Като сървъри в сигурни центрове за данни в Европа. Open облак VPS / VDS сървър на бърз SSD за 1 минута!

Най-добър уеб хостинг:
- ще предпазят данните от неоторизиран достъп в защитена Европейския център за данни
- ще плати най-малко в Bitcoin.
- Той ще постави вашата дистрибуция

- защита от DDoS-атаки
- безплатно архивиране
- Uptime 99,9999%
- DPC - TIER III
- ISP - етап I

Подкрепа в руските 24/7/365 работи с юридически и физически лица. Сега трябва 24 ядро ​​и 72 Gb RAM. Моля ви!

Нашите конкурентни цени доказват, че най-евтиният хостинг, че не знаеш!

За броени минути, изберете конфигурация, заплати и CMS на VPS е готова.
Връщане на парите - за 30 дни!

Банкови карти, електронни валута през QIWI терминали, Webmoney, PayPal, Novoplat и други.

Задайте въпрос 24/7/365 поддръжка

Намерете отговорите в нашата база данни, както и да отговарят на препоръките на

Когато администрацията на сървъра е необходимо постоянно да следи за появата на нови уязвимости.

За съжаление, дори и най-новите пачове за сигурност за приложения и операционната система не може да осигури абсолютна защита, и сървъра може да подлежи на ден нула атаки.

Забележка: 0 дни, или нулев ден атаки - не е известно уязвимости и зловреден софтуер, за които не съществуват гаранции.

AppArmor - Linux е основната модул се използва като система за контрол на достъпа, която защитава сървъра срещу такива атаки. Този модул е ​​достъпно по подразбиране в Ubuntu системи с освобождаването на Ubuntu 8.04.

Когато AppArmor е активиран за всяко приложение, операционната система се отваря достъп до само тези файлове и папки, които са посочени в профила му на безопасност. По този начин, една добре проектирана профил на безопасност може да предотврати атаката или сведе до минимум увреждането му.

Това ръководство ще ви помогне да създадете профил за AppArmor Nginx уеб сървър.

За да се покаже примери Nginx ще служи статични файлове от директорията / данни / WWW / безопасно и / данни / WWW / безопасна. AppArmor конфигурирате Nginx да служи само / данни / WWW / безопасно.

По този начин, когато AppArmor е забранено, външен потребител има достъп до файлове от двете директории. С включен AppArmor модул ще бъде достъпен само за съдържание директория / данни / WWW / безопасно.

изисквания

1: Инсталиране Nginx

Nginx да инсталирате с помощта на стандартен ап-да мениджъра на пакети.

Sudo актуализация ап-да
ап-да инсталирате Nginx

По подразбиране, Nginx сървър слуша на порт 80. За да проверите това, насочете браузъра си към сървъра за домейн или IP и задайте порт:

На екрана ще се покаже дошли страница Nginx:

Добре дошли в Nginx!
Ако виждате тази страница, на Nginx уеб сървъра е инсталиран успешно и работи. ...

2: Конфигуриране на Nginx за сервиране на статични файлове

Създаване на следните директории статични файлове:

Sudo защитен режим -p / данни / WWW / безопасно
Sudo защитен режим -p / данни / WWW / опасен

Добавете файла в сейф на стоките:

Sudo нано /data/www/safe/index.html

Поставете следния код:

Здравейте! Достъп до този файл е позволено.

След това добавете директорията / данни / WWW / опасен файл с име index.html и поставете следния код:

Здравейте! Достъп до този файл не е позволено.

конфигурационен файл Nginx намира в /etc/nginx/nginx.conf. Редактирайте файла, настройте слушане потта 8080 и директория подкрепа / данни / WWW.

потребителското WWW-данни;
worker_processes 4;
PID /run/nginx.pid;
събития worker_connections 768;
>
HTTP sendfile върху;
tcp_nopush върху;
tcp_nodelay върху;
keepalive_timeout 65;
types_hash_max_size 2048
включва /etc/nginx/mime.types;
default_type прилагане / октет поток;
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
GZIP върху;
gzip_disable "msie6";
включва /etc/nginx/conf.d/*.conf;
сървъра слуша 8080;
местоположение / корен / данни / WWW;
>
>
>

Запазване и затворете файла. Рестартирайте Nginx, за да актуализирате настройките:

Sudo Nginx -s презареждане

Изтегляне на безопасно брошура изглежда така:

Здравейте! Достъп до този файл е позволено.

3: Проверка на профили AppArmor

Ubuntu 14.04 идва с предварително инсталирана профили AppArmor. Инсталирайте повечето от тях можете да използвате командата:

ап-да инсталирате AppArmor-профили

Списъкът съдържа много профили. Някои от тях ще бъде активен (режим наложи), а някои в режим на подаване на жалба (това означава, че AppArmor ще записва активността на това приложение, обаче, ограничава достъпа му).

Влезте файлове се съхраняват в директорията / реактивна / дневник / Nginx.

AppArmor ограничава достъпа само до тези приложения, чиито профил е в наложат режим.

Вие също така ще забележите, че не виждате такъв профил на Nginx. Трябва да създадете свой собствен.

4: Създаване на профил AppArmor за Nginx

Инсталирайте AppArmor-UTILS - набор от инструменти за контрол AppArmor.

ап-да инсталирате AppArmor-UTILS

Аа-autodep екип ще създадете празен профил /etc/apparmor.d директория.

CD /etc/apparmor.d/
Sudo аа-autodep Nginx

След това използвайте следната команда, за да включите режим се оплакват.

Sudo аа-оплакват Nginx

Sudo услуга Nginx рестартиране

Насочете браузъра си към:

След това, на дневника ще запише Nginx да посетите този сайт.

Тази команда сканира логовете и актуализации в профила Nginx. AppArmor многократно подканени да разрешите или забраните функцията. Ако в този момент на сървъра не е бил компрометиран, можете да натиснете А на всички искания на програмата (от всички предложени функции са важни за Nginx). За да запаметите промените, натиснете S.

Така че, за да се даде възможност на AppArmor за ново приложение:

• Създаване на празен прилагане на профила.
• Отваряне на приложението и следвайте няколко прости действия, които го дневници записи.
• AppArmor стартирате помощна програма, която проверява и одобрява трупи (или отхвърли), изброени в обхвата им приложение.

5: профил Редактиране AppArmor за Nginx

Профил за Nginx е генериран автоматично, а след това се нуждае от допълнително редактиране. Отворете /etc/apparmor.d/usr.sbin.nginx файл:

Sudo нано /etc/apparmor.d/usr.sbin.nginx

Промени, които трябва да направите:

• Добавете реда (задължително със знака диез):

• Добавете редове и способност setgid способност имащи нужда.
• Line / данни / WWW / каса / задаване на цялата директория (с помощта на символа *).
• Добавете реда (винаги с точка и запетая в края):

отрече / данни / WWW / опасни / * R,

• Nginx, за да получите достъп за писане грешка дънер, задайте w в /var/log/nginx/error.log линия.

apache2-обща линия позволява Nginx да слушат различни пристанища. способност линия ви позволи да започне нови процеси. Deny блокове с правила за достъп до директорията / данни / WWW / опасно /.

В резултат на това профилът ще изглежда така:

#include
/ ЮЕсАр / sbin / Nginx # включват
#include
#include
способност dac_override,
способност dac_read_search,
способност net_bind_service,
способност setgid,
способност имащи нужда,
/ Data / WWW / каса / * R,
отрече / данни / WWW / опасни / * R,
/ И т.н. / група R,
/etc/nginx/conf.d/ R,
/etc/nginx/mime.types R,
/etc/nginx/nginx.conf R,
/etc/nsswitch.conf R,
/ И т.н. / ако съществува R,
/etc/ssl/openssl.cnf R,
/run/nginx.pid RW,
/ ЮЕсАр / sbin / Nginx н,
/var/log/nginx/access.log w,
/var/log/nginx/error.log w,
>

Вашият профил може да изглежда малко по-различно, тъй като тя е създадена въз основа на лог файл. Вие сте свободни да проучи възможностите и актуализиране на личните настройки на профила, а вие може просто да копирате файла, да се побере на вашия сървър среда. настройки AppArmor може по невнимание да блокират достъпа до защитена директория, така че да бъдат подготвени да се справят с проблемите.

За да активирате профила AppArmor за Nginx, използвайте:

Sudo аа-наложат Nginx

Препоръчително е да се рестартира всички профили и Nginx, за да актуализирате настройките.

Sudo /etc/init.d/apparmor презареждане
Sudo услуга Nginx рестартиране

В случай на грешка по всяко настройка етап проверка на конфигурационния файл и / Var / дневник / Syslog.

Проверете състоянието на AppArmor:

Nginx процес трябва да се извърши.

Отново, отворете браузъра си и посетете страницата:

Трябва да се появи на страницата на екрана на безопасно директория. Тогава посетете:

Сървърът трябва да връщат 403 Forbidden.

отстраняване на неизправности

Ако Nginx сървър не се стартира след преминаване профили, много е вероятно, той няма права. Моля, обърнете внимание:

Редактиране на потребителския профил, за да коригира грешката.

Например, ако файлът не е в профила, за да добавите линия абстракции / apache2-чести, възниква грешка:

[Emerg] # 0 3611: гнездо () 0.0.0.0:8080 не е (13: АКТ отказан)

Настройки на профила на AppArmor изискват внимание.

заключение

AppArmor профили са много важни в промишлени системи, като блокира достъпа на уязвими сървъри точки.

Свързани статии

• Как да изтеглите набл за създаване на онлайн предавания

• Програма за създаване на безплатен сайт - двигатели Joomla, WordPress и програма черупка Денвър

• Проект за деца ", за да се създаде една книга със собствените си ръце"