Spread the love

Защитите и укрепите веб-сервер Apache с помощью следующих передовых методов, чтобы обеспечить безопасность вашего веб-приложения.

Веб-сервер является важной частью веб-приложений. Неправильная настройка и конфигурация по умолчанию могут раскрыть конфиденциальную информацию, а это риск.

Как владелец или администратор веб-сайта, вы должны регулярно выполнять сканирование безопасности своего веб-сайта, чтобы найти онлайн-угрозы, чтобы вы могли принять меры до того, как это сделает хакер.

Давайте рассмотрим основные настройки, чтобы сохранить ваш веб-сервер Apache.

Вся конфигурация находится в httpd.conf вашего экземпляра apache.

Примечание: перед внесением изменений сделайте резервную копию необходимого файла конфигурации, чтобы его можно было легко восстановить, если что-то пойдет не так.

Отключить трассировку HTTP-запроса

Значение по умолчанию TraceEnable on разрешает TRACE, что запрещает сопровождать запрос каким-либо текстом запроса.

Отключение TraceEnable приводит к тому, что главный сервер и mod_proxy возвращают клиенту ошибку 405 (метод не разрешен).

TraceEnable on разрешает проблему межсайтового отслеживания и потенциально дает хакеру возможность украсть информацию о ваших файлах cookie.

Решение

Устраните эту проблему безопасности, отключив метод TRACE HTTP в конфигурации Apache.

Вы можете сделать это, изменив/добавив указанную ниже директиву в файле httpd.conf вашего веб-сервера Apache.

TraceEnable off

Запуск от имени пользователя и группы

По умолчанию Apache настроен на работу ни с кем, ни с демоном.

Не назначайте пользователю (или группе) root, если вы точно не знаете, что делаете, и каковы опасности.

Решение

Запуск Apache в собственной учетной записи без полномочий root — это хорошо. Измените директиву пользователя и группы в httpd.conf вашего веб-сервера Apache.

User apache 
Group apache

Отключить подпись

Параметр «Выкл.», который используется по умолчанию, скрывает строку нижнего колонтитула.

Параметр On просто добавляет строку с номером версии сервера и ServerName обслуживающего виртуального хоста.

Решение

Хорошо отключить подпись, так как вы можете не захотеть раскрывать версию Apache, которую вы используете.

ServerSignature Off

Отключить баннер

Эта директива определяет, включает ли поле заголовка ответа сервера, которое отправляется обратно клиентам, описание общего типа ОС сервера, а также информацию о скомпилированных модулях.

Решение

ServerTokens Prod

Ограничить доступ к определенной сети или IP-адресу

Если вы хотите, чтобы ваш сайт просматривался только по определенному IP-адресу или сети, вы можете изменить каталог своего сайта в httpd.conf.

Решение

Укажите сетевой адрес в директиве Allow.

<Directory /yourwebsite>    
Options None    
AllowOverride None    
Order deny,allow    
Deny from all    
Allow from 10.20.0.0/24  
</Directory>

Укажите IP-адрес в директиве Allow.

<Directory /yourwebsite>
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 10.20.1.56
</Directory>

Используйте только TLS 1.2

Сообщается, что SSL 2.0, 3.0, TLS 1, 1.1 страдает от нескольких криптографических недостатков.

Нужна помощь с настройкой SSL? обратитесь к этому руководству.

Решение

SSLProtocol -ALL +TLSv1.2

Отключить список каталогов

Если у вас нет index.html в вашем каталоге веб-сайта, клиент увидит все файлы и подкаталоги, перечисленные в браузере (например, вывод ls –l).

Решение

Чтобы отключить просмотр каталогов, вы можете установить значение директивы Option на «Нет» или «-Indexes».

<Directory />
Options None
Order allow,deny
Allow from all
</Directory>

ИЛИ ЖЕ

<Directory />
Options -Indexes
Order allow,deny
Allow from all
</Directory>

Удалите ненужные модули DSO

Проверьте свою конфигурацию, чтобы удалить избыточные модули DSO.

Многие модули активируются по умолчанию после установки. Вы можете удалить то, что вам не нужно.

Отключить нулевые и слабые шифры

Разрешайте только стойкие шифры, поэтому вы закрываете все двери, которые пытаются рукопожатие с более низкими наборами шифров.

Решение

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Оставайтесь в курсе

Поскольку Apache является активным продуктом с открытым исходным кодом, самый простой способ повысить безопасность веб-сервера Apache — сохранить последнюю версию. Новые исправления и исправления безопасности добавляются в каждый выпуск. Всегда обновляйтесь до последней стабильной версии Apache.

Выше приведены лишь некоторые из основных настроек, и если вы ищете более подробную информацию, вы можете обратиться к моему пошаговому руководству по безопасности и усилению защиты.

Понравилось читать статью? Как насчет того, чтобы поделиться с миром?

x