Безопасность: відмінності між версіями
Перейти до навігації
Перейти до пошуку
Sv (обговорення | внесок) |
Sv (обговорення | внесок) |
||
| Рядок 1: | Рядок 1: | ||
=Https доступ к админке= | =Https доступ к админке= | ||
Включаем ssl в apache. Следующими командами мы раскоментируем в конфиге строки | Включаем ssl в apache. Следующими командами мы раскоментируем в конфиге строки: | ||
* LoadModule ssl_module ... | |||
* LoadModule socache_shmcb_module ... | |||
* Include ... httpd-ssl.conf | |||
<source lang='bash'> | <source lang='bash'> | ||
cd /usr/local/etc/apache24/ | cd /usr/local/etc/apache24/ | ||
sed -i '' 's/#LoadModule *ssl_module/LoadModule ssl_module/' httpd.conf | sed -i '' 's/#LoadModule *ssl_module/LoadModule ssl_module/' httpd.conf | ||
sed -i '' 's/#LoadModule *socache_shmcb_module/LoadModule socache_shmcb_module/' httpd.conf | |||
sed -i '' 's/#Include \(.*\)ssl.conf/Include \1ssl.conf/' httpd.conf | sed -i '' 's/#Include \(.*\)ssl.conf/Include \1ssl.conf/' httpd.conf | ||
</source> | </source> | ||
Создаем сертификат | Создаем сертификат | ||
<source lang='bash'> | <source lang='bash'> | ||
| Рядок 46: | Рядок 43: | ||
SSLCertificateKeyFile "/usr/local/etc/apache24/server.key" | SSLCertificateKeyFile "/usr/local/etc/apache24/server.key" | ||
Перезапускаем apache | Перезапускаем apache | ||
<source lang='bash'> | |||
apachectl restart | apachectl restart | ||
</source> | |||
Открываем в браузере | Открываем в браузере | ||
https://10.0.0.2/ | https://10.0.0.2/ | ||
Если не получаем приветствующего сообщения «It works!»: | |||
Смотрим логи | Если не получаем приветствующего сообщения «It works!», то: | ||
* Смотрим логи | |||
<source lang='bash'> | |||
tail /var/log/httpd-error.log | tail /var/log/httpd-error.log | ||
Пароли к mysql | </source> | ||
* Проверяем, что в httpd.conf бли раскоментированы строки, связанные с ssl | |||
* Проверяем, что в extra/httpd-ssl.conf правильные пути к сертификату (параметры SSLCertificateFile и SSLCertificateKeyFile) | |||
=Пароли к mysql= | |||
Необходимо поменять пароли пользователям root и nodeny в mysql, если при установке вы использовали такие же как в документации. | Необходимо поменять пароли пользователям root и nodeny в mysql, если при установке вы использовали такие же как в документации. | ||
Пароль root | Пароль root | ||
<source lang='bash'> | |||
mysqladmin -u root -p'hardpass' password new_VERY_hard_PASS | mysqladmin -u root -p'hardpass' password new_VERY_hard_PASS | ||
Пароль nodeny | Пароль nodeny | ||
</source> | |||
<source lang='bash'> | |||
mysql> use mysql; | mysql> use mysql; | ||
mysql> update user set password=PASSWORD("NEWPASSWORD") where User='nodeny'; | mysql> update user set password=PASSWORD("NEWPASSWORD") where User='nodeny'; | ||
mysql> flush privileges; | mysql> flush privileges; | ||
mysql> quit | mysql> quit | ||
</source> | |||
После изменения пароля nodeny измените его в sat.cfg. | После изменения пароля nodeny измените его в sat.cfg. | ||
Не логиниться под суперадмином | =Не логиниться под суперадмином= | ||
Создайте себе вторую учетную запись без прав суперадмина, этим вы обезопасите себя в случае когда отойдете от компьютера - если кто-то подойдет к нему, не сможет поменять настройки, добавить/изменить администраторов, удалить клиентов, платежи и т.д | Создайте себе вторую учетную запись без прав суперадмина, этим вы обезопасите себя в случае когда отойдете от компьютера - если кто-то подойдет к нему, не сможет поменять настройки, добавить/изменить администраторов, удалить клиентов, платежи и т.д | ||
Версія за 08:24, 9 серпня 2015
Https доступ к админке
Включаем ssl в apache. Следующими командами мы раскоментируем в конфиге строки:
- LoadModule ssl_module ...
- LoadModule socache_shmcb_module ...
- Include ... httpd-ssl.conf
cd /usr/local/etc/apache24/
sed -i '' 's/#LoadModule *ssl_module/LoadModule ssl_module/' httpd.conf
sed -i '' 's/#LoadModule *socache_shmcb_module/LoadModule socache_shmcb_module/' httpd.conf
sed -i '' 's/#Include \(.*\)ssl.conf/Include \1ssl.conf/' httpd.conf
Создаем сертификат
openssl genrsa -out server.key -rand randfile -des3 2048
будет запрошен пароль для сертификата, вводим `1234`, учитывая, что через несколько шагов от него избавимся.
openssl req -new -x509 -key server.key -out server.crt -days 1000
здесь 1000 - количество дней работы сертификата. Удаляем пароль в сертификате
openssl rsa -in server.key -out server.key
вводим `1234`.
chmod 400 server.key
Настройка ssl-конфига ee /usr/local/etc/apache22/extra/httpd-ssl.conf Редактируем файл httpd-ssl.conf SSLCertificateFile "/usr/local/etc/apache24/server.crt" SSLCertificateKeyFile "/usr/local/etc/apache24/server.key" Перезапускаем apache
apachectl restart
Открываем в браузере https://10.0.0.2/
Если не получаем приветствующего сообщения «It works!», то:
- Смотрим логи
tail /var/log/httpd-error.log
- Проверяем, что в httpd.conf бли раскоментированы строки, связанные с ssl
- Проверяем, что в extra/httpd-ssl.conf правильные пути к сертификату (параметры SSLCertificateFile и SSLCertificateKeyFile)
Пароли к mysql
Необходимо поменять пароли пользователям root и nodeny в mysql, если при установке вы использовали такие же как в документации.
Пароль root
mysqladmin -u root -p'hardpass' password new_VERY_hard_PASS
Пароль nodeny
mysql> use mysql;
mysql> update user set password=PASSWORD("NEWPASSWORD") where User='nodeny';
mysql> flush privileges;
mysql> quit
После изменения пароля nodeny измените его в sat.cfg.
Не логиниться под суперадмином
Создайте себе вторую учетную запись без прав суперадмина, этим вы обезопасите себя в случае когда отойдете от компьютера - если кто-то подойдет к нему, не сможет поменять настройки, добавить/изменить администраторов, удалить клиентов, платежи и т.д