10 βέλτιστες πρακτικές για να ασφαλίσετε και να σκληρύνετε τον διακομιστή Web Apache σας
Ασφαλίστε & Σκληρώστε τον διακομιστή ιστού Apache με τις ακόλουθες βέλτιστες πρακτικές για να διατηρήσετε την εφαρμογή Ιστού ασφαλή.
Ο Web Server είναι ένα κρίσιμο μέρος των εφαρμογών που βασίζονται στο web. Η εσφαλμένη ρύθμιση παραμέτρων και η προεπιλεγμένη διαμόρφωση μπορεί να εκθέσει ευαίσθητες πληροφορίες και αυτό είναι ένας κίνδυνος.
Ως ιδιοκτήτης ή διαχειριστής ιστότοπου, θα πρέπει να εκτελείτε τακτικά σαρώσεις ασφαλείας στον ιστότοπό σας για να εντοπίσετε διαδικτυακές απειλές, ώστε να μπορείτε να αναλάβετε δράση πριν το κάνει ένας χάκερ.
Ας περάσουμε από τις βασικές διαμορφώσεις για να διατηρήσουμε τον διακομιστή ιστού Apache σας.
Ακολουθώντας όλες τις ρυθμίσεις παραμέτρων βρίσκεται στο httpd.conf της παρουσίας του apache.
Σημείωση: δημιουργήστε ένα αντίγραφο ασφαλείας του απαραίτητου αρχείου διαμόρφωσης πριν από την τροποποίηση, ώστε η επαναφορά να είναι εύκολη όταν τα πράγματα πάνε στραβά.
Πίνακας περιεχομένων
Απενεργοποιήστε το αίτημα παρακολούθησης HTTP
Το προεπιλεγμένο TraceEnable στο επιτρέπει το TRACE, το οποίο δεν επιτρέπει σε οποιοδήποτε σώμα αιτήματος να συνοδεύει το αίτημα.
Το TraceEnable off προκαλεί τον κεντρικό διακομιστή και το mod_proxy να επιστρέψουν ένα σφάλμα 405 (Μέθοδος δεν επιτρέπεται) στον πελάτη.
Το TraceEnable on επιτρέπει το ζήτημα ανίχνευσης μεταξύ ιστότοπων και ενδεχομένως να δίνει την επιλογή σε έναν χάκερ να κλέψει τις πληροφορίες των cookie σας.
Λύση
Αντιμετωπίστε αυτό το ζήτημα ασφαλείας απενεργοποιώντας τη μέθοδο TRACE HTTP στη Διαμόρφωση Apache.
Μπορείτε να το κάνετε Τροποποιώντας/Προσθέτοντας την παρακάτω οδηγία στο httpd.conf του διακομιστή Web Apache.
TraceEnable off
Εκτέλεση ως ξεχωριστός χρήστης και ομάδα
Από προεπιλογή, το Apache έχει ρυθμιστεί να τρέχει με κανέναν ή με δαίμονα.
Μην ρυθμίζετε το χρήστη (ή την ομάδα) στο root εκτός αν γνωρίζετε ακριβώς τι κάνετε και ποιοι είναι οι κίνδυνοι.
Λύση
Η εκτέλεση του Apache στον δικό του λογαριασμό που δεν είναι root είναι καλό. Τροποποιήστε την Οδηγία χρήστη και ομάδας στο httpd.conf του διακομιστή σας Web Apache
User apache Group apache
Απενεργοποίηση υπογραφής
Η ρύθμιση Off, η οποία είναι η προεπιλογή, καταστέλλει τη γραμμή του υποσέλιδου.
Η ρύθμιση On απλώς προσθέτει μια γραμμή με τον αριθμό έκδοσης διακομιστή και το Όνομα διακομιστή του εικονικού κεντρικού υπολογιστή που εξυπηρετεί.
Λύση
Είναι καλό να απενεργοποιήσετε το Signature, καθώς μπορεί να μην θέλετε να αποκαλύψετε την έκδοση Apache που χρησιμοποιείτε.
ServerSignature Off
Απενεργοποίηση Banner
Αυτή η οδηγία ελέγχει εάν το πεδίο κεφαλίδας απόκρισης διακομιστή, το οποίο αποστέλλεται πίσω στους πελάτες, περιλαμβάνει μια περιγραφή του γενικού τύπου λειτουργικού συστήματος του διακομιστή καθώς και πληροφορίες σχετικά με τις μεταγλωττισμένες λειτουργικές μονάδες.
Λύση
ServerTokens Prod
Περιορίστε την πρόσβαση σε ένα συγκεκριμένο δίκτυο ή IP
Εάν θέλετε ο ιστότοπός σας να προβάλλεται μόνο από συγκεκριμένη διεύθυνση IP ή δίκτυο, μπορείτε να τροποποιήσετε τον Κατάλογο του ιστότοπού σας στο httpd.conf
Λύση
Δώστε τη διεύθυνση δικτύου στην οδηγία Allow.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.0.0/24 </Directory>
Δώστε τη διεύθυνση IP στην οδηγία Allow.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.1.56 </Directory>
Χρησιμοποιήστε μόνο TLS 1.2
Τα SSL 2.0, 3.0, TLS 1, 1.1 φέρονται να πάσχουν από διάφορα κρυπτογραφικά ελαττώματα.
Χρειάζεστε βοήθεια για τη διαμόρφωση του SSL; ανατρέξτε σε αυτόν τον οδηγό.
Λύση
SSLProtocol -ALL +TLSv1.2
Απενεργοποιήστε την καταχώριση καταλόγου
Εάν δεν έχετε index.html στον Κατάλογο του ιστότοπού σας, ο πελάτης θα δει όλα τα αρχεία και τους υποκαταλόγους που παρατίθενται στο πρόγραμμα περιήγησης (όπως η έξοδος ls –l).
Λύση
Για να απενεργοποιήσετε την περιήγηση καταλόγου, μπορείτε είτε να ορίσετε την τιμή της Οδηγίας Επιλογών σε “Καμία” ή “-Ευρετήρια”
<Directory /> Options None Order allow,deny Allow from all </Directory>
Ή
<Directory /> Options -Indexes Order allow,deny Allow from all </Directory>
Αφαιρέστε τις περιττές μονάδες DSO
Επαληθεύστε τη διαμόρφωσή σας για να αφαιρέσετε περιττές μονάδες DSO.
Υπάρχουν πολλές μονάδες που ενεργοποιούνται από προεπιλογή μετά την εγκατάσταση. Μπορείτε να αφαιρέσετε ό,τι δεν χρειάζεστε.
Απενεργοποιήστε τους Null και Weak Ciphers
Επιτρέψτε μόνο ισχυρούς κρυπτογράφησης, ώστε να κλείσετε όλες τις πόρτες που προσπαθούν να χειραψήσουν σε χαμηλότερες σουίτες κρυπτογράφησης.
Λύση
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Παραμείνετε τρέχων
Καθώς ο Apache είναι ενεργός ανοιχτού κώδικα, ο ευκολότερος τρόπος για να βελτιώσετε την ασφάλεια του διακομιστή Web Apache είναι να διατηρήσετε την πιο πρόσφατη έκδοση. Νέες επιδιορθώσεις και ενημερώσεις κώδικα ασφαλείας προστίθενται σε κάθε έκδοση. Πάντα να αναβαθμίζετε στην πιο πρόσφατη σταθερή έκδοση του Apache.
Παρακάτω είναι μερικές μόνο από τις βασικές ρυθμίσεις παραμέτρων, και αν ψάχνετε σε βάθος, τότε μπορείτε να ανατρέξετε στον βήμα προς βήμα οδηγό ασφαλείας και σκλήρυνσης.
Σας άρεσε να διαβάζετε το άρθρο; Τι θα λέγατε να μοιράζεστε με τον κόσμο;