Mudanças entre as edições de "Configuração de servidor web"

Edição das 16h05min de 16 de outubro de 2015

Instalar o apache e php5

# apt-get install apache2 php5

Instalar dependências comuns, irá depender da aplicação hospedada: (Opcional)

# apt-get install php5-ldap php5-gd php5-mysql php5-pgsql

Dicas de segurança

Editar o arquivo /etc/apache2/conf.d/security e alterar as linhas para:

ServerTokens Prod
ServerSignature Off

Alterar /etc/apache2/sites-enabled/000-default relacionado ao virtualHost padrão do apache.

Arquivo de exemplo:

<VirtualHost *:80>
       ServerAdmin email@canoas.ifrs.edu.br
       ServerName exemplo.canoas.ifrs.edu.br
       DocumentRoot /var/www
<Directory />
     Options -Indexes
     AllowOverride None
     Order allow,deny
     allow from all
</Directory>
# IMPORTANTE! Apagar ou comentar as linhas abaixo caso a aplicação não use cgi.
#       ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
#       <Directory "/usr/lib/cgi-bin">
#               AllowOverride None
#               Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
#               Order allow,deny
#               Allow from all
#       </Directory>
       ErrorLog ${APACHE_LOG_DIR}/error.log
       LogLevel warn
       CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

Acesso via HTTPS (SSL)

Criar a pasta para armazenar os certificados:

# mkdir /etc/apache2/ssl/

Proteger a pasta ssl, copiar os certificados e protege-los:

# chmod 700 /etc/apache2/ssl/
# chmod 600 /etc/apache2/ssl/todoscertificados
# chwon root:root -R /etc/apache2/ssl/

Editar o arquivo padrão /etc/apache2/sites-available/default-ssl

<IfModule mod_ssl.c>
<VirtualHost _default_:443>
       ServerAdmin email@canoas.ifrs.edu.br
       ServerName exemplo.canoas.ifrs.edu.br
       DocumentRoot /var/www
<Directory />
     Options -Indexes
     AllowOverride None
     Order allow,deny
     allow from all
</Directory>
       ErrorLog ${APACHE_LOG_DIR}/error.log
       LogLevel warn
       CustomLog ${APACHE_LOG_DIR}/access.log combined
       SSLEngine on
       SSLCertificateFile    /etc/apache2/ssl/certificado.crt                # Gerar certificados via Cacert.org ou auto-assinado,
       SSLCertificateKeyFile /etc/apache2/ssl/certificados.key.insecure       # referência: http://www.vivaolinux.com.br/artigo/Configuracao-do-SSL-no-Apache
       BrowserMatch "MSIE [2-6]" \
               nokeepalive ssl-unclean-shutdown \
               downgrade-1.0 force-response-1.0
       # MSIE 7 and newer should be able to use keepalive
       BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
</VirtualHost>

Habilitar módulo SSL e o virtualHost padrão com SSL:

# a2enmod ssl
# a2ensite default-ssl

Prevenindo contra Poodle Ataque

A falha está relacionada ao protocolo SSL 3.0. A vulnerabilidade permite que um usuário malicioso consiga interceptar conexões seguras entre clientes e servidores e forçá-los a utilizar SSL 3.0 que pode, então, ser decifrada.

Altere o arquivo /etc/apache2/mods-available/ssl.conf com SSLProtocol para:

# SSLProtocol all -SSLv2 -SSLv3

Recarregar as configurações:

# invoke-rc.d apache2 reload

Testar:

# openssl s_client -connect nomeservidor.canoas.ifrs.edu.br:443 -ssl3

Deve retornar algo como:

CONNECTED(00000003)
12721:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1099:SSL alert number 40
12721:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:536:

Se retorno for um certificado, o protocolo SSLv3 ainda esta ativo.

Ou uma ferramenta online:

https://www.poodlescan.com/

Permissões em pastas e arquivos

# chown -R www-data:www-data /var/www/
# find /var/www/ -type d -exec chmod -R 755 {} \;
# find /var/www/ -type f -exec chmod -R 644 {} \;

Se a aplicação possui um arquivo de configuração restringir o acesso:

# chmod 640 config.php

Logs

tail -f /var/log/apache2/access.log
tail -f /var/log/apache2/error.log