Захистіть і зміцніть веб-сервер Apache, дотримуючись найкращих практик для забезпечення безпеки вашої веб-програми.
Веб-сервер є важливою частиною веб-додатків. Неправильна конфігурація та конфігурація за замовчуванням може призвести до розкриття конфіденційної інформації, а це ризик.
Як власник або адміністратор веб-сайту, ви повинні регулярно перевіряти свій веб-сайт на наявність онлайн-загроз, щоб ви могли вжити заходів до того, як це зробить хакер.
Давайте пройдемося по основних конфігураціях, щоб зберегти ваш веб-сервер Apache.
Усі налаштування знаходяться в httpd.conf вашого екземпляра apache.
Примітка: зробіть резервну копію необхідного файлу конфігурації перед зміною, щоб відновлення було легким, коли щось піде не так.
Вимкнути Trace HTTP Request
За замовчуванням TraceEnable on дозволяє TRACE, що забороняє супроводжувати будь-яке тіло запиту.
Вимкнення TraceEnable змушує основний сервер і mod_proxy повертати клієнту помилку 405 (метод не дозволений).
TraceEnable увімкне проблему міжсайтового відстеження та потенційно надасть можливість хакеру викрасти вашу інформацію cookie.
Рішення
Вирішіть цю проблему безпеки, вимкнувши метод TRACE HTTP у конфігурації Apache.
Ви можете зробити це, змінивши/додавши наведену нижче директиву у вашому httpd.conf веб-сервера Apache.
TraceEnable off
Запуск як окремий користувач і група
За замовчуванням Apache налаштовано на запуск ні з ким, ні з демоном.
Не встановлюйте користувача (або групу) на root, якщо ви точно не знаєте, що ви робите, і в чому полягає небезпека.
Рішення
Запуск Apache у власному обліковому записі без root — це добре. Змініть директиву користувача та групи в httpd.conf веб-сервера Apache
User apache Group apache
Вимкнути підпис
Параметр Вимкнути, який є типовим, пригнічує рядок нижнього колонтитула.
Налаштування On просто додає рядок із номером версії сервера та ServerName обслуговуючого віртуального хосту.
Рішення
Добре вимкнути підпис, оскільки ви можете не захотіти розкривати версію Apache, яку ви використовуєте.
ServerSignature Off
Вимкнути банер
Ця директива визначає, чи містить поле заголовка відповіді сервера, яке надсилається клієнтам, опис загального типу ОС сервера, а також інформацію про скомпільовані модулі.
Рішення
ServerTokens Prod
Обмежте доступ до певної мережі або IP-адреси
Якщо ви бажаєте, щоб ваш сайт переглядався лише за певною IP-адресою чи мережею, ви можете змінити свій каталог сайту в httpd.conf
Рішення
Укажіть мережеву адресу в директиві Allow.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.0.0/24 </Directory>
Укажіть IP-адресу в директиві Allow.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.1.56 </Directory>
Використовуйте лише TLS 1.2
Повідомляється, що SSL 2.0, 3.0, TLS 1, 1.1 має кілька криптографічних недоліків.
Потрібна допомога з налаштуванням SSL? зверніться до цього посібника.
Рішення
SSLProtocol -ALL +TLSv1.2
Вимкнути список каталогів
Якщо у вашому каталозі веб-сайту немає index.html, клієнт побачить усі файли та підкаталоги, перелічені в браузері (наприклад, вихід ls –l).
Рішення
Щоб вимкнути перегляд каталогу, ви можете встановити значення директиви Option на «None» або «-Indexes»
<Directory /> Options None Order allow,deny Allow from all </Directory>
АБО
<Directory /> Options -Indexes Order allow,deny Allow from all </Directory>
Видаліть непотрібні модулі DSO
Перевірте конфігурацію, щоб видалити зайві модулі DSO.
Існує багато модулів, активованих за замовчуванням після встановлення. Ви можете видалити те, що вам не потрібно.
Вимкніть нульові та слабкі шифри
Дозволяйте лише надійні шифри, щоб ви закрили всі двері, які намагаються встановити зв’язок із нижчими наборами шифрів.
Рішення
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Будьте в курсі
Оскільки Apache є активним відкритим вихідним кодом, найпростішим способом покращити безпеку веб-сервера Apache є збереження останньої версії. Нові виправлення та патчі безпеки додаються до кожного випуску. Завжди оновлюйте Apache до останньої стабільної версії.
Вище наведено лише деякі з важливих конфігурацій, і якщо ви шукаєте докладну інформацію, ви можете переглянути мій покроковий посібник з безпеки та зміцнення.
Вам сподобалось читати статтю? Як щодо того, щоб поділитися зі світом?