Různé uživatelské účty pro apache virtuální servery

Je obvyklé provozovat mnoho virtuálních hostů v rámci jednoho apache web server. Problém ovšem je, že web server běží pouze pod jedním uživatelským účtem a pokud jeden z těchto virtuálních hostů má slabinu a je napaden útočníkem, tak tím útočník získává přístup k souborům všech virtuálních hostů. Pak je velmi důležité, aby tyto virtuální servery byly nezávislé a narušením jednoho nebudou narušeny i všechny ostatní. Apache web server umožňuje běh virtuálních hostů pod různými uživatelskými účty a právě nastavení tohoto scénáře se věnuje tato stránka.

Systémový uživatel

• Pro každý virtuální host je potřeba přidat nového uživatele pomocí příkazu:

adduser host1

• Pak zamezit přístup do domovského adresářů pro čtení jiným uživatelům pomocí:

chmod 750 /home/host1

Apache

• Nainstalovat modul MPM:

apt install libapache2-mpm-itk

• Aktivovat modul MPM

a2enmod mpm_itk

• Do konfigurace virtuálního hostu přidat aktivaci apache mpm modulu a volbu uživatelského účtu.

<IfModule mpm_itk_module>
    AssignUserId host1 host1
</IfModule>

PHP

Pokud je používáno pro virtuální web PHP, tak je potřeba použít samostatný PHP sessions adresář neboť soubory v něm budou vytvářeny pod různými uživatelskými účty a mohlo by mezi nimi vznikat ke kolizím.

• V nastavení virtuálního webu je potřeba doplnit změnu PHP proměnné session.save_path:

  <Directory "/home/host1/www">
        php_value session.save_path "/home/host1/sessions"
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>

• Pro každý virtuální host je potřeba mít samostatný php.ini kvůli nastavení session.save_path proměnné. Je potřeba zkopírovat adresář /etc/php/x.y/apache např. na /etc/php/x.y/apache-host1. Pak otevřít soubor /etc/php/x.y/apache_host1/php.ini a upravit v něm cestu proměnné session.save_path na /home/host1/sessions.

• Upravit seznam SAPIS v /usr/lib/php/sessionclean a doplnit do něj všechny virtuální hosty.