.Доступныобычная ивыборочнаяустановки.Первыйвариантподходитдлябольшинства случаев,будутустановленывсероли,заисключениемEdgeTransport.Если нужнонастроитьработуExchangeвкластере,выбратьконкретныероли сервераилиустановитьтолькоконсольуправления,следуетиспользовать второйвариант.Хотябольшинствопараметровможноперестроитьпосле установки.ВследующемокневводимимяорганизацииExchange,приустановкепервогосервераорганизацииэтотпараметробязателен.Вимени организациинедолжнобытьспециальныхсимволов,атакженачальныхи конечныхпробелов.

Настранице«Параметрыклиента»указываем,используетсялинаклиентскихкомпьютерахOutlook2003илиболееранний.Есливыбранответ «Да»,насерверепочтовыхящиковбудетсозданабазаданныхобщихпапок (PublicFolders).ПрииспользованииOutlook2007общиепапкинеявляютсяобязательными,принеобходимостиэтотпараметрможноизменитьв ужерабочейсистеме.

Переходимкответственномуэтапу«Проверкаготовности»,входекоторогосистемаисервербудутпроверенынаготовностькустановкеExchange.

ХАКЕР.PRO

СводныйэкранустановкиExchange

Здесьужепотребуетсяподключениекинтернету.Всегобудетпроверено 4элемента.Еслитестнепройден,можнопройтипоссылке«Рекомендуемоедействие».Послеустраненияошибокследуетнажатькнопку «Повторитьпопытку».Есливсетестынаготовностьпройдены,появится кнопка«Установка»,нажатиекоторой,собственно,изапуститустановкуExchange.Взависимостиотвыбранныхролейэтотпроцессзаймет определенноевремя,поокончаниижмемкнопку«Готово».

Пятымшагомвменюустановкиявляетсязагрузкаобновлений Exchange.ПосленеезапускаетсяконсольуправленияExchangeиможно приступатькнастройкеегоработы.

Процедуры, выполняемые после установки

ДляуправленияExchange2007администраторможетзадействовать несколькоинструментов:консольуправленияExchange(ранееExchange SystemManager),средууправленияExchange(команднаяконсоль

Exchange,ранееMonad),оснастку«ActiveDirectory—пользователии компьютеры»иExBPA.Консольуправленияявляетсяосновныминструментом,хотядляавтоматизацииповторяющихсязадачлучшеиспользоватькоманднуюконсоль.Всеоперациирассмотретьнеполучится,тем болеечтовзависимостиотиспользуемойсхемыонимогутотличаться, поэтомуразберемнаиболеетипичныенастройки,чтобы,быстросориентировавшись,можнобылосразуприступитькработе.

ПослеустановкиExchange2007рекомендуетсяпроверитьправильность инсталляции.Этоможносделать,запустивкомандлетGet-ExchangeServer всредеуправления.Ондолженпоказатьсписоквсехролейсервера.Если вовремяустановкивозниклиошибки,источникпроблемыможновыявить,заглянуввотчеты,которыенаходятсявкаталогеExchangeSetupLogs раздела,кудаустанавливалсяExchange.Простоищемстроки,содержащие слово«Ошибка».Каквариант—всеподобныесообщенияможноотобрать командой«Get-SetupLogc:\exchangesetuplogs\exchangesetup.log-error».

Кромеэтого,следуетиспользоватьиExBPA,которыйможновызватькак черезменю«Пуск»,такивыбравпункт«Анализаторсоответствиярекомендациям»вконсолиуправленияExchange.Послепервогозапускаконсолиследуетвнимательноознакомитьсясзаданиямивовкладке«Завершениеразвертывания»,онипомогутвнастройкеразличныхпараметровдля установленныхролейсервера.

Всеролисервераможнонайти,открыввкладку«Конфигурацияорганизации».Выбрав«Почтовыеящики»,настраиваемпараметрыпочтового ящика,которыебудутприменятьсяковсейорганизации.Каждаявкладкапредставляетсобойоднуизфункцийпочтовогоящика.Так,в«Списке адресов»представленыполучатели,сгруппированныепонекоторым признакам.Выбраввправойколонкессылку«Создатьсписокадресов»,

Выбор типа установки

можносоздатьновыесписки.Вэтойжеролинастраиваютсяуправляемыепапкииполитики,которыепомогаютихсгруппировать.Управляемыепапкибываютдвухвидов:поумолчанию(например,«Входящие»)и настраиваемые.Каждыйвиднастраиваетсявсвоейвкладке.Поумолчаниюсоздаетсяавтономнаяадреснаякнига(OAB),вкоторуювключены всеклиенты.Такаякнигапозволяетклиентамэлектроннойпочты просматриватьспискиадресовбезподключенияксерверуExchange. Выбрав«Создатьпараметрыуправляемогосодержимого»,можнозадать настройки,которыебудутконтролироватьобработкусодержимого указанныхуправляемыхпапок,напримерсрокхранениясообщений, ихпересылкунадругойадрес.НастройкиОАВ(обновление,поддержка клиентов,спискиадресов)изменяютсяводноименнойвкладке.Впункте«Клиентскийдоступ»настраиваютсяполитикипочтовыхящиков ExchangeActiveSync,определяющие,какпользователисмогутиспользоватьмобильныеустройствадляподключенияксерверуExchange. ПослеустановкиExchangeбудетприниматьиотправлятьпочтутолько дляодногодомена.Еслиорганизацияиспользуетнесколькодоменов,ихнеобходимоавторизовать.Дляэтогоследуетнастроитьроль «Транспортныйсервер-концентратор».Здесьнескольковкладок.Так, в«Обслуживаемыхдоменах»можнопросмотретьсписоктекущихдоменовипринеобходимости,выбрав«Создатьобслуживаемыйдомен»,

добавитьостальныедоверенныедомены.Послепринятияпочтыстаких доменовExchangeможетдоставитьееполучателю,передатьнасервер электроннойпочты,расположенныйвдругомлесу,илиотправитьна пограничныйсервер,которыйадресуетеепоназначению.Вовкладке «Правилатранспорта»задаемусловиянасоответствие,покоторым будутпроверятьсявсесообщения(отправитель,получатель,темаипрочее).В«Политикахадресовэлектроннойпочты»определяетсяформат поумолчаниюдляпсевдонимовпользователей.ВExchange2007для подключениякудаленнымсистемамэлектроннойпочтыиспользуются отправляющиесоединителиSMTP,которыесоздаютсявовкладке«Соединителиотправки».Запустивсоответствующиймастер,необходимо указатьудаленныйSMTP-узелимаршруткнему.

Добавление администраторов и пользователей

Послеустановкибудутсозданытригруппыадминистраторов Exchange со своими ролями, предназначенными для выполнения определенных операций. Это «Администратор организации», «Администратор получателей» и «Администратор Exchange с правами на просмотр». Чтобы добавитьновую роль илиизменить разрешение, следует выбрать «Конфигурацию организации», затем вправом окне «Действия» нажать «Добавить администратора». В появившемся окне указываем

>>

ХАКЕР

Инструменты консоли управления Exchange

пользователя(илигруппу),которыйбудетдобавленвкачествеадминистратора,егорольиподчиненныйсервер.Удалитьлюбуюгруппуможно вэтойжевкладке.

ВовремяустановкиExchangeбудетсозданпочтовыйящикадминистратора,дляостальныхпользователейящикнеобходимосоздатьсамостоятельно.Дляэтогопереходимвовкладку«Настройкаполучателей»,появитсямастерсозданияпочтовогоящика.Напервомшагенеобходимо определитьтиппочтовогоящика,внашемслучаеэто«Почтовыйящик пользователя».Затемвыбираемтиппользователя.Здесьвозможныдва варианта.ЕслипользовательужезарегистрированвAD,товыбираем «Существующийпользователь»иуказываемеговследующемокне.Иначеотмечаем«Новыйпользователь»ивокне«Сведенияопользователе» вводимвсюнеобходимуюинформацию:подразделение,имядлявхода, парольипрочее.Опциональноможносделатьтак,чтобыприпервой регистрациипользовательсменилпароль.Указанныйпарольдолжен удовлетворятьтребованиямполитик,иначесозданиепочтовогоящика завершитсясошибкой.Просмотретьполитикиможнов«Политика безопасностидоменаПараметрыбезопасностиПолитикиучетных записейПолитикапаролей».Теперьпереходимкшагу«Параметры почтовогоящика»,гдевводимпсевдоним,выбираемсерверExchange, группухраненияпоумолчанию,базуданныхиполитикипочтовыхящиков.Далеечитаемсводкупараметров,есливсеустраивает,нажимаем «Создать».ВсводкетакжеможнопросмотретькомандусредыуправленияExchange,котораябылаиспользованаприсозданиипочтовогоящика.Удалитьпочтовыйящикещепроще:отмечаемеговокне«Настройка получателей»инажимаемкнопку«Удалить»вокне«Действия». Дваждыщелкнувполюбойучетнойзаписи,можнопросмотретьиотредактироватьеесвойства.Большинствовкладокповторяютпараметры, введенныеприсозданиипочтовогоящика,ноестьидругие.Например, вовкладке«Функциипочтовогоящика»можноактивироватьилиотклю-

читьOutlookWebAccess,ExchangeActiveSync,единуюсистемуобмена сообщениями(требуеткорпоративнойлицензии),MAPI.Вовкладке «Параметрыпотокапочты»задаютсяпараметрыдоставки(пересылкаи делегированиеразрешений),ограниченияразмерасообщений,ограничениядоставкисообщений.Последнеесвойствопозволяетуказать,кому разрешено,акомузапрещеноотправлятьсообщенияполучателю.Если пользовательимеетнесколькоадресов,ихзаносятв«Адресаэлектроннойпочты»,основнойадресбудетвыделенжирнымшрифтом.Выбрав пункт«Квотыхранилища»вовкладке«Параметрыпочтовогоящика», длятекущегопользователяможноустановитьперсональныенастройки дляразныхсостоянийпочтовогоящика(предупреждениеизапретна отправку/получение)ивремяхраненияудаленныхэлементов.

Создание почтового ящика

МызатронулилишьчастьнастроекExchange.Ксожалению,всевозможностиврамкаходнойстатьиописатьневозможно.НонасайтеMicrosoft имеетсядостаточнодокументацииполюбомувопросу.Крометого,в комплектеидетподробнаясправка,переведеннаянарусскийязык.Из русскоязычныхресурсовябыпорекомендовалсайтwww.msexchange.ru. Успехов.z

Ролисервера

Exchange2007

ВраннихверсияхExchangeвключалдвесерверныероли:внешние серверыобслуживалисоединениясклиентами,анавнутренних серверахрасполагалисьпочтовыеящики.ВExchange2007администраторудлявыборадоступноуже5ролей:

1.Клиентскийдоступ(ClientAccessServer,CAS)—аналогвнешнего сервераExchange2003,сервервыступаетпосредникомдляклиентскихсоединенийипредоставляетслужбуOWA.

2.Сервер-концентратор(HubTransport)—выполняетобработкувсе- говнутреннегопотокапочты,применяетполитикумаршрутизации сообщенийиобеспечиваетихдоставкувпочтовыеящики.

3.Серверпочтовыхящиков—главныйузел,накоторомразмещены базыданныхобщихпапокипочтовыхящиков;здесьтакжесоздается автономнаяадреснаякнига.Часторолисерверапочтовыхящикови CASобъединяют.

4.Серверединойсистемыобменасообщениями(UnifiedMessaging)

—занимаетсяобменомголосовымисообщениями,передачейфаксов иэлектроннойпочты.

5.Пограничныйтранспортныйсервер(EdgeTransport)—размеща- етсявдемилитаризованнойзоне(DMZ)вкачествепромежуточного узлаиSMTP-ретранслятора;егозадача—обработкавсегопотока почтыизащитаотспама/вирусов.Такиесерверынеобязательно должныбытьчастьюAD.

Наодномкомпьютереможноразвернутьнесколькосерверныхролей (кромеEdgeTransport).Администрированиеролейвыполняется отдельно,сменуролейможнопроизводитьдинамическибезпереустановкиExchange.Еслисерверныеролибудутразвернутынанескольких компьютерах,устанавливатьихнужновпорядке,указанномвыше.

ХАКЕР.Pro

СЕРГЕй «gRindeR» яРЕМчуК

/ GRINDER@UA.FM /

настраиваеМ ApAcHE

НесмотрянарепутациюкомпонентовLAMP,сегоднятолькоислышно оPHPinclude,SQLinjection,Crosssitescripting(XSS)идругихатаках,на-

правленныхнавеб-сервисы.СогласностатистикеWebApplicationSecurity Consortium(www.webappsec.org/projects/whid/statistics.shtml),именно онизанимаютпервыеместапоколичествузафиксированныхинцидентов.Средиосновныхпричинтакойнегативнойтенденцииназывают широкуюдоступностьинструментов,необходимыхдляпроведенияатаки, инедостаточноевниманиесостороныразработчиковсайтовквопросам безопасности.Условноможновыделить2фактора,снижающихбезопасность:ошибкивадминистрированиииошибкивпрограммировании веб-ресурса.Снимиибудемразбираться.Советыирекомендацииданы применительнокUbuntu/Debian.Подправиврасположениефайлов,их можноиспользоватьивлюбомдругомдистрибутиве.Поумолчанию веб-сервернескрываетназваниеоперационнойсистемы,своюверсиюи информациюонекоторыхустановленныхмодулях.Всеэтозлоумышленникможетиспользоватьприподготовкеатаки.Чтобысделатьиндейца менееболтливым,вконфигурационныйфайлapache2.conf(внекоторых дистрибутивахhttpd.conf)необходимодобавитьследующиестроки:

ServerSignature Off

ServerTokens Prod

ДирективаServerSignatureотвечаетзавыводинформациивнизустраницы,напримерстраницыошибки404илилистингафайловкаталога.Что

именновыводится,определяетServerTokens,значениекоторойпоумолчаниюFull.ПриустановкевProd[uctOnly]будетвыведеноназваниесервера Apacheбезномераверсии,безинформацииомодуляхиверсииопераци- оннойсистемы.Каквариант—можносразузалезтьвисходники(файл httpd.hвApache1.3иap_release.hв2.x)ипередкомпиляциейподправить информациюпосвоемуусмотрению.Внекоторыхстатьяхрекомендуют запускатьвеб-серверподотдельнойучетнойзаписью,приводявкачестве примераnobody.Запускнесколькихразличныхсерверовподэтимпользователемделаетегонеменеемогущественным,чемroot,поэтомудля запускалюбогосервераследуетиспользоватьотдельнуюучетнуюзапись. Например,вUbuntuинекоторыхдистрибутивахэтоwww-data:

$ sudo grep User /etc/apache2/apache2.conf User www-data

Создаемпользователя,отименикоторогобудетзапускатьсяиработать веб-сервер:

$sudo adduser --no-create-home --disabled-password \ --disabled-login www-data

Затемвконфигурационномфайлеуказываем:

User www-data

Group www-data

>>

ХАКЕР

Редактируем Makefile

Теперьустанавливаемнеобходимыеправа:

$ sudo chown -R root:root /etc/apache2

$ sudo /etc/apache2 -type d | xargs chmod 755 $ sudo /etc/apache2 -type f | xargs chmod 644

Аналогичныекомандывыполняемдлякаталогов/var/log/apache2(здесь хранятсяжурналы)и/var/www(соответствуетDocumentRootвUbuntu). Нетникакихпрепятствийдлятого,чтобыубратьиправоначтениеконфигурационныхфайловApache:

$ sudo chmod -R go-r /etc/apache2

Поумолчаниюиндеецзагружаетдовольнобольшоеколичествомодулей. Чтобыпросмотретьте,чтоскомпилированывместесApache,используй apache2ctl-lилиapache2-l.Ксожалению,лишнееизполученногосписка убираетсятолькопутемполнойпересборкииндейца.Всединамически загружаемыемодули(DynamicSharedObject)можнопросмотреть,введя:

$ sudo grep — R LoadModule /etc/apache2/*

Внимательноизучаемполученныйсписокивконфигекомментируемто,что ненужно.Вотсписокмодулей,которыеможнобезболезненноотключить, естественно,убедившись,чтоонидействительнонаминеиспользуются: mod_imap,mod_autoindex,mod_include,mod_info,mod_userdir,mod_status. Apacheподдерживаетдватипааутентификации:basicиdigest(обеспечиваетсямодулемmod_auth_digest).Впервомслучаепарольпередаетсявоткрытомвиде.Прииспользованииэтоготипааутентификацииузлоумышленникаестьвозможностьперехватитьлогинипарольиполучитьдоступ ковсей«охраняемой»области.ВdigestпередаетсяResponse,которыйпредставляетсобойконтрольную(обычноMD5)суммуоткомбинациилогина, пароля,запрашиваемогоURL,методаHTTPистрокиnonce,генерируемой серверомприответе.Строкаnonceпозволяетсделатьэтустрокупоистине уникальной.Длявключенияdigest-аутентификациииспользуем:

AuthType Digest

ОднойизособенностейApacheявляетсяиспользованиетиповогодоступа, когдамногиепараметрылибоустанавливаютсяпоумолчанию,либо наследуютсяотродительскогокаталога.Чтобыизбежатьнеприятностей, следуетпринудительноограничитьвыполнениеCGI-скриптов,SSI(Server SideIncludes)включений,индексированиякаталогаиследованиесимволическимссылкам.Дляэтоговописанииресурсанеобходимодеактивироватьследующиедирективы:

Options All -Indexes -Includes — ExecCGI -FollowSymLinks

Либоотключитьвсесразу:

Правила ModSecurity

Options None

Чтобызлоумышленникнесмогпрочитатьвременныеиликонфигурационныефайлы,используйследующуюконструкцию:

<Files «(^\.ht|~$|\.bak$|\.BAK$)”> Order Allow,Deny

Deny from all </Files>

Невсегдавеб-серверилиотдельныйресурсдолжныбытьвидныизсети. Например,используетсяпрокси,либоэтовнутреннийсерверкомпании. Еслинетвозможностизакрытьдоступбрандмауэромилииспользовать отдельныйинтерфейс,тогдадоступкресурсуследуетограничитьнаосно- ванииIP-адресаилидиапазонаIP-адресов:

Order Deny,Allow

Deny from all

Allow from 192.168.0.0/24

НесмотрянаточтодирективаSatisfyимеетвсегодвапараметра—Allи Any,онапредоставляетвозможностьболеегибкоконтролироватьдоступ кресурсу.Например,намнужно,чтобыдоступкприватнойпапочкемогли получитьтолькозарегистрированныепользователиитолькосуказанных адресов.Какэтосделать?Оченьпросто:

Order Deny,Allow

Deny from all

Require valid-user

Allow from 192.168.0.0/24

Satisfy All

Адлятогочтобыпользователивнутреннейсетимогливообщенерегистрироваться,ставимвместоAllAny.

Еслиизменитьзначениянекоторыхпараметров,можносмягчитьэффект DoS-атаки.Например, Timeout определяет, в течение какого времени сервер будет ожидать ответа клиента. В более ранних версиях Apache значение этой директивы равнялось 1200 секундам, затем оно было уменьшено до 300 сек. Мы можем спокойно его урезать, например, до 60сек(этоотразитсятольконапользователяхсплохимсоединением):

Timeout 60

Поумолчаниюразмерклиентскогозапросанеограничен.Этообстоятельство такжеможетбытьиспользованодляорганизацииDoS-атаки.Администратор всилахпринудительноуказатьразмерзапросавпределахот0(неограничен) до2147483647байт(2Гб)какдлявсегосервера,такидляотдельныхресурсов. Например,чтобыограничитьразмерзапроса100килобайтами,пишем:

ХАКЕР.PRO

Запрашиваем список модулей

LimitRequestBody 102400

Если клиент загружает на сервер некоторые данные (например, содержимоезаполненныхформ),тоэтотпараметрследуетскорректировать. Для противодействия атакам «Отказ в обслуживании» существу-

ет целый ряд директив: LimitRequestFields, LimitRequestFieldSize и LimitRequestLine, MaxRequestsPerChild, MaxClients и некоторые

другие. При необходимости, возможно, их значения стоит пересмотреть, выставив оптимальные для конкретных условий. Как вариант

— для борьбы с DoS-атаками можно применять специальный модуль mod_evasive(www.zdziarski.com/projects/mod_evasive).

Устанавливаем ModSecurity

Значительноповыситьзащищенностьвеб-ресурсаможноспомощью ModSecurity.Этотпроект,созданныйИваномРистикомв2003году, позволяетзащищатьвеб-приложениякакотизвестных,такиотещене- известныхатак.ModSecurityработаетввидемодулявеб-сервераApache, либовавтономномрежиме.Егоиспользованиепрозрачно,установкаи удалениенетребуютизменениянастройкисервисовисетевойтопологии. Крометого,приобнаруженииуязвимогоместатеперьнетнеобходимости правитьисходныекоды,создаваяновыеошибки,—достаточнодобавить правило,запрещающеевредоноснуюкомбинацию.

Врепозитариинекоторыхдистрибутивовужевключеннужныйпакет, следуетпоискатьчто-товродеmod-security.ВDebianдостаточнодобавить в/etc/apt/sources.listновыйрепозитарий:

deb http://etc.inittab.org/~agi/debian/libapache-mod- security2/ etch/

Изатемможноинсталлировать:

#apt-get update

#apt-get install libapache2 mod-security2

УстановитьModSecurityизисходныхтекстовтожепросто.Длясборки необходимызаголовочныефайлыApache,поэтомузабираемисходные текстывеб-сервераизрепозитарияилиссайтапроекта:

$ sudo apt-get apache2 src libxml2 dev

Еслииспользуются исходные тексты,взятые с сайта проекта, то перед компиляцией mod_security следуетсконфигурировать веб-сервер командой ./configureс нужными параметрами (для работы модуля понадобится ‘--enable-unique-id’), а затемвыполнить следующиедействия:

$ wget — c www.modsecurity.org/download/modsecurityapache_2.1.1.tar.gz

$ tar xzvf modsecurity-apache_2.1.1.tar.gz $ cd modsecurity-apache_2.1.1/apache2

ТеперьредактируемMakefile:

$ mcedit Makefile

#Меняем apxs на apxs2 (APache eXtenSion tool) APXS = apxs2

#Каталог с исходными текстами Apache

top_dir = /home/grinder/source/httpd-2.2.4

Компилируеммодуль,останавливаемApache,устанавливаеммодуль:

$ make

$ sudo /etc/init.d/apache2 stop

$sudo make install

Вконфигурационныйфайлвеб-серверадобавляемдвестрочки:

LoadFile /usr/lib/libxml2.so

LoadModule security2_module /usr/lib/modules/mod_ security2.so

Дляудобствавсенастройкиmod_securityлучшевынестивотдельный файл,взявзапримерготовыйшаблониподключивеговapache2.conf директивой:

Include /etc/apache2/mod_security.conf

Копируемшаблониправим:

$ sudo cp modsecurity-apache_2.1.1/modsecurity.conf- minimal /etc/apache2/mod_security.conf

$ sudo mcedit /etc/apache2/mod_security.conf <IfModule mod_security2.c>

SecRuleEngine On

...

SecFilterDefaultAction "deny,log,status:430" </IfModule>

Активируеммодульmod_unique_id:

$ sudo a2enmod unique_id

ТеперьможнозапускатьApache:

$ sudo /etc/init.d/apache2 start

Есливсеработаетнормально,можнодобавлятьправила.Командаразработчиковуделяетбольшоевниманиеусовершенствованиюкодаmod_security, оставляясозданиеправилнаоткуппользователю,поэтомуоригинальный конфигурационныйфайлимеетвсегонесколькорулесетов,находящихсявпод- каталогеrules.Насайтепроекталежитотдельныйархивmodsecurity-core-rules. Дляподключениявходящихвегосоставправилдостаточноскопироватьвсе conf-файлывкаталог/etc/apache2ивсекцииmod_security2.cуказать:

Include rules/*.conf

Include rules/blocking/*.conf

Подключатьвсесразунестоит.Некоторыеправилатребуютредактированияподконкретныеусловия,лучшеразбиратьсяпостепенно.

Защищаем PHP с помощью Suhosin

ЗадачапроектаSuhosin(www.hardened-php.net/suhosin)—защитасер-

веровипользователейотцелогорядаизвестныхпроблемвприложениях иядреPHP,таккакsafe_modeпомогаетдалеконевсегда.СамSuhosin

>>

ХАКЕР

Проверяем правильность закачки

состоитиздвухнезависимыхчастей,которыемогутиспользоваться какраздельно,такисовместно.Перваячасть—небольшойпатчкядру, осуществляющийнизкоуровневуюзащитуструктурданныхотпереполнениябуфера,уязвимостиформатнойстрокииошибоквреализации функцииrealpath,присущейнекоторымплатформам,атакжеотдругих потенциальныхуязвимостейядраPHP.Втораячастьреализованаввиде расширения,котороефактическииосуществляетвсюосновнуюзащиту, принеобходимостиегооченьпростодоустановитьвужерабочую системубезполнойпересборкиPHP.Сполнымспискомвозможностей можнопознакомитьсянасайтепроектаwww.hardened-php.net/suhosin/ a_feature_list.html.

Вслучаенарушенияустановленныхправилвозможнаблокировкапере- менных,отсылкаопределенногоHTTP-кодаответа,перенаправление браузерапользователя,выполнениедругогоPHP-скрипта.Всесобытия заносятсявжурналы,длячегоможетиспользоватьсяsyslog,своймодуль иливнешнийскрипт.ПоследниеверсиирасширенияSuhosinсовместимы практическисовсемиверсиямиPHP.

УстановкаSuhosinвключаетвсебя2этапа:наложениепатчанаPHPс последующейегопересборкойикомпиляциямодулярасширения.Хотя возможнаисборкасовстроеннымрасширением.Чтобынебылопроблем сзависимостями,вUbuntuпередначаломустановкирекомендуюдать командуsudoapt-getbuild-depphp5.

СкачиваемPHP,затемпатчsuhosinподиспользуемуюверсиюPHPимодуль расширения.Всеэтораспаковываем,накладываемпатчикомпилируем:

$ tar xvjf php-5.2.3.tar.bz2

$ gunzip suhosin-patch-5.2.3-0.9.6.2.patch.gz $ cd php-5.2.3

$ patch -p 1 -i ../suhosin-patch-5.1.6-0.9.5.patch

$ ./configure [--enable-so и другие параметры при необ-

ходимости] $ make

$ make test

$ sudo make install

Теперьсобираеммодульрасширения:

$ tar xzvf suhosin-0.9.20.tgz $ cd suhosin-0.9.20

$ phpize

$ ./configure --prefix=/usr/lib/php5/20060613+lfs/ $ make

$ make test

$ sudo make install

Проверитьсборкуможно,введякоманду:

$ php — v

PHP 5.2.3 with Suhosin-Patch 0.9.6.2 (cli) (built: Jul 26 2007 11:35:13)

ВсенастройкиSuhosinпроизводятсявфайлеphp.ini.Патчподдерживаеттолькоопциирегистрации,поэтомупервойзаписьюобязательно подключаеммодульsuhosin.so(ондолженбытьвиденпеременной

LD_RUN_PATH):

extension=suhosin.so

Послеустановки Suhosin будет работать с настройками по умолчанию, которые достаточны, но, возможно, не оптимальны для твоей конфигурации.

Строим chroot

Дляпостроенияchroot-окружениянампонадобитсямодульmod_chroot (core.segfault.pl/~hobbit/mod_chroot).ВрепозитарииUbuntuонприсут-

ствует:

$ sudo apt-get install libapache2 mod-chroot

Параллельнобудетустановленпакетmod-chroot-common,содержащий документацию(/usr/share/doc/mod-chroot-common).Длясамостоя-

тельнойсборкиmod_chrootдостаточнораспаковатьсвежескачанный архививвестикомандуapxs2-ciamod_chroot.c.Далееследуетуказать, чторабочийкаталогтеперьявляетсякорневым,тоестьвapache2.conf прописываем:

<IfModule mod_chroot.c> LoadFile /lib/libgcc_s.so.1 PidFile /var/run/httpd.pid ChrootDir /var/www DocumentRoot /

</IfModule>

ЗначениеDocumentRootизменяемс«/var/www»на«/»ивсессылкина ресурсыдаемотносительнокорня.Вapache2.confнезабываемподключитьмодуль:

LoadModule chroot_module /usr/lib/apache2/modules/mod_ chroot.so

ЛибовUbuntuправильнее:

$ sudo a2enmod mod_chroot

ПрииспользованииApache2понадобитсясоздатькаталогдляPID-файла.

$ sudo mkdir -p /var/www/var/run

$ sudo chown -R root:root /var/www/var/run

$ sudo ln -s /var/www/var/run/httpd.pid /var/run/httpd. pid

Перезапускаеминдейцаипроверяемработу.

Этодалеконевсе,чтоможносделатьдлязащитыLAMP.Такжеследует учесть,чтоприведенныесоветынемогутгарантироватьабсолютной безопасности(такогопростонебываетвприроде)хотянесколько уменьшитьрисконипозволяют.Крометого,внекоторыхсредахчасть параметровможетвызыватьпроблемыиливлиятьнапроизводительность.Поэтомукихиспользованиюследуетподходитьосторожно,вводя измененияпостепенноитщательнотестируярезультат.Универсальный советпо-прежнемуодин:следуетизучатьдокументациюивключать толькото,чтонужно.z

ХАКЕР.Pro