Безопасность: відмінності між версіями

Матеріал з NoDeny
Перейти до навігації Перейти до пошуку
Рядок 67: Рядок 67:


<source lang='bash'>
<source lang='bash'>
mysqladmin -u root -p'hardpass' password new_VERY_hard_PASS
mysqladmin -u root -p'hardpass' password
</source>
 
Пароль nodeny
Пароль nodeny
</source>


<source lang='bash'>
<source lang='bash'>

Версія за 08:27, 9 серпня 2015

Https доступ к админке

Включаем ssl в apache. Следующими командами мы раскоментируем в конфиге строки:

  • LoadModule ssl_module ...
  • LoadModule socache_shmcb_module ...
  • Include ... httpd-ssl.conf
cd /usr/local/etc/apache24/
sed -i '' 's/#LoadModule *ssl_module/LoadModule ssl_module/' httpd.conf
sed -i '' 's/#LoadModule *socache_shmcb_module/LoadModule socache_shmcb_module/' httpd.conf
sed -i '' 's/#Include \(.*\)ssl.conf/Include \1ssl.conf/' httpd.conf

Создаем сертификат

openssl genrsa -out server.key -rand randfile -des3 2048

будет запрошен пароль для сертификата, вводим `1234`, учитывая, что через несколько шагов от него избавимся.

openssl req -new -x509 -key server.key -out server.crt -days 1000

здесь 1000 - количество дней работы сертификата. Удаляем пароль в сертификате

openssl rsa -in server.key -out server.key

вводим `1234`.

chmod 400 server.key

Перезапускаем apache

apachectl restart

Открываем в браузере https://10.0.0.2/

Если не получаем приветствующего сообщения «It works!», то:

  • Смотрим логи
tail /var/log/httpd-error.log
  • Проверяем, что в httpd.conf были раскоментированы строки, связанные с ssl
  • Проверяем, что в extra/httpd-ssl.conf правильные пути к сертификату (параметры SSLCertificateFile и SSLCertificateKeyFile)



Пароли к mysql

Необходимо поменять пароли пользователям root и nodeny в mysql, если при установке вы использовали такие же как в документации.

Пароль root

mysqladmin -u root -p'hardpass' password

Пароль nodeny

mysql> use mysql;
mysql> update user set password=PASSWORD("NEWPASSWORD") where User='nodeny';
mysql> flush privileges;
mysql> quit

После изменения пароля nodeny измените его в sat.cfg.

Не логиниться под суперадмином

Создайте себе вторую учетную запись без прав суперадмина, этим вы обезопасите себя в случае когда отойдете от компьютера - если кто-то подойдет к нему, не сможет поменять настройки, добавить/изменить администраторов, удалить клиентов, платежи и т.д