10 bedste fremgangsmåder til at sikre og hærde din Apache-webserver

Af
Tweet
Share
Share
Pin

Sikker og hærd Apache-webserver med følgende bedste praksis for at holde din webapplikation sikker.

Webserveren er en afgørende del af webbaserede applikationer. At have fejlkonfigureret og standardkonfigurationen kan afsløre følsomme oplysninger, og det er en risiko.

Som webstedsejer eller administrator bør du regelmæssigt udføre sikkerhedsscanninger af dit websted for at finde onlinetrusler, så du kan handle, før en hacker gør det.

Lad os gennemgå vigtige konfigurationer for at beholde din Apache-webserver.

At følge al konfiguration er i httpd.conf i din apache-instans.

Bemærk: Tag en sikkerhedskopi af den nødvendige konfigurationsfil før ændring, så gendannelse er let, når tingene går galt.

Deaktiver Trace HTTP-anmodning

Standard TraceEnable på tillader TRACE, som ikke tillader enhver anmodningsinstans at ledsage anmodningen.

  Usenet eller Torrents, hvilket er bedre at downloade?

TraceEnable off får kerneserveren og mod_proxy til at returnere en 405 (Metode ikke tilladt) fejl til klienten.

TraceEnable on giver mulighed for Cross-Site Tracing Issue og giver potentielt mulighed for en hacker at stjæle dine cookieoplysninger.

Løsning

Løs dette sikkerhedsproblem ved at deaktivere TRACE HTTP-metoden i Apache-konfiguration.

Det kan du gøre ved at ændre/tilføje nedenstående direktiv i din httpd.conf på din Apache-webserver.

TraceEnable off

Kør som separat bruger og gruppe

Som standard er Apache konfigureret til at køre med ingen eller dæmon.

Indstil ikke Bruger (eller Gruppe) til at roote, medmindre du ved præcis, hvad du gør, og hvad farerne er.

Løsning

At køre Apache på sin egen ikke-root-konto er godt. Rediger bruger- og gruppedirektiv i httpd.conf på din Apache-webserver

User apache 
Group apache

Deaktiver signatur

Indstillingen Fra, som er standard, undertrykker sidefodslinjen.

  Sådan repareres pc går automatisk til BIOS

Indstillingen Til tilføjer blot en linje med serverversionsnummeret og servernavnet på den fungerende virtuelle vært.

Løsning

Det er godt at deaktivere Signature, da du måske ikke ønsker at afsløre Apache-versionen, du kører.

ServerSignature Off

Deaktiver banner

Dette direktiv kontrollerer, om feltet Server response header, som sendes tilbage til klienter, indeholder en beskrivelse af serverens generiske OS-type samt information om kompilerede moduler.

Løsning

ServerTokens Prod

Begræns adgangen til et specifikt netværk eller IP

Hvis du ønsker, at dit websted kun skal ses af en specifik IP-adresse eller netværk, kan du ændre dit webstedskatalog i httpd.conf

Løsning

Angiv netværksadressen i Tillad-direktivet.

<Directory /yourwebsite>    
Options None    
AllowOverride None    
Order deny,allow    
Deny from all    
Allow from 10.20.0.0/24  
</Directory>

Angiv IP-adressen i Tillad-direktivet.

<Directory /yourwebsite>
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 10.20.1.56
</Directory>

Brug kun TLS 1.2

SSL 2.0, 3.0, TLS 1, 1.1 lider angiveligt af flere kryptografiske fejl.

Har du brug for hjælp til at konfigurere SSL? se denne vejledning.

  De bedste måder at sikkerhedskopiere din Mac på

Løsning

SSLProtocol -ALL +TLSv1.2

Deaktiver Directory Listing

Hvis du ikke har index.html under dit webstedskatalog, vil klienten se alle filer og undermapper, der er opført i browseren (såsom ls –l output).

Løsning

For at deaktivere katalogbrowsing kan du enten indstille værdien af ​​Option-direktivet til “Ingen” eller “-Indekser”

<Directory />
Options None
Order allow,deny
Allow from all
</Directory>

ELLER

<Directory />
Options -Indexes
Order allow,deny
Allow from all
</Directory>

Fjern unødvendige DSO-moduler

Bekræft din konfiguration for at fjerne redundante DSO-moduler.

Der er mange moduler aktiveret som standard efter installationen. Du kan fjerne, hvad du ikke har brug for.

Deaktiver Null og Weak Ciphers

Tillad kun stærke ciphers, så du lukker alle de døre, der forsøger at håndtrykke på lavere cipher suiter.

Løsning

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Bliv aktuel

Da Apache er en aktiv open source, er den nemmeste måde at forbedre sikkerheden på Apache Web Server på at beholde den nyeste version. Nye rettelser og sikkerhedsrettelser tilføjes i hver udgivelse. Opgrader altid til den seneste stabile version af Apache.

Ovenstående er blot nogle få af de væsentlige konfigurationer, og hvis du leder efter dybdegående, så kan du henvise til min trin-for-trin sikkerheds- og hærdningsvejledning.

Nydt at læse artiklen? Hvad med at dele med verden?