10 bevált gyakorlat az Apache webszerver biztonságossá tételéhez és megerősítéséhez

Biztonságos és keményebb Apache webszerver a következő bevált gyakorlatokkal a webalkalmazások biztonságának megőrzése érdekében.

A webszerver a webalapú alkalmazások kulcsfontosságú része. A rosszul konfigurált és az alapértelmezett konfiguráció érzékeny információkhoz vezethet, és ez kockázatot jelent.

Webhely tulajdonosaként vagy rendszergazdájaként rendszeresen végezzen biztonsági vizsgálatokat a webhelyen, hogy megtalálja az online fenyegetéseket, így a hackerek előtt intézkedhet.

Végezzük el az Apache webszerver megtartásához szükséges alapvető konfigurációkat.

Az összes beállítás az apache példány httpd.conf fájljában található.

Megjegyzés: a módosítás előtt készítsen biztonsági másolatot a szükséges konfigurációs fájlról, így a visszaállítás egyszerű, ha valami rosszul sül el.

A HTTP-kérés nyomon követésének letiltása

Az alapértelmezett TraceEnable engedélyezi a TRACE-t, amely nem engedi, hogy a kérés bármely szerve kísérje a kérést.

A TraceEnable kikapcsolása azt eredményezi, hogy az alapkiszolgáló és a mod_proxy 405-ös (a módszer nem engedélyezett) hibát ad vissza az ügyfélnek.

  Hogyan lehet biztonságosan törölni a fájlokat Linuxon

A TraceEnable bekapcsolása lehetővé teszi a Cross-Site Tracing Issue-t, és potenciálisan lehetőséget ad egy hackernek arra, hogy ellopja a cookie-információit.

Megoldás

A biztonsági probléma megoldásához kapcsolja ki a TRACE HTTP metódust az Apache Configuration alkalmazásban.

Ezt az alábbi direktíva módosításával/adásával teheti meg az Apache webszerver httpd.conf fájljában.

TraceEnable off

Futtasson külön felhasználóként és csoportként

Alapértelmezés szerint az Apache úgy van beállítva, hogy senkivel vagy démonnal fusson.

Ne állítsa be a felhasználót (vagy csoportot) root-ra, hacsak nem tudja, hogy pontosan mit csinál, és mik a veszélyek.

Megoldás

Az Apache futtatása saját, nem root fiókban jó. Módosítsa a Felhasználói és csoportos irányelvet az Apache webszerver httpd.conf fájljában

User apache 
Group apache

Az aláírás letiltása

A Ki beállítás, amely az alapértelmezett, elnyomja a láblécsort.

A Be beállítás egyszerűen hozzáad egy sort a kiszolgáló verziószámával és a kiszolgáló virtuális gazdagép kiszolgálónevével.

Megoldás

Célszerű letiltani az aláírást, mert előfordulhat, hogy nem kívánja felfedni a futó Apache verziót.

ServerSignature Off

Banner letiltása

Ez a direktíva szabályozza, hogy az ügyfeleknek visszaküldött Server válasz fejléc mező tartalmazza-e a kiszolgáló általános operációs rendszer-típusának leírását, valamint információkat a lefordított modulokról.

  Hogyan adhatunk vibrációs visszajelzést a merevbillentyűkhöz Androidon [No Root]

Megoldás

ServerTokens Prod

A hozzáférés korlátozása egy adott hálózatra vagy IP-címre

Ha azt szeretné, hogy webhelye csak meghatározott IP-cím vagy hálózat alapján jelenjen meg, módosíthatja webhelyének címtárát a httpd.conf oldalon

Megoldás

Adja meg a hálózati címet az Allow direktívában.

<Directory /yourwebsite>    
Options None    
AllowOverride None    
Order deny,allow    
Deny from all    
Allow from 10.20.0.0/24  
</Directory>

Adja meg az IP-címet az Allow direktívában.

<Directory /yourwebsite>
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 10.20.1.56
</Directory>

Csak TLS 1.2-t használjon

Az SSL 2.0, 3.0, TLS 1, 1.1 állítólag számos kriptográfiai hibától szenved.

Segítségre van szüksége az SSL konfigurálásához? olvassa el ezt az útmutatót.

Megoldás

SSLProtocol -ALL +TLSv1.2

Címtárlista letiltása

Ha nincs index.html a Webhelykönyvtárban, akkor az ügyfél látni fogja a böngészőben felsorolt ​​összes fájlt és alkönyvtárat (például az ls –l kimenetet).

Megoldás

A címtárböngészés letiltásához az Option direktíva értékét állítsa „Nincs” vagy „-Indexes” értékre.

<Directory />
Options None
Order allow,deny
Allow from all
</Directory>

VAGY

<Directory />
Options -Indexes
Order allow,deny
Allow from all
</Directory>

Távolítsa el a szükségtelen DSO modulokat

Ellenőrizze a konfigurációt a redundáns DSO-modulok eltávolításához.

A telepítés után alapértelmezés szerint sok modul aktiválódik. Eltávolíthatod, amire nincs szükséged.

  4K Netflix lejátszása számítógépen

A nulla és gyenge titkosítás letiltása

Csak erős titkosítást engedjen meg, így bezárja az összes ajtót, aki megpróbál kezet fogni az alacsonyabb titkosítási csomagokon.

Megoldás

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Maradj aktuális

Mivel az Apache egy aktív nyílt forráskódú, az Apache Web Server biztonságának javításának legegyszerűbb módja a legújabb verzió megtartása. Minden kiadás új javításokat és biztonsági javításokat tartalmaz. Mindig frissítsen az Apache legújabb stabil verziójára.

A fentiekben csak néhány az alapvető konfigurációk közül, és ha elmélyülten keres, tekintse meg lépésről lépésre szóló biztonsági és keményítési útmutatómat.

Élvezettel olvastad a cikket? Mit szólnál a világgal való megosztáshoz?