Securizează și întărește serverul web Apache cu următoarele bune practici pentru a vă menține aplicația web în siguranță.
Serverul Web este o parte esențială a aplicațiilor bazate pe web. Configurarea greșită și configurația implicită poate expune informații sensibile, iar acesta este un risc.
În calitate de proprietar sau administrator de site, ar trebui să efectuați în mod regulat scanări de securitate împotriva site-ului dvs. pentru a găsi amenințări online, astfel încât să puteți lua măsuri înainte ca un hacker să o facă.
Să trecem prin configurațiile esențiale pentru a vă păstra serverul web Apache.
Urmărirea tuturor configurațiilor este în httpd.conf al instanței dvs. apache.
Notă: faceți o copie de rezervă a fișierului de configurare necesar înainte de modificare, astfel încât restaurarea este ușoară atunci când lucrurile merg prost.
Cuprins
Dezactivați urmărirea solicitării HTTP
Valoarea implicită TraceEnable pe permite TRACE, care nu permite oricărui organism de solicitare să însoțească cererea.
TraceEnable off face ca serverul de bază și mod_proxy să returneze o eroare 405 (Metoda nu este permisă) către client.
TraceEnable activat permite problema de urmărire între site-uri și poate oferi opțiunea unui hacker de a vă fura informațiile cookie.
Soluţie
Rezolvați această problemă de securitate dezactivând metoda TRACE HTTP în Apache Configuration.
Puteți face prin modificarea/adăugarea directivei de mai jos în httpd.conf al serverului dvs. web Apache.
TraceEnable off
Rulați ca utilizator și grup separat
În mod implicit, Apache este configurat să ruleze cu nimeni sau cu demon.
Nu setați utilizatorul (sau grupul) la root decât dacă știți exact ce faceți și care sunt pericolele.
Soluţie
Rularea Apache în propriul cont non-root este bună. Modificați directiva utilizatorului și grupului în httpd.conf al serverului dvs. web Apache
User apache Group apache
Dezactivează semnătura
Setarea Off, care este implicită, suprimă linia de subsol.
Setarea On adaugă pur și simplu o linie cu numărul versiunii serverului și ServerName al gazdei virtuale de servire.
Soluţie
Este bine să dezactivați Signature, deoarece este posibil să nu doriți să dezvăluiți versiunea Apache pe care o executați.
ServerSignature Off
Dezactivați bannerul
Această directivă controlează dacă câmpul antet de răspuns al serverului, care este trimis înapoi către clienți, include o descriere a tipului de sistem de operare generic al serverului, precum și informații despre modulele compilate.
Soluţie
ServerTokens Prod
Restricționați accesul la o anumită rețea sau IP
Dacă doriți ca site-ul dvs. să fie vizualizat numai după o anumită adresă IP sau rețea, puteți modifica Directorul site-ului dvs. în httpd.conf
Soluţie
Indicați adresa de rețea în directiva Allow.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.0.0/24 </Directory>
Dați adresa IP în directiva Allow.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.1.56 </Directory>
Utilizați numai TLS 1.2
Se pare că SSL 2.0, 3.0, TLS 1, 1.1 suferă de mai multe defecte criptografice.
Aveți nevoie de ajutor pentru configurarea SSL? consultați acest ghid.
Soluţie
SSLProtocol -ALL +TLSv1.2
Dezactivați Listarea directorului
Dacă nu aveți index.html în directorul site-ului dvs. web, clientul va vedea toate fișierele și subdirectoarele listate în browser (cum ar fi ieșirea ls –l).
Soluţie
Pentru a dezactiva navigarea în directoare, puteți fie seta valoarea directivei Opțiune la „Niciuna” sau „-Indexes”
<Directory /> Options None Order allow,deny Allow from all </Directory>
SAU
<Directory /> Options -Indexes Order allow,deny Allow from all </Directory>
Eliminați modulele DSO inutile
Verificați configurația pentru a elimina modulele DSO redundante.
Există multe module activate implicit după instalare. Puteți elimina ceea ce nu aveți nevoie.
Dezactivați Cifrurile nule și slabe
Permiteți doar cifruri puternice, astfel încât să închideți toate ușile care încearcă să strângă mâna în suitele de cifrare inferioare.
Soluţie
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Rămâneți la curent
Deoarece Apache este o sursă deschisă activă, cea mai simplă modalitate de a îmbunătăți securitatea Apache Web Server este să păstrați cea mai recentă versiune. Noi corecții și corecții de securitate sunt adăugate în fiecare lansare. Faceți întotdeauna upgrade la cea mai recentă versiune stabilă de Apache.
Mai sus sunt doar câteva dintre configurațiile esențiale și, dacă sunteți în căutarea unor detalii aprofundate, puteți consulta ghidul meu pas cu pas de securitate și întărire.
Ți-a plăcut să citești articolul? Ce zici de împărtășirea cu lumea?