Různé uživatelské účty pro apache virtuální servery

Z ZděchovNET
Skočit na navigaci Skočit na vyhledávání

Je obvyklé provozovat mnoho virtuálních hostů v rámci jednoho apache web server. Problém ovšem je, že web server běží pouze pod jedním uživatelským účtem a pokud jeden z těchto virtuálních hostů má slabinu a je napaden útočníkem, tak tím útočník získává přístup k souborům všech virtuálních hostů. Pak je velmi důležité, aby tyto virtuální servery byly nezávislé a narušením jednoho nebudou narušeny i všechny ostatní. Apache web server umožňuje běh virtuálních hostů pod různými uživatelskými účty a právě nastavení tohoto scénáře se věnuje tato stránka.

Systémový uživatel

  • Pro každý virtuální host je potřeba přidat nového uživatele pomocí příkazu:
adduser host1
  • Pak zamezit přístup do domovského adresářů pro čtení jiným uživatelům pomocí:
chmod 750 /home/host1

Apache

  • Nainstalovat modul MPM:
apt install libapache2-mpm-itk
  • Aktivovat modul MPM
a2enmod mpm_itk
  • Do konfigurace virtuálního hostu přidat aktivaci apache mpm modulu a volbu uživatelského účtu.
<IfModule mpm_itk_module>
    AssignUserId host1 host1
</IfModule>

PHP

Pokud je používáno pro virtuální web PHP, tak je potřeba použít samostatný PHP sessions adresář neboť soubory v něm budou vytvářeny pod různými uživatelskými účty a mohlo by mezi nimi vznikat ke kolizím.

  • V nastavení virtuálního webu je potřeba doplnit změnu PHP proměnné session.save_path:
<Directory "/home/host1/www">
  php_value session.save_path "/home/host1/sessions"
  Options Indexes FollowSymLinks
  AllowOverride All
  Require all granted
</Directory>
  • Pro každý virtuální host je potřeba mít samostatný php.ini kvůli nastavení session.save_path proměnné. Je potřeba zkopírovat adresář /etc/php/x.y/apache např. na /etc/php/x.y/apache-host1. Pak otevřít soubor /etc/php/x.y/apache_host1/php.ini a upravit v něm cestu proměnné session.save_path na /home/host1/sessions.
  • Upravit seznam SAPIS v /usr/lib/php/sessionclean a doplnit do něj všechny virtuální hosty.
  • Nebo vytvořit vlastní skript spouštěný z cronu:
#!/bin/bash

gc_maxlifetime=$((1440/60))
root_dir=/home

function clean_sessions_dir
{
  save_path=$1
  echo $save_path
  find -O3 "$save_path/" -ignore_readdir_race -depth -mindepth 1 -name 'sess_*' -type f -cmin "+$gc_maxlifetime" -delete
}

for I in $(find $root_dir -mindepth 1 -maxdepth 1 -type d);
do
  sessions_dir=$I/sessions
  if [ -d "$sessions_dir" ]; then
    clean_sessions_dir $sessions_dir
  fi
done
Citováno z „https://wiki.zdechov.net/index.php?title=Různé_uživatelské_účty_pro_apache_virtuální_servery&oldid=2453