子比主题,更优雅的Wordpress主题
更优雅的WordPress网站主题:子比主题!全面开启

lnmp虚拟机安全配置研究

0110

    众所周知,虚拟主机的安全不好做,特别是防止跨站成为了重点。apache+php服务器防止跨站的方式比较简单,网上的所有成熟虚拟主机解决方案都是基于apache的,如directadmin、cpanel。

    但如今已然不是apache的时代了,在linux+nginx+mysql+php下怎么防止不同虚拟主机进行跨站?

    首先我们要清楚明白Nginx是怎么运行的,再考虑怎么具体操作吧。乌云知识库里有一篇很好的文章(http://drops.wooyun.org/tips/1323),介绍了nginx的安全配置,大家可以看看。

    nginx实际上只是一个反向代理服务器,它接收到请求以后会看当前请求是否是.php文件,如果是则转交给php-fpm来处理,获得结果后再发给用户。所以有两个权限需要考虑:第一是nginx的权限,第二是php-fpm的权限。如下图,nginx和php-fpm都要读取这个文件,所以权限分配是要考虑的重要一项。

    01.png

    防御跨站要防御的有三点,第一是防止其他用户列网站目录,防止自己的一些敏感文件名被看到及访问;第二是防止其他用户读取自己的文件,防止配置信息泄露;第三就是防止其他用户写shell在自己目录。

    php显然也考虑到了这个问题,其配置文件中的open_basedir,是一个目录列表,只允许php访问其中给出的目录。通过设置这个open_basedir我们就可以防御php读写web目录以外的文件,比如/etc/passwd之类的。

    但现在的问题是,open_basedir是写在php.ini中的一个配置文件,而所有虚拟主机使用的php是同一个php,我们可以防止php访问web目录以外的文件,但是没法防止“虚拟主机1”访问“虚拟主机2”的文件,因为二者都在web目录内。甚至还有一个更大的问题是,很多版本php的open_basedir并不靠谱,能被很容易地绕过。

    这是现在遇到的问题。解决方法就是:让每个虚拟主机用不同用户单独启动php-fpm

    为了实现上面方法,我们需要对安装好的lnmp做些修改。(我使用的就是国内用的比较广的”lnmp一键安装包”)。

    比如我们服务器上有两个虚拟主机game01.com和game02.com,其目录分别是/home/wwwroot/game01/和/home/wwwroot/game02/。

    这里说一下,新版的lnmp一键安装包有自带的防跨站功能,是因为php 5.3.3以后,可以在php.ini末尾加上类似如下语句: 

[HOST=www.vpser.net]
open_basedir=/home/wwwroot/www.vpser.net/:/tmp/
[PATH=/home/wwwroot/www.vpser.net]
open_basedir=/home/wwwroot/www.vpser.net/:/tmp/

    就可以给不同HOST赋予不同open_basedir。但是我们这里不用这个方法,第一其限制php版本在5.3.3以上,第二open_basedir也是有局限与漏洞的,不能完全依靠这个玩意。所以,虚拟主机创建好以后,来到/usr/local/php/etc/php.ini把这些内容注释掉。(注释符;)

    首先,让不同虚拟机用不同php-fpm运行:

    一、为每个站点创建php-fpm.pid文件 

cd /usr/local/php5/var/run
touch php-fpm-game01.pid
touch php-fpm-game02.pid

    二、为每个站点创建php-fpm.conf文件 

cd /usr/local/php5/etc/
cp php-fpm.conf php-fpm-game01.conf
cp php-fpm.conf php-fpm-game02.conf

    三、为每个站点建立php-cgi.sock文件 

touch /tmp/php-cgi-game01.sock #建立php-cgi.sock文件
chown www.www /tmp/php-cgi-game01.sock #设置文件所有者为www(必须与nginx的用户一致)
touch /tmp/php-cgi-game02.sock
chown www.www /tmp/php-cgi-game02.sock

    四、修改相关文件 

vi /usr/local/php5/etc/php-fpm-game01.conf
pid = run/php-fpm-game01.pid
listen =/tmp/php-cgi-game01.sock;

vi /usr/local/php5/etc/php-fpm-game02.conf
pid = run/php-fpm-game02.pid
listen =/tmp/php-cgi-game02.sock;

vi /etc/init.d/php-fpm
vhost=$2
php_fpm_CONF=${prefix}/etc/php-fpm-$vhost.conf
php_fpm_PID=${prefix}/var/run/php-fpm-$vhost.pid
php_opts="-d open_basedir=/home/wwwroot/$vhost/:/tmp/ --fpm-config $php_fpm_CONF"

    上述最后一行,就是php-fpm执行的参数,其中我们将open_basedir设置成了/home/wwwroot/$vhost/:/tmp/,$vhost就是我们运行时传入的第二个参数$2(game01或game02)。

    继续修改 

vi /usr/local/nginx/conf/vhost/game01.com.conf # 配置文件名可能不一样,要根据实际情况改变
fastcgi_pass unix:/tmp/php-cgi-game01.sock;

vi /usr/local/nginx/conf/vhost/game02.com.conf 
fastcgi_pass unix:/tmp/php-cgi-game02.sock;

    五.增加开机启动项

    vi /home/start.sh 

#!/bin/bash
auto=$1
/bin/bash /etc/rc.d/init.d/php-fpm $auto game01
/bin/bash /etc/rc.d/init.d/php-fpm $auto game02

    chmod +x /home/start.sh

    然后编辑/etc/rc.local 将start.sh加入启动项。

    到此,不同虚拟主机就会以运行不同的php-fpm。我们还需要用不同的用户身份来运行。 

groupadd game01
groupadd game02
useradd game01 -M -s /sbin/nologin -g game01
useradd game02 -M -s /sbin/nologin -g game02

    添加了game01.game01和game02.game02两个用户。

    修改/usr/local/php/etc/php-fpm-game01.conf: 

listen.owner = game01
listen.group = game01
user=game01
group=game01

    game02同理修改。这样我们就让php-fpm以不同用户来运行了。

    再来到/home/wwwroot/: 

cd /home/wwwroot/
chown game01.game01 -R game01
chown game02.game02 -R game02

    将game01和game02文件夹分别给予用户game01和game02。

    再有,我们的nginx是默认以www用户运行的,所以是不能读取game01、game02用户文件的,如果把文件权限设置成777,又不能防止game01读取game02的文件。

    所以,我们应该将www用户加入game01、game02组,再把game01、game02的文件设置成750权限,这样就可以允许www来读取game01/game02的文件(因为在同组,而组权限是5,5就够了),又能防止game01读取game02的文件。

    linux中允许把一个用户加入多个组,所以操作如下: 

usermod -aG game01 www
usermod -aG game02 www

    执行以后我们使用“groups www”就能看到www : www game01 game02,www已经在三个用户组里了。

    我们还需要将/usr/local/nginx/conf/nginx.conf里的user www www;修改成user www; 不要带用户组了。

    然后我们可以放心地将game01和game02设置成750: 

chmod 750 -R game01
chmod 750 -R game02

    这时候。我们的防御其实有两层。

    01.不同php-fpm运行两个虚拟主机的php程序,他们拥有自己的open_basedir,使之不能跨目录。

    02.即使open_basedir被绕过了,以game01用户身份运行的php-fpm也无法写入、读取game02的文件,因为game02的所有文件权限都是750。其他用户没有任何权限(0)。

    一切设置好以后,说一下使用方法了。

    先kill掉已有的php-fpm,再重启一下nginx,再/home/start.sh启动新的php-fpm即可。

    /etc/init.d/php-fpm start game01 单独启动game01

    /etc/init.d/php-fpm start game02 单独启动game02

    /etc/init.d/php-fpm stop game01 单独启动game01

    /etc/init.d/php-fpm stop game02 单独启动game02

    

    Referer:

    http://drops.wooyun.org/tips/1323

    http://www.dedecms.com/knowledge/servers/linux-bsd/2012/0819/8389.html

    http://yzs.me/2198.html

相关推荐: Supervisord远程命令执行漏洞(CVE-2017-11610)

前几天Supervisord出现了一个需认证的远程命令执行漏洞(CVE-2017-11610),在对其进行分析以后,将靶场加入了Vulhub豪华套餐: https://github.com/phith0n/vulhub/tree/master/supervis…

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
安全博客文章
# 跨站# apache# 虚拟主机
喜欢就支持一下吧
点赞0
分享
相关推荐
安全小百科-帆软10.0 Getshell漏洞分析
帆软10.0 Getshell漏洞分析
帆软10.0 Getshell漏洞分析
3年前 1018
安全小百科-逆向破解的入门题目
逆向破解的入门题目
逆向破解的入门题目
3年前 300
安全小百科-Apache::Gallery 0.4/0.5/0.6 – Insecure File Storage Privilege Escalation
Apache::Gallery 0.4/0.5/0.6 – Insecure File Storage Privilege Escalation
Apache::Gallery 0.4/0.5/0.6 – Insecure File Storage Privilege Escalation
3年前 269
安全小百科-Apache printenv样例脚本跨站脚本执行漏洞
Apache printenv样例脚本跨站脚本执行漏洞
Apache printenv样例脚本跨站脚本执行漏洞
3年前 248
安全小百科-我的学习与成长
我的学习与成长
我的学习与成长
3年前 197
评论 抢沙发

请登录后发表评论

搜索
开启精彩搜索
标签云
龟背龚某龙鱼龙马龙首龙车龙身龙芯龙生九子龙火龙海市龙泉驿区龙岩市龙女龙南县龙凤龙伯龍首龍門龍身
公司成功上市啦! - 作者:KOAL格尔国信-安全小百科

公司成功上市啦! – 作者:KOAL格尔国信

admin的头像-安全小百科3年前
048110
Comdev eCommerce 3.0 - 'config.php' Remote File Inclusion-安全小百科

Comdev eCommerce 3.0 – ‘config.php’ Remote File Inclusion

admin的头像-安全小百科3年前
47320
GeoServer漏洞利用总结及案例参考 - 作者:vlong6-安全小百科

GeoServer漏洞利用总结及案例参考 – 作者:vlong6

admin的头像-安全小百科3年前
015580
女祭女戚-安全小百科

女祭女戚

admin的头像-安全小百科3年前
011130
帆软10.0 Getshell漏洞分析-安全小百科

帆软10.0 Getshell漏洞分析

admin的头像-安全小百科3年前
010180
科锐逆向线上班完整版视频2020年 - 作者:hgjhf63fa-安全小百科

科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa

admin的头像-安全小百科3年前
08610
恐龙抗狼扛的头像-安全小百科

恐龙抗狼扛8月前0

kankan
admin的头像-安全小百科

啊啊啊啊3年前0

66666666666666