Forsterk og sikr din Apache webserver ved å følge disse beste praksisene, for å ivareta sikkerheten til din webapplikasjon.
En webserver er en grunnleggende komponent i alle webbaserte applikasjoner. Feilkonfigurasjon eller bruk av standardinnstillinger kan eksponere sensitiv informasjon og skape sikkerhetsrisiko.
Som eier av et nettsted eller systemadministrator, bør du regelmessig gjennomføre sikkerhetsskanninger av nettstedet ditt for å avdekke potensielle trusler. Dette gir deg muligheten til å iverksette tiltak før en angriper utnytter svakhetene.
La oss se på noen viktige konfigurasjonsendringer som vil bidra til å sikre din Apache webserver.
Alle konfigurasjonsendringer utføres i filen httpd.conf for din Apache-installasjon.
Viktig: Husk alltid å ta en sikkerhetskopi av konfigurasjonsfilen før du gjør endringer. Dette forenkler gjenoppretting dersom noe skulle gå galt.
Deaktiver HTTP TRACE forespørsler
Standardinnstillingen for TraceEnable er «on», som tillater TRACE-metoden. Denne metoden lar en forespørsel spore hele veien gjennom systemet.
Ved å sette TraceEnable til «off», vil kjerneserveren og mod_proxy returnere en 405-feil (Metode ikke tillatt) til klienten.
Når TraceEnable er aktivert, kan det oppstå sårbarheter som cross-site tracing (XST). Dette kan potensielt gi en angriper muligheten til å stjele informasjonskapsler.
Løsning
Du kan løse dette sikkerhetsproblemet ved å deaktivere TRACE HTTP-metoden i Apache sin konfigurasjonsfil.
Dette gjøres ved å endre eller legge til følgende direktiv i httpd.conf filen:
TraceEnable off
Kjør Apache som en separat bruker og gruppe
Som standard er Apache satt opp til å kjøre som «nobody» eller «daemon».
Unngå å sette brukeren eller gruppen til «root», med mindre du er fullstendig klar over hva du gjør, og hvilke risikoer det innebærer.
Løsning
Det anbefales sterkt å kjøre Apache under en egen, ikke-root-konto. Endre User- og Group-direktivet i httpd.conf:
User apache Group apache
Deaktiver ServerSignature
Når denne innstillingen er «off» (som er standard), vil ikke serveren legge til en bunntekstlinje.
Når den er «on», legges det til en linje med informasjon om serverens versjonsnummer og navn på den virtuelle verten.
Løsning
Det er en god praksis å deaktivere signaturen for å unngå å avsløre hvilken Apache-versjon du bruker.
ServerSignature Off
Skjul ServerTokens
Dette direktivet styrer om Server-responshodet som sendes til klienter, skal inneholde en beskrivelse av serverens generiske OS-type og informasjon om kompilerte moduler.
Løsning
ServerTokens Prod
Begrens tilgang til et spesifikt nettverk eller IP
Hvis du bare ønsker å gjøre nettstedet ditt tilgjengelig for en bestemt IP-adresse eller et bestemt nettverk, kan du endre katalogen for nettstedet i httpd.conf.
Løsning
Angi nettverksadressen i «Allow»-direktivet.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.0.0/24 </Directory>
Eller oppgi en spesifikk IP-adresse:
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.1.56 </Directory>
Bruk kun TLS 1.2
Protokollene SSL 2.0, 3.0, TLS 1 og 1.1 har kjente kryptografiske sårbarheter.
Trenger du hjelp til å konfigurere SSL? Se denne veiledningen.
Løsning
SSLProtocol -ALL +TLSv1.2
Deaktiver katalogvisning
Hvis det ikke finnes en «index.html»-fil i webkatalog, vil klienten kunne se en liste over alle filer og underkataloger i nettleseren (som «ls -l» i kommandolinjen).
Løsning
Du kan deaktivere katalogvisning ved å sette verdien til «Options»-direktivet til enten «None» eller «-Indexes».
<Directory /> Options None Order allow,deny Allow from all </Directory>
ELLER
<Directory /> Options -Indexes Order allow,deny Allow from all </Directory>
Fjern unødvendige DSO-moduler
Gjennomgå konfigurasjonen og fjern unødvendige DSO-moduler.
Som standard er mange moduler aktivert etter installasjon. Fjern de du ikke trenger.
Deaktiver usikre chiffer
Tillat kun sterke chiffer, for å blokkere forsøk på å bruke svakere chiffer ved håndtrykk.
Løsning
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Hold deg oppdatert
Apache er et aktivt open source-prosjekt, og den enkleste måten å forbedre sikkerheten er å sørge for at du alltid bruker nyeste versjon. Hver nye utgivelse inneholder rettelser og sikkerhetsoppdateringer. Oppgrader til den nyeste stabile versjonen av Apache så ofte som mulig.
Ovenfor nevnes kun noen av de viktigste konfigurasjonene. Hvis du er ute etter en dypere analyse, finnes det mange guider som kan hjelpe deg med å forsterke sikkerheten i din webserver.
Likte du artikkelen? Del den gjerne med andre!