Keamanan Apache – 10 Tips untuk Instalasi yang Aman

Apache merupakan salah satu aplikasi web server yang paling populer digunakan saat ini dan sudah sejak lama. Ini open-source dan gratis untuk diunduh, yang membuatnya sangat menarik sebagai pilihan bagi mereka yang ingin meng-host situs web mereka dengan anggaran terbatas.

Tetapi Apache juga termasuk dalam kategori perangkat lunak "bertujuan umum", yang berarti dapat digunakan oleh siapa saja yang memiliki akses ke kode atau skrip instalasinya. Itu membuat Anda terbuka terhadap potensi risiko keamanan jika situs Anda tidak disiapkan dengan aman sejak awal.

Dalam artikel ini, kami akan membahas 10 tips untuk mengamankan instalasi Apache Anda sehingga Anda tidak akan mengalami masalah apa pun – baca terus!

Keamanan Apache – 10 Tips untuk Instalasi yang Aman

1) Nonaktifkan Petunjuk server-info

Jika Anda mengaktifkan direktif di httpd.conf dan mengunjungi halaman konfigurasi Apache Anda, itu akan memberi tahu Anda informasi tentang apa yang terjadi di sini!

Ini mungkin termasuk informasi sensitif mengenai pengaturan server Anda, seperti versi perangkat lunak apa yang Anda gunakan dan di mana pada mesin file-file ini disimpan.

Dengan menggunakan informasi ini, penyerang dapat mengetahui apakah server Anda menjalankan versi OpenSSL yang rentan.

Perbaiki masalah ini dengan menghapus modul mod_info di file konfigurasi Apache httpd.conf: #LoadModule info_module modules/mod_info.so

2) Nonaktifkan Direktif status server

Arahan tersebut mencantumkan informasi tentang kinerja server aplikasi Anda, seperti waktu aktif dan pemuatannya. Informasi ini dapat digunakan oleh penyerang untuk menentukan server mana yang paling sibuk dan paling rentan. Anda dapat memperbaikinya dengan mengomentarinya di file konfigurasi Apache httpd.conf:

 #<Lokasi /status server>
# Status server SetHandler
# Pesanan ditolak, izinkan
# Tolak dari semua
# Izinkan dari .domain_anda.com
#</Lokasi>

3) Nonaktifkan Arahan ServerSignature

Arahan ServerSignature adalah cara yang bagus untuk menambahkan informasi tambahan tentang server web Anda, termasuk versi Apache yang Anda jalankan dan sistem operasinya.

Apache memerlukan arahan ini untuk dinonaktifkan agar Anda tidak melihat informasi sensitif apa pun di komputer Anda. Gunakan ServerSignature Off di file konfigurasi Apache httpd.conf Anda.

4) Atur Arahan ServerTokens ke Prod

Arahan ServerTokens digunakan untuk mengirim kembali serangkaian informasi di bidang header respons. Direktif Apache ServerTokens dapat memiliki banyak sintaks yang berbeda, termasuk yang tercantum dalam dokumentasi.

Ketika direktif ServerTokens diatur ke Prod, hanya Apache yang akan ditampilkan di header respons server. Lakukan ini dengan menambahkan ServerTokens Prod ke file konfigurasi Apache httpd.conf Anda.

5) Nonaktifkan Daftar Direktori

Daftar direktori menunjukkan kepada Anda setiap file dalam sistem, sehingga memudahkan penyerang untuk melihat informasi sensitif apa pun yang mungkin mereka inginkan. Mengaktifkan opsi ini tidak sebanding dengan risikonya!

Anda harus selalu berhati-hati dalam hal kode sumber aplikasi Anda. Penyerang yang memperoleh akses berpotensi menggunakan informasi tersebut untuk tujuan jahat, seperti menganalisis kelemahan keamanan atau memperoleh detail lebih lanjut tentang apa yang Anda lakukan di dalam program itu sendiri.

Atur direktif Opsi di file Apache httpd.conf:

 <Direktori /situs web/direktori Anda>
Opsi -Indeks
</Direktori>

6) Aktifkan Hanya Modul yang Diperlukan

Apache HTTP Server adalah alat yang ampuh tetapi juga bisa sangat merepotkan jika tidak dikonfigurasi dengan benar. Ada banyak modul yang sudah diinstal sebelumnya dan diaktifkan secara default yang mungkin ingin Anda gunakan atau tidak, jadi sebelum menginstal pastikan opsi ini melakukan apa yang mereka butuhkan di lingkungan Anda!

Tetapi apa yang akan terjadi jika Anda mengaktifkan semua modul ini tanpa memikirkan efeknya pada httpd? Yah, mungkin ada beberapa konsekuensi serius. Mengaktifkan modul ini seperti membuka server untuk masalah keamanan apa pun yang mungkin ada atau ditemukan di masa mendatang.

Salah satu cara terbaik untuk memastikan bahwa Anda telah menginstal semua modul yang diperlukan untuk situs web Anda adalah dengan melihat dokumentasi Apache. Pastikan untuk hanya menggunakan modul yang Anda butuhkan dan nonaktifkan modul yang tidak digunakan.

7) Gunakan Pengguna dan Grup yang Tepat

Apache adalah server web yang kuat dan serbaguna, tetapi praktik terbaiknya adalah menggunakannya dengan akun yang tidak memiliki hak istimewa, daripada menggunakan daemon (default). Ini membantu menjaga keamanan sistem Anda dengan membatasi akses Apache hanya jika diperlukan!

Selain itu, dua proses berbeda yang berjalan dengan pengguna dan grup yang sama dapat menyebabkan eksploitasi di salah satunya. Mengubah pengguna dan grup Apache memerlukan pengeditan file konfigurasi httpd.conf ke arahan Ubah Pengguna atau Grup.

8) Batasi Layanan yang Tidak Diinginkan

Jika Anda ingin menjaga Apache Anda tetap aman, maka yang terbaik adalah tidak menjalankan layanan apa pun atau membuat tautan simbolis jika tidak diperlukan. Menonaktifkan layanan dengan mudah dengan direktif Opsi di httpd.conf, dan Anda dapat melakukannya untuk direktori tertentu hanya jika diperlukan juga!

Berikut ini contoh yang harus dilakukan:

 <Direktori /situs web/direktori Anda>
Opsi -ExecCGI -FollowSymLinks -Termasuk
</Direktori>

9) Gunakan ModSecurity WAF

ModSecurity adalah perangkat lunak sumber terbuka yang dapat digunakan sebagai firewall aplikasi web. Ini memiliki fungsi yang berbeda termasuk pemfilteran, penyamaran identitas server, dan fungsi pencegahan serangan Byte nol untuk menjaga situs Anda aman dari peretas!

Cara yang bagus untuk meningkatkan keamanan server web Anda dan melindungi dari banyak serangan adalah dengan menginstal mod_security. Ini akan memberi Anda kesempatan untuk perlindungan dari penolakan layanan terdistribusi (DDOS) juga.

10) Aktifkan Pencatatan

Untuk menyelidiki penyebab masalah tertentu, Anda harus mengaktifkan logging Apache. Ini memberikan informasi terperinci tentang permintaan klien yang dibuat di server web Anda dan tidak ada cara yang lebih baik daripada dengan ini saat mencari masalah!

Modul mod_log_config memungkinkan Anda untuk mencatat tindakan Apache. Untuk melakukannya, pastikan itu disertakan dalam file httpd conf Anda.

Mengapa Keamanan Apache Penting?

Penting untuk memiliki keamanan Apache karena membantu melindungi server web Anda dari akses yang tidak sah, serta menjaga situs web Anda aman dari kemungkinan serangan.

Tidak memperhatikan keamanan Apache dapat menyebabkan situs web Anda diretas, yang dapat mengakibatkan kehilangan atau pencurian data. Dengan mengikuti tip yang diuraikan dalam posting blog ini, Anda dapat membantu memastikan bahwa instalasi Apache Anda seaman mungkin!

Kesimpulan

Kesimpulannya, dengan mengikuti tips sederhana ini Anda dapat membantu menjaga instalasi Apache Anda lebih aman. Panduan ini hanyalah titik awal, jadi pastikan untuk meneliti lebih lanjut tentang keamanan kebutuhan aplikasi web spesifik Anda!

Yang paling penting untuk diingat adalah bahwa keamanan bukanlah peristiwa satu kali, itu adalah proses yang berkelanjutan. Tetap waspada dan jaga keamanan situs Anda!