80 এবং 443 পোর্টে বাধ্য হওয়া থেকে অন্যান্য অ্যাপ্লিকেশনগুলি রোধ করা হচ্ছে

গত সপ্তাহে আমি একজন ভীত গ্রাহকের কাছ থেকে কল পেয়েছিলাম কারণ সে ভেবেছিল যে তার ওয়েবসাইট হ্যাক হয়েছে। আমি যখন তার ওয়েবসাইটটি দেখলাম তখন আমি apache2ডিফল্ট পৃষ্ঠাটি দেখেছি । সেই রাতে আমার সার্ভারটি ( Ubuntu 16.04 LTS) আপগ্রেড হয়েছে এবং পুনরায় চালু হয়েছে। সাধারণত কিছু ভুল হয়ে গেলে আমি রাতের বেলা সতর্ক হয়ে যেতাম। এবার নয়, কারণ মনিটরিং সিস্টেমটি HTTP স্থিতি কোড 200 পরীক্ষা করে এবং apache2ডিফল্ট পৃষ্ঠাটি স্ট্যাটাস কোড 200 সহ আসে 200

যা ঘটেছিল তা হ'ল শুরুর সময় apache2আমার আসল ওয়েবসার্ভার এনজিনেক্সের চেয়ে 80 এবং 443 পোর্টে বাঁধাই দ্রুত ছিল। আমি নিজে অ্যাপাচি 2 ইনস্টল করি নি। aptitude why apache2আমি পিএইচপি 7.0 এর মাধ্যমে জানতে প্যাকেজের এটির প্রয়োজন।

কেবল অপসারণ apache2কাজ করবে না কারণ দৃশ্যত php7.0 এর প্রয়োজন। এটি কি কোনওভাবেই কোনও বিধিনিষেধ তৈরি করতে পারে যাতে কেবলমাত্র এনজিনেক্সকে 80 এবং 443 পোর্টে বাঁধতে দেওয়া হয়?

অন্যান্য সমাধানগুলিও স্বাগত অপেক্ষা বেশি।

আপনি কোনও বন্দরকে ভুল পরিষেবা দ্বারা আবদ্ধ হতে আটকাতে পারবেন না। আপনার ক্ষেত্রে, কেবল অটোস্টার্ট থেকে অ্যাপাচি সরান এবং আপনার ভাল হওয়া উচিত।

16.04 এবং আরও নতুনের জন্য:

sudo systemctl disable apache2

পুরানো উবুন্টু সংস্করণগুলির জন্য:

sudo update-rc.d apache2 disable

আপনি যদি সত্যিই ব্যবহার না করে থাকেন apache2এবং এটি পিএইচপি 7.0 এর প্রয়োজন হয় তবে এটি মনে হয় আপনি libapache2-mod-php7.0ইনস্টল করেছেন। সেই প্যাকেজটি অ্যাপাচি ছাড়া অকেজো। যেহেতু আপনি এনজিনেক্স ব্যবহার করছেন, আপনার সম্ভবত সম্ভবত ইনস্টল php7.0-fpmবা ইনস্টলও php7.0-cgiকরা হয়েছে, যার মধ্যে php7.0দুটি নির্ভরতার প্রয়োজনীয়তা সন্তুষ্ট করার জন্য যথেষ্ট :

$ apt-cache depends php7.0
php7.0
 |Depends: php7.0-fpm
 |Depends: libapache2-mod-php7.0
  Depends: php7.0-cgi
  Depends: php7.0-common
  Conflicts: <php5>

যদি আপনার কোনও php7.0-{fpm,cgi}ইনস্টলড থাকে তবে আপনি এগিয়ে গিয়ে অ্যাপাচি আনইনস্টল করতে পারেন।

আপনার প্রশ্নের উত্তর দেওয়ার জন্য, আপনি সম্ভবত SElinux ব্যবহার করে একটি নির্দিষ্ট অ্যাপ্লিকেশনটিতে একটি বন্দর সীমাবদ্ধ করতে পারেন। আমি এটি নিজেই ব্যবহার করি নি এবং এর ক্ষমতার সম্পর্কে কেবল মাত্রাতিরিক্ত জ্ঞান আছে, তবে এখানে এই সাইটের মধ্যে একটি পয়েন্টার পেয়েছি:

/server//a/257056/392230

এই উত্তরে, wzzrd দেখায় যে কোনও নির্দিষ্ট অ্যাপ্লিকেশনকে (foo) নির্দিষ্ট পোর্টে (803) বাঁধতে অনুমতি কীভাবে দেওয়া যায় show আপনার কেবলমাত্র পলিসি সেট আপ করতে হবে যাতে আপনার নির্দিষ্ট পোর্টগুলি (80 এবং 443) কেবলমাত্র আপনার অ্যাপ্লিকেশন (এনজিনেক্স) অনুমোদিত হয়।

Wzzrd এর উত্তরে নিজেকে ঝাঁকিয়ে দেওয়া, এটি নীতিতে যুক্ত করার মতোই সহজ হতে পারে

allow nginx_t nginx_port_t:tcp_socket name_bind;

এবং এই চলমান

semanage port -a -t nginx_port_t -p tcp 80
semanage port -a -t nginx_port_t -p tcp 443

যদিও, আমি ধারণা করি আপনার নীতিমালায় একটি লাইনও প্রয়োজন হবে যা নির্দিষ্ট করে যে কোনও অন্য প্রোগ্রাম সেই পোর্টগুলির সাথে আবদ্ধ হতে পারে না।

শেষ পর্যন্ত, আমি কেবল সঠিক কনফিগারেশনটি কী তা অনুমান করছি।

যাইহোক, আমি মনে করি না যে একটি উবুন্টু আছে যা সেলিনাক্স ইনস্টল করে এবং ডিফল্টরূপে সক্ষম করা আছে। যেহেতু আমি বিশ্বাস করি যে এটির জন্য বিভিন্ন ইউটিলিটি এবং একটি কার্নেল বিকল্পের জন্য নির্দিষ্ট প্যাচ প্রয়োগ করা দরকার, সেন্টোগুলি সহজেই ব্যবহার করা সহজ হতে পারে যা সেলিনাক্স ইনস্টল করা এবং গেট-গো থেকে সক্ষম করা রয়েছে।

দুঃখিত, আমি বেশি সাহায্য করি না। অন্য কোনও সময়, আমি সেন্টোসের একটি চিত্র ডাউনলোড করব এবং এটি চেষ্টা করব; এটি একটি ভাল শেখার পদক্ষেপ হবে। আমি এই উত্তরটি আপডেট করলে আমি তা করব।

এমন কিছু যা আমি এখনও উত্তরে দেখিনি, তবে এখনও এটি একটি সম্ভাবনা:

অন্য ক্ষেত্রে শোনার জন্য অ্যাপাচি কনফিগারেশনটি পরিবর্তন করুন, সেক্ষেত্রেই। আপনি অ্যাপাচি কনফিগারেশন ফাইলটি খোলার মাধ্যমে এবং Listen 80অন্য পোর্টে থাকা লাইনগুলি পরিবর্তন করে এটি করতে পারেন ।

আপনার সঠিক প্রশ্নের উত্তর আমার কাছে নেই, তবে সম্ভবত আপনাকে আপনার ডিসট্রোর দিকে নজর দেওয়া দরকার। আমি ইনস্টল থাকা পরিষেবাগুলিকে (এপাচি 2 এখানে) সক্ষম করে এমন কোনও ডিস্ট্রোকে নিরাপত্তাহীন বলে বিবেচনা করব। এমন কোনও ডিস্ট্রো সন্ধানের বিষয়টি বিবেচনা করুন যা এটি করে না। আমি বলতে পারি না আমি আর্চলিনাক্সের উপর এমন আচরণটি দেখেছি, আমি নিশ্চিত যে অন্য কেউ আছে।