Secure & Harden Apache tīmekļa serveris ar šādu paraugpraksi, lai jūsu tīmekļa lietojumprogramma būtu droša.
Web serveris ir būtiska tīmekļa lietojumprogrammu sastāvdaļa. Nepareiza konfigurācija un noklusējuma konfigurācija var atklāt sensitīvu informāciju, un tas ir risks.
Kā vietnes īpašniekam vai administratoram jums regulāri jāveic vietnes drošības skenēšana, lai atrastu tiešsaistes draudus, lai jūs varētu rīkoties, pirms to dara hakeris.
Apskatīsim svarīgākās konfigurācijas, lai saglabātu Apache tīmekļa serveri.
Visa konfigurācija ir norādīta jūsu apache instances httpd.conf.
Piezīme: pirms modifikācijas izveidojiet vajadzīgā konfigurācijas faila dublējumu, lai atjaunošana būtu vienkārša, ja rodas problēmas.
Atspējot izsekošanas HTTP pieprasījumu
Noklusējuma TraceEnable funkcija atļauj TRACE, kas neļauj nevienai pieprasījuma struktūrai pievienot pieprasījumu.
TraceEnable izslēgšana liek pamata serverim un mod_proxy klientam atgriezt kļūdu 405 (metode nav atļauta).
Ieslēgtā funkcija TraceEnable ļauj novērst starpvietņu izsekošanas problēmu un, iespējams, dod iespēju hakeram nozagt jūsu sīkfailu informāciju.
Risinājums
Novērsiet šo drošības problēmu, apache konfigurācijā atspējojot TRACE HTTP metodi.
To var izdarīt, modificējot/pievienojot tālāk norādīto direktīvu Apache tīmekļa servera httpd.conf.
TraceEnable off
Palaist kā atsevišķu lietotāju un grupu
Pēc noklusējuma Apache ir konfigurēts tā, lai tas darbotos bez neviena vai dēmona.
Neiestatiet lietotājam (vai grupai) root statusu, ja vien precīzi nezināt, ko darāt un kādas ir briesmas.
Risinājums
Apache palaišana savā ne-root kontā ir laba. Modificējiet lietotāju un grupu direktīvu Apache tīmekļa servera httpd.conf
User apache Group apache
Atspējot parakstu
Iestatījums Izslēgts, kas ir noklusējuma iestatījums, nomāc kājenes rindu.
Iestatījums Ieslēgts vienkārši pievieno rindiņu ar apkalpojošā virtuālā resursdatora servera versijas numuru un ServerName.
Risinājums
Ir labi atspējot parakstu, jo jūs, iespējams, nevēlaties atklāt Apache versiju, kuru izmantojat.
ServerSignature Off
Atspējot reklāmkarogu
Šī direktīva nosaka, vai servera atbildes galvenes laukā, kas tiek nosūtīts atpakaļ klientiem, ir ietverts servera vispārējā OS tipa apraksts, kā arī informācija par apkopotajiem moduļiem.
Risinājums
ServerTokens Prod
Ierobežojiet piekļuvi noteiktam tīklam vai IP
Ja vēlaties, lai jūsu vietne tiktu skatīta tikai pēc noteiktas IP adreses vai tīkla, varat modificēt vietnes direktoriju vietnē httpd.conf
Risinājums
Norādiet tīkla adresi direktīvā Atļaut.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.0.0/24 </Directory>
Norādiet IP adresi direktīvā Atļaut.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.1.56 </Directory>
Izmantojiet tikai TLS 1.2
Tiek ziņots, ka SSL 2.0, 3.0, TLS 1, 1.1 cieš no vairākiem kriptogrāfijas trūkumiem.
Vai nepieciešama palīdzība ar SSL konfigurēšanu? skatiet šo rokasgrāmatu.
Risinājums
SSLProtocol -ALL +TLSv1.2
Atspējot direktoriju sarakstu
Ja jūsu vietnes direktorijā nav indeksa.html, klients redzēs visus pārlūkprogrammā norādītos failus un apakšdirektorijus (piemēram, ls –l izvadi).
Risinājums
Lai atspējotu direktoriju pārlūkošanu, opcijas direktīvas vērtību varat iestatīt uz “Nav” vai “-Indexes”.
<Directory /> Options None Order allow,deny Allow from all </Directory>
VAI
<Directory /> Options -Indexes Order allow,deny Allow from all </Directory>
Noņemiet nevajadzīgos DSO moduļus
Pārbaudiet savu konfigurāciju, lai noņemtu liekos DSO moduļus.
Pēc instalēšanas pēc noklusējuma ir aktivizēti daudzi moduļi. Jūs varat noņemt to, kas jums nav nepieciešams.
Atspējot nulles un vājo šifru
Atļaujiet tikai spēcīgus šifrus, tāpēc jūs aizverat visas durvis, kas mēģina sazināties ar zemāku šifru komplektiem.
Risinājums
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Esiet aktuāls
Tā kā Apache ir aktīvs atvērtā koda avots, vienkāršākais veids, kā uzlabot Apache tīmekļa servera drošību, ir paturēt jaunāko versiju. Katrā laidienā tiek pievienoti jauni labojumi un drošības ielāpi. Vienmēr jauniniet uz jaunāko stabilo Apache versiju.
Iepriekš ir tikai dažas no svarīgākajām konfigurācijām, un, ja meklējat padziļinātu informāciju, varat skatīt manu soli pa solim sniegto drošības un sacietēšanas rokasgrāmatu.
Vai jums patika lasīt rakstu? Kā būtu ar dalīšanos ar pasauli?