Sikker og hærd Apache-webserver med følgende bedste praksis for at holde din webapplikation sikker.
Webserveren er en afgørende del af webbaserede applikationer. At have fejlkonfigureret og standardkonfigurationen kan afsløre følsomme oplysninger, og det er en risiko.
Som webstedsejer eller administrator bør du regelmæssigt udføre sikkerhedsscanninger af dit websted for at finde onlinetrusler, så du kan handle, før en hacker gør det.
Lad os gennemgå vigtige konfigurationer for at beholde din Apache-webserver.
At følge al konfiguration er i httpd.conf i din apache-instans.
Bemærk: Tag en sikkerhedskopi af den nødvendige konfigurationsfil før ændring, så gendannelse er let, når tingene går galt.
Indholdsfortegnelse
Deaktiver Trace HTTP-anmodning
Standard TraceEnable på tillader TRACE, som ikke tillader enhver anmodningsinstans at ledsage anmodningen.
TraceEnable off får kerneserveren og mod_proxy til at returnere en 405 (Metode ikke tilladt) fejl til klienten.
TraceEnable on giver mulighed for Cross-Site Tracing Issue og giver potentielt mulighed for en hacker at stjæle dine cookieoplysninger.
Løsning
Løs dette sikkerhedsproblem ved at deaktivere TRACE HTTP-metoden i Apache-konfiguration.
Det kan du gøre ved at ændre/tilføje nedenstående direktiv i din httpd.conf på din Apache-webserver.
TraceEnable off
Kør som separat bruger og gruppe
Som standard er Apache konfigureret til at køre med ingen eller dæmon.
Indstil ikke Bruger (eller Gruppe) til at roote, medmindre du ved præcis, hvad du gør, og hvad farerne er.
Løsning
At køre Apache på sin egen ikke-root-konto er godt. Rediger bruger- og gruppedirektiv i httpd.conf på din Apache-webserver
User apache Group apache
Deaktiver signatur
Indstillingen Fra, som er standard, undertrykker sidefodslinjen.
Indstillingen Til tilføjer blot en linje med serverversionsnummeret og servernavnet på den fungerende virtuelle vært.
Løsning
Det er godt at deaktivere Signature, da du måske ikke ønsker at afsløre Apache-versionen, du kører.
ServerSignature Off
Deaktiver banner
Dette direktiv kontrollerer, om feltet Server response header, som sendes tilbage til klienter, indeholder en beskrivelse af serverens generiske OS-type samt information om kompilerede moduler.
Løsning
ServerTokens Prod
Begræns adgangen til et specifikt netværk eller IP
Hvis du ønsker, at dit websted kun skal ses af en specifik IP-adresse eller netværk, kan du ændre dit webstedskatalog i httpd.conf
Løsning
Angiv netværksadressen i Tillad-direktivet.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.0.0/24 </Directory>
Angiv IP-adressen i Tillad-direktivet.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.1.56 </Directory>
Brug kun TLS 1.2
SSL 2.0, 3.0, TLS 1, 1.1 lider angiveligt af flere kryptografiske fejl.
Har du brug for hjælp til at konfigurere SSL? se denne vejledning.
Løsning
SSLProtocol -ALL +TLSv1.2
Deaktiver Directory Listing
Hvis du ikke har index.html under dit webstedskatalog, vil klienten se alle filer og undermapper, der er opført i browseren (såsom ls –l output).
Løsning
For at deaktivere katalogbrowsing kan du enten indstille værdien af Option-direktivet til “Ingen” eller “-Indekser”
<Directory /> Options None Order allow,deny Allow from all </Directory>
ELLER
<Directory /> Options -Indexes Order allow,deny Allow from all </Directory>
Fjern unødvendige DSO-moduler
Bekræft din konfiguration for at fjerne redundante DSO-moduler.
Der er mange moduler aktiveret som standard efter installationen. Du kan fjerne, hvad du ikke har brug for.
Deaktiver Null og Weak Ciphers
Tillad kun stærke ciphers, så du lukker alle de døre, der forsøger at håndtrykke på lavere cipher suiter.
Løsning
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Bliv aktuel
Da Apache er en aktiv open source, er den nemmeste måde at forbedre sikkerheden på Apache Web Server på at beholde den nyeste version. Nye rettelser og sikkerhedsrettelser tilføjes i hver udgivelse. Opgrader altid til den seneste stabile version af Apache.
Ovenstående er blot nogle få af de væsentlige konfigurationer, og hvis du leder efter dybdegående, så kan du henvise til min trin-for-trin sikkerheds- og hærdningsvejledning.
Nydt at læse artiklen? Hvad med at dele med verden?