Захист контенту в Linux: Захист паролем з Nginx

У наш час у цифровому світі, мабуть, найважливішою річчю є безпека. Існує багато ризиків в Інтернеті, які можуть бути пов'язані як з великими компаніями, так і зі звичайними користувачами. Витоки безпеки можуть призвести до величезних наслідків, коли мова йде про бізнес та його конфіденційну інформацію. У цій статті ми обговоримо все, що пов'язано із захистом паролей в Nginx.

Nginx - це надзвичайно популярне серверне програмне забезпечення, яке можна використовувати для кешування, зворотного проксі та балансування навантаження. Цей веб-сервер є чудовим варіантом для створення безпеки, але є кілька додаткових підходів, щоб зробити систему ще більш захищеною. Наприклад, ви можете налаштувати базову автентифікацію.

Ми обговоримо найбільш фундаментальні підходи до захисту паролем за допомогою Nginx, а саме: створення файлу паролів, встановлення утиліт Apache та налаштування серверного блоку. Також ви отримаєте інші додаткові рекомендації, тому давайте зануримося в процес.

Базове налаштування автентифікації користувачів

Перед обговоренням налаштування автентифікації, ви повинні мати:

- Сервер Nginx. Перевірте, чи правильно встановлений і працює Nginx на сервері. Якщо у вас немає цього програмного забезпечення на сервері, ви можете легко встановити його, слідуючи звичайному керівництву в документі Nginx.

- Базові знання про Nginx. Рекомендується чітко розуміти основи роботи директив, серверних блоків і взагалі конфігурації Nginx.

Щоб захистити вміст на вашому сервері Nginx, краще почати з налаштування аутентифікації. Цей процес включає кілька кроків, таких як створення файлу паролів, встановлення утиліт Apache та налаштування серверного блоку.

Ми наполегливо рекомендуємо переглянути кілька онлайн-курсів, щоб ви отримали базові навички в цьому процесі, витративши деякий час на сертифікацію, ви зможете стати хорошим експертом в цій галузі, а поки що, ось кілька важливих кроків для правильного управління паролями.  

Встановлення утиліт Apache для керування паролями

По-перше, вам потрібно визначити, чи всі необхідні інструменти вже встановлені на вашому сервері. Утиліти Apache потрібні для генерації хешів паролів.

Для початку слід оновити менеджер пакетів системи, скориставшись наступною командою:

sudo apt update

Після оновлення запустіть встановлення утиліт Apache наступним рядком:

sudo apt install apache2-utils

Процес встановлення займає всього одну команду і необхідний інструмент готовий до використання на вашому сервері Nginx.

Створення файлу паролів

Файл паролів потрібен для зберігання облікових даних для аутентифікації. Утиліта htpasswd буде використовуватися для генерації хешу пароля. Для оновлення поточного файлу або створення нового використовуйте наступний рядок:

sudo htpasswd -c /.././.../... name

У вищезгаданій команді слід замінити c /..././.../... на реальну інформацію про те, де потрібно зберігати файл, а name - на потрібне ім'я користувача.

Після цього вам потрібно буде ввести/підтвердити пароль, після чого утиліта почне генерацію хешу пароля і додасть його до файлу.

Ще одна річ, яку слід мати на увазі, якщо ви не створюєте, а оновлюєте поточний файл, то вам потрібно буде виключити прапорець -c.   

Налаштування блокування сервера Nginx для аутентифікації

Тепер, коли ми вже завершили створення файлу, давайте перейдемо до налаштування аутентифікації. Щоб почати цей процес, потрібно ввести конфігураційний файл Nginx в редакторі наступним чином:

sudo nano /etc/nginx/nginx.conf

Опинившись у файлі, вам потрібно знайти блок сервера, який знаходиться у веб-каталозі, який ви хочете захистити. Як правило, цей блок може знаходитися в частині server { ... } частини. У цій частині додайте наступну характеристику:

location / {
   auth_basic «Restricted Access»;
   auth_basic_user_file /.././.../..;
}

Цей розділ - /..././.../... слід замінити на фактичний шлях до створення файлу, який ми також обговорювали в цій статті. Після того, як ви правильно заповнили всі дані, користувачі побачать сторінку авторизації, де їм потрібно буде ввести свої облікові дані.

Ще одна річ, яку слід пам'ятати, щоб зміни збереглися, потрібно вийти з редактора і натиснути кнопку збереження, а після цього перезапустити Nginx наступною командою:

sudo service nginx restart

Останній важливий крок, про який слід пам'ятати - це перевірити, чи все працює належним чином, зайшовши на сайт і ввівши ім'я користувача і пароль.

Додаткові параметри автентифікації

Використання базової практики автентифікації вже є корисним з міркувань захисту, однак, ви можете додати більше рівнів за допомогою розширених опцій. Розширені варіанти автентифікації вважаються більш гнучкими і найбільш стандартними з них є інтеграція зовнішньої системи автентифікації та реалізація користувацького інтерфейсу входу.  

Реалізація кастомного інтерфейсу входу

Реалізація кастомного інтерфейсу входу - це чудовий варіант, за допомогою якого ви можете створити більш зручний для користувача досвід, перенаправляючи ваших користувачів на брендовану сторінку входу. Процес буде майже таким же, як і при стандартній автентифікації, користувачі повинні підтвердити свій логін/пароль.

Щоб розпочати цей процес, вам потрібно створити власне кастомну HTML-форму для входу, а після цього зберегти файл dhdh.html (замість цього файлу потрібно заповнити валідний HTML-файл для входу) у потрібній директорії. Наступним кроком буде оновлення конфігурації Nginx шляхом додавання наступного:

location / {th
   error_page 401 =200 /​dhdh.html;
   auth_request /auth;
   auth_request_set $auth_status $upstream_status;
   error_page 403 =200 /​dhdh.html;
}
 
location = /auth {
   internal;
   proxy_pass http://localhost:8000/auth;  # Change to the authentication script endpoint
   proxy_pass_request_body off;
   proxy_set_header Content-Length "";
   proxy_set_header X-Original-URI $request_uri;
}

Скрипт аутентифікації може бути написаний будь-якою мовою програмування на ваш вибір, включаючи Python і PHP, він повинен перевіряти облікові дані і показувати 200, якщо облікові дані авторизовані, і 401, якщо ні. Перевірте, чи доступний каталог у веб-браузері.

Інтеграція зовнішньої системи автентифікації

Для тих, хто вже має зовнішній сервер аутентифікації, ви можете легко інтегруватися з Nginx. Такий підхід надзвичайно корисний для централізованої автентифікації та управління користувачами. При використанні такої системної інтеграції стає набагато простіше масштабувати кілька додатків.

Увійдіть в налаштування Nginx і налаштуйте його як реверсний проксі, щоб запити на аутентифікацію перенаправлялися на зовнішній сервер. Після цього необхідно оновити конфіг Nginx, змінивши блок сервера, як зазначено нижче:

location / {
   proxy_pass http://sdf;
   proxy_set_header Host $host;
   proxy_set_header X-Real-IP $remote_addr;
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
   proxy_set_header X-Forwarded-Proto $scheme;
   proxy_set_header X-Original-URI $request_uri;
}

Змініть http://sdf цю адресу на реальну URL-адресу зовнішнього сервера. Зовнішній сервер повинен бути відповідним чином налаштований, щоб обробляти вхідні запити, перевіряти паролі/логін і показувати правильні відповіді. Після завершення процесу скористайтеся браузером для тестування доступу.   

Основні міркування та найкращі практики

Після того, як ви закінчили з вищеописаними стратегіями і тестуванням всіх процесів, ви можете захистити свій сервер ще більше, і в цій частині статті ми поділимося кількома корисними практиками. Тут ми згадаємо ключові міркування, які можуть суттєво вплинути на захист даних, і, що більш важливо, ці практики досить прості в реалізації.  

Активація HTTPS для безпечних з'єднань

Для додаткового захисту конфіденційної інформації дуже важливо використовувати шифрування та сертифікат TLS/SSL. Дотримуючись цієї практики, ви можете активувати HTTPS для більш безпечних з'єднань для тих, хто намагається увійти до захищених каталогів.

Підвищення безпеки за допомогою паролів

Щоб підвищити безпеку ще більше, вам слід поінформувати користувачів про вибір складних паролів і регулярну зміну паролів з метою максимального захисту. Ще одним важливим фактором є безпека файлу паролів або зовнішнього сервера, постарайтеся переконатися, що не буде ніяких несанкціонованих доступів.

Моніторинг доступу та ведення журналу

Моніторинг спроб входу в систему та відстеження потенційних ризиків є дуже важливим. Відстеження доступу має бути регулярним, щоб отримати максимальний результат і кращий захист. Існує безліч автоматичних інструментів, які можуть спростити цей процес.

Регулярні оновлення системи та патчі

Не нехтуйте оновленнями програмного забезпечення і регулярно застосовуйте їх, щоб виключити всі можливі вразливості безпеки, щоб бути впевненими в безпеці вашого сервера.

Управління контролем доступу

Щоб додати ще більшого захисту, ви можете додати певні IP-адреси до чорного або білого списку, щоб тільки певні користувачі могли отримати доступ до системи. Така практика ще більше мінімізує ризики несанкціонованого доступу і контролює всі доступи.

Навчання користувачів з питань безпеки

Безпека всіх процесів тісно пов'язана з усвідомленням користувачами всіх наслідків і ризиків, пов'язаних з передачею своїх облікових даних або нереагуванням на підозрілу активність. Ось чому користувачі повинні бути адекватно проінформовані про всі можливі проблеми безпеки.

Висновок

Просто дотримуючись основних практик, якими ми поділилися в цій статті, ви можете значно покращити захист вмісту на вашому сервері Linux. Захист паролем є ключовою практикою і, нехтуючи ним, ви збільшуєте шанси несанкціонованого доступу.