Apache Security – 10 wskazówek dotyczących bezpiecznej instalacji

Apache jest jedną z najpopularniejszych obecnie używanych aplikacji serwerowych i istnieje od dłuższego czasu. Jest open-source i można go bezpłatnie pobrać, co czyni go bardzo atrakcyjną opcją dla tych, którzy chcą hostować swoje witryny z ograniczonym budżetem.

Ale Apache należy również do kategorii oprogramowania „ogólnego przeznaczenia”, co oznacza, że ​​może z niego korzystać każdy, kto ma dostęp do jego kodu lub skryptów instalacyjnych. To naraża Cię na potencjalne zagrożenia bezpieczeństwa, jeśli Twoja witryna nie jest od samego początku bezpiecznie skonfigurowana.

W tym artykule omówimy 10 wskazówek dotyczących zabezpieczania instalacji Apache, abyś nie miał żadnych problemów na drodze – czytaj dalej!

Apache Security – 10 wskazówek dotyczących bezpiecznej instalacji

1) Wyłącz dyrektywę dotyczącą informacji o serwerze

Jeśli włączysz dyrektywę w httpd.conf i odwiedzisz stronę konfiguracyjną Apache, otrzymasz informacje o tym, co się dzieje na tym końcu!

Może to obejmować poufne informacje dotyczące ustawień serwera, takie jak wersja używanego oprogramowania i miejsce przechowywania tych plików na komputerze.

Korzystając z tych informacji, osoba atakująca może dowiedzieć się, czy na Twoim serwerze działa podatna na ataki wersja OpenSSL.

Napraw ten problem, usuwając moduł mod_info w pliku konfiguracyjnym httpd.conf Apache: #LoadModule info_module modules/mod_info.so

2) Wyłącz dyrektywę o statusie serwera

Dyrektywa zawiera informacje o wydajności serwerów aplikacji, takie jak ich czas pracy i obciążenie. Informacje te mogą zostać wykorzystane przez atakujących do określenia, które z Twoich serwerów są najbardziej obciążone i najbardziej podatne na ataki. Możesz to naprawić, komentując to w pliku konfiguracyjnym httpd.conf Apache:

 #<Lokalizacja /stan-serwera>
# Status serwera SetHandler
# Odmowa zamówienia, zezwolenie
# Odmowa od wszystkich
# Zezwól z domeny .twoja_domena.com
#</Lokalizacja>

3) Wyłącz dyrektywę ServerSignature

Dyrektywa ServerSignature to świetny sposób na dodanie dodatkowych informacji o serwerze WWW, w tym o wersji Apache, której używasz i na jakim systemie operacyjnym.

Apache wymaga wyłączenia tej dyrektywy, abyś nie widział żadnych poufnych informacji na swoim komputerze. Użyj ServerSignature Off w pliku konfiguracyjnym httpd.conf Apache.

4) Ustaw dyrektywę ServerTokens na Prod

Dyrektywa ServerTokens służy do odesłania serii informacji w polu nagłówka odpowiedzi. Dyrektywa Apache ServerTokens może mieć wiele różnych składni, w tym te wymienione w dokumentacji.

Gdy dyrektywa ServerTokens jest ustawiona na Prod, tylko Apache będzie wyświetlany w nagłówkach odpowiedzi serwera. Zrób to, dodając ServerTokens Prod do pliku konfiguracyjnego Apache httpd.conf.

5) Wyłącz listę katalogów

Lista katalogów pokazuje każdy plik w systemie, ułatwiając osobie atakującej przeglądanie wszelkich poufnych informacji, których może chcieć. Włączenie tej opcji nie jest warte ryzyka!

Należy zawsze uważać, jeśli chodzi o kod źródłowy aplikacji. Osoba atakująca, która uzyska dostęp, może potencjalnie wykorzystać te informacje do złośliwych celów, takich jak analiza luk w zabezpieczeniach lub uzyskanie dodatkowych informacji na temat tego, co robisz w samym programie.

Ustaw dyrektywę Options w pliku httpd.conf Apache:

 <Katalog /Twoja/witryna/katalog>
Opcje -Indeksy
</Katalog>

6) Włącz tylko wymagane moduły

Serwer HTTP Apache jest potężnym narzędziem, ale może być również przytłaczający, jeśli nie zostanie poprawnie skonfigurowany. Istnieje wiele wstępnie zainstalowanych i domyślnie włączonych modułów, których możesz lub nie chcesz używać, więc przed instalacją upewnij się, że te opcje robią to, czego potrzebują w Twoim środowisku!

Ale co by się stało, gdybyśmy włączyli wszystkie te moduły, nie myśląc o ich wpływie na httpd? Cóż, mogą być poważne konsekwencje. Włączenie tych modułów jest jak otwarcie serwera na wszelkie problemy z bezpieczeństwem, które mogą istnieć lub zostać wykryte w przyszłości.

Jednym z najlepszych sposobów na upewnienie się, że zainstalowałeś wszystkie niezbędne moduły dla swojej witryny, jest zapoznanie się z dokumentacją Apache. Upewnij się, że używasz tylko tych modułów, których potrzebujesz i wyłącz te, które nie są używane.

7) Użyj odpowiedniego użytkownika i grupy

Apache jest potężnym i wszechstronnym serwerem WWW, ale najlepiej jest używać go z kontem nieuprzywilejowanym, a nie pod demonem (domyślnie). Pomaga to zachować bezpieczeństwo systemu, ograniczając dostęp Apache tylko wtedy, gdy jest to konieczne!

Ponadto dwa różne procesy działające z tym samym użytkownikiem i grupą mogą prowadzić do exploitów w jednym z nich. Zmiana użytkownika i grupy Apache wymaga edycji pliku konfiguracyjnego httpd.conf do dyrektyw Change User lub Group.

8) Ogranicz niechciane usługi

Jeśli chcesz, aby Apache był bezpieczny, najlepiej nie uruchamiać żadnej usługi ani nie tworzyć dowiązań symbolicznych, jeśli nie są one potrzebne. Wyłączenie usług jest łatwe dzięki dyrektywie Options w httpd.conf i możesz to zrobić dla konkretnego katalogu tylko w razie potrzeby!

Oto przykład tego, co robić:

 <Katalog /Twoja/witryna/katalog>
Opcje -ExecCGI -FollowSymLinks -Zawiera
</Katalog>

9) Użyj ModSecurity WAF

ModSecurity to oprogramowanie typu open source, które może być używane jako zapora aplikacji internetowej. Ma różne funkcje, w tym filtrowanie, maskowanie tożsamości serwera i funkcje zapobiegania atakom typu null Byte, aby chronić Twoją witrynę przed hakerami!

Świetnym sposobem na poprawę bezpieczeństwa serwera WWW i ochronę przed wieloma atakami jest zainstalowanie mod_security. Umożliwi to również ochronę przed rozproszoną odmową usługi (DDOS).

10) Włącz rejestrowanie

Aby zbadać przyczynę określonych problemów, będziesz chciał włączyć rejestrowanie w Apache. Zapewnia to szczegółowe informacje na temat żądań klientów wysyłanych na Twój serwer sieciowy i nie ma lepszego sposobu niż przy szukaniu problemów!

Moduł mod_log_config umożliwia rejestrowanie działań Apache. Aby to zrobić, upewnij się, że znajduje się on w pliku konfiguracyjnym httpd.

Dlaczego zabezpieczenia Apache są ważne?

Ważne jest, aby mieć zabezpieczenia Apache, ponieważ pomaga to chronić serwer sieciowy przed nieautoryzowanym dostępem, a także chroni witrynę przed możliwymi atakami.

Nie zwracanie uwagi na zabezpieczenia Apache może doprowadzić do włamania na Twoją witrynę, co może skutkować utratą lub kradzieżą danych. Postępując zgodnie ze wskazówkami przedstawionymi w tym poście na blogu, możesz zapewnić, że Twoja instalacja Apache jest tak bezpieczna, jak to tylko możliwe!

Wniosek

Podsumowując, postępując zgodnie z tymi prostymi wskazówkami, możesz zapewnić bezpieczniejszą instalację Apache. Te wskazówki to tylko punkt wyjścia, więc upewnij się, że dokładniej zbadałeś bezpieczeństwo swoich konkretnych potrzeb aplikacji internetowych!

Najważniejszą rzeczą do zapamiętania jest to, że bezpieczeństwo nie jest jednorazowym wydarzeniem, to ciągły proces. Zachowaj czujność i zadbaj o bezpieczeństwo swojej witryny!