03/28/2024

10 cele mai bune practici pentru a securiza și consolida serverul dvs. web Apache

Securizează și întărește serverul web Apache cu următoarele bune practici pentru a vă menține aplicația web în siguranță.

Serverul Web este o parte esențială a aplicațiilor bazate pe web. Configurarea greșită și configurația implicită poate expune informații sensibile, iar acesta este un risc.

În calitate de proprietar sau administrator de site, ar trebui să efectuați în mod regulat scanări de securitate împotriva site-ului dvs. pentru a găsi amenințări online, astfel încât să puteți lua măsuri înainte ca un hacker să o facă.

Să trecem prin configurațiile esențiale pentru a vă păstra serverul web Apache.

Urmărirea tuturor configurațiilor este în httpd.conf al instanței dvs. apache.

Notă: faceți o copie de rezervă a fișierului de configurare necesar înainte de modificare, astfel încât restaurarea este ușoară atunci când lucrurile merg prost.

Dezactivați urmărirea solicitării HTTP

Valoarea implicită TraceEnable pe permite TRACE, care nu permite oricărui organism de solicitare să însoțească cererea.

TraceEnable off face ca serverul de bază și mod_proxy să returneze o eroare 405 (Metoda nu este permisă) către client.

TraceEnable activat permite problema de urmărire între site-uri și poate oferi opțiunea unui hacker de a vă fura informațiile cookie.

Soluţie

Rezolvați această problemă de securitate dezactivând metoda TRACE HTTP în Apache Configuration.

Puteți face prin modificarea/adăugarea directivei de mai jos în httpd.conf al serverului dvs. web Apache.

TraceEnable off

Rulați ca utilizator și grup separat

În mod implicit, Apache este configurat să ruleze cu nimeni sau cu demon.

  Construiește-ți harta site-ului web cu aceste 9 cele mai bune instrumente

Nu setați utilizatorul (sau grupul) la root decât dacă știți exact ce faceți și care sunt pericolele.

Soluţie

Rularea Apache în propriul cont non-root este bună. Modificați directiva utilizatorului și grupului în httpd.conf al serverului dvs. web Apache

User apache 
Group apache

Dezactivează semnătura

Setarea Off, care este implicită, suprimă linia de subsol.

Setarea On adaugă pur și simplu o linie cu numărul versiunii serverului și ServerName al gazdei virtuale de servire.

Soluţie

Este bine să dezactivați Signature, deoarece este posibil să nu doriți să dezvăluiți versiunea Apache pe care o executați.

ServerSignature Off

Dezactivați bannerul

Această directivă controlează dacă câmpul antet de răspuns al serverului, care este trimis înapoi către clienți, include o descriere a tipului de sistem de operare generic al serverului, precum și informații despre modulele compilate.

Soluţie

ServerTokens Prod

Restricționați accesul la o anumită rețea sau IP

Dacă doriți ca site-ul dvs. să fie vizualizat numai după o anumită adresă IP sau rețea, puteți modifica Directorul site-ului dvs. în httpd.conf

Soluţie

Indicați adresa de rețea în directiva Allow.

<Directory /yourwebsite>    
Options None    
AllowOverride None    
Order deny,allow    
Deny from all    
Allow from 10.20.0.0/24  
</Directory>

Dați adresa IP în directiva Allow.

<Directory /yourwebsite>
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 10.20.1.56
</Directory>

Utilizați numai TLS 1.2

Se pare că SSL 2.0, 3.0, TLS 1, 1.1 suferă de mai multe defecte criptografice.

Aveți nevoie de ajutor pentru configurarea SSL? consultați acest ghid.

Soluţie

SSLProtocol -ALL +TLSv1.2

Dezactivați Listarea directorului

Dacă nu aveți index.html în directorul site-ului dvs. web, clientul va vedea toate fișierele și subdirectoarele listate în browser (cum ar fi ieșirea ls –l).

  Mutați fișierele din descărcări într-o locație diferită, în funcție de tipul de fișier

Soluţie

Pentru a dezactiva navigarea în directoare, puteți fie seta valoarea directivei Opțiune la „Niciuna” sau „-Indexes”

<Directory />
Options None
Order allow,deny
Allow from all
</Directory>

SAU

<Directory />
Options -Indexes
Order allow,deny
Allow from all
</Directory>

Eliminați modulele DSO inutile

Verificați configurația pentru a elimina modulele DSO redundante.

Există multe module activate implicit după instalare. Puteți elimina ceea ce nu aveți nevoie.

Dezactivați Cifrurile nule și slabe

Permiteți doar cifruri puternice, astfel încât să închideți toate ușile care încearcă să strângă mâna în suitele de cifrare inferioare.

Soluţie

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Rămâneți la curent

Deoarece Apache este o sursă deschisă activă, cea mai simplă modalitate de a îmbunătăți securitatea Apache Web Server este să păstrați cea mai recentă versiune. Noi corecții și corecții de securitate sunt adăugate în fiecare lansare. Faceți întotdeauna upgrade la cea mai recentă versiune stabilă de Apache.

Mai sus sunt doar câteva dintre configurațiile esențiale și, dacă sunteți în căutarea unor detalii aprofundate, puteți consulta ghidul meu pas cu pas de securitate și întărire.

Ți-a plăcut să citești articolul? Ce zici de împărtășirea cu lumea?

x