10 osvědčených postupů k zabezpečení a zpevnění vašeho webového serveru Apache

Secure & Harden webový server Apache s následujícími osvědčenými postupy pro udržení vaší webové aplikace v bezpečí.

Webový server je klíčovou součástí webových aplikací. Špatně nastavená a výchozí konfigurace může odhalit citlivé informace a to je riziko.

Jako vlastník nebo správce webu byste měli pravidelně provádět bezpečnostní kontroly na svých webových stránkách, abyste našli online hrozby, abyste mohli podniknout akci dříve, než to udělá hacker.

Pojďme si projít základní konfigurace pro zachování vašeho webového serveru Apache.

Následující veškerá konfigurace je v httpd.conf vaší instance Apache.

Poznámka: Před úpravou si vytvořte zálohu potřebného konfiguračního souboru, takže obnovení je snadné, když se něco pokazí.

Zakázat trasování požadavku HTTP

Výchozí nastavení TraceEnable zapnuto povoluje TRACE, což nedovolí, aby jakýkoli subjekt požadavku doprovázel požadavek.

Vypnutí funkce TraceEnable způsobí, že hlavní server a mod_proxy vrátí klientovi chybu 405 (metoda není povolena).

Zapnuto TraceEnable umožňuje problém se sledováním mezi stránkami a potenciálně dává hackerovi možnost ukrást vaše informace o souborech cookie.

Řešení

Vyřešte tento problém zabezpečení vypnutím metody TRACE HTTP v konfiguraci Apache.

Můžete to udělat úpravou/přidáním níže uvedené direktivy ve vašem httpd.conf vašeho webového serveru Apache.

TraceEnable off

Spustit jako samostatný uživatel a skupina

Ve výchozím nastavení je Apache nakonfigurován tak, aby běžel s nikým nebo s démonem.

Nenastavujte uživatele (nebo skupinu) jako root, pokud přesně nevíte, co děláte a jaká jsou nebezpečí.

Řešení

Spuštění Apache v jeho vlastním non-root účtu je dobré. Upravte direktivu uživatelů a skupin v httpd.conf vašeho webového serveru Apache

User apache 
Group apache

Zakázat podpis

Nastavení Vypnuto, které je výchozí, potlačí čáru zápatí.

Nastavení On jednoduše přidá řádek s číslem verze serveru a ServerName obslužného virtuálního hostitele.

Řešení

Je dobré vypnout Signature, protože možná nebudete chtít odhalit verzi Apache, kterou používáte.

ServerSignature Off

Zakázat banner

Tato direktiva řídí, zda pole hlavičky odpovědi serveru, které se odesílá zpět klientům, obsahuje popis generického typu operačního systému serveru a také informace o zakompilovaných modulech.

Řešení

ServerTokens Prod

Omezit přístup ke konkrétní síti nebo IP

Pokud si přejete, aby vaše stránky byly prohlíženy pouze podle konkrétní IP adresy nebo sítě, můžete upravit adresář vašich stránek v httpd.conf

Řešení

Zadejte síťovou adresu v direktivě Allow.

<Directory /yourwebsite>    
Options None    
AllowOverride None    
Order deny,allow    
Deny from all    
Allow from 10.20.0.0/24  
</Directory>

Zadejte IP adresu v direktivě Allow.

<Directory /yourwebsite>
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 10.20.1.56
</Directory>

Používejte pouze TLS 1.2

SSL 2.0, 3.0, TLS 1, 1.1 údajně trpí několika kryptografickými chybami.

Potřebujete pomoci s konfigurací SSL? viz tento návod.

Řešení

SSLProtocol -ALL +TLSv1.2

Zakázat výpis adresáře

Pokud v adresáři webové stránky nemáte index.html, klient uvidí všechny soubory a podadresáře uvedené v prohlížeči (jako výstup ls –l).

Řešení

Chcete-li zakázat procházení adresářů, můžete buď nastavit hodnotu direktivy Option na „None“ nebo „-Indexes“

<Directory />
Options None
Order allow,deny
Allow from all
</Directory>

NEBO

<Directory />
Options -Indexes
Order allow,deny
Allow from all
</Directory>

Odstraňte nepotřebné moduly DSO

Ověřte svou konfiguraci a odstraňte redundantní moduly DSO.

Po instalaci je ve výchozím nastavení aktivováno mnoho modulů. Můžete odstranit to, co nepotřebujete.

Zakázat nulové a slabé šifry

Povolte pouze silné šifry, takže zavřete všechny dveře, které se pokusí o podání ruky na nižších šifrovacích sadách.

Řešení

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Zůstaňte aktuální

Protože Apache je aktivní open-source, nejsnadnějším způsobem, jak zlepšit zabezpečení webového serveru Apache, je ponechat si nejnovější verzi. V každé verzi jsou přidávány nové opravy a bezpečnostní záplaty. Vždy upgradujte na nejnovější stabilní verzi Apache.

Výše je jen několik základních konfigurací, a pokud hledáte podrobnější informace, můžete se podívat na mého podrobného průvodce zabezpečením a zpevněním.

Užili jste si čtení článku? Co takhle sdílet se světem?