Обезбедите и ојачајте Апацхе веб сервер са следећим најбољим праксама да би ваша веб апликација била безбедна.
Веб сервер је кључни део веб апликација. Погрешно конфигурисана и подразумевана конфигурација може да открије осетљиве информације, а то је ризик.
Као власник или администратор веб локације, требало би да редовно вршите безбедносна скенирања ваше веб локације да бисте пронашли претње на мрежи како бисте могли да предузмете мере пре него што то учини хакер.
Хајде да прођемо кроз основне конфигурације како бисмо задржали ваш Апацхе веб сервер.
Праћење свих конфигурација је у хттпд.цонф ваше апацхе инстанце.
Напомена: направите резервну копију потребне конфигурационе датотеке пре модификације, тако да је враћање лако када ствари крену наопако.
Преглед садржаја
Онемогућите ХТТП захтев за праћење
Подразумевано ТрацеЕнабле на дозвољава ТРАЦЕ, што не дозвољава било ком телу захтева да прати захтев.
ТрацеЕнабле офф узрокује да основни сервер и мод_проки врате клијенту грешку 405 (Метод није дозвољен).
ТрацеЕнабле на омогућава проблем праћења на више локација и потенцијално даје могућност хакеру да украде ваше информације о колачићима.
Решење
Решите овај безбедносни проблем тако што ћете онемогућити ТРАЦЕ ХТТП метод у Апацхе конфигурацији.
То можете учинити тако што ћете изменити/додати доле наведене директиве у вашем хттпд.цонф вашег Апацхе веб сервера.
TraceEnable off
Покрени као одвојени корисник и група
Подразумевано, Апацхе је конфигурисан да ради ни са ким ни са демоном.
Не постављајте корисника (или групу) на роот осим ако не знате тачно шта радите и које су опасности.
Решење
Покретање Апацхе-а на сопственом не-роот налогу је добро. Измените директиву корисника и група у хттпд.цонф вашег Апацхе веб сервера
User apache Group apache
Онемогући потпис
Поставка Офф, која је подразумевана, потискује линију подножја.
Поставка Он једноставно додаје ред са бројем верзије сервера и СерверНаме виртуелног хоста који служи.
Решење
Добро је онемогућити Сигнатуре, јер можда не желите да откријете верзију Апацхеа коју користите.
ServerSignature Off
Онемогући банер
Ова директива контролише да ли поље заглавља одговора сервера, које се шаље назад клијентима, укључује опис генеричког типа ОС сервера, као и информације о компајлираним модулима.
Решење
ServerTokens Prod
Ограничите приступ на одређену мрежу или ИП
Ако желите да се ваш сајт гледа само на одређеној ИП адреси или мрежи, можете да измените директоријум сајта у хттпд.цонф
Решење
Дајте мрежну адресу у директиви Дозволи.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.0.0/24 </Directory>
Наведите ИП адресу у директиви Дозволи.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.1.56 </Directory>
Користите само ТЛС 1.2
ССЛ 2.0, 3.0, ТЛС 1, 1.1 наводно пати од неколико криптографских грешака.
Треба вам помоћ око конфигурисања ССЛ-а? погледајте овај водич.
Решење
SSLProtocol -ALL +TLSv1.2
Онемогућите листу директоријума
Ако немате индек.хтмл у директоријуму веб локације, клијент ће видети све датотеке и поддиректорије наведене у претраживачу (као што је лс –л излаз).
Решење
Да бисте онемогућили прегледање директоријума, можете да подесите вредност директиве опција на „Ништа“ или „-Индекси“
<Directory /> Options None Order allow,deny Allow from all </Directory>
ИЛИ
<Directory /> Options -Indexes Order allow,deny Allow from all </Directory>
Уклоните непотребне ДСО модуле
Проверите своју конфигурацију да бисте уклонили сувишне ДСО модуле.
Постоји много модула који су подразумевано активирани након инсталације. Можете уклонити оно што вам није потребно.
Онемогућите нулте и слабе шифре
Дозволите само јаке шифре, тако да затворите сва врата која покушавају да се руковају на нижим шифрама.
Решење
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Останите актуелни
Пошто је Апацхе активан опен-соурце, најлакши начин да се побољша безбедност Апацхе веб сервера је да задржите најновију верзију. Нове исправке и безбедносне закрпе се додају у свако издање. Увек надоградите на најновију стабилну верзију Апацхе-а.
Изнад су само неке од основних конфигурација, а ако тражите детаљне информације, онда можете погледати мој детаљни водич за безбедност и учвршћивање.
Да ли сте уживали у читању чланка? Шта кажете на дељење са светом?