Запобігання прив'язці інших програм до портів 80 та 443

Минулого тижня мені подзвонили від переляканого клієнта, оскільки він вважав, що його веб-сайт зламаний. Коли я заглянув на його веб-сайт, я побачив apache2сторінку за замовчуванням. Тієї ночі мій сервер ( Ubuntu 16.04 LTS) оновився та перезавантажився. Зазвичай, коли щось піде не так, я б отримав попередження протягом ночі. Цього разу ні, тому що система моніторингу перевіряє код статусу HTTP 200, а apache2сторінка за замовчуванням постачається з кодом статусу 200.

Сталося те, що під час запуску apache2було швидше прив’язуватися до портів 80 та 443, ніж мій власний веб-сервер nginx. Я сам не встановив apache2. Через aptitude why apache2я дізнався, що пакет php7.0 вимагає цього.

Просте видалення apache2не вийде, тому що, мабуть, вимагає php7.0. Чи можна якось створити обмеження, щоб тільки nginx дозволяв прив'язуватися до портів 80 і 443?

Інші рішення також більш ніж вітаються.

Ви не можете запобігти прив'язці порту через неправильну службу. У вашому випадку просто зніміть apache з автоматичного запуску, і ви повинні бути хорошими.

Для 16.04 та новіших:

sudo systemctl disable apache2

Для старих версій Ubuntu:

sudo update-rc.d apache2 disable

Якщо ви насправді не використовуєте apache2, і це вимагає PHP 7.0, то, схоже, ви libapache2-mod-php7.0встановили. Цей пакет марний без Apache. Оскільки ви використовуєте nginx, ви, ймовірно, також маєте php7.0-fpmабо php7.0-cgiвстановили, будь-якого з них достатньо для задоволення php7.0вимог залежності:

$ apt-cache depends php7.0
php7.0
 |Depends: php7.0-fpm
 |Depends: libapache2-mod-php7.0
  Depends: php7.0-cgi
  Depends: php7.0-common
  Conflicts: <php5>

Якщо у вас є будь-який з php7.0-{fpm,cgi}встановлених, ви можете продовжити та видалити Apache.

Щоб відповісти на ваше запитання, ви можете, можливо, обмежити порт певним додатком, використовуючи SElinux. Я сам не користувався ним і знаю лише поверхневі знання його можливостей, але ось на цьому веб-сайті вказівник я знайшов:

/server//a/257056/392230

У цій відповіді wzzrd, схоже, показує, як дати конкретній програмі (foo) дозвіл на прив'язку до конкретного порту (803). Вам просто доведеться налаштувати політику, щоб дозволено лише вашій програмі (nginx) порти, які ви вказали (80 та 443).

Опираючись на відповідь wzzrd, це може бути так само просто, як додати це до політики

allow nginx_t nginx_port_t:tcp_socket name_bind;

і працює це

semanage port -a -t nginx_port_t -p tcp 80
semanage port -a -t nginx_port_t -p tcp 443

Хоча, думаю, вам також знадобиться рядок у політиці, який визначає, що жодна інша програма не може прив'язуватися до цих портів.

Зрештою, я просто здогадуюсь, яка відповідна конфігурація.

Як би там не було, я не думаю, що Ubuntu, який встановив SElinux і включив його за замовчуванням, не було. Оскільки я вважаю, що це вимагає застосування певних виправлень до різних утиліт та опції ядра, може бути простіше просто використовувати Centos, у якого встановлений і включений SElinux з початку роботи.

Вибачте, я не допомагаю більше. Можливо, в інший раз я завантажу зображення Centos і спробую це; це буде хорошим кроком до навчання. Цю відповідь я оновлю, якщо так.

Щось ще не бачив у відповідях, але все ж є можливість:

Змініть конфігурацію Apache, щоб прослухати інший порт, про всяк випадок. Це можна зробити, відкривши конфігураційний файл Apache та змінивши рядки, які мають Listen 80інший порт.

У мене немає відповіді на ваше точне запитання, але, можливо, вам потрібно подивитися на ваш дистрибутив. Я вважаю, що будь-який дистрибутив, який дає змогу службам (apache2 тут) при встановленні бути небезпечним. Поміркуйте, дивлячись у дистрибутив, який цього не робить. Я не можу сказати, що я коли-небудь бачив таку поведінку в Archlinux, я впевнений, що є й інші.