Biztonságos és keményebb Apache webszerver a következő bevált gyakorlatokkal a webalkalmazások biztonságának megőrzése érdekében.
A webszerver a webalapú alkalmazások kulcsfontosságú része. A rosszul konfigurált és az alapértelmezett konfiguráció érzékeny információkhoz vezethet, és ez kockázatot jelent.
Webhely tulajdonosaként vagy rendszergazdájaként rendszeresen végezzen biztonsági vizsgálatokat a webhelyen, hogy megtalálja az online fenyegetéseket, így a hackerek előtt intézkedhet.
Végezzük el az Apache webszerver megtartásához szükséges alapvető konfigurációkat.
Az összes beállítás az apache példány httpd.conf fájljában található.
Megjegyzés: a módosítás előtt készítsen biztonsági másolatot a szükséges konfigurációs fájlról, így a visszaállítás egyszerű, ha valami rosszul sül el.
Tartalomjegyzék
A HTTP-kérés nyomon követésének letiltása
Az alapértelmezett TraceEnable engedélyezi a TRACE-t, amely nem engedi, hogy a kérés bármely szerve kísérje a kérést.
A TraceEnable kikapcsolása azt eredményezi, hogy az alapkiszolgáló és a mod_proxy 405-ös (a módszer nem engedélyezett) hibát ad vissza az ügyfélnek.
A TraceEnable bekapcsolása lehetővé teszi a Cross-Site Tracing Issue-t, és potenciálisan lehetőséget ad egy hackernek arra, hogy ellopja a cookie-információit.
Megoldás
A biztonsági probléma megoldásához kapcsolja ki a TRACE HTTP metódust az Apache Configuration alkalmazásban.
Ezt az alábbi direktíva módosításával/adásával teheti meg az Apache webszerver httpd.conf fájljában.
TraceEnable off
Futtasson külön felhasználóként és csoportként
Alapértelmezés szerint az Apache úgy van beállítva, hogy senkivel vagy démonnal fusson.
Ne állítsa be a felhasználót (vagy csoportot) root-ra, hacsak nem tudja, hogy pontosan mit csinál, és mik a veszélyek.
Megoldás
Az Apache futtatása saját, nem root fiókban jó. Módosítsa a Felhasználói és csoportos irányelvet az Apache webszerver httpd.conf fájljában
User apache Group apache
Az aláírás letiltása
A Ki beállítás, amely az alapértelmezett, elnyomja a láblécsort.
A Be beállítás egyszerűen hozzáad egy sort a kiszolgáló verziószámával és a kiszolgáló virtuális gazdagép kiszolgálónevével.
Megoldás
Célszerű letiltani az aláírást, mert előfordulhat, hogy nem kívánja felfedni a futó Apache verziót.
ServerSignature Off
Banner letiltása
Ez a direktíva szabályozza, hogy az ügyfeleknek visszaküldött Server válasz fejléc mező tartalmazza-e a kiszolgáló általános operációs rendszer-típusának leírását, valamint információkat a lefordított modulokról.
Megoldás
ServerTokens Prod
A hozzáférés korlátozása egy adott hálózatra vagy IP-címre
Ha azt szeretné, hogy webhelye csak meghatározott IP-cím vagy hálózat alapján jelenjen meg, módosíthatja webhelyének címtárát a httpd.conf oldalon
Megoldás
Adja meg a hálózati címet az Allow direktívában.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.0.0/24 </Directory>
Adja meg az IP-címet az Allow direktívában.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.1.56 </Directory>
Csak TLS 1.2-t használjon
Az SSL 2.0, 3.0, TLS 1, 1.1 állítólag számos kriptográfiai hibától szenved.
Segítségre van szüksége az SSL konfigurálásához? olvassa el ezt az útmutatót.
Megoldás
SSLProtocol -ALL +TLSv1.2
Címtárlista letiltása
Ha nincs index.html a Webhelykönyvtárban, akkor az ügyfél látni fogja a böngészőben felsorolt összes fájlt és alkönyvtárat (például az ls –l kimenetet).
Megoldás
A címtárböngészés letiltásához az Option direktíva értékét állítsa „Nincs” vagy „-Indexes” értékre.
<Directory /> Options None Order allow,deny Allow from all </Directory>
VAGY
<Directory /> Options -Indexes Order allow,deny Allow from all </Directory>
Távolítsa el a szükségtelen DSO modulokat
Ellenőrizze a konfigurációt a redundáns DSO-modulok eltávolításához.
A telepítés után alapértelmezés szerint sok modul aktiválódik. Eltávolíthatod, amire nincs szükséged.
A nulla és gyenge titkosítás letiltása
Csak erős titkosítást engedjen meg, így bezárja az összes ajtót, aki megpróbál kezet fogni az alacsonyabb titkosítási csomagokon.
Megoldás
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Maradj aktuális
Mivel az Apache egy aktív nyílt forráskódú, az Apache Web Server biztonságának javításának legegyszerűbb módja a legújabb verzió megtartása. Minden kiadás új javításokat és biztonsági javításokat tartalmaz. Mindig frissítsen az Apache legújabb stabil verziójára.
A fentiekben csak néhány az alapvető konfigurációk közül, és ha elmélyülten keres, tekintse meg lépésről lépésre szóló biztonsági és keményítési útmutatómat.
Élvezettel olvastad a cikket? Mit szólnál a világgal való megosztáshoz?