Apache Security: 10 suggerimenti per un'installazione sicura

Apache è una delle applicazioni per server Web più popolari in uso oggi e lo è da molto tempo. È open source e scaricabile gratuitamente, il che lo rende molto interessante come opzione per coloro che desiderano ospitare i propri siti Web con un budget limitato.

Ma Apache rientra anche nella categoria del software "general purpose", il che significa che può essere utilizzato da chiunque abbia accesso al suo codice o agli script di installazione. Ciò ti lascia aperto a potenziali rischi per la sicurezza se il tuo sito non è configurato in modo sicuro dall'inizio.

In questo articolo, esamineremo 10 suggerimenti per proteggere la tua installazione di Apache in modo da non avere problemi lungo la strada: continua a leggere!

Apache Security: 10 suggerimenti per un'installazione sicura

1) Disabilitare la direttiva informazioni sul server

Se abiliti la direttiva in httpd.conf e visiti la tua pagina di configurazione di Apache, ti dirà informazioni su cosa sta succedendo a questo punto!

Ciò può includere informazioni riservate relative alle impostazioni del server, come la versione del software in uso e la posizione in cui sono archiviati questi file sulla macchina.

Utilizzando queste informazioni, un utente malintenzionato potrebbe capire se il tuo server sta eseguendo una versione vulnerabile di OpenSSL.

Risolvi questo problema rimuovendo il modulo mod_info nel file di configurazione httpd.conf di Apache: #LoadModule info_module modules/mod_info.so

2) Disabilitare la direttiva sullo stato del server

La direttiva elenca le informazioni sulle prestazioni dei server dell'applicazione, come il loro tempo di attività e carico. Queste informazioni possono essere utilizzate dagli aggressori per determinare quali dei tuoi server sono i più trafficati e vulnerabili. Puoi risolvere questo problema commentandolo nel file di configurazione httpd.conf di Apache:

 #<Posizione/stato-server>
# Stato del server SetHandler
# Ordine nega, consenti
# Rifiutato da tutti
# Consenti da .tuo_dominio.com
#</Posizione>

3) Disabilitare la Direttiva ServerSignature

La direttiva ServerSignature è un ottimo modo per aggiungere ulteriori informazioni sul tuo server web, inclusa la versione di Apache in esecuzione e su quale sistema operativo.

Apache ha bisogno che questa direttiva sia disabilitata per non vedere alcuna informazione sensibile sul tuo computer. Usa ServerSignature Off nel tuo file di configurazione Apache httpd.conf.

4) Impostare la Direttiva ServerTokens su Prod

La direttiva ServerTokens viene utilizzata per restituire una serie di informazioni nel campo dell'intestazione della risposta. Una direttiva Apache ServerTokens può avere molte sintassi diverse, incluse quelle elencate nella documentazione.

Quando la direttiva ServerTokens è impostata su Prod, solo Apache verrà visualizzato nelle intestazioni di risposta del server. Fallo aggiungendo ServerTokens Prod al tuo file di configurazione Apache httpd.conf.

5) Disabilita l'elenco delle directory

L'elenco delle directory mostra tutti i file nel sistema, rendendo facile per un utente malintenzionato visualizzare tutte le informazioni sensibili che potrebbe desiderare. Abilitare questa opzione non vale il rischio!

Dovresti sempre stare attento quando si tratta del codice sorgente della tua applicazione. Un utente malintenzionato che ottiene l'accesso potrebbe potenzialmente utilizzare tali informazioni per scopi dannosi, come l'analisi di falle di sicurezza o ottenere maggiori dettagli su ciò che stai facendo all'interno del programma stesso.

Imposta la direttiva Options nel file httpd.conf di Apache:

 <Directory /tuo/sito web/directory>
Opzioni -Indici
</Directory>

6) Abilita solo i moduli richiesti

Il server HTTP Apache è uno strumento potente ma può anche essere opprimente se non configurato correttamente. Ci sono molti moduli preinstallati e abilitati per impostazione predefinita che potresti voler usare o meno, quindi prima di installare assicurati che queste opzioni facciano ciò di cui hanno bisogno nel tuo ambiente!

Ma cosa accadrebbe se abilitassi tutti questi moduli senza pensare al loro effetto su httpd? Ebbene, potrebbero esserci delle gravi conseguenze. Abilitare questi moduli è come aprire il server a qualsiasi problema di sicurezza che potrebbe esistere o essere scoperto in futuro.

Uno dei modi migliori per assicurarti di aver installato tutti i moduli necessari per il tuo sito web è guardare la documentazione di Apache. Assicurati di utilizzare solo i moduli di cui hai bisogno e disabilita quelli che non sono in uso.

7) Utilizzare un utente e un gruppo appropriati

Apache è un server Web potente e versatile, ma è consigliabile utilizzarlo con un account non privilegiato, piuttosto che con un demone (impostazione predefinita). Questo aiuta a mantenere il tuo sistema sicuro limitando l'accesso ad Apache solo quando necessario!

Inoltre, due processi diversi in esecuzione con lo stesso utente e gruppo possono portare a exploit in uno di essi. La modifica dell'utente e del gruppo Apache richiede la modifica del file di configurazione httpd.conf per modificare le direttive utente o gruppo.

8) Limitare i servizi indesiderati

Se vuoi mantenere il tuo Apache sicuro, è meglio non eseguire alcun servizio o creare collegamenti simbolici se non sono necessari. Disabilitare i servizi è facile con la direttiva Options in httpd.conf, e puoi farlo anche per una particolare directory solo se necessario!

Ecco un esempio di cosa fare:

 <Directory /tuo/sito web/directory>
Opzioni -ExecCGI -FollowSymLinks -Include
</Directory>

9) Utilizzare ModSecurity WAF

ModSecurity è un software open source che può essere utilizzato come firewall per applicazioni web. Ha diverse funzionalità tra cui filtraggio, mascheramento dell'identità del server e funzioni di prevenzione degli attacchi di byte nulli per proteggere il tuo sito dagli hacker!

Un ottimo modo per migliorare la sicurezza del tuo server web e proteggerti da una moltitudine di attacchi è installare mod_security. Ciò ti consentirà anche di proteggerti dal DDOS (Distributed Denial-of-Service).

10) Abilita registrazione

Per indagare sulla causa di problemi particolari, vorrai abilitare la registrazione di Apache. Questo fornisce informazioni dettagliate sulle richieste dei client effettuate sul tuo server web e non c'è modo migliore che con questo in atto quando si esaminano i problemi!

Il modulo mod_log_config consente di registrare le azioni di Apache. Per fare ciò, assicurati che sia incluso nel tuo file httpd conf.

Perché la sicurezza di Apache è importante?

È importante disporre della sicurezza Apache perché aiuta a proteggere il tuo server Web da accessi non autorizzati, oltre a proteggere il tuo sito Web da possibili attacchi.

Non prestare attenzione alla sicurezza di Apache può portare all'hacking del tuo sito Web, che potrebbe comportare la perdita o il furto di dati. Seguendo i suggerimenti delineati in questo post del blog, puoi contribuire a garantire che la tua installazione di Apache sia il più sicura possibile!

Conclusione

In conclusione, seguendo questi semplici suggerimenti puoi aiutare a mantenere la tua installazione di Apache più sicura. Queste linee guida sono solo un punto di partenza, quindi assicurati di effettuare ulteriori ricerche sulla sicurezza delle tue specifiche esigenze di applicazione web!

La cosa più importante da ricordare è che la sicurezza non è un evento occasionale, è un processo continuo. Rimani vigile e mantieni il tuo sito al sicuro!