10 labākās prakses, lai aizsargātu un nostiprinātu Apache tīmekļa serveri

Secure & Harden Apache tīmekļa serveris ar šādu paraugpraksi, lai jūsu tīmekļa lietojumprogramma būtu droša.

Web serveris ir būtiska tīmekļa lietojumprogrammu sastāvdaļa. Nepareiza konfigurācija un noklusējuma konfigurācija var atklāt sensitīvu informāciju, un tas ir risks.

Kā vietnes īpašniekam vai administratoram jums regulāri jāveic vietnes drošības skenēšana, lai atrastu tiešsaistes draudus, lai jūs varētu rīkoties, pirms to dara hakeris.

Apskatīsim svarīgākās konfigurācijas, lai saglabātu Apache tīmekļa serveri.

Visa konfigurācija ir norādīta jūsu apache instances httpd.conf.

Piezīme: pirms modifikācijas izveidojiet vajadzīgā konfigurācijas faila dublējumu, lai atjaunošana būtu vienkārša, ja rodas problēmas.

Atspējot izsekošanas HTTP pieprasījumu

Noklusējuma TraceEnable funkcija atļauj TRACE, kas neļauj nevienai pieprasījuma struktūrai pievienot pieprasījumu.

  Kā nomainīt WordPress administratora URL, lai novērstu brutālu spēku uzbrukumus?

TraceEnable izslēgšana liek pamata serverim un mod_proxy klientam atgriezt kļūdu 405 (metode nav atļauta).

Ieslēgtā funkcija TraceEnable ļauj novērst starpvietņu izsekošanas problēmu un, iespējams, dod iespēju hakeram nozagt jūsu sīkfailu informāciju.

Risinājums

Novērsiet šo drošības problēmu, apache konfigurācijā atspējojot TRACE HTTP metodi.

To var izdarīt, modificējot/pievienojot tālāk norādīto direktīvu Apache tīmekļa servera httpd.conf.

TraceEnable off

Palaist kā atsevišķu lietotāju un grupu

Pēc noklusējuma Apache ir konfigurēts tā, lai tas darbotos bez neviena vai dēmona.

Neiestatiet lietotājam (vai grupai) root statusu, ja vien precīzi nezināt, ko darāt un kādas ir briesmas.

Risinājums

Apache palaišana savā ne-root kontā ir laba. Modificējiet lietotāju un grupu direktīvu Apache tīmekļa servera httpd.conf

User apache 
Group apache

Atspējot parakstu

Iestatījums Izslēgts, kas ir noklusējuma iestatījums, nomāc kājenes rindu.

Iestatījums Ieslēgts vienkārši pievieno rindiņu ar apkalpojošā virtuālā resursdatora servera versijas numuru un ServerName.

Risinājums

Ir labi atspējot parakstu, jo jūs, iespējams, nevēlaties atklāt Apache versiju, kuru izmantojat.

ServerSignature Off

Atspējot reklāmkarogu

Šī direktīva nosaka, vai servera atbildes galvenes laukā, kas tiek nosūtīts atpakaļ klientiem, ir ietverts servera vispārējā OS tipa apraksts, kā arī informācija par apkopotajiem moduļiem.

  Ko lielie dati ietekmē digitālajā mārketingā?

Risinājums

ServerTokens Prod

Ierobežojiet piekļuvi noteiktam tīklam vai IP

Ja vēlaties, lai jūsu vietne tiktu skatīta tikai pēc noteiktas IP adreses vai tīkla, varat modificēt vietnes direktoriju vietnē httpd.conf

Risinājums

Norādiet tīkla adresi direktīvā Atļaut.

<Directory /yourwebsite>    
Options None    
AllowOverride None    
Order deny,allow    
Deny from all    
Allow from 10.20.0.0/24  
</Directory>

Norādiet IP adresi direktīvā Atļaut.

<Directory /yourwebsite>
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 10.20.1.56
</Directory>

Izmantojiet tikai TLS 1.2

Tiek ziņots, ka SSL 2.0, 3.0, TLS 1, 1.1 cieš no vairākiem kriptogrāfijas trūkumiem.

Vai nepieciešama palīdzība ar SSL konfigurēšanu? skatiet šo rokasgrāmatu.

Risinājums

SSLProtocol -ALL +TLSv1.2

Atspējot direktoriju sarakstu

Ja jūsu vietnes direktorijā nav indeksa.html, klients redzēs visus pārlūkprogrammā norādītos failus un apakšdirektorijus (piemēram, ls –l izvadi).

  Kā pielāgot navigācijas rūti programmā Outlook

Risinājums

Lai atspējotu direktoriju pārlūkošanu, opcijas direktīvas vērtību varat iestatīt uz “Nav” vai “-Indexes”.

<Directory />
Options None
Order allow,deny
Allow from all
</Directory>

VAI

<Directory />
Options -Indexes
Order allow,deny
Allow from all
</Directory>

Noņemiet nevajadzīgos DSO moduļus

Pārbaudiet savu konfigurāciju, lai noņemtu liekos DSO moduļus.

Pēc instalēšanas pēc noklusējuma ir aktivizēti daudzi moduļi. Jūs varat noņemt to, kas jums nav nepieciešams.

Atspējot nulles un vājo šifru

Atļaujiet tikai spēcīgus šifrus, tāpēc jūs aizverat visas durvis, kas mēģina sazināties ar zemāku šifru komplektiem.

Risinājums

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Esiet aktuāls

Tā kā Apache ir aktīvs atvērtā koda avots, vienkāršākais veids, kā uzlabot Apache tīmekļa servera drošību, ir paturēt jaunāko versiju. Katrā laidienā tiek pievienoti jauni labojumi un drošības ielāpi. Vienmēr jauniniet uz jaunāko stabilo Apache versiju.

Iepriekš ir tikai dažas no svarīgākajām konfigurācijām, un, ja meklējat padziļinātu informāciju, varat skatīt manu soli pa solim sniegto drošības un sacietēšanas rokasgrāmatu.

Vai jums patika lasīt rakstu? Kā būtu ar dalīšanos ar pasauli?