|
Tutorial
: Installation sécurisée, automatisée
en globalité ou manuelle de Apache pour
Linux avec Openssl, Php4, Mysql,
Mod_ssl,
Mod_rewrite, Mod_perl , DSO
&
Mod_security avec les rêgles de l'IDS
Snort
Par Xavier
Poli, SecuObs.com
Le 03/05/2004
|
|
Pages : 1
- 2
- 3
- 4
- 5
- 6
- 7
----------------------------------------
Vous
pouvez installer, télécharger,
configurer tout ce qui a trait à ce tutorial
d'un seul coup avec le fichier suivant à
l'exception de la configuration du fichier httpd.conf.
Nommer le exoweb.sh, passer un chmod +x exoweb.sh,
placer le dans /usr/src/ puis éxécutez
le avec la commande ./exoweb.sh en vous plaçant
au préalable dans /usr/src/, vous serez
invité au prompt à rentrer différentes
informations relatives à cette installation
au niveau du prompt, conseil si vous avez déjà un apache installé, sauvegarder le directory ailleurs (cp -a /usr/local/apache /home/apache/ et rm -fr /usr/local/apache) et arrêter de préférences les services apache (sinon killall -9 httpd apres l'install avant de restarter l'apache) :
#!/bin/sh
cd /usr/src/
rm
-fr /usr/src/snort2modsec.pl
rm -fr /usr/src/mod_security-1.8.tar.gz
rm -fr /usr/src/apache_1.3.31.tar.gz
rm -fr /usr/src/mod_ssl-2.8.18-1.3.31.tar.gz
rm -fr /usr/src/php-4.3.6.tar.gz
rm -fr /usr/src/openssl-0.9.7d.tar.gz
rm -fr /usr/src/mysql-3.23.58.tar.gz
rm -fr /usr/src/snortrules-snapshot-CURRENT.tar.gz
rm -fr /usr/src/apache-patch_HARD_SERVER_LIMIT.txt
rm -fr /usr/src/mod_perl-1.0-current.tar.gz
rm -fr /usr/src/mod_security-1.8
rm -fr /usr/src/apache_1.3.31
rm -fr /usr/src/mod_ssl-2.8.18-1.3.31
rm -fr /usr/src/php-4.3.6
rm -fr /usr/src/openssl-0.9.7d
rm -fr /usr/src/mysql-3.23.58
rm -fr /usr/src/rules
rm -fr /usr/src/apache-patch_HARD_SERVER_LIMIT.txt
rm -fr /usr/src/mod_perl-1.29/
wget http://www.modsecurity.org/documentation/snort2modsec.pl
wget http://www.modsecurity.org/download/mod_security-1.8.tar.gz
wget http://apache.crihan.fr/dist/httpd/apache_1.3.31.tar.gz
wget http://www.modssl.org/source/mod_ssl-2.8.18-1.3.31.tar.gz
wget http://fr2.php.net/get/php-4.3.6.tar.gz/from/fr.php.net/mirror
wget http://www.openssl.org/source/openssl-0.9.7d.tar.gz
wget ftp://ftp.inria.fr/pub/MySQL/Downloads/MySQL-3.23/mysql-3.23.58.tar.gz
wget http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz
wget http://www.delouw.ch/linux/apache-patch_HARD_SERVER_LIMIT.txt
wget http://perl.apache.org/dist/mod_perl-1.0-current.tar.gz
rm
-fr /usr/local/ssl/
cd /usr/src/
tar -zxvf openssl-0.9.7d.tar.gz
chown -R root.root openssl-0.9.7d
cd openssl-0.9.7d
./config shared
make
make install
echo "/usr/local/ssl/lib" >>
/etc/ld.so.conf
ldconfig
groupadd mysql
adduser -g mysql -d /usr/local/mysql mysql
rm -fr /usr/local/mysql/
mkdir /usr/local/mysql/
mkdir /usr/local/mysql/data/
mkdir /usr/local/mysql/tmp/
mkdir /usr/local/mysql/var/
cd /usr/src/
tar -zxvf mysql-3.23.58.tar.gz
cd mysql-3.23.58
./configure --prefix=/usr/local/mysql
--localstatedir=/usr/local/mysql/data
--with-unix-socket-path=/usr/local/mysql/tmp/mysql.socket
make
make install
chown -R mysql.mysql /usr/local/mysql
chmod 700 /usr/local/mysql/data
chmod 700 /usr/local/mysql/var
chmod 755 /usr/local/mysql/tmp
cd
/usr/src
tar -zxvf apache_1.3.31.tar.gz
rm -fr /usr/src/apache_1.3.31/src/include/apache-patch_HARD_SERVER_LIMIT.txt
cp apache-patch_HARD_SERVER_LIMIT.txt
/usr/src/apache_1.3.31/src/include/
cd /usr/src/apache_1.3.31/src/include/
patch -p0 < ./apache-patch_HARD_SERVER_LIMIT.txt
cd /usr/src
tar -zxvf mod_ssl-2.8.18-1.3.31.tar.gz
cd /usr/src/mod_ssl-2.8.18-1.3.31
./configure --with-apache=/usr/src/apache_1.3.31
rm -fr /usr/local/apache
groupadd apache
useradd apache -d /dev/null -g apache
-s /sbin/nologin
cd /usr/src/apache_1.3.31
./configure
--prefix=/usr/local/apache --enable-module=ssl
--enable-module=so --server-uid=apache
--server-gid=apache --enable-module=status
--enable-module=rewrite --enable-module=cgi
--enable-module=include --enable-module=auth
--enable-module=dir --enable-module=env
--enable-module=setenvif --enable-module=userdir
--enable-module=imap --enable-module=negotiation
--enable-module=log_config --enable-module=asis
--enable-module=autoindex --enable-module=mime
--enable-module=access --enable-module=rewrite
--enable-shared=max
make
make certificate
make install
cd
/usr/src/
tar -zxvf php-4.3.6.tar.gz
cd php-4.3.6
./configure
--with-mysql=/usr/local/mysql --with-apxs=/usr/local/apache/bin/apxs
make
make install
cp php.ini-dist /usr/local/lib/php.ini
cd /usr/src/
tar -zxvf mod_perl-1.0-current.tar.gz
cd /usr/src/mod_perl-1.29/
perl Makefile.PL USE_APXS=1 WITH_APXS=/usr/local/apache/bin/apxs
EVERYTHING=1
make
make install
cd
/usr/src/
tar -zxvf mod_security-1.8.tar.gz
cd mod_security-1.8
/usr/local/apache/bin/apxs -cia ./apache1/mod_security.c
-DEAPI
cd /usr/src/
chmod +x snort2modsec.pl
rm -fr /usr/src/rules/
tar -C /usr/src/ -zxvf snortrules-snapshot-CURRENT.tar.gz
./snort2modsec.pl /usr/src/rules/* >
/usr/local/apache/conf/modsec.conf
cd /usr/src/
rm -fr /usr/src/mod_security-1.8.tar.gz
rm -fr /usr/src/apache_1.3.31.tar.gz
rm -fr /usr/src/mod_ssl-2.8.18-1.3.31.tar.gz
rm -fr /usr/src/php-4.3.6.tar.gz
rm -fr /usr/src/openssl-0.9.7d.tar.gz
rm -fr /usr/src/mysql-3.23.58.tar.gz
rm -fr /usr/src/snortrules-snapshot-CURRENT.tar.gz
rm -fr /usr/src/apache-patch_HARD_SERVER_LIMIT.txtwget
rm -fr /usr/src/mod_perl-1.0-current.tar.gz
rm -fr /usr/src/mod_security-1.8
rm -fr /usr/src/apache_1.3.31
rm -fr /usr/src/mod_ssl-2.8.18-1.3.31
rm -fr /usr/src/php-4.3.6
rm -fr /usr/src/openssl-0.9.7d
rm -fr /usr/src/mysql-3.23.58
rm -fr /usr/src/rules
rm -fr /usr/src/apache-patch_HARD_SERVER_LIMIT.txt
rm -fr /usr/src/mod_perl-1.29/
rm -fr /usr/src/httpd.conf.exemple
cp /usr/local/apache/conf/httpd.conf /usr/local/apache/conf/httpd.conf.old
cd /usr/src/
wget http://www.secuobs.com/tutoriels/httpd.conf.exemple
mv /usr/src/httpd.conf.exemple /usr/local/apache/conf/httpd.conf
mkdir -p /home/chroot/usr/local/
cd /usr/local/
mv apache
/home/chroot/usr/local/
ln -s /home/chroot/usr/local/apache
mkdir -p /usr/local/apache/www.site.com/www
mkdir /usr/local/apache/www.site.com/cgi-bin
mkdir /usr/local/apache/www.site.com/secure
wget http://www.secuobs.com/tuto/index.html
mv index.html /usr/local/apache/www.site.com/www/
/usr/local/apache/bin/apachectl startssl
|
Pour automatiser un peu plus, récupérer le script sh suivant plutot que de copier coller le long script ci-dessus, nommez le install.sh, copier coller le contenu ci-dessous, chmod +x dessus puis éxécuter le par ./install.sh :
#!/bin/sh
cd /usr/src/
wget http://www.secuobs.com/tuto/exoweb.sh.tar.gz
tar -zxvf exoweb.sh.tar.gz
chmod +x exoweb.sh
/usr/src/exoweb.sh
|
Il ne vous reste plus après qu'à
utiliser le fichier modèle httpd.conf pour votre configuration (VirtualHost & NameVirtualHost: changer l'adresse ip, changer le noms de domaine), à savoir que le fichier initial d'installation d'apache a été copié
sous /usr/local/apache/conf/httpd.conf.old, à lire il peut également être rempli d'informations intéressantes pour vous aider.
Pour tester : http://www.site.com/index.html & https://www.site.com/index.html
Remplacer www.site.com par votre nom de domaine.
N'hésitez pas à prendre
contact avec nous si vous avez des commentaires
ou des questions, envoyez nous de préférence vos fichier httpd.conf ainsi que vos configurations réseaux (ip, dns) en fichier attaché dans les mails.
Ce script et le modèle httpd.conf posent les bases de votre installation mais un minimum de recherche de votre part sera surement requis pour la personnalisation de votre configuration.
Bonne
installation !
Vous pouvez également tester la sécurité de votre installation ainsi que celle de votre serveur en utilisant notre service gratuit et en ligne de scan de vulnérabilité Exoscan.
Pages : 1
- 2
- 3
- 4
- 5
- 6
- 7
----------------------------------------
|
| |
|
|
|
|
| Mini-Tagwall | | | |
Revue de presse : security, microsoft, windows, vulnérabilité, network, google, vulnerability, hacker, attack, inject, remote, mobile, server
+ de mots clés pour la revue de presse
Annuaires des videos : virus, spyware, vmware, firmware, biometric, lockpicking, wimax, password, kernel, malware, spammer, windows, iphone
+ de mots clés pour les videos
| | |
|
|
