PDA

Orijinalini görmek için tıklayınız : Apache Güvenlik Yapılandırmasıerkolay
04 11 2015, 22:27
Apache dünyanın en çok kullanılan açık kaynak kodlu web sunucusudur. Netcraft firmasının son istatistiği (http://news.netcraft.com/archives/category/web-server-survey/)ne göre dünya üzerindeki web sunucuların %34,5'i Apache'dir.

https://resim.webmaster.bbs.tr/image.uploads/04-11-2015/original-76400976f4c90700acb1c5f34c6a4268.png

Dolayısıyla bu sunucunun güvenlik yapılandırmalarının eksik veya yanlış yapılmış olması ya da sunucu kodunda bulunan bir sorun kaynaklı bir açıklık, saldırganlar için gayet geniş bir saldırı yüzeyi anlamına gelmektedir.

Bu yazıda Apache web sucusunun temel güvenlik yapılandırma adımlarına yer verilmektedir. Daha ayrıntılı bilgi için referanslar bölümündeki kaynaklara başvurulabilir.

Zamana Ayak Uydurmak Güvenlik konusunda ilk söylenebilecek şey günü yakalayabilmenin gerekliliğidir. Düzenli güncellemesi yapılmamış bir sistemin bütünsel güvenliğinden söz etmek güçtür. Aynı şekilde Apache güvenliği konusunda da atılacak ilk adım en son güncellemelerin yapılmasıdır. Böylece en iyi bilinen ve ya en yeni açıklıklara karşı korunma sağlanmış olunur. Sonrasında yapılacak ayarlar ve düzeltmeler ile de güvenlik sıkılaştırması bir adım ileriye götürülecektir.

Apache Yapılandırma Dosyaları Apache web sunucusunda genel yapılandırma dosyası httpd.conf dosyasıdır. Ancak farklı işletim sistemleri ya da dağıtımlar kendine özgü yapılandırma dosyaları kullanıyor olabilirler (Örn. apache2.conf).Genel yapılandırma dosyaları "Include" paramteresiyle birlikte farklı yapılandırma dosyalarını da dahil edebilir. Dolayısıyla diğer yapılandırma dosyalarının da incelenmesi gerekmektedir. Bölüm bazlı (klasör bazlı), kısıtlama ve yapılandırmaları yapmak için ise o bölüme ait .htaccess dosyasında gerekli düzenlemeler ve ayarlamalar yapılabilir. Ama .htaccess dosyalarının kullanımı, o klasöre ait genel yapılandırma dosyasının ayarlarında bozulmaya sebep olabileceğinden yapılandırma işlemleri için .htaccess kullanılması çok tercih edilen bir durum değildir.
Minimum Bilgi Prensibi Güvenlik denince akla gelen en önemli prensiplerden biri de kullanıcının bilmesi gereken kadar bilgi göstermek ya da bildirmek, yani minimum bilgi prensibidir. Kullanıcıya gereğinden fazla gösterilen bir bilgi saldırı zemini hazırlanması için kullanılabileceğinden kısıtlanması güvenlik açısından önem arzetmektedir. Minimum bilgi prensibinin web sunucusunu ilgilendiren kısmı da sunucu imzası (ServerSignature) yani sunucu hakkında bilgi içeren ve HTTP yanıtlarında "Server" başlığı ile gönderilen bilginin kısıtlanmasıdır. Server başlığı ile birlikte Apache versiyon bilgisi, işletim sistemi ve kullanılan apache modüllerinin bilgisi kullanıcıya gösterilmektedir. Bu bilgiler kullanılarak sunucu, işletim sistemi ve modüllere uygun saldırı tekniklerinin kullanılması, bilinen uygun açıklıkların denenmesi ile saldırının hızlandırılması ve gerçeklenmesi kolaylaştırılmış olur. Sunucu bilgisinin kısıtlanması için ise yapılması gereken şey yapılandırma dosyasına;


ServerSignature Off
ServerTokens Prod


yazılmasıdır.

ServerSignature Off ile hata sayfalarındaki ve benzeri sunucu tarafından üretilen sayfalardaki sunucu bilgisinin gizlenmesi sağlanır.
ServerTokens Prod ile de sadece kullanılan sunucunun adı kullanıcıya gösterilir, geri kalan bütün bilgiler gizlenir. Prod, ProductOnly’nin kısaltmasıdır. Bunun yanı sıra Major, Minor Minimal, OS ve Full gibi seçenekler de vardır. Minimal seçeneğinde sunucunun sürüm numarası gösterilir. Major seçeneğinde sürüm numarasının ilk hanesi, Minor seçeneğinde ise sürüm numarasının ikinci hanesi gösterilmektedir. OS ayarında sunucu versiyon bilgisi ile birlikte işletim sistemi hakkında da bilgi gösterilirken Full modda ise kullanılan Apache modülleri dahil tüm bilgiler kullanıcıya gösterilmektedir. (Full modu ile ServerTokens parametresinin hiç belirtilmemesi aynı anlama gelmektedir)[2] Sunucu bilgisi konusunda minimum bilgi prensibine en uygun seçenek Prod olduğundan ServerTokens parametresinin değeri Prod olarak seçilmiştir.
Doğru Kullanıcı ve Doğru Grup Apache ilk başladığında root kullanıcısı ile başlatılır, daha sonra Apache'yi kullanan kullanıcıya geçiş yapılır. Çünkü Apache çalıştırıldığında başlatılması gereken servisler (örneğin yapılandırma gereği web sunucusunun 80 nolu portu kullanması gibi) root yetkisi gerektirebilmektedir.
Önemli bir güvenlik prensibi de kullanıcı ve grup haklarının düzenlenmesi, uygulamaların da uygun haklara sahip kullanıcı ve grup tarafından çalıştırılmasıdır. Bu bağlamda Apache'nin de uygun haklara sahip bir kullanıcı ile çalıştırılması, diğer uygulamaları çalıştıran kullanıcılardan ayrılması güvenlik açısından olumlu bir davranış olacaktır. Özellikle Apache'nin (yukarıda bahsedilen açılış betiğinin çalıştırılması hariç) root kullanıcısıyla koşturulmaması çok büyük bir önem arzetmektedir. Bu sayede sistemin herhangi bir yerine olan veya herhangi bir uygulamada olan bir açıklığın diğer uygulamaları etkilemesi ve hatta tüm sistemin ele geçirilmesi olasılığının önüne geçilmiş olunur.

Bunun için yapılandırma dosyasına;

User apache
Group apache


yazılması yeterli olacaktır. Böylece web sunucunun apache kullanıcısı ve apache grubu yetkileri ile işletim sistemi üzerinde işlem yapması sağlanmış olacaktır. (apache kullanıcısı ve grubunun daha önce oluşturulduğu kabul edilmiştir)

Klasör ve Dosya Erişiminin Kısıtlanması Apache sıkılaştırmasında erişim denetimi önemli bir yer tutar. Apache'nin web kök klasörü dışına erişebilmesi kullanıcılar tarafından sistem dosyaları ve yapılandırma dosyalarının görülebilmesi gibi sonuçlara neden olacağından çok tehlikeli neticeler doğurabilir. Özellikle yanlış veya eksik ayarlanmış sistemlerde bu durum çok daha net görülebilmektedir. Dolayısıyla Apache'nin web kök dizini dışındaki dosyalara erişimi kısıtlanmalıdır. Bunun için iki adım atılmalıdır.
Birinci adımda httpd.conf dosyasına (ya da apache2.conf)Order Deny,Allow
Deny from Allsatırları eklenmelidir. Öntanımlı olarak Apache web sucunusu kurulduğunda Allow from All seçeneği ile gelir. Dolayısıyla istenilen tüm adresleri kullanıcıya servis eder. Bu kod parçasınde ise Deny from All ile bütün talepler reddedilmiş olunuyor. [3] Bundan sonraki adımda ise istenilen klasörlere erişim hakkı verilecektir. Yanı kısaca önce tüm erişimi engellenip daha sonra sadece istenilen yelere erişim verilecektir.

İkinci adım da istenilen klasörlere erişim hakkı vermek amacı ile yapılır. Örneğin web dosyalarının bulundugu dizin /webroot olan bir uygulamaya erişim vermek içinOrder Allow,Deny
Allow from Allsatırının yapılandırma dosyasına eklenmesi yeterli olacaktır. Order parametresi hangi kuralın daha önce uygulanacağını belirtir. Örneğin önceki yapılandırmada engelleme kuralları (Deny Rules), izin verme kurallarından (Allow Rules) daha önce uygulanırken /webroot klasörü için izin verme kuralları, engelleme kurallarından daha önce uygulanır. Bunun anlamı kullanıcının /webroot klasörü için izin verme şartlarını sağlayamaması ya da engelleme kurallarını sağlaması durumunda erişimi yasaklanacaktır.


Bu kısıtlamalar sonucunda Apache /webroot dışında hiçbir klasöre erişmeyecek, böylece erişim denetiminin ilk adımı gerçeklenmiş olacaktır.
Klasör kısıtlamaya ek olarak dosya kısıtlama işlemi de benzer bir şekilde yapılabilir. Örneğin internet üzerinden erişilmesi istenmeyen tek bir dosya için httpd.conf dosyasınaOrder Deny,Allow
Deny from Allyazılarak private.html dosyasına erişim engellenmiş olur. Benzer şekilde belirtilen bir uzantıdaki tüm dosyalara erişimi engellemek için yapılandırma dosyasına
Order Deny,Allow
Deny from All


yazılması yeterli olacaktır. Böylece .svn uzantılı dosyalara erişim yasaklanmış olacaktır. Bu tarz kısıtlamalar genellikle klasör bazlı kısıtlama için kullanılan alt yapılandırma dosyası .htaccess dosyasının doğrudan çağırılmasının engellenmesi için kullanılmaktadır.Order Deny,Allow
Deny from All.htaccess Kulanımından Kaçınmak .htaccess dosyası klasör tabanlı kısıtlama yapmak için kullanılan bir alt yapılandırma dosyasıdır. Ancak bir alt klasör için .htaccess ile yapılan bir değişiklik genel yapılandırma dosyasının ayarlarını bozabilir ve bir güvenlik açığına sebep olabilir. Bu yüzden .htaccess dosyasının genel yapılandırma dosyasının ayarlarını bozmasının önüne geçilmesi içinAllowOverrride Nonekomutu genel yapılandırma dosyasının içine eklenmelidir.


Gereksiz Modüllerin Kapatılmasıhttps://www.bilgiguvenligi.gov.tr/images/stories/oguzhantopgul/1.jpg

Bütünsel güvenliğin sağlanmasında saldırılacak yüzeyin daraltılması büyük önem arz etmektedir. Dolayısıyla kullanılmayan, gereksiz Apache modüllerinin kapatılması güvenlik açısından önemlidir. Öntanımlı ayarları ile çalışan (yeterli güvenlik sıkılaştırması yapılmamış) ve kullanılmayan, gereksiz bir modül sisteme giriş için zayıf bir nokta oluşturabileceğinden güvenlik açısından tehdit olarak görülebilir.


Modüllerin yüklenmesi httpd.conf dosyasından yapılabileceği gibi Apache ile bütünleşik (built-in) derlenmesi ile de yapılabilir. Eğer modül olarak kullanılıyor ise Apache modüllerinin aktivasyon ve deaktivasyon işlemleri komut satırındana2enmod (modül adı)

ve


a2dismod (modül adı)komutları ile yapılabilir. Derleme sırasında kurulan apache modüllerinin deaktive edilmesi için Apache'nin tekrar derlenmesi gerekmektedir. Derleme sırasında kurulan Apache modüllerinin listesini görmek için komut satırında, ilgili işletim sistemi ya da dağıtımın Apache paketlemesine bağlı olarak


apache2 -l

veya


httpd -l


komutları kullanılabilir.
Yapılandırma Dosyalarına root İle Erişim Yetkilendirme konusunda alınacak bir diğer güvenlik önlemi de Apache yapılandırma dosyalarına sadece root kullanıcısıyla erişimin sağlanmasıdır. Yapılandırma dosyalarının diğer kullanıcılar tarafından görülememesi (read), değiştirilememesi (write) ve çalıştırılamaması (execute) gerekmektedir. Bunun için Apache'nin kurulu olduğu klasör için (örnek olarak /apache olduğu varsayılmıştır) komut satırından


chown -R root:root /apache

chmod -R o-rwx /apache


komutlarının çalıştırılıp yetkilerin düzenlenmesi gerekmektedir. chown komutu linux komut satırında uygulama ve klasörün sahibini yani onu çalıştırabilecek veya onu görebilecek kullanıcıyı ve grubunu değiştirmeye yarar. chmod ise klasör veya dosyanın üzerindeki kullanıcı haklarını ve yetkilerini (okuma-yazma-çalıştırma) değiştirmeye yarar.

Options Direktifi Options direktifi içerisine yazılan ve farklı seçenekleri açıp kapatmaya yarayan bir direktiftir. Bir klasör içerisinde hangi özelliklerin aktif olduğunu ayarlamaya yarar. Bu seçeneklerden bazıları güvenlik konusunda bazı zayıflıklara sebep olabilmektedir. Bunun için en temel olarak bütün seçenekleri dekative etme işlemi, genel yapılandırma dosyasına
Options Nonesatırları yazılarak gerçekleştirilebilir. Bunun yanı sıra sadece bazı seçenekleri kapatmak için
Options
şablonu kullanılabilir.[1]
ModSecurity Kullanımı ModSecurity, açık kaynak kodlu, web uygulama güvenlik duvarı gibi davranan bir apache modülüdür. ModSecurity ile basit filtreleme, düzenli İfade (Regular Expression) temelli filtreleme, URL kodlama (Encoding) doğrulaması, unicode kodlama doğrulaması, "null bayt" saldırı koruması, sunucu kimliği maskeleme, chroot desteği ve daha fazla birçok özellik kullanılabilir. Ayrıca ModSecurity ters vekil (reverse proxy) olarak da kullanılarak ağın detayları ve yapısının dış dünyadan saklanması sağlanabilir.[2]

TRACE Metodunun Kapatılması
HTTP TRACE metodu kötü amaçlı olarak kullanıcı çerezlerinin ve kimlik bilgilerinin alınması için kullanılabilir. Çerez (cookie) bilgilerinin elde edilmesi için genellikle uygulanan yöntem XSS atakları ile çerez bilgisinin çalınmasıdır. cookie başlığının HTTPOnly parametresi document.cookie (cookie bilgisinin oldugu yer) objesine scripting dilleri ile erişilmesini engelleyen bir parametredir. Ancak TRACE metodu ile HTTPOnly parametresinin sağladığı güvenlik çemberi aşılabilir ve kullanıcının çerez ve kimlik bilgilerine ulaşılabilir (Bu saldırı türüne XST-Cross Site Tracing denir). Daha önce çerez almış ve kimlik doğrulama (authentication) yapmış bir kullanıcının TRACE ile isetek göndermesi sonucunda HTTP cevabında çerez ve kimlik bilgileri görünmektedir, böylece HTTPOnly atlatılmış olunur. Dolayısıyla TRACE metodu, sunuculardan konfigure edilip kullanıma kapatılmalı ya da bu metodun kullanımı kısıtlanmalıdır.

Apache web sunucusunda TRACE metodunun kısıtlanması için yapılandırma dosyasına


TraceEnable off


yazılması yeterlidir. [3]
Özel Hazırlanmış Hata Sayfaları Öntanımlı HTTP 4xx ve 5xx hata mesajları içerisinde minimum bilgi prensibine aykırı bilgiler bulunmaktadır. Bu bilgiler sistemin işleyişi ve yapısı hakkında saldırganlara yarar sağlayabilmekte ve saldırıyı kolaylaştırmaktadır. Sunucunun kendi hata mesajları yerine isteğe göre hazırlanmış hata sayfalarının gösterilmesi tercih edilmelidir. Hata sayfası olarak özel olarak hazırlanmış hata sayfalarının gösterilmesi için Apache yapılandırma dosyası (httpd.conf veya apache2.conf) içerisinde


ErrorDocument [Hata Kodu] /hata/sayfasının/yolu.htmlşablonuna uygun bir düzenleme yapılmalıdır. [4] Hata sayfasının yolu yerine "Default" yazılması durumunda Apache'nin kendi hata sayfalarının gösterilmesi sağlanabilir. Ayrıca içerisine yazılan ErrorDocument parametreleri ile farklı URL'ler için farklı hata sayfalarının gösterilmesi sağlanabilir.

Chroot Chroot sunucular için standart işletim sistemi kök dizininden bağımsız bir kök dizin tanımlamaya olanak sağlayan bir servistir. Yapılandırma dosyaları, uygulama dosyaları, sürücü dosyaları ve gerekli kütüphanelerin bu dizin altına kopyalanması ile uygulama işletim sistemi kök dizininde değil chroot kök dizini altından hapsedilerek çalıştırılır.[5] Apache'nin chroot altında çalışmasının sağlanması herhangi bir sızma ve açıklığın sömürülmesi durumunda saldırganın chroot kök dizini altına hapsolması, diğer dizinlere erişememesi anlamına gelmektedir ve bu yüzden çok önemlidir. Chroot hakkında ayrıntılı bilgi ve chroot açık kaynak kodlu yazılımları için (Apache, MySQL, PHP) hem güvenli kurulum adımlarını gerçekleştiren,erişim izinlerini güvenli bir biçimde yapılandıran hem de sunucu servisleri için gerekli başlatma ve durdurma betiklerini barından CAMMP[6] uygulamasını hakkında ayırntılı bilgi için referanslardaki bağlantılar takip edilebilir.

Hizmet Dışı Kalmamak Hizmet dışı bırakma saldırıları basit olarak sunucuların kullanıcıları hizmet veremeyecek kadar yoğun veya işlemez hale getirilmesi olarak tanımlanabilir. Bu saldırıyı OSI katmanlarından taşıma (Transport Layer) katmanında yapabilmek mümkün olduğu gibi, Uygulama (Application Layer) katmanında da yapabilemk mükündür. Dolayısıyla hizmet dışı bırakma saldırılarından korunmak için tek ve mükemmel bir çözümden bahsetmek güçtür. Çünkü bu saldırılar genellikle sunucuların standart çalışma prensipleri kullanılarak yapılmaktadır. Ancak Apache güvenlik yapılandırmalarının bu saldırılılar göz önünde bulundurularak yapılması durumunda birçok saldırı başarısız olacaktır.

Timeout direktifinin değerinin düşürmek: Timeout sunucunun zaman aşımı süresini belirler ve öntanımlı olarak 300 saniyedir. Bu değerin düşürülmesi hizmet dışı saldırılarına karşı alınacak önlemlerden biridir. Ancak bu sürenin çok düşük değerlere çekilmesi de sunucunun verimli ve doğru çalışmasını engelleyebilir. Yapılandırma dosyasında birimi saniye olacak şekilde aşağıdaki satırın yazılması yeterlidir.[7]


Timeout SÜRE


KeepAliveTimeout direktifinin değerini düşürmek: KeepAliveTimeout direktifi yeni bir bağlantı açmadan önce kalıcı bağlantının ne kadar süre ile bekletileceğini belirleyen direktiftir. Bu değerin yüksek olması durumu hizmet dışı bırakma saldırılarını yapanlarca en çok sömürülen durumdur. Çok sayıda ve uzun süre aktivite beklenen talepler sebebiyle sunucu yeni taleplere hizmet veremez hale gelebilmektedir. Bu direktifin değerinin çok düşük seviyelere çekilmesi (veya KeepAlive direktifinin tamamen kapatılması) durumunda ise suınucuda performans problemleri ortaya çıkmaktadır. Çünkü KeepAlive direktifi aynı TCP bağlantısı üzerinden birden fazla istek yapılmasına olanak verdiği için bazı durumlarda ciddi performans artışı sağlayabilmektedir. Bu yüzden KeepAliveTimeout değeri ayarlanırken performans konusu da göz önünde bulundurulmalı, saniye zaman birimi kullanılacak şekilde, sistemin ihtiyaçlarına uygun bir değer tercih edilmelidir. (Öntanımlı olarak 15 değerini almaktadır)


KeepAliveTimeout SÜRE

veya


KeepAlive on/off

MaxClients direktifinin değerini seçmek: Öntanımlı olarak 150 adet eşzamanlı bağlantı değerini alan MaxClients direktifi, eşzamanlı olarak bağlanabilecek maksimum istemci sayısını belirtir. Bu değerin çok düşük seviyelere çekilmesi de sistemin hizmet verebilmesini negatif yönde etkiler. Bu yüzden bu değer de seçilirken dikkatli olunmalıdır.


MaxClients SAYI

LimitRequestBody, LimitRequestFields, LimitRequestFieldSize, LimitRequestLine, and LimitXMLRequestBody direktifleri dikkatli bir şekilde sistem gereksimleri ve performans da göz önünde bulundurularak ayarlanmalıdır. Bu direktiler istemci tarafından yapılan talep bölümlerinin boyutlarının sınırlandırılmasını sağlar. Bu direktifler sayesinde sistem yöneticisi anormal talepler üzerinde gayet büyük bir kontrol sahibi olur. Örneğin sunucuya yüklenebilecek dosyanın en büyük boyutunu LimitRequestBody direktifi ile ayarlayabiliriz. [8]

Mod_evasive[9], SYN-Cookie[10], SYN-Cache[11], SYN-Proxy[12] gibi modüller ve yazılımlar kullanmak güvenlik konusunda yardımcı olacaktır.

Hizmet dışı bırakma saldırılarına karşı yukarıda yer alan hiçbir madde tek başına yeterli değildir. Daha önce de söylediğimiz gibi hizmet dışı bırakma saldırıları sunucuların çalışma mantıkları sömürülererk yapıldığından bu tarz saldırılar için alınan önlemler bir yandan performans ve işleyiş üzerinde negatif bir etki oluşturabilmektedir. Hizmet dışı bırakma açıklıklarını test edebileceğiniz uygulamalar ve betikler bulunmaktadır.

Sonuç Bu yazımızda Apache sunucusu için temel güvenlik yapılandırma adımlarını incelemeye çalıştık. Bu adımların bir çoğu sistemin işleyişine ve yapısına göre sunucudan sunucuya farklılık gösterebilmekte ve sistem yöneticilerinin tercihleri doğrultusunda düzenlenebilmektedir. Dolayısıyla Apache sunucu güvenliği denince tek bir optimum çözümden bahsetmek güçtür. Her sistem kendi gereklilikleri ölçüsünde yapılandırmalarla sıkılaştırılmalıdır.

Referanslar
[1] http://news.netcraft.com/archives/category/web-server-survey/ (http://news.netcraft.com/archives/category/web-server-survey/)
[2] http://httpd.apache.org/docs/2.2/mod/core.html#servertokens (http://httpd.apache.org/docs/2.2/mod/core.html#servertokens)
[3] http://www.htaccesselite.com/order-allow-deny-vt54.html (http://www.htaccesselite.com/order-allow-deny-vt54.html)

[4] http://httpd.apache.org/docs/2.2/en/mod/core.html#options

[5] http://www.modsecurity.org/

[6] http://httpd.apache.org/docs/2.2/en/mod/core.html#traceenable

[7] http://httpd.apache.org/docs/2.2/en/mod/core.html#errordocument

[8] http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/chroot-nedir.html

[9] http://www.bilgiguvenligi.gov.tr/teknik-yazilar-kategorisi/uygulamalarinizi-cammp-ile-hapsedin.html

[10] http://httpd.apache.org/docs/trunk/mod/core.html#timeout

[11] http://httpd.apache.org/docs/trunk/en/mod/core.html#limitrequestbody (http://httpd.apache.org/docs/trunk/en/mod/core.html#limitrequestbody)

[12] http://www.zdziarski.com/blog/?page_id=442 (http://www.zdziarski.com/blog/?page_id=442)

[13] http://cr.yp.to/syncookies.html

[14] http://www.usenix.org/events/bsdcon/full_papers/lemon/lemon_html/node7.html

[15] http://lists.netfilter.org/pipermail/netfilter-devel/2001-September/005542.html

[16] http://www.bga.com.tr/calismalar/synflood.pdf