10 найкращих методів захисту та посилення веб-сервера Apache

Захистіть і зміцніть веб-сервер Apache, дотримуючись найкращих практик для забезпечення безпеки вашої веб-програми.

Веб-сервер є важливою частиною веб-додатків. Неправильна конфігурація та конфігурація за замовчуванням може призвести до розкриття конфіденційної інформації, а це ризик.

Як власник або адміністратор веб-сайту, ви повинні регулярно перевіряти свій веб-сайт на наявність онлайн-загроз, щоб ви могли вжити заходів до того, як це зробить хакер.

Давайте пройдемося по основних конфігураціях, щоб зберегти ваш веб-сервер Apache.

Усі налаштування знаходяться в httpd.conf вашого екземпляра apache.

Примітка: зробіть резервну копію необхідного файлу конфігурації перед зміною, щоб відновлення було легким, коли щось піде не так.

Вимкнути Trace HTTP Request

За замовчуванням TraceEnable on дозволяє TRACE, що забороняє супроводжувати будь-яке тіло запиту.

Вимкнення TraceEnable змушує основний сервер і mod_proxy повертати клієнту помилку 405 (метод не дозволений).

  7 найкращих серверів Project Zomboid для кращого ігрового процесу

TraceEnable увімкне проблему міжсайтового відстеження та потенційно надасть можливість хакеру викрасти вашу інформацію cookie.

Рішення

Вирішіть цю проблему безпеки, вимкнувши метод TRACE HTTP у конфігурації Apache.

Ви можете зробити це, змінивши/додавши наведену нижче директиву у вашому httpd.conf веб-сервера Apache.

TraceEnable off

Запуск як окремий користувач і група

За замовчуванням Apache налаштовано на запуск ні з ким, ні з демоном.

Не встановлюйте користувача (або групу) на root, якщо ви точно не знаєте, що ви робите, і в чому полягає небезпека.

Рішення

Запуск Apache у власному обліковому записі без root — це добре. Змініть директиву користувача та групи в httpd.conf веб-сервера Apache

User apache 
Group apache

Вимкнути підпис

Параметр Вимкнути, який є типовим, пригнічує рядок нижнього колонтитула.

Налаштування On просто додає рядок із номером версії сервера та ServerName обслуговуючого віртуального хосту.

Рішення

Добре вимкнути підпис, оскільки ви можете не захотіти розкривати версію Apache, яку ви використовуєте.

ServerSignature Off

Вимкнути банер

Ця директива визначає, чи містить поле заголовка відповіді сервера, яке надсилається клієнтам, опис загального типу ОС сервера, а також інформацію про скомпільовані модулі.

  Як швидше вводити електронні листи в Gmail

Рішення

ServerTokens Prod

Обмежте доступ до певної мережі або IP-адреси

Якщо ви бажаєте, щоб ваш сайт переглядався лише за певною IP-адресою чи мережею, ви можете змінити свій каталог сайту в httpd.conf

Рішення

Укажіть мережеву адресу в директиві Allow.

<Directory /yourwebsite>    
Options None    
AllowOverride None    
Order deny,allow    
Deny from all    
Allow from 10.20.0.0/24  
</Directory>

Укажіть IP-адресу в директиві Allow.

<Directory /yourwebsite>
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 10.20.1.56
</Directory>

Використовуйте лише TLS 1.2

Повідомляється, що SSL 2.0, 3.0, TLS 1, 1.1 має кілька криптографічних недоліків.

Потрібна допомога з налаштуванням SSL? зверніться до цього посібника.

Рішення

SSLProtocol -ALL +TLSv1.2

Вимкнути список каталогів

Якщо у вашому каталозі веб-сайту немає index.html, клієнт побачить усі файли та підкаталоги, перелічені в браузері (наприклад, вихід ls –l).

Рішення

Щоб вимкнути перегляд каталогу, ви можете встановити значення директиви Option на «None» або «-Indexes»

<Directory />
Options None
Order allow,deny
Allow from all
</Directory>

АБО

<Directory />
Options -Indexes
Order allow,deny
Allow from all
</Directory>

Видаліть непотрібні модулі DSO

Перевірте конфігурацію, щоб видалити зайві модулі DSO.

Існує багато модулів, активованих за замовчуванням після встановлення. Ви можете видалити те, що вам не потрібно.

  7 найкращих спортивних додатків Kodi

Вимкніть нульові та слабкі шифри

Дозволяйте лише надійні шифри, щоб ви закрили всі двері, які намагаються встановити зв’язок із нижчими наборами шифрів.

Рішення

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Будьте в курсі

Оскільки Apache є активним відкритим вихідним кодом, найпростішим способом покращити безпеку веб-сервера Apache є збереження останньої версії. Нові виправлення та патчі безпеки додаються до кожного випуску. Завжди оновлюйте Apache до останньої стабільної версії.

Вище наведено лише деякі з важливих конфігурацій, і якщо ви шукаєте докладну інформацію, ви можете переглянути мій покроковий посібник з безпеки та зміцнення.

Вам сподобалось читати статтю? Як щодо того, щоб поділитися зі світом?