أمان Apache - 10 نصائح لتثبيت آمن

يعد Apache أحد أكثر تطبيقات خادم الويب شيوعًا المستخدمة اليوم وقد كان كذلك لفترة طويلة. إنه مفتوح المصدر ومجاني للتنزيل ، مما يجعله جذابًا للغاية كخيار لمن يتطلعون إلى استضافة مواقعهم على الويب بميزانية محدودة.

لكن Apache يندرج أيضًا ضمن فئة برامج "الأغراض العامة" ، مما يعني أنه يمكن استخدامها من قبل أي شخص لديه حق الوصول إلى الكود أو البرامج النصية للتثبيت. هذا يتركك عرضة للمخاطر الأمنية المحتملة إذا لم يتم إعداد موقعك بشكل آمن من البداية.

في هذه المقالة ، سنستعرض أكثر من 10 نصائح لتأمين تثبيت Apache حتى لا تواجه أي مشاكل في المستقبل - تابع القراءة!

أمان Apache - 10 نصائح لتثبيت آمن

1) قم بتعطيل توجيه معلومات الخادم

إذا قمت بتمكين التوجيه في httpd.conf وقمت بزيارة صفحة تكوين Apache ، فسيخبرك بمعلومات حول ما يحدث في هذه النهاية!

قد يتضمن ذلك معلومات حساسة تتعلق بإعدادات الخادم الخاص بك ، مثل إصدار البرنامج الذي تستخدمه ومكان تخزين هذه الملفات على الجهاز.

باستخدام هذه المعلومات ، يمكن للمهاجم معرفة ما إذا كان الخادم الخاص بك يقوم بتشغيل إصدار ضعيف من OpenSSL.

أصلح هذه المشكلة عن طريق إزالة الوحدة النمطية mod_info في httpd.conf ملف تكوين Apache: #LoadModule info_module modules / mod_info.so

2) قم بتعطيل توجيه حالة الخادم

يسرد التوجيه معلومات حول أداء خوادم تطبيقك ، مثل وقت التشغيل والتحميل. يمكن للمهاجمين استخدام هذه المعلومات لتحديد أي من الخوادم الخاصة بك هي الأكثر ازدحامًا والأكثر ضعفًا. يمكنك إصلاح ذلك من خلال التعليق عليه في httpd.conf ملف تكوين Apache:

 # <الموقع / حالة الخادم>
# حالة خادم SetHandler
# امر رفض السماح
# رفض من الجميع
# السماح من your_domain.com
# </Location>

3) تعطيل توجيه ServerSignature

يعد توجيه ServerSignature طريقة رائعة لإضافة معلومات إضافية حول خادم الويب الخاص بك ، بما في ذلك إصدار Apache الذي تقوم بتشغيله ونظام التشغيل.

يحتاج Apache إلى تعطيل هذا التوجيه حتى لا ترى أي معلومات حساسة على جهاز الكمبيوتر الخاص بك. استخدم ServerSignature Off في httpd.conf ملف تكوين Apache.

4) اضبط توجيه ServerTokens على Prod

يتم استخدام التوجيه ServerTokens لإرسال سلسلة من المعلومات في حقل رأس الاستجابة. يمكن أن يحتوي توجيه Apache ServerTokens على العديد من الصيغ المختلفة ، بما في ذلك تلك المدرجة في الوثائق.

عند تعيين توجيه ServerTokens على Prod ، سيتم عرض Apache فقط في رؤوس استجابة الخادم. قم بذلك عن طريق إضافة ServerTokens Prod إلى ملف تكوين httpd.conf Apache.

5) تعطيل قائمة الدليل

تعرض لك قائمة الدليل كل ملف في النظام ، مما يسهل على المهاجم عرض أي معلومات حساسة قد يريدها. تمكين هذا الخيار لا يستحق المخاطرة!

يجب أن تكون دائمًا حذرًا عندما يتعلق الأمر بالشفرة المصدرية للتطبيق الخاص بك. من المحتمل أن يستخدم المهاجم الذي يحصل على إمكانية الوصول هذه المعلومات لأغراض ضارة ، مثل تحليل الثغرات الأمنية أو الحصول على مزيد من التفاصيل حول ما تفعله داخل البرنامج نفسه.

قم بتعيين توجيه الخيارات في ملف Apache httpd.conf:

 <Directory / your / website / directory>
خيارات - الفهارس
</Directory>

6) تمكين الوحدات المطلوبة فقط

يعد خادم Apache HTTP أداة قوية ولكن يمكن أن يكون مربكًا أيضًا إذا لم يتم تكوينه بشكل صحيح. هناك العديد من الوحدات التي يتم تثبيتها مسبقًا وتمكينها افتراضيًا والتي قد ترغب أو لا ترغب في استخدامها ، لذلك قبل التثبيت تأكد من أن هذه الخيارات تفعل ما تحتاجه في بيئتك!

ولكن ماذا سيحدث إذا قمت بتمكين كل هذه الوحدات دون التفكير في تأثيرها على httpd؟ حسنًا ، قد تكون هناك بعض العواقب الوخيمة. يشبه تمكين هذه الوحدات فتح الخادم أمام أي مشكلات أمنية قد تكون موجودة أو يتم اكتشافها في المستقبل.

واحدة من أفضل الطرق للتأكد من أنك قمت بتثبيت جميع الوحدات الضرورية لموقع الويب الخاص بك هي من خلال النظر في وثائق Apache. تأكد من استخدام الوحدات التي تحتاجها فقط وتعطيل الوحدات غير المستخدمة.

7) استخدم المستخدم والمجموعة المناسبين

يعد Apache خادم ويب قويًا ومتعدد الاستخدامات ، ولكن من أفضل الممارسات استخدامه مع حساب غير مميز ، بدلاً من الخفي (افتراضي). يساعد هذا في الحفاظ على نظامك آمنًا عن طريق الحد من وصول Apache عند الضرورة فقط!

أيضًا ، يمكن أن تؤدي عمليتان مختلفتان تعملان مع نفس المستخدم والمجموعة إلى عمليات استغلال في إحداها. يتطلب تغيير مستخدم Apache والمجموعة تحرير ملف تكوين httpd.conf لتغيير توجيهات المستخدم أو المجموعة.

8) تقييد الخدمات غير المرغوب فيها

إذا كنت تريد الحفاظ على أمان Apache ، فمن الأفضل عدم تشغيل أي خدمة أو إنشاء روابط رمزية إذا لم تكن هناك حاجة إليها. يعد تعطيل الخدمات أمرًا سهلاً باستخدام التوجيه "خيارات" في httpd.conf ، ولا يمكنك القيام بذلك لدليل معين إلا إذا لزم الأمر أيضًا!

إليك مثال على ما يجب فعله:

 <Directory / your / website / directory>
خيارات -ExecCGI -FollowSymLinks -Includes
</Directory>

9) استخدم ModSecurity WAF

ModSecurity هو برنامج مفتوح المصدر يمكن استخدامه كجدار حماية لتطبيق الويب. لديها وظائف مختلفة بما في ذلك التصفية ، وإخفاء هوية الخادم ، ووظائف منع هجوم null Byte للحفاظ على موقعك في مأمن من المتسللين!

يعد تثبيت mod_security طريقة رائعة لتحسين أمان خادم الويب الخاص بك وحمايته من العديد من الهجمات. سيتيح لك ذلك فرصة الحماية من رفض الخدمة الموزع (DDOS) أيضًا.

10) تمكين التسجيل

من أجل التحقيق في سبب مشكلات معينة ، ستحتاج إلى تمكين تسجيل apache. يوفر هذا معلومات مفصلة حول طلبات العميل التي تم إجراؤها على خادم الويب الخاص بك ولا توجد طريقة أفضل من ذلك عند البحث في المشكلات!

وحدة mod_log_config تمكنك من تسجيل إجراءات أباتشي. للقيام بذلك ، تأكد من تضمينه في ملف httpd conf.

لماذا يعد أمان Apache مهمًا؟

من المهم أن يكون لديك أمان Apache لأنه يساعد في حماية خادم الويب الخاص بك من الوصول غير المصرح به ، وكذلك يحافظ على موقع الويب الخاص بك في مأمن من الهجمات المحتملة.

قد يؤدي عدم الاهتمام بأمان Apache إلى اختراق موقع الويب الخاص بك ، مما قد يؤدي إلى فقد البيانات أو السرقة. باتباع النصائح الموضحة في منشور المدونة هذا ، يمكنك المساعدة في ضمان أن يكون تثبيت Apache آمنًا قدر الإمكان!

استنتاج

في الختام ، باتباع هذه النصائح البسيطة ، يمكنك المساعدة في الحفاظ على تثبيت Apache أكثر أمانًا. هذه الإرشادات هي مجرد نقطة بداية ، لذا تأكد من إجراء مزيد من البحث في أمان احتياجات تطبيقات الويب الخاصة بك!

أهم شيء يجب تذكره هو أن الأمن ليس حدثًا لمرة واحدة ، إنه عملية مستمرة. كن يقظًا وحافظ على أمان موقعك!