Apache Güvenliği – Güvenli Kurulum için 10 İpucu

Apache, günümüzde kullanılan en popüler web sunucusu uygulamalarından biridir ve uzun süredir kullanılmaktadır. Açık kaynak kodlu ve indirmesi ücretsiz, bu da web sitelerini bir bütçeyle barındırmak isteyenler için bir seçenek olarak çok çekici hale getiriyor.

Ancak Apache aynı zamanda "genel amaçlı" yazılım kategorisine girer, bu da koduna veya kurulum komut dosyalarına erişimi olan herkes tarafından kullanılabileceği anlamına gelir. Bu, siteniz en baştan güvenli bir şekilde kurulmamışsa sizi olası güvenlik risklerine açık bırakır.

Bu makalede, yolda herhangi bir sorun yaşamamanız için Apache kurulumunuzu güvence altına almak için 10'dan fazla ipucunu inceleyeceğiz - okumaya devam edin!

Apache Güvenliği – Güvenli Kurulum için 10 İpucu

1) Sunucu bilgisi Yönergesini devre dışı bırakın

httpd.conf'da yönergeyi etkinleştirirseniz ve Apache yapılandırma sayfanızı ziyaret ederseniz, size bu uçta neler olduğu hakkında bilgi verecektir!

Bu, hangi yazılım sürümünü kullandığınız ve bu dosyaların makinede nerede saklandığı gibi sunucunuzun ayarlarıyla ilgili hassas bilgileri içerebilir.

Saldırgan, bu bilgileri kullanarak, sunucunuzun güvenlik açığı bulunan bir OpenSSL sürümünü çalıştırıp çalıştırmadığını anlayabilir.

httpd.conf Apache yapılandırma dosyasındaki mod_info modülünü kaldırarak bu sorunu düzeltin: #LoadModule info_module Modules/mod_info.so

2) Sunucu durumu Yönergesini devre dışı bırakın

Yönerge, uygulamanızın sunucularının çalışma süreleri ve yükleri gibi performansıyla ilgili bilgileri listeler. Bu bilgiler, saldırganlar tarafından hangi sunucularınızın en yoğun ve en savunmasız olduğunu belirlemek için kullanılabilir. Bunu httpd.conf Apache yapılandırma dosyasında yorumlayarak düzeltebilirsiniz:

 #<Konum /sunucu durumu>
# SetHandler sunucu durumu
# Siparişi reddet, izin ver
# Hepsinden reddet
# .alan_adiniz.com adresinden izin verin
#</Konum>

3) ServerSignature Yönergesini devre dışı bırakın

ServerSignature yönergesi, hangi Apache sürümünü ve hangi işletim sisteminde çalıştırdığınız da dahil olmak üzere web sunucunuz hakkında ek bilgiler eklemenin harika bir yoludur.

Bilgisayarınızda hassas bilgileri görmemeniz için Apache'nin bu yönergenin devre dışı bırakılması gerekiyor. httpd.conf Apache yapılandırma dosyanızda ServerSignature Off'u kullanın.

4) ServerTokens Yönergesini Prod olarak ayarlayın

ServerTokens yönergesi, yanıt başlığı alanında bir dizi bilgiyi geri göndermek için kullanılır. Bir Apache ServerTokens yönergesi, belgelerde listelenenler de dahil olmak üzere birçok farklı sözdizimine sahip olabilir.

ServerTokens yönergesi Prod olarak ayarlandığında, sunucu yanıt başlıklarında yalnızca Apache görüntülenecektir. Bunu httpd.conf Apache yapılandırma dosyanıza ServerTokens Prod ekleyerek yapın.

5) Dizin Listelemeyi Devre Dışı Bırak

Dizin listesi, sistemdeki her dosyayı size göstererek, bir saldırganın isteyebilecekleri hassas bilgileri görüntülemesini kolaylaştırır. Bu seçeneği etkinleştirmek riske değmez!

Uygulamanızın kaynak kodu söz konusu olduğunda her zaman dikkatli olmalısınız. Erişim elde eden bir saldırgan, bu bilgileri, güvenlik açıklarını analiz etmek veya programın içinde ne yaptığınız hakkında daha fazla ayrıntı elde etmek gibi kötü amaçlı amaçlarla potansiyel olarak kullanabilir.

Apache httpd.conf dosyasında Seçenekler yönergesini ayarlayın:

 <Dizin /sizin/web siteniz/dizin>
Seçenekler -İndeksler
</Dizin>

6) Yalnızca Gerekli Modülleri Etkinleştir

Apache HTTP Sunucusu güçlü bir araçtır ancak doğru şekilde yapılandırılmazsa bunaltıcı olabilir. Kullanmak isteyebileceğiniz veya istemeyebileceğiniz, önceden yüklenmiş ve varsayılan olarak etkinleştirilmiş birçok modül vardır, bu nedenle yüklemeden önce bu seçeneklerin ortamınızda ihtiyaç duyduklarını yaptığından emin olun!

Peki tüm bu modülleri httpd üzerindeki etkilerini düşünmeden etkinleştirirseniz ne olur? Eh, bazı ciddi sonuçları olabilir. Bu modülleri etkinleştirmek, sunucuyu gelecekte var olabilecek veya keşfedilebilecek herhangi bir güvenlik sorununa açmak gibidir.

Web siteniz için gerekli tüm modülleri kurduğunuzdan emin olmanın en iyi yollarından biri Apache'nin belgelerine bakmaktır. Yalnızca ihtiyacınız olan modülleri kullandığınızdan ve kullanılmayanları devre dışı bıraktığınızdan emin olun.

7) Uygun Bir Kullanıcı ve Grup Kullanın

Apache güçlü ve çok yönlü bir web sunucusudur, ancak onu arka plan programı (varsayılan) yerine ayrıcalıklı olmayan bir hesapla kullanmak en iyi uygulamadır. Bu, Apache erişimini yalnızca gerektiğinde sınırlayarak sisteminizin güvende kalmasına yardımcı olur!

Ayrıca, aynı kullanıcı ve grupla çalışan iki farklı süreç, bunlardan birinde istismarlara yol açabilir. Apache kullanıcısını ve grubunu değiştirmek, httpd.conf yapılandırma dosyasının Change User veya Group yönergeleri olarak düzenlenmesini gerektirir.

8) İstenmeyen Hizmetleri Kısıtlayın

Apache'nizi güvende tutmak istiyorsanız, herhangi bir hizmeti çalıştırmamak veya gerekli değilse sembolik bağlantılar oluşturmamak en iyisidir. Hizmetleri devre dışı bırakmak httpd.conf'daki Seçenekler yönergesi ile kolaydır ve bunu yalnızca gerekirse belirli bir dizin için de yapabilirsiniz!

İşte ne yapacağınıza bir örnek:

 <Dizin /sizin/web siteniz/dizin>
Seçenekler -ExecCGI -FollowSymLinks -İçerir
</Dizin>

9) ModSecurity WAF'yi kullanın

ModSecurity, bir web uygulaması güvenlik duvarı olarak kullanılabilen açık kaynaklı bir yazılımdır. Sitenizi bilgisayar korsanlarından korumak için filtreleme, sunucu kimliği maskeleme ve boş Bayt saldırı önleme işlevleri gibi farklı işlevlere sahiptir!

Web sunucunuzun güvenliğini artırmanın ve çok sayıda saldırıya karşı koruma sağlamanın harika bir yolu mod_security'yi kurmaktır. Bu, dağıtılmış hizmet reddinden (DDOS) korunma fırsatı da sağlayacaktır.

10) Günlüğe Kaydetmeyi Etkinleştir

Belirli sorunların nedenini araştırmak için apache günlüğünün etkinleştirilmesini isteyeceksiniz. Bu, web sunucunuzda yapılan istemci istekleri hakkında ayrıntılı bilgi sağlar ve sorunlara bakarken bunu yerinde kullanmaktan daha iyi bir yol yoktur!

mod_log_config modülü, Apache eylemlerini günlüğe kaydetmenizi sağlar. Bunu yapmak için httpd conf dosyanıza eklendiğinden emin olun.

Apache Güvenliği Neden Önemlidir?

Web sunucunuzu yetkisiz erişime karşı korumaya yardımcı olduğu ve web sitenizi olası saldırılardan koruduğu için Apache güvenliğinin yerinde olması önemlidir.

Apache güvenliğine dikkat etmemek, web sitenizin saldırıya uğramasına neden olabilir ve bu da veri kaybına veya hırsızlığa neden olabilir. Bu blog gönderisinde özetlenen ipuçlarını takip ederek Apache kurulumunuzun mümkün olduğunca güvenli olmasını sağlayabilirsiniz!

Çözüm

Sonuç olarak, bu basit ipuçlarını izleyerek Apache kurulumunuzu daha güvenli hale getirebilirsiniz. Bu yönergeler yalnızca bir başlangıç ​​noktasıdır, bu nedenle belirli web uygulama gereksinimlerinizin güvenliği konusunda daha fazla araştırma yaptığınızdan emin olun!

Hatırlanması gereken en önemli şey, güvenliğin tek seferlik bir olay olmadığı, devam eden bir süreç olduğudur. Uyanık olun ve sitenizi güvende tutun!