Säkra och härda Apache-webbservern med följande bästa praxis för att hålla din webbapplikation säker.
Webbservern är en avgörande del av webbaserade applikationer. Att ha felkonfigurerat och standardkonfigurationen kan avslöja känslig information, och det är en risk.
Som webbplatsägare eller administratör bör du regelbundet utföra säkerhetsskanningar mot din webbplats för att hitta onlinehot så att du kan vidta åtgärder innan en hackare gör det.
Låt oss gå igenom viktiga konfigurationer för att behålla din Apache-webbserver.
Att följa all konfiguration är i httpd.conf för din apache-instans.
Obs: ta en säkerhetskopia av den nödvändiga konfigurationsfilen innan du ändrar, så att återställningen är enkel när det går fel.
Innehållsförteckning
Inaktivera spåra HTTP-begäran
Den förinställda TraceEnable på tillåter TRACE, vilket inte tillåter någon begärandekropp att åtfölja begäran.
TraceEnable off gör att kärnservern och mod_proxy returnerar ett 405-fel (Metod ej tillåten) till klienten.
TraceEnable på tillåter spårningsproblem på flera webbplatser och ger potentiellt en hackare möjlighet att stjäla din cookieinformation.
Lösning
Åtgärda detta säkerhetsproblem genom att inaktivera TRACE HTTP-metoden i Apache-konfiguration.
Du kan göra det genom att ändra/lägga till nedanstående direktiv i din httpd.conf på din Apache webbserver.
TraceEnable off
Kör som separat användare och grupp
Som standard är Apache konfigurerad att köras med ingen eller demon.
Ställ inte in användare (eller grupp) på root om du inte vet exakt vad du gör och vilka farorna som finns.
Lösning
Att köra Apache i sitt eget icke-rootkonto är bra. Ändra användar- och gruppdirektiv i httpd.conf på din Apache-webbserver
User apache Group apache
Inaktivera signatur
Inställningen Av, som är standard, dämpar sidfotsraden.
Inställningen På lägger helt enkelt till en rad med serverns versionsnummer och servernamn för den betjänande virtuella värden.
Lösning
Det är bra att inaktivera Signature, eftersom du kanske inte vill avslöja Apache-versionen du kör.
ServerSignature Off
Inaktivera banner
Detta direktiv styr om fältet Serversvarshuvud, som skickas tillbaka till klienter, innehåller en beskrivning av serverns generiska OS-typ samt information om inkompilerade moduler.
Lösning
ServerTokens Prod
Begränsa åtkomst till ett specifikt nätverk eller IP
Om du vill att din webbplats endast ska ses av en specifik IP-adress eller nätverk, kan du ändra din webbplatskatalog i httpd.conf
Lösning
Ange nätverksadressen i Allow-direktivet.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.0.0/24 </Directory>
Ange IP-adressen i Allow-direktivet.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.1.56 </Directory>
Använd endast TLS 1.2
SSL 2.0, 3.0, TLS 1, 1.1 lider enligt uppgift av flera kryptografiska brister.
Behöver du hjälp med att konfigurera SSL? se den här guiden.
Lösning
SSLProtocol -ALL +TLSv1.2
Inaktivera kataloglistning
Om du inte har index.html under din webbplatskatalog kommer klienten att se alla filer och underkataloger listade i webbläsaren (som ls –l output).
Lösning
För att inaktivera katalogbläddring kan du antingen ställa in värdet på Option-direktivet till ”None” eller ”-Index”
<Directory /> Options None Order allow,deny Allow from all </Directory>
ELLER
<Directory /> Options -Indexes Order allow,deny Allow from all </Directory>
Ta bort onödiga DSO-moduler
Verifiera din konfiguration för att ta bort redundanta DSO-moduler.
Det finns många moduler aktiverade som standard efter installationen. Du kan ta bort det du inte behöver.
Inaktivera null och svaga chiffer
Tillåt bara starka chiffer, så du stänger alla dörrar som försöker handskaka på lägre chiffersviter.
Lösning
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Håll dig uppdaterad
Eftersom Apache är en aktiv öppen källkod är det enklaste sättet att förbättra säkerheten för Apache Web Server att behålla den senaste versionen. Nya korrigeringar och säkerhetskorrigeringar läggs till i varje utgåva. Uppgradera alltid till den senaste stabila versionen av Apache.
Ovan är bara några av de väsentliga konfigurationerna, och om du letar efter djupgående kan du hänvisa till min steg-för-steg guide för säkerhet och härdning.
Gillade du att läsa artikeln? Vad sägs om att dela med världen?