Förstärk säkerheten för din Apache-webbserver genom att implementera dessa beprövade metoder, vilket skyddar din webbapplikation från potentiella hot.
En webbserver utgör en vital komponent i varje webbaserad applikation. En felaktig konfiguration eller användning av standardinställningar kan oavsiktligt exponera känslig information, vilket skapar en sårbarhet.
Som webbplatsägare eller administratör är det avgörande att genomföra regelbundna säkerhetskontroller av din webbplats för att identifiera potentiella hot. Genom att proaktivt agera kan du vidta nödvändiga åtgärder innan en illvillig aktör exploaterar svagheterna.
Låt oss undersöka centrala konfigurationer som bidrar till att upprätthålla säkerheten på din Apache-webbserver.
Samtliga konfigurationsändringar görs i filen httpd.conf för din specifika Apache-installation.
Viktigt: Innan du genomför några ändringar, säkerhetskopiera den relevanta konfigurationsfilen. Det underlättar en smidig återställning om något skulle gå fel.
Inaktivera HTTP TRACE-förfrågningar
Standardinställningen TraceEnable är satt till ”på”, vilket tillåter TRACE-metoden. Denna metod möjliggör inte att någon begäranskropp skickas med förfrågan.
Genom att ställa TraceEnable till ”off” får kärnservern och mod_proxy att returnera ett 405-fel (Metoden ej tillåten) till klienten.
Om TraceEnable lämnas aktiverat kan det potentiellt skapa sårbarheter för attacker över flera webbplatser och till och med ge en angripare tillgång till din cookieinformation.
Lösning
Åtgärda denna säkerhetsbrist genom att avaktivera HTTP TRACE-metoden i Apache-konfigurationen.
Detta åstadkommer du genom att modifiera eller lägga till följande direktiv i filen httpd.conf:
TraceEnable off
Kör Apache som en separat användare och grupp
Som standard är Apache inställd på att köras med användaren ”nobody” eller ”daemon”.
Undvik att ställa in användare eller grupp till ”root”, om du inte är fullt medveten om riskerna och konsekvenserna.
Lösning
Det är en bra säkerhetsåtgärd att låta Apache köras under ett separat, icke-root-konto. Ändra direktiven för användare och grupp i filen httpd.conf:
User apache Group apache
Inaktivera serversignatur
Standardvärdet ”Av” undertrycker information om serverns sidfot.
Inställningen ”På” lägger till en rad med information om serverns versionsnummer och servernamn för den aktuella virtuella värden.
Lösning
Det är klokt att inaktivera serversignaturen, eftersom du antagligen inte vill ge ut vilken Apache-version du använder.
ServerSignature Off
Dölj serverinformation
Detta direktiv styr huruvida fältet ”Server Response Header”, som skickas till klienter, innehåller detaljer om serverns generiska operativsystem och information om inkompilerade moduler.
Lösning
ServerTokens Prod
Begränsa åtkomst till specifika nätverk eller IP-adresser
Om du vill begränsa din webbplats till att endast vara tillgänglig för en bestämd IP-adress eller ett nätverk, kan du justera din webbplatskatalog i filen httpd.conf.
Lösning
Ange nätverksadressen i ”Allow”-direktivet.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.0.0/24 </Directory>
Ange IP-adressen i ”Allow”-direktivet.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.1.56 </Directory>
Använd endast TLS 1.2
Protokollen SSL 2.0, 3.0, TLS 1 och 1.1 har dokumenterade kryptografiska svagheter.
Behöver du hjälp med att konfigurera SSL? Se denna guide.
Lösning
SSLProtocol -ALL +TLSv1.2
Inaktivera kataloglistning
Om det inte finns någon index.html-fil i din webbplatskatalog kommer klienten att se en lista med alla filer och underkataloger i webbläsaren (som en ls -l-utmatning).
Lösning
För att förhindra katalogbläddring kan du ställa in värdet på ”Option”-direktivet till ”None” eller ”-Index”.
<Directory /> Options None Order allow,deny Allow from all </Directory>
ELLER
<Directory /> Options -Indexes Order allow,deny Allow from all </Directory>
Ta bort onödiga DSO-moduler
Kontrollera din konfiguration och avlägsna redundanta DSO-moduler.
Det finns många moduler som är aktiverade som standard efter installationen. Du kan ta bort de du inte behöver.
Inaktivera null- och svaga chiffer
Tillåt endast starka chiffer, vilket blockerar alla potentiella angreppsförsök via svagare chiffersviter.
Lösning
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Håll systemet uppdaterat
Eftersom Apache är en aktiv öppen källkod, är det enklaste sättet att förbättra säkerheten att hålla din server uppdaterad med den senaste versionen. Varje release inkluderar nya korrigeringar och säkerhetsförbättringar. Uppgradera alltid till den senaste stabila versionen av Apache.
Ovanstående utgör endast några av de grundläggande konfigurationerna. För en mer djupgående analys, rekommenderas att ta del av min steg-för-steg guide för säkerhet och härdning.
Hoppas du tyckte om artikeln! Dela den gärna med andra.