Ngăn chặn các ứng dụng khác liên kết với cổng 80 và 443

Tuần trước tôi nhận được một cuộc gọi từ một khách hàng sợ hãi vì anh ta nghĩ rằng trang web của mình đã bị hack. Khi tôi nhìn lên trang web của anh ấy, tôi thấy apache2trang mặc định. Tối hôm đó, máy chủ của tôi ( Ubuntu 16.04 LTS) đã nâng cấp và khởi động lại. Thông thường khi có sự cố xảy ra, tôi sẽ được cảnh báo trong đêm. Lần này thì không, vì hệ thống giám sát kiểm tra mã trạng thái HTTP 200 và apache2trang mặc định đi kèm với mã trạng thái 200.

Điều đã xảy ra là trong quá trình khởi động, apache2liên kết với cổng 80 và 443 nhanh hơn so với nginx máy chủ web thực tế của tôi. Tôi không tự cài đặt apache2. Thông qua aptitude why apache2tôi tìm ra gói php7.0 yêu cầu nó.

Đơn giản chỉ cần loại bỏ apache2sẽ không hoạt động vì rõ ràng php7.0 yêu cầu nó. Có phải bằng cách nào đó có thể tạo ra một hạn chế để chỉ nginx được phép liên kết với cổng 80 và 443?

Các giải pháp khác được chào đón nhiều hơn.

Bạn không thể ngăn một cổng bị ràng buộc bởi dịch vụ sai. Trong trường hợp của bạn, chỉ cần loại bỏ apache khỏi autostart và bạn sẽ tốt.

Dành cho 16.04 trở lên:

sudo systemctl disable apache2

Đối với các phiên bản Ubuntu cũ hơn:

sudo update-rc.d apache2 disable

Nếu bạn thực sự không sử dụng apache2và đó là PHP 7.0 yêu cầu nó, thì có vẻ như bạn đã libapache2-mod-php7.0cài đặt. Gói đó là vô dụng nếu không có Apache. Vì bạn đang sử dụng nginx, nên bạn cũng có thể đã cài đặt php7.0-fpmhoặc php7.0-cgicài đặt, một trong hai điều đó là đủ để đáp ứng php7.0các yêu cầu phụ thuộc của:

$ apt-cache depends php7.0
php7.0
 |Depends: php7.0-fpm
 |Depends: libapache2-mod-php7.0
  Depends: php7.0-cgi
  Depends: php7.0-common
  Conflicts: <php5>

Nếu bạn đã php7.0-{fpm,cgi}cài đặt một trong hai , bạn có thể tiếp tục và gỡ cài đặt Apache.

Để trả lời câu hỏi của bạn, có lẽ bạn có thể giới hạn một cổng vào một ứng dụng cụ thể bằng cách sử dụng SElinux. Tôi đã không sử dụng nó cho mình và chỉ có kiến ​​thức hời hợt về khả năng của nó, nhưng đây là một con trỏ tôi tìm thấy trong trang web này:

/server//a/257056/392230

Trong câu trả lời đó, wzzrd dường như chỉ ra cách cho phép một ứng dụng cụ thể (foo) liên kết với một cổng cụ thể (803). Bạn chỉ cần thiết lập chính sách để chỉ ứng dụng của bạn (nginx) mới được phép các cổng bạn chỉ định (80 và 443).

Dựa vào câu trả lời của wzzrd, có thể đơn giản như việc thêm điều này vào chính sách

allow nginx_t nginx_port_t:tcp_socket name_bind;

và chạy nó

semanage port -a -t nginx_port_t -p tcp 80
semanage port -a -t nginx_port_t -p tcp 443

Mặc dù vậy, tôi tưởng tượng bạn cũng sẽ cần một dòng trong chính sách chỉ định rằng không có chương trình nào khác có thể liên kết với các cổng đó.

Cuối cùng, tôi chỉ đoán cấu hình phù hợp là gì.

Dù sao, tôi không nghĩ rằng đã có một Ubuntu có SElinux được cài đặt và bật theo mặc định. Vì tôi tin rằng nó yêu cầu áp dụng một số bản vá nhất định cho các tiện ích khác nhau và tùy chọn kernel, nên có thể dễ dàng sử dụng Centos hơn, có SElinux được cài đặt và kích hoạt ngay từ đầu.

Xin lỗi, tôi không giúp đỡ nhiều hơn. Có lẽ vào lúc khác, tôi sẽ tải xuống một hình ảnh của Centos và thử điều này; nó sẽ là một bước học tập tốt Tôi sẽ cập nhật câu trả lời này nếu tôi làm.

Một cái gì đó tôi chưa thấy trong các câu trả lời, nhưng vẫn có khả năng:

Thay đổi cấu hình Apache để nghe một cổng khác, chỉ trong trường hợp. Bạn có thể làm điều đó bằng cách mở tệp cấu hình Apache và thay đổi các dòng có Listen 80cổng khác.

Tôi không có câu trả lời cho câu hỏi chính xác của bạn, nhưng có lẽ bạn cần xem bản phân phối của mình. Tôi sẽ xem xét bất kỳ bản phân phối nào cho phép các dịch vụ (apache2 tại đây) khi cài đặt không an toàn. Hãy xem xét việc tìm kiếm một bản phân phối không làm điều đó. Tôi không thể nói rằng tôi đã từng thấy hành vi đó trên Archlinux, tôi chắc chắn có những người khác.