10 βέλτιστες πρακτικές για να ασφαλίσετε και να σκληρύνετε τον διακομιστή Web Apache σας

από
Tweet
Share
Share
Pin

Ασφαλίστε & Σκληρώστε τον διακομιστή ιστού Apache με τις ακόλουθες βέλτιστες πρακτικές για να διατηρήσετε την εφαρμογή Ιστού ασφαλή.

Ο Web Server είναι ένα κρίσιμο μέρος των εφαρμογών που βασίζονται στο web. Η εσφαλμένη ρύθμιση παραμέτρων και η προεπιλεγμένη διαμόρφωση μπορεί να εκθέσει ευαίσθητες πληροφορίες και αυτό είναι ένας κίνδυνος.

Ως ιδιοκτήτης ή διαχειριστής ιστότοπου, θα πρέπει να εκτελείτε τακτικά σαρώσεις ασφαλείας στον ιστότοπό σας για να εντοπίσετε διαδικτυακές απειλές, ώστε να μπορείτε να αναλάβετε δράση πριν το κάνει ένας χάκερ.

Ας περάσουμε από τις βασικές διαμορφώσεις για να διατηρήσουμε τον διακομιστή ιστού Apache σας.

Ακολουθώντας όλες τις ρυθμίσεις παραμέτρων βρίσκεται στο httpd.conf της παρουσίας του apache.

Σημείωση: δημιουργήστε ένα αντίγραφο ασφαλείας του απαραίτητου αρχείου διαμόρφωσης πριν από την τροποποίηση, ώστε η επαναφορά να είναι εύκολη όταν τα πράγματα πάνε στραβά.

Απενεργοποιήστε το αίτημα παρακολούθησης HTTP

Το προεπιλεγμένο TraceEnable στο επιτρέπει το TRACE, το οποίο δεν επιτρέπει σε οποιοδήποτε σώμα αιτήματος να συνοδεύει το αίτημα.

  Πώς να κάνετε αναζήτηση με όνομα χρήστη στο OkCupid

Το TraceEnable off προκαλεί τον κεντρικό διακομιστή και το mod_proxy να επιστρέψουν ένα σφάλμα 405 (Μέθοδος δεν επιτρέπεται) στον πελάτη.

Το TraceEnable on επιτρέπει το ζήτημα ανίχνευσης μεταξύ ιστότοπων και ενδεχομένως να δίνει την επιλογή σε έναν χάκερ να κλέψει τις πληροφορίες των cookie σας.

Λύση

Αντιμετωπίστε αυτό το ζήτημα ασφαλείας απενεργοποιώντας τη μέθοδο TRACE HTTP στη Διαμόρφωση Apache.

Μπορείτε να το κάνετε Τροποποιώντας/Προσθέτοντας την παρακάτω οδηγία στο httpd.conf του διακομιστή Web Apache.

TraceEnable off

Εκτέλεση ως ξεχωριστός χρήστης και ομάδα

Από προεπιλογή, το Apache έχει ρυθμιστεί να τρέχει με κανέναν ή με δαίμονα.

Μην ρυθμίζετε το χρήστη (ή την ομάδα) στο root εκτός αν γνωρίζετε ακριβώς τι κάνετε και ποιοι είναι οι κίνδυνοι.

Λύση

Η εκτέλεση του Apache στον δικό του λογαριασμό που δεν είναι root είναι καλό. Τροποποιήστε την Οδηγία χρήστη και ομάδας στο httpd.conf του διακομιστή σας Web Apache

User apache 
Group apache

Απενεργοποίηση υπογραφής

Η ρύθμιση Off, η οποία είναι η προεπιλογή, καταστέλλει τη γραμμή του υποσέλιδου.

  Ειδήσεις Google Συμβουλές SEO για την ενίσχυση της προβολής του ιστότοπου

Η ρύθμιση On απλώς προσθέτει μια γραμμή με τον αριθμό έκδοσης διακομιστή και το Όνομα διακομιστή του εικονικού κεντρικού υπολογιστή που εξυπηρετεί.

Λύση

Είναι καλό να απενεργοποιήσετε το Signature, καθώς μπορεί να μην θέλετε να αποκαλύψετε την έκδοση Apache που χρησιμοποιείτε.

ServerSignature Off

Απενεργοποίηση Banner

Αυτή η οδηγία ελέγχει εάν το πεδίο κεφαλίδας απόκρισης διακομιστή, το οποίο αποστέλλεται πίσω στους πελάτες, περιλαμβάνει μια περιγραφή του γενικού τύπου λειτουργικού συστήματος του διακομιστή καθώς και πληροφορίες σχετικά με τις μεταγλωττισμένες λειτουργικές μονάδες.

Λύση

ServerTokens Prod

Περιορίστε την πρόσβαση σε ένα συγκεκριμένο δίκτυο ή IP

Εάν θέλετε ο ιστότοπός σας να προβάλλεται μόνο από συγκεκριμένη διεύθυνση IP ή δίκτυο, μπορείτε να τροποποιήσετε τον Κατάλογο του ιστότοπού σας στο httpd.conf

Λύση

Δώστε τη διεύθυνση δικτύου στην οδηγία Allow.

<Directory /yourwebsite>    
Options None    
AllowOverride None    
Order deny,allow    
Deny from all    
Allow from 10.20.0.0/24  
</Directory>

Δώστε τη διεύθυνση IP στην οδηγία Allow.

<Directory /yourwebsite>
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 10.20.1.56
</Directory>

Χρησιμοποιήστε μόνο TLS 1.2

Τα SSL 2.0, 3.0, TLS 1, 1.1 φέρονται να πάσχουν από διάφορα κρυπτογραφικά ελαττώματα.

  Πώς να ξεπαγώσετε τον λογαριασμό Venmo

Χρειάζεστε βοήθεια για τη διαμόρφωση του SSL; ανατρέξτε σε αυτόν τον οδηγό.

Λύση

SSLProtocol -ALL +TLSv1.2

Απενεργοποιήστε την καταχώριση καταλόγου

Εάν δεν έχετε index.html στον Κατάλογο του ιστότοπού σας, ο πελάτης θα δει όλα τα αρχεία και τους υποκαταλόγους που παρατίθενται στο πρόγραμμα περιήγησης (όπως η έξοδος ls –l).

Λύση

Για να απενεργοποιήσετε την περιήγηση καταλόγου, μπορείτε είτε να ορίσετε την τιμή της Οδηγίας Επιλογών σε “Καμία” ή “-Ευρετήρια”

<Directory />
Options None
Order allow,deny
Allow from all
</Directory>

Ή

<Directory />
Options -Indexes
Order allow,deny
Allow from all
</Directory>

Αφαιρέστε τις περιττές μονάδες DSO

Επαληθεύστε τη διαμόρφωσή σας για να αφαιρέσετε περιττές μονάδες DSO.

Υπάρχουν πολλές μονάδες που ενεργοποιούνται από προεπιλογή μετά την εγκατάσταση. Μπορείτε να αφαιρέσετε ό,τι δεν χρειάζεστε.

Απενεργοποιήστε τους Null και Weak Ciphers

Επιτρέψτε μόνο ισχυρούς κρυπτογράφησης, ώστε να κλείσετε όλες τις πόρτες που προσπαθούν να χειραψήσουν σε χαμηλότερες σουίτες κρυπτογράφησης.

Λύση

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Παραμείνετε τρέχων

Καθώς ο Apache είναι ενεργός ανοιχτού κώδικα, ο ευκολότερος τρόπος για να βελτιώσετε την ασφάλεια του διακομιστή Web Apache είναι να διατηρήσετε την πιο πρόσφατη έκδοση. Νέες επιδιορθώσεις και ενημερώσεις κώδικα ασφαλείας προστίθενται σε κάθε έκδοση. Πάντα να αναβαθμίζετε στην πιο πρόσφατη σταθερή έκδοση του Apache.

Παρακάτω είναι μερικές μόνο από τις βασικές ρυθμίσεις παραμέτρων, και αν ψάχνετε σε βάθος, τότε μπορείτε να ανατρέξετε στον βήμα προς βήμα οδηγό ασφαλείας και σκλήρυνσης.

Σας άρεσε να διαβάζετε το άρθρο; Τι θα λέγατε να μοιράζεστε με τον κόσμο;