Secure & Harden webový server Apache s následujícími osvědčenými postupy pro udržení vaší webové aplikace v bezpečí.
Webový server je klíčovou součástí webových aplikací. Špatně nastavená a výchozí konfigurace může odhalit citlivé informace a to je riziko.
Jako vlastník nebo správce webu byste měli pravidelně provádět bezpečnostní kontroly na svých webových stránkách, abyste našli online hrozby, abyste mohli podniknout akci dříve, než to udělá hacker.
Pojďme si projít základní konfigurace pro zachování vašeho webového serveru Apache.
Následující veškerá konfigurace je v httpd.conf vaší instance Apache.
Poznámka: Před úpravou si vytvořte zálohu potřebného konfiguračního souboru, takže obnovení je snadné, když se něco pokazí.
Table of Contents
Zakázat trasování požadavku HTTP
Výchozí nastavení TraceEnable zapnuto povoluje TRACE, což nedovolí, aby jakýkoli subjekt požadavku doprovázel požadavek.
Vypnutí funkce TraceEnable způsobí, že hlavní server a mod_proxy vrátí klientovi chybu 405 (metoda není povolena).
Zapnuto TraceEnable umožňuje problém se sledováním mezi stránkami a potenciálně dává hackerovi možnost ukrást vaše informace o souborech cookie.
Řešení
Vyřešte tento problém zabezpečení vypnutím metody TRACE HTTP v konfiguraci Apache.
Můžete to udělat úpravou/přidáním níže uvedené direktivy ve vašem httpd.conf vašeho webového serveru Apache.
TraceEnable off
Spustit jako samostatný uživatel a skupina
Ve výchozím nastavení je Apache nakonfigurován tak, aby běžel s nikým nebo s démonem.
Nenastavujte uživatele (nebo skupinu) jako root, pokud přesně nevíte, co děláte a jaká jsou nebezpečí.
Řešení
Spuštění Apache v jeho vlastním non-root účtu je dobré. Upravte direktivu uživatelů a skupin v httpd.conf vašeho webového serveru Apache
User apache Group apache
Zakázat podpis
Nastavení Vypnuto, které je výchozí, potlačí čáru zápatí.
Nastavení On jednoduše přidá řádek s číslem verze serveru a ServerName obslužného virtuálního hostitele.
Řešení
Je dobré vypnout Signature, protože možná nebudete chtít odhalit verzi Apache, kterou používáte.
ServerSignature Off
Zakázat banner
Tato direktiva řídí, zda pole hlavičky odpovědi serveru, které se odesílá zpět klientům, obsahuje popis generického typu operačního systému serveru a také informace o zakompilovaných modulech.
Řešení
ServerTokens Prod
Omezit přístup ke konkrétní síti nebo IP
Pokud si přejete, aby vaše stránky byly prohlíženy pouze podle konkrétní IP adresy nebo sítě, můžete upravit adresář vašich stránek v httpd.conf
Řešení
Zadejte síťovou adresu v direktivě Allow.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.0.0/24 </Directory>
Zadejte IP adresu v direktivě Allow.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.1.56 </Directory>
Používejte pouze TLS 1.2
SSL 2.0, 3.0, TLS 1, 1.1 údajně trpí několika kryptografickými chybami.
Potřebujete pomoci s konfigurací SSL? viz tento návod.
Řešení
SSLProtocol -ALL +TLSv1.2
Zakázat výpis adresáře
Pokud v adresáři webové stránky nemáte index.html, klient uvidí všechny soubory a podadresáře uvedené v prohlížeči (jako výstup ls –l).
Řešení
Chcete-li zakázat procházení adresářů, můžete buď nastavit hodnotu direktivy Option na „None“ nebo „-Indexes“
<Directory /> Options None Order allow,deny Allow from all </Directory>
NEBO
<Directory /> Options -Indexes Order allow,deny Allow from all </Directory>
Odstraňte nepotřebné moduly DSO
Ověřte svou konfiguraci a odstraňte redundantní moduly DSO.
Po instalaci je ve výchozím nastavení aktivováno mnoho modulů. Můžete odstranit to, co nepotřebujete.
Zakázat nulové a slabé šifry
Povolte pouze silné šifry, takže zavřete všechny dveře, které se pokusí o podání ruky na nižších šifrovacích sadách.
Řešení
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Zůstaňte aktuální
Protože Apache je aktivní open-source, nejsnadnějším způsobem, jak zlepšit zabezpečení webového serveru Apache, je ponechat si nejnovější verzi. V každé verzi jsou přidávány nové opravy a bezpečnostní záplaty. Vždy upgradujte na nejnovější stabilní verzi Apache.
Výše je jen několik základních konfigurací, a pokud hledáte podrobnější informace, můžete se podívat na mého podrobného průvodce zabezpečením a zpevněním.
Užili jste si čtení článku? Co takhle sdílet se světem?