Водич за тврдоћу и сигурност Апацхе веб сервера

Практични водич за осигурање и учвршћивање Апацхе ХТТП сервера.


Веб сервер је кључни део веб апликација. Апацхе Веб Сервер често се поставља на ивицу мреже, тако да постаје један од најосјетљивијих сервиса за напад.

Подразумевана конфигурација даје много осетљиве информације које могу помоћи хакеру да се припреми за напад на апликације. Већина напада веб апликација је путем КССС, цурења информација, управљања сесијама и СКЛ убризгавања који настају услед слабог програмског кода и неуспеха у санирању инфраструктуре веб апликација.

Занимљиво истраживање аутора Позитивне технологије открива, 52% скениране апликације имало је велику рањивост.

У овом чланку ћу говорити о неким најбољим праксама за обезбеђивање Апацхе ХТТП сервера на Линук платформи.

Следе тестирани на Апацхе 2.4.к верзији.

  • Ово претпоставља да сте инсталирали Апацхе на УНИКС платформу. Ако не, можете проћи кроз водич за инсталацију.
  • У овом водичу назват ћу инсталациони директориј Апацхе / опт / апацхе као $ Веб_Сервер.
  • Саветујемо вам да узмете резервну копију постојеће конфигурационе датотеке пре било какве измене.

Contents

Публика

Ово је дизајнирано за администратора Миддлеваре-а, подршку за апликације, системског аналитичара или било кога ко ради или жели научити отврдњавање & Безбедносне смернице.

Поштено знање веб сервера Апацхе & УНИКС наредба је обавезна.

Напомене

За провјеру имплементације ХТТП заглавља потребна вам је нека алатка. Постоје два начина за то.

  1. Користите алатке за развојне програме уграђене у претраживач да бисте прегледали ХТТП заглавља. Обично је под картицом Мрежа
  2. Користите мрежни алат за провјеру заглавља ХТТП одговора

Уклоните банер верзије сервера

Рекао бих да је ово једна од првих ствари које треба узети у обзир, јер не желите излагати верзију веб сервера коју користите. Излагање верзије значи да помажете хакеру да убрза процес извиђања.

Подразумевана конфигурација изложиће верзију Апацхе и врсту ОС као што је приказано у наставку.

  • Идите у директоријум $ Веб_Сервер / цонф
  • Измените хттпд.цонф користећи ви едитор
  • Додајте следећу директиву и сачувајте хттпд.цонф

СерверТокенс Прод
СерверСигнатуре Офф

  • Поново покрените апацхе

СерверСигнатуре уклања информације о верзији са странице коју генерише Апацхе.

СерверТокенс ће променити Хеадер само у производњу, тј. Апацхе

Као што видите ниже, верзија & Информације о ОС-у су нестале.

Онемогућите попис претраживача директорија

Онемогућите унос директорија у прегледачу, тако да посетилац не види које све датотеке и фасцикле имате под роот или поддиректоријом.

Испитајмо како то изгледа у подразумеваним подешавањима.

  • Идите у $ Веб_Сервер / хтдоцс директориј
  • Направите фасциклу и неколико датотека унутар ње

# мкдир тест
# додир здраво
# тоуцх здраво

Сада покушајмо да приступимо Апацхе-у хттп: // лоцалхост / тест

Као што сте видели, то открива које све датотеке / мапе имате и сигуран сам да то не желите излагати.

  • Идите у $ Веб_Сервер / цонф директоријум
  •  Отворите хттпд.цонф користећи ви
  •  Потражите Директоријум и промените Директиву о опцијама на Ноне или –Индекес

Опције -Индекес

(или)

Опције ниједна

  • Поново покрените Апацхе

Напомена: ако у вашем окружењу имате више директива директорија, требали бисте размислити о томе да учините исто за све.

Сада покушајмо да приступимо Апацхе-у хттп: // лоцалхост / тест

Као што сте могли да видите, забрањена је грешка уместо приказа уноса тестне мапе.

Етаг

Омогућује удаљеним нападачима да добију осетљиве информације попут броја чвора, вишестране МИМЕ границе и подређени процес кроз заглавље Етаг.

Да бисте спречили ову рањивост, имплементирајте је као испод. Ово је потребно да бисте исправили ПЦИ усаглашеност.

  • Идите у $ Веб_Сервер / цонф директоријум
  • Додајте следећу директиву и сачувајте хттпд.цонф

ФилеЕТаг Ноне

  • Поново покрените апацхе

Покрените Апацхе са не привилегованог налога

Задана инсталација ради као нико или демон. Кориштење засебног не привилегованог корисника за Апацхе је добро.

Идеја овде је заштитити друге сервисе који се покрећу у случају било каквих рупа у безбедности.

  • Направите корисника и групу под називом апацхе

# гроупадд апацхе
# усерадд –Г апацхе апацхе

  • Промените власништво инсталацијског именика апацхе на новоствореног не привилегованог корисника

# цховн –Р апацхе: апацхе / опт / апацхе

  •  Идите на $ Веб_Сервер / цонф
  •  Измените хттпд.цонф користећи ви
  •  Тражи корисника & Групна директива и промена као не привилеговани рачун апацхе

Кориснички апацхе
Гроуп апацхе

  •  Сачувајте хттпд.цонф
  •  Поново покрените Апацхе

греп за покретање хттп процеса и осигурајте да се покреће с корисником апацхе

# пс –еф | греп хттп

Требали бисте видети да се један процес покреће са роот-ом. То је зато што Апацхе преслушава порт 80 и мора се покренути са роот-ом.

Заштитите дозволу за бинарни и конфигурациони директориј

Подразумевано је дозвола за бинарну и конфигурациону везу 755 што значи да сваки корисник на серверу може да види конфигурацију. Можете да онемогућите другом кориснику да улази у фолдер цонф и бин.

  • Идите у $ Веб_Сервер директориј
  • Промените дозволу за мапу бин анд цонф

# цхмод -Р 750 кан

Заштита поставки система

У подразумеваној инсталацији корисници могу надјачати конфигурацију апацхеа помоћу .хтаццесс. Ако желите да спречите кориснике да мењају поставке вашег апацхе сервера, можете додати АлловОверриде у Ноне као што је приказано у наставку.

То се мора учинити на нивоу коријена.

  • Идите у $ Веб_Сервер / цонф директоријум
  •  Отворите хттпд.цонф користећи ви
  •  Потражите директоријум на нивоу корена

Опције -Индекес
АлловОверриде Ноне

  •  Сачувајте хттпд.цонф
  •  Поново покрените Апацхе

Методе захтева ХТТП-а

ХТТП 1.1 протокол подржава многе методе захтјева које можда нису потребне, а неке од њих имају потенцијални ризик.

Обично ће вам требати ГЕТ, ХЕАД, ПОСТ методе захтева у веб апликацији, које се могу конфигурисати у одговарајућој Директиви директорија.

Подразумевана подршка за конфигурацију ОПТИОНС, ГЕТ, ХЕАД, ПОСТ, ПУТ, ДЕЛЕТЕ, ТРАЦЕ, ЦОННЕЦТ метода у ХТТП 1.1 протоколу.

  •  Идите у $ Веб_Сервер / цонф директоријум
  •  Отворите хттпд.цонф користећи ви
  • Потражите Директоријум и додајте следеће

занијекати од свих

  • Поново покрените Апацхе

Онемогућите ХТТП захтев за праћење

Подразумевано је начин Траце омогућен на веб серверу Апацхе.

Ако је ово омогућено, може се омогућити напад преко праћења локације и потенцијално давање хакера могућности за крађу података о колачићима. Погледајмо како то изгледа у подразумеваној конфигурацији.

  •  Направите ИП телнет веб сервер са приступом за слушање
  •  Пошаљите ТРАЦЕ захтев као што је приказано у наставку

#телнет лоцалхост 80
Покушај 127.0.0.1…
Повезан је са лоцалхост-ом.
Знак за бекство је ‘^]’.
ТРАЦЕ / ХТТП / 1.1 Хост: тест
ХТТП / 1.1 200 ОК
Датум: Сат, 31. авг. 2013. 02:13:24 ГМТ
Сервер: Апацхе
Трансфер-Енцодинг: комадно
Тип садржаја: порука / хттп 20
ТРАЦЕ / ХТТП / 1.1
Домаћин: тест
0
Веза је затворена од стране страног домаћина.
#

Као што сте могли видети у горњем захтеву ТРАЦЕ, одговорио је на мој упит. Онемогућимо то и тестирамо.

  •  Идите у $ Веб_Сервер / цонф директоријум
  • Додајте следећу директиву и сачувајте хттпд.цонф

ТрацеЕнабле офф

  •  Поново покрените апацхе

Направите ИП телнет веб сервер са портовом за слушање и поднесите ТРАЦЕ захтев као што је приказано у наставку

#телнет лоцалхост 80
Покушај 127.0.0.1…
Повезан је са лоцалхост-ом.
Знак за бекство је ‘^]’.
ТРАЦЕ / ХТТП / 1.1 Хост: тест
ХТТП / 1.1 405 Метода није дозвољена
Датум: Сат, 31 Ауг 2013 02:18:27 ГМТ
Сервер: Апацхе Аллов: Цонтент-Ленгтх: 223Цонтент-Типе: тект / хтмл; цхарсет = исо-8859-1
405 Метода није дозвољена

Метод није дозвољен

Тражена метода ТРАЦЕ није дозвољена за УРЛ /.

Веза је затворена од стране страног домаћина.
#

Као што сте могли да видите у горњем захтеву ТРАЦЕ, мој захтев је блокирао ХТТП 405 методом није дозвољен.

Сада, овај веб сервер не дозвољава ТРАЦЕ захтев и помоћ у блокирању напада Цросс Сите Трацинг.

Поставите колачић са ХттпОнли и Сигурном заставицом

Можете ублажити већину најчешћих напада скривених скривених локација користећи ХттпОнли и Сигурну заставицу у колачићу. Без ХттпОнли и Сецуре, могуће је красти или манипулирати сесијом веб апликација и колачића, и то је опасно.

  •  Уверите се да је мод_хеадерс.со омогућен у вашем хттпд.цонф
  •  Идите у $ Веб_Сервер / цонф директоријум
  •  Додајте следећу директиву и сачувајте хттпд.цонф

Уређивање заглавља Сет-Цоокие ^ (. *) $ 1; ХттпОнли; Сецуре

  •  Поново покрените апацхе

Аттацк Цлицкјацкинга

Цлицкјацкинг је добро позната рањивост веб апликација.

  •  Уверите се да је мод_хеадерс.со омогућен у вашем хттпд.цонф
  •  Идите у $ Веб_Сервер / цонф директоријум
  •  Додајте следећу директиву и сачувајте хттпд.цонф

Заглавље увек додаје опције Кс-Фраме САМЕОРИГИН

  •  Поново покрените апацхе

Опције Кс-Фраме такође подржавају још две опције које сам овде објаснио.

Сервер Сиде Инцлуде

Сервер Сиде Инцлуде (ССИ) има ризик од повећања учитавања на серверу. Ако дијелите окружење и веб апликације са великим прометом, требали бисте размотрити онемогућавање ССИ додавањем упутства Укључи у опције.

ССИ напад омогућава експлоатацију веб апликације убацивањем скрипти у ХТМЛ странице или даљинским извршавањем кодова.

  • Идите у $ Веб_Сервер / цонф директоријум
  •  Отворите хттпд.цонф користећи ви
  •  Потражите Директоријум и додајте Укључи у Директиву о опцијама

Опције –Индекес -Укључује
Наручи дозволи, одбиј све дозволе

  • Поново покрените Апацхе

Напомена: ако у вашем окружењу имате више директива директорија, требали бисте размислити о томе да учините исто за све.

Кс-КССС заштита

Заштита од скривеног скрипта (КССС) може се заобићи у многим прегледачима. Можете заштитити ову заштиту за веб апликацију ако ју је корисник онемогућио. Ово користи већина огромних веб компанија као што су Фацебоок, Твиттер, Гоогле, итд.

  • Идите у $ Веб_Сервер / цонф директоријум
  • Отворите хттпд.цонф користећи ви и додајте следећи Хеадер директиву

Сет заглавља Кс-КССС-заштита "1; моде = блок"

  •  Поново покрените Апацхе

Као што видите, КССС-Протецтион се убризгава у заглавље одговора.

Онемогући ХТТП 1.0 протокол

Када говоримо о сигурности, требали бисмо заштитити колико можемо. Па зашто користимо старију ХТТП верзију протокола, пустимо их и њих?

ХТТП 1.0 има сигурносне слабости повезане са отмицом сесија. То можемо онемогућити употребом мод_реврите модула.

  • Обавезно учитајте мод_реврите модул у датотеку хттпд.цонф
  •  Омогућите РевритеЕнгине наредбу на следећи начин и додајте Реврите увјет да бисте дозволили само ХТТП 1.1

РевритеЕнгине Он
ПрепишиЦонд% {ТХЕ_РЕКУЕСТ}! ХТТП / 1.1 $
РевритеРуле. * – [Ф]

Конфигурација вредности тимеоут-а

Подразумевано, вредност истека Апацхе је 300 секунди, што може бити жртва спорог Лорис напада и ДоС-а. Да бисте то ублажили, можете да смањите вредност временског ограничења на можда 60 секунди.

  • Идите у $ Веб_Сервер / цонф директоријум
  • Отворите хттпд.цонф користећи ви
  •  Додајте следеће у хттпд.цонф

Тимеоут 60

ССЛ

Имати ССЛ је додатни ниво сигурности који додајете у Веб апликацију. Међутим, подразумевана конфигурација ССЛ доводи до одређених рањивости и требали бисте размотрити угађање тих конфигурација.

ССЛ кључ

Кршење ССЛ кључа је тешко, али није немогуће. То је само питање рачунарске снаге и времена.

Као што можда знате, помоћу ПЦ-а који је настао у 2009. години могао је пробити око 73 дана обрнути инжењер 512-битни кључ.

Дакле, што је већа дужина кључа, сложеније постаје разбијање ССЛ кључа. Већина џиновских веб компанија користи 2048 битни кључ, као ниже па зашто не бисмо?

  •  Оутлоок.цом
  •  Мицрософт.цом
  •   Ливе.цом
  •  Скипе.цом
  •  Аппле.цом
  •  Иахоо.цом
  •  Бинг.цом
  •  Хотмаил.цом
  •  Твиттер.цом

Можете користити ОпенССЛ за генерисање ЦСР-а са 2048 бит-ом као што је ниже.

опенссл рек -оут геекфларе.цср -невкеи рса: 2048 -нодес -кеиоут геекфларе.кеи

Генерише ЦСР који ћете морати да пошаљете на дипломирани орган да га потпишем. Када примите потписану датотеку сертификата, можете је додати у датотеку хттпд-ссл.цонф

ССЛЦертифицатеФиле # Цертификат потписан од стране власти
ССЛЦертифицатеЦхаинФиле # Потписник потписан од ауторитета
ССЛЦертифицатеКеиФиле #Кеи датотека коју сте генерисали изнад

  • Поново покрените Апацхе веб сервер и покушајте да приступите УРЛ адреси помоћу хттпс-а

ССЛ Шифра

ССЛ Ципхер је алгоритам за шифровање, који се користи као кључ између два рачунара путем Интернета. Шифрирање података је процес претварања обичног текста у тајне шифроване шифре.

Засновано је на конфигурацији ССЛ Ципхер вашег веб сервера и дешаваће се шифровање података. Зато је важно да конфигуришете ССЛ шифру која је јача и не рањива.

  • Идите у $ Веб_Сервер / цонф / ектра фолдер
  •  Измените ССЛЦипхерСуите директиву у хттпд-ссл.цонф као ниже да бисте прихватили само више алгоритама за шифровање

ССЛЦипхерСуите ХИГХ:! СРЕДЊИ:! АНУЛЛ:! МД5:! РЦ4

  •  Спремите конфигурацијску датотеку и поново покрените апацхе сервер

Напомена: Ако у вашем извештају за ревизију ССЛ-а имате много слабих шифри, можете их брзо одбити додавањем! у почетку.

Онемогући ССЛ в2 & в3

ССЛ в2 & в3 има много сигурносних пропуста, а ако радите на пробојном тесту или ПЦИ усаглашености, очекује се да затворите сигурносни налаз да бисте онемогућили ССЛ в2 / в3.

Свака ССЛ в2 / в3 комуникација може бити рањива на напад човека у средини који би могао да спречи варање или откривање података..

Уведимо апацхе веб сервер да прихвати само најновији ТЛС и одбије ССЛ в2 / в3 захтев за повезивање.

  • Идите у $ Веб_Сервер / цонф / ектра фолдер
  • Измените ССЛПротоцол директиву у хттпд-ссл.цонф као ниже да бисте прихватили само ТЛС 1.2+

ССЛПротоцол –АЛЛ + ТЛСв1.2

Након што завршите са ССЛ конфигурацијом, добра је идеја да тестирате веб апликацију помоћу мрежног ССЛ / ТЛС сертификата да бисте пронашли било какву грешку у конфигурацији..

Мод Сецурити

Мод Сецурити је заштитни зид веб апликација отвореног кода, који можете да користите са Апацхе.

Долази као модул који морате саставити и инсталирати. Ако не можете да приуштите заштитни зид за комерцијалне веб апликације, ово би био одличан избор да се то крене.

Да бисте обезбедили општу заштиту веб апликација, Основна правила користе следеће технике:

  • ХТТП заштита – откривање кршења ХТТП протокола и локално дефинисане политике употребе
  • Претраге на црној листи у стварном времену – користе ИП углед треће стране
  • Веб заснована детекција злонамјерног софтвера – препознаје злонамерни веб садржај путем провере помоћу Гоогле АПИ-ја за сигурно прегледавање.
  • ХТТП ускраћивање заштите услуга – одбрана од поплаве ХТТП-а и спорих ХТТП ДоС напада.
  • Честа заштита веб напада – откривање уобичајеног напада безбедности веб апликација
  • Аутоматска детекција – откривање ботова, папуча, скенера и других злонамерних површинских активности
  • Интеграција са АВ скенирањем за отпрему датотека – идентификује злонамерне датотеке пренесене преко веб апликације.
  • Праћење осетљивих података – прати употребу кредитне картице и блокира цурење.
  • Тројанска заштита – Откривање приступа тројанским коњима.
  • Идентификација недостатака у апликацији – упозорења о погрешним конфигурацијама апликације.
  • Откривање и скривање грешака – прикривање порука о грешкама које шаље сервер.

Преузимање & Инсталација

Сљедећи предувјети морају бити инсталирани на сервер на којем желите користити Мод Сецурити с Апацхеом. Ако било који од ових не постоји, Мод Сецурити компилација неће успети. За инсталирање ових пакета можете користити иум инсталл на Линуку или Центос-у.

  • апацхе 2.к или новији
  • пакет либпцре
  •  либкмл2 пакет
  • либлуа пакет
  • либцурл пакет
  •  либапр и либапр-утил пакет
  •  мод_уникуе_ид модул у пакету са Апацхе веб сервером

Сада преузимамо најновију стабилну верзију Мод Сецурити 2.7.5 са овде

  • Пренесите преузету датотеку у / опт / апацхе
  • Екстракт модсецурити-апацхе_2.7.5.тар.гз

# гунзип –ц модсецурити-апацхе_2.7.5.тар.гз | тар квф –

  • Идите на извучену фасциклу модсецурити-апацхе_2.7.5

# цд модсецурити-апацхе_2.7.5

  • Покрените конфигурацијску скрипту укључујући апкс стазу до постојећег Апацхе-а

# ./цонфигуре –витх-апкс = / опт / апацхе / бин / апкс

  • Саставити & инсталирати са маке скриптом

# направити
# направи инсталацију

  • Једном када је инсталација завршена, видјет ћете мод_сецурити2.со у фасцикли модула под / опт / апацхе

Ово се закључује, инсталирали сте Мод безбедносни модул на постојећи Апацхе веб сервер.

Конфигурација

Да бисмо користили Мод заштитну функцију са Апацхеом, морамо да учитамо мод мод безбедности у хттпд.цонф. Мод_уникуе_ид модул је предувјет за Мод Мод Сецурити.

Овај модул обезбеђује променљиву околину са јединственим идентификатором за сваки захтев, који прати и користи Мод Сецурити.

  • Додајте следећу линију да бисте учитали модул за Мод Сецурити у хттпд.цонф и сачували конфигурациону датотеку

ЛоадМодуле модуле_ид_модуле / мод_уникуе_ид.со
ЛоадМодуле сецурити2_модуле модуле / мод_сецурити2.со

  •  Поново покрените апацхе веб сервер

Мод Сецурити је сада инсталиран!

Следећа ствар коју треба да урадите је да инсталирате основно правило Мод Сецурити да бисте у потпуности искористили његове карактеристике.

Најновије основно правило можете преузети са линка, који је бесплатан. хттпс://гитхуб.цом/СпидерЛабс/овасп-модсецурити-црс/зипбалл/мастер

  • Копирајте преузето зип у основно правило у / опт / апацхе / цонф директоријум
  • Распакирајте датотеку са основним правилом
  • Можда желите да преименујете мапу у нешто кратко и лако памтљиво. У овом примеру преименућу у црс.
  • Идите у мапу црс и преименујте модсецурити_црс10_сетуп.цонф.екампле у модсецурити_црс10_сетуп.цонф

Омогућимо овим правилима да раде на Апацхе веб серверу.

  •  Додајте следеће у хттпд.цонф

Укључите цонф / црс / модсецурити_црс_10_сетуп.цонфИнцлуде цонф / црс / басе_рулес / *. Цонф

У горњој конфигурацији учитавамо главну конфигурациону датотеку Мод Сецурити модсецурити_црс_10_сетуп.цонф и основна правила басе_рулес / *. Цонф која пружа Мод Сецурити Цоре Правила за заштиту веб апликација.

  •  Поново покрените апацхе веб сервер

Успешно сте конфигурисали Мод Сецурити са Апацхе-ом!

Добро урађено. Сада је веб сервер Апацхе заштићен заштитним зидом Мод Сецурити веб апликација.

Почетак

Започнимо са неким од критичних конфигурација у Мод Сецурити-у да се очврсну & сигурне веб апликације.

У овом одељку извршит ћемо све измјене конфигурације у /опт/апацхе/цонф/црс/модсецурити_црс_10_сетуп.цонф.

У овом одељку ћемо, на пример, поменути /опт/апацхе/цонф/црс/модсецурити_црс_10_сетуп.цонф као сетуп.цонф.

Важно је да схватите која су правила ОВАСП обезбеђена бесплатно. Постоје две врсте правила која пружа ОВАСП.

Основна правила – ова су правила строго тестирана и вјероватно је однос лажних аларма мањи.

Експериментална правила – ова правила су у експерименталне сврхе и можда имате висок лажни аларм. Важно је конфигурирати, тестирати и имплементирати у УАТ прије употребе у производном окружењу.

Необвезна правила – ова необвезна правила можда нису прикладна за целокупно окружење. На основу ваших захтева можете их користити.

Ако тражите ЦСРФ, Праћење корисника, отмице сесија, итд., Размислите о употреби опционалних правила. Имамо основна, опциона и експериментална правила након вађења преузете црс зип датотеке са странице за преузимање ОВАСП.

Ова датотека за конфигурацију правила доступна је у фолдеру црс / басе_рулес, црс / оптионал_рулес и црс / експериментални_рулес. Упознајмо се са неким основним правилима.

  • модсецурити_црс_20_протоцол_виолатионс.цонф: Ово правило штити од рањивости протокола попут поделе одговора, кријумчарења захтева, коришћењем не дозвољеног протокола (ХТТП 1.0).
  • модсецурити_црс_21_протоцол_аномалиес.цонф: Ово је заштита од захтева, који недостаје са Хост, Аццепт, Усер-Агентом у заглављу.
  • модсецурити_црс_23_рекуест_лимитс.цонф: Ово правило зависи од специфичне апликације као што су величина захтева, величина учитавања, дужина параметра итд..
  • модсецурити_црс_30_хттп_полици.цонф: Ово је за конфигурисање и заштиту дозвољених или забрањених метода попут ЦОННЕЦТ, ТРАЦЕ, ПУТ, ДЕЛЕТЕ итд..
  • модсецурити_црс_35_бад_роботс.цонф: Откривање злонамерних робота
  • модсецурити_црс_40_генериц_аттацкс.цонф: Ово је заштита од убризгавања наредби у ОС, удаљеног укључивања датотека итд..
  • модсецурити_црс_41_скл_ињецтион_аттацкс.цонф: Ово правило за заштиту СКЛ-а и слепог СКЛ захтева за убризгавање.
  • модсецурити_црс_41_ксс_аттацкс.цонф: Заштита од захтева за скрипту на више места.
  • модсецурити_црс_42_тигхт_сецурити.цонф: Детекција и заштита пролаза директорија.
  • модсецурити_црс_45_тројанс.цонф: Ово правило за откривање генеричког излаза управљања датотекама, учитавање ХТТП позадинске странице, познати потпис.
  • модсецурити_црс_47_цоммон_екцептионс.цонф: Користи се као механизам изузетака за уклањање уобичајених лажних позитивних позитивних вредности на које се може наићи на усисавање као Апацхе интерна лутричка веза, ССЛ пингер итд..

Логгинг

Записивање података је једна од првих ствари које сте конфигурисали тако да можете да креирате дневнике за оно што Мод Мод Сецурити ради. Доступне су две врсте сечења; Дебуг & Дневник ревизије.

Дневник грешке: ово је да дуплира Апацхе грешку, поруке упозорења и обавештења из дневника грешака.

Дневник ревизије: ово је за писање евиденција трансакција које су обележене Мод Сигладним правилом Мод Сецурити вам даје флексибилност у подешавању ревизије, исправке грешака или обе евиденције.

По подразумеваној конфигурацији писат ће оба дневника. Међутим, можете се променити на основу вашег захтева. Дневник се контролише у Директиви СецДефаултАцтион. Погледајмо задану конфигурацију записивања у сетуп.цонф

СецДефаултАцтион „фаза: 1, одбаци, забележи“

Да бисте регистровали исправљање грешака, дневник ревизије – користите „дневник“ Да бисте евидентирали само дневник ревизије – користите „нолог, аудитлог“ Да пријавите само дневник грешака – користите „лог, ноаудитлог“ Можете одредити локацију дневника ревизије коју треба да похрањујете и коју контролише СецАудитЛог директива.

Напишимо ревизију пријавите се у /опт/апацхе/логс/модсец_аудит.лог додавањем као што је приказано испод.

  • Додајте СецАудитЛог директиву у сетуп.цонф и поново покрените Апацхе Веб Сервер

СецАудитЛог /опт/апацхе/логс/модсец_аудит.лог

  • Након поновног покретања, требали бисте видети модсец_аудит.лог како се генерише

Омогући Руле Енгине

Подразумевано је Правило мотора искључено, што значи да ако не омогућите Руле Енгине не користите све предности Мод Сецурити-а.

Правило за омогућавање или онемогућавање мотора контролише СецРулеЕнгине директива.

  • Додајте СецРулеЕнгине директиву у сетуп.цонф и поново покрените Апацхе Веб Сервер

СецРулеЕнгине Он

Постоје три вредности за СецРулеЕнгине:

  • Он – да омогућите Руле Енгине
  • Искључено – да бисте онемогућили Руле Енгине
  • ДетецтионОнли – омогућите Руле Енгине, али никада не извршава никакве радње попут блокирања, одбијања, испуштања, допуштања, проки или преусмеравања

Једном када је Руле Енгине укључен – Мод Сецурити је спреман да се заштити неким од уобичајених врста напада.

Уобичајена заштита од напада

Сада је веб сервер спреман да се заштити уобичајеним типовима напада као што су КССС, СКЛ убризгавање, кршење протокола итд. Пошто смо инсталирали Цоре Руле и укључили Руле Енгине. Испитајмо неколико њих.

КССС Аттацк

  •  Отворите Фирефок и приступите својој апликацији, а ознаку ставите на крај или УРЛ
  •  Пратите модсец_аудит.лог у мапи апацхе / логс

Запазићете захтев Мод Блоцк блокова јер садржи ознаку која је корен напада КССС.

Аттацк у пролазу директорија: – Напади кроз пролаз директорија могу створити велику штету користећи предности ове рањивости и датотеке повезане са системом приступа. Ек – / етц / пассвд, .хтаццесс, итд.

  •  Отворите Фирефок и приступите својој апликацији преласком директорија
  •  Пратите модсец_аудит.лог у мапи апацхе / логс

хттп: // лоцалхост /? ../…/боот

  • Запазићете захтев Мод Мод Сецурити Блоцкс јер садржи пресјек директорија.

Промените банер сервера

Раније у овом водичу научили сте како да уклоните Апацхе и врсту ОС, помоћ верзије СерверТокенс директиве.

Идемо корак испред, шта са задржавањем имена сервера шта год желите? Могуће је са СецСерверСигнатуре директивом у Мод Сецурити-у. Видите да је занимљиво.

Напомена: да бисте користили Мод Сецурити за манипулацију баннерским банером из заглавља, морате поставити СерверТокесн на Фулл у хттпд.цонф веб сервера Апацхе.

  • Додајте СецСерверСигнатуре директиву са жељеним именом сервера у сетуп.цонф и поново покрените Апацхе Веб Сервер

СецСерверСигнатуре ИоурСерверНаме

Нпр:

[/ опт / апацхе / цонф / црс] #греп СецСервер модсецурити_црс_10_сетуп.цонф
СецСерверСигнатуре геекфларе.цом
[/ опт / апацхе / цонф / црс]

Општа конфигурација

Погледајмо неке од општих конфигурација као најбољу праксу.

Конфигуришите Листен

Када на једном серверу имате више интерфејса и ИП адреса, препоручује се конфигурисање директиве о слушању са апсолутним ИП и Порт бројем.

Када оставите конфигурацију апацхе-а да слуша на свим ИП-овима са неким бројем порта, то може створити проблем у прослеђивању ХТТП захтева на неки други веб сервер. То је сасвим уобичајено у заједничком окружењу.

  • Конфигуришите Директиву о слушању у хттпд.цонф са апсолутним ИП и портом као доњи приказан пример

Слушајте 10.10.10.1:80

Приступ евиденцији

Важно је да правилно конфигуришете евиденцију приступа на свом веб серверу. Неки од важних параметара које треба забиљежити у дневнику било би вријеме потребно за уручење захтјева, СЕССИОН ИД.

Подразумевано, Апацхе није конфигуриран за снимање ових података. Конфигуришете их ручно на следећи начин.

  • Да бисте снимили време потребно за послуживање захтева и СЕССИОН ИД у евиденцији приступа
  •  Додајте% Т & % сессионИД у хттпд.цонф под ЛогФормат директивом

ЛогФормат "% х% л% у% т "% {сессионИД} Ц" "% р" %>с% б% Т" заједнички

Можете се упутити хттп://хттпд.апацхе.орг/доцс/2.2/мод/мод_лог_цонфиг.хтмл за потпуну листу параметара подржаних у ЛогФормат директиви на Апацхе Веб Серверу.

Онемогући Учитавање нежељених модула

Ако сте саставили и инсталирали све модуле, онда постоји велика вероватноћа да ћете у Апацхе имати много модула који можда неће бити потребни.

Најбоља пракса је да конфигуришете Апацхе са потребним модулима у вашим веб апликацијама. Следећи модули имају бриге о безбедности, а могли бисте бити заинтересовани да се онемогући на хттпд.цонф веб сервера Апацхе.

ВебДАВ (Веб-басед Дистрибутед Аутхоринг анд Версионинг) Овај модул омогућава удаљеним клијентима да манипулирају датотекама на серверу и подвргавају се различитим нападима ускраћивања услуге. Да бисте онемогућили коментар који следи у хттпд.цонф

#ЛоадМодуле дав_модуле модуле / мод_дав.со
#ЛоадМодуле дав_фс_модуле модуле / мод_дав_фс.со
#Укључите цонф / ектра / хттпд-дав.цонф

Инфо модул Мод_инфо модул може процурити осјетљиве информације користећи .хтаццесс након што се овај модул учита. Да бисте онемогућили коментар који следи у хттпд.цонф

#ЛоадМодуле инфо_модуле модуле / мод_инфо.со

Референца: Ово не би било могуће без упутства са следеће везе:

То је била нека од најбољих пракси које можете користити да осигурате свој Апацхе веб сервер.

Ако сте нови на Апацхе ХТТП-у, препоручио бих вам узимање курс администрације Апацхе ХТТП.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map