10 bästa metoder för att säkra och härda din Apache-webbserver

Spread the love

Säkra och härda Apache-webbservern med följande bästa praxis för att hålla din webbapplikation säker.

Webbservern är en avgörande del av webbaserade applikationer. Att ha felkonfigurerat och standardkonfigurationen kan avslöja känslig information, och det är en risk.

Som webbplatsägare eller administratör bör du regelbundet utföra säkerhetsskanningar mot din webbplats för att hitta onlinehot så att du kan vidta åtgärder innan en hackare gör det.

Låt oss gå igenom viktiga konfigurationer för att behålla din Apache-webbserver.

Att följa all konfiguration är i httpd.conf för din apache-instans.

Obs: ta en säkerhetskopia av den nödvändiga konfigurationsfilen innan du ändrar, så att återställningen är enkel när det går fel.

Inaktivera spåra HTTP-begäran

Den förinställda TraceEnable på tillåter TRACE, vilket inte tillåter någon begärandekropp att åtfölja begäran.

  Hur konfigurerar man övervakning av webbplatsens drifttid med Google Cloud Monitoring?

TraceEnable off gör att kärnservern och mod_proxy returnerar ett 405-fel (Metod ej tillåten) till klienten.

TraceEnable på tillåter spårningsproblem på flera webbplatser och ger potentiellt en hackare möjlighet att stjäla din cookieinformation.

Lösning

Åtgärda detta säkerhetsproblem genom att inaktivera TRACE HTTP-metoden i Apache-konfiguration.

Du kan göra det genom att ändra/lägga till nedanstående direktiv i din httpd.conf på din Apache webbserver.

TraceEnable off

Kör som separat användare och grupp

Som standard är Apache konfigurerad att köras med ingen eller demon.

Ställ inte in användare (eller grupp) på root om du inte vet exakt vad du gör och vilka farorna som finns.

Lösning

Att köra Apache i sitt eget icke-rootkonto är bra. Ändra användar- och gruppdirektiv i httpd.conf på din Apache-webbserver

User apache 
Group apache

Inaktivera signatur

Inställningen Av, som är standard, dämpar sidfotsraden.

Inställningen På lägger helt enkelt till en rad med serverns versionsnummer och servernamn för den betjänande virtuella värden.

Lösning

Det är bra att inaktivera Signature, eftersom du kanske inte vill avslöja Apache-versionen du kör.

ServerSignature Off

Inaktivera banner

Detta direktiv styr om fältet Serversvarshuvud, som skickas tillbaka till klienter, innehåller en beskrivning av serverns generiska OS-typ samt information om inkompilerade moduler.

  Växla automatiskt från WiFi till mobildata när signalen är låg

Lösning

ServerTokens Prod

Begränsa åtkomst till ett specifikt nätverk eller IP

Om du vill att din webbplats endast ska ses av en specifik IP-adress eller nätverk, kan du ändra din webbplatskatalog i httpd.conf

Lösning

Ange nätverksadressen i Allow-direktivet.

<Directory /yourwebsite>    
Options None    
AllowOverride None    
Order deny,allow    
Deny from all    
Allow from 10.20.0.0/24  
</Directory>

Ange IP-adressen i Allow-direktivet.

<Directory /yourwebsite>
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 10.20.1.56
</Directory>

Använd endast TLS 1.2

SSL 2.0, 3.0, TLS 1, 1.1 lider enligt uppgift av flera kryptografiska brister.

Behöver du hjälp med att konfigurera SSL? se den här guiden.

Lösning

SSLProtocol -ALL +TLSv1.2

Inaktivera kataloglistning

Om du inte har index.html under din webbplatskatalog kommer klienten att se alla filer och underkataloger listade i webbläsaren (som ls –l output).

Lösning

För att inaktivera katalogbläddring kan du antingen ställa in värdet på Option-direktivet till ”None” eller ”-Index”

<Directory />
Options None
Order allow,deny
Allow from all
</Directory>

ELLER

<Directory />
Options -Indexes
Order allow,deny
Allow from all
</Directory>

Ta bort onödiga DSO-moduler

Verifiera din konfiguration för att ta bort redundanta DSO-moduler.

Det finns många moduler aktiverade som standard efter installationen. Du kan ta bort det du inte behöver.

  Hur man tar bort Chat och Meet från Gmail

Inaktivera null och svaga chiffer

Tillåt bara starka chiffer, så du stänger alla dörrar som försöker handskaka på lägre chiffersviter.

Lösning

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Håll dig uppdaterad

Eftersom Apache är en aktiv öppen källkod är det enklaste sättet att förbättra säkerheten för Apache Web Server att behålla den senaste versionen. Nya korrigeringar och säkerhetskorrigeringar läggs till i varje utgåva. Uppgradera alltid till den senaste stabila versionen av Apache.

Ovan är bara några av de väsentliga konfigurationerna, och om du letar efter djupgående kan du hänvisa till min steg-för-steg guide för säkerhet och härdning.

Gillade du att läsa artikeln? Vad sägs om att dela med världen?