Apache vefþjóns herða og öryggisleiðbeiningar

Gagnleg leiðarvísir til að tryggja og herða Apache HTTP netþjón.


Vefþjónninn er lykilatriði í forritum sem tengjast vefnum. Apache vefþjónn er oft settur á jaðar netsins og verður því ein viðkvæmasta þjónustan sem ráðist er á.

Að hafa sjálfgefnar stillingar veita mikið af viðkvæmum upplýsingum sem geta hjálpað tölvusnápur að búa sig undir árásina á forritin. Meirihluti árása á vefforrit eru í gegnum XSS, upplýsingaleka, fundarstjórnun og SQL stunguárásir sem eru vegna veikrar forritunarkóða og bilun í að hreinsa innviði vefumsókna.

Áhugaverðar rannsóknir Jákvæð tækni kemur í ljós, 52% af skönnuðu forritinu voru með miklar varnarleysi.

Í þessari grein mun ég tala um nokkrar af bestu starfsháttunum til að tryggja Apache HTTP netþjón á Linux vettvang.

Eftirfarandi eru prófaðar á Apache 2.4.x útgáfu.

  • Þetta gerir ráð fyrir að þú hafir sett upp Apache á UNIX vettvang. Ef ekki, geturðu farið í gegnum uppsetningarhandbókina.
  • Ég mun kalla Apache uppsetningarskrána / opt / apache sem $ Web_Server í þessari handbók.
  • Þér er bent á að taka öryggisafrit af núverandi uppsetningarskrá fyrir allar breytingar.

Áhorfendur

Þetta er hannað fyrir stjórnendur Middleware, stuðnings forrits, kerfisgreiningaraðila eða einhvern sem vinnur eða fús til að læra herða & Leiðbeiningar um öryggi.

Sanngjörn þekking á Apache vefþjóninum & UNIX skipun er skylda.

Skýringar

Þú þarft verkfæri til að skoða HTTP hausa til að staðfesta framkvæmdina. Það eru tvær leiðir til að gera þetta.

  1. Notaðu innbyggð verkfæri vafra til að skoða HTTP hausana. Venjulega er það undir flipanum Network
  2. Notaðu tól á netinu haus afritunarforrits fyrir haus

Fjarlægðu borðaútgáfu borða

Ég myndi segja að þetta sé eitt af fyrstu atriðunum sem þarf að hafa í huga þar sem þú vilt ekki afhjúpa hvaða vefþjónsútgáfu þú notar. Að afhjúpa útgáfu þýðir að þú ert að hjálpa tölvuþrjótum við að hraða könnunarferlinu.

Sjálfgefna stillingin mun afhjúpa Apache útgáfu og gerð OS eins og sýnt er hér að neðan.

  • Farðu í $ Web_Server / conf möppuna
  • Breyttu httpd.conf með því að nota vi ritstjórann
  • Bættu við eftirfarandi tilskipun og vistaðu httpd.conf

ServerTokens Prod
Slökkt á netþjóni

  • Endurræstu apache

ServerSignature mun fjarlægja upplýsingar um útgáfuna af síðunni sem Apache býr til.

ServerTokens mun breyta haus aðeins í framleiðslu, þ.e.a.s. Apache

Eins og þú sérð hér að neðan, útgáfa & Upplýsingar um stýrikerfið eru horfnar.

Slökkva á skrá yfir vafra

Slökkva á skráaskráningu í vafra, svo að gesturinn sér ekki hvaða skrá og möppur þú hefur undir rót eða undirmöppu.

Við skulum prófa hvernig lítur það út í sjálfgefnum stillingum.

  • Farðu í $ Web_Server / htdocs skrá
  • Búðu til möppu og nokkrar skrár í henni

# mkdir próf
# snertu hæ
# snertu halló

Við skulum reyna að fá aðgang að Apache með http: // localhost / próf

Eins og þú gætir séð það kemur í ljós hvaða allar skrár / möppur þú ert með og ég er viss um að þú vilt ekki afhjúpa það.

  • Farðu í $ Web_Server / conf skrá
  •  Opnaðu httpd.conf með því að nota vi
  •  Leitaðu að skráasafni og breyttu Valkostatilskipun í Engar eða – Vísitölur

Valkostir -Vísitölur

(eða)

Valkostir Engir

  • Endurræstu Apache

Athugið: ef þú ert með margar skráartilskipanir í umhverfi þínu ættirðu að íhuga að gera það sama fyrir alla.

Við skulum reyna að fá aðgang að Apache með http: // localhost / próf

Eins og þú sérð birtir það bannaða villu í stað þess að sýna skráningu prófmöppu.

Etag

Það gerir ytri árásarmönnum kleift að fá viðkvæmar upplýsingar eins og inode númer, multipart MIME mörk og barnaferli í gegnum Etag haus.

Til að koma í veg fyrir þessa varnarleysi skulum við útfæra það eins og hér að neðan. Þetta er nauðsynlegt til að laga fyrir PCI samræmi.

  • Farðu í $ Web_Server / conf skrá
  • Bættu við eftirfarandi tilskipun og vistaðu httpd.conf

FileETag Enginn

  • Endurræstu apache

Keyra Apache frá reikningi sem ekki hefur réttindi

Sjálfgefin uppsetning keyrir sem enginn eða púkinn. Það er gott að nota sérstakan notanda sem ekki hefur réttindi.

Hugmyndin hér er að vernda aðra þjónustu sem er í gangi ef um öryggisgat er að ræða.

  • Búðu til notanda og hóp sem kallast apache

# groupadd apache
# useradd –G apache apache

  • Breyta eignarhaldi apache uppsetningarskrár í nýstofnaðan notanda sem ekki hefur réttindi

# chown –R apache: apache / opt / apache

  •  Farðu í $ Web_Server / conf
  •  Breyta httpd.conf með því að nota vi
  •  Leitaðu að notanda & Hóptilskipun og breyttu sem ekki forréttinda reikningsskilaboð

Notandi apache
Hópapache

  •  Vistaðu httpd.conf
  •  Endurræstu Apache

grep til að keyra http ferli og tryggja að það gangi með apache notanda

# ps –ef | grep http

Þú ættir að sjá að eitt ferli er í gangi með rót. Það er vegna þess að Apache er að hlusta á höfn 80 og það verður að byrja með rót.

Verndaðu leyfi tvöfaldra og stillinga skráasafna

Sjálfgefið er að leyfi fyrir tvöföldum og stillingum sé 755 sem þýðir að allir notendur á netþjóninum geta skoðað stillingarnar. Þú getur leyft öðrum notanda að komast í conf og bin möppuna.

  • Farðu í $ Web_Server skrá
  • Breyttu leyfi fyrir möppu bin og conf

# chmod –R 750 bin conf

Vörn fyrir kerfisstillingar

Í sjálfgefinni uppsetningu geta notendur hnekkt stillingum apache með .htaccess. Ef þú vilt hindra notendur í að breyta stillingum apache netþjónsins geturðu bætt AllowOverride við Enginn eins og sýnt er hér að neðan.

Þetta verður að gera á rótarstigi.

  • Farðu í $ Web_Server / conf skrá
  •  Opnaðu httpd.conf með því að nota vi
  •  Leitaðu að skráasafni á rótarstigi

Valkostir -Vísitölur
AllowOrride Enginn

  •  Vistaðu httpd.conf
  •  Endurræstu Apache

Aðferðir við beiðni HTTP

HTTP 1.1 samskiptareglur styðja margar beiðniaðferðir sem kunna ekki að vera nauðsynlegar og sumar þeirra eru með mögulega áhættu.

Venjulega gætir þú þurft GET, HEAD, POST beiðni aðferðir í vefforriti sem hægt er að stilla í viðkomandi skráartilskipun.

Sjálfgefinn stuðningur við stillingar OPTIONS, GET, HEAD, POST, PUT, DELETE, TRACE, CONNECT aðferð í HTTP 1.1 samskiptareglu.

  •  Farðu í $ Web_Server / conf skrá
  •  Opnaðu httpd.conf með því að nota vi
  • Leitaðu að skráasafni og bættu við eftirfarandi

neita frá öllu

  • Endurræstu Apache

Slökkva á rekja HTTP beiðni

Sjálfgefið er að rekja aðferð á Apache vefþjóninum.

Með þessu virkt er hægt að rekja árásir á vefsvæði og hugsanlega gefa tölvusnápur kost á að stela upplýsingum um smákökur. Við skulum sjá hvernig það lítur út í sjálfgefnum stillingum.

  •  Gerðu IP netnetþjónn með hlustunargátt
  •  Gerðu TRACE beiðni eins og sýnt er hér að neðan

#telnet localhost 80
Reynt 127.0.0.1…
Tengt við localhost.
Flóttapersóna er ‘^]’.
TRACE / HTTP / 1.1 gestgjafi: próf
HTTP / 1.1 200 Í lagi
Dagsetning: lau, 31. ágúst 2013 02:13:24 GMT
Miðlarinn: Apache
Flytja-kóðun: klumpur
Innihaldstegund: skilaboð / http 20
TRACE / HTTP / 1.1
Gestgjafi: próf
0
Tengingu lokað af erlendum gestgjafa.
#

Eins og þú gætir séð í TRACE beiðninni hér að ofan hefur það svarað fyrirspurn minni. Við skulum gera það óvirkt og prófa það.

  •  Farðu í $ Web_Server / conf skrá
  • Bættu við eftirfarandi tilskipun og vistaðu httpd.conf

TraceEnable slökkt

  •  Endurræstu apache

Gerðu IP netnetþjóninn með hlustunargátt og sendu TRACE beiðni eins og sýnt er hér að neðan

#telnet localhost 80
Reynt 127.0.0.1…
Tengt við localhost.
Flóttapersóna er ‘^]’.
TRACE / HTTP / 1.1 gestgjafi: próf
HTTP / 1.1 405 Aðferðin er ekki leyfð
Dagsetning: lau, 31. ágú. 2013 02:18:27 GMT
Framreiðslumaður: Apache Leyfa: Innihaldslengd: 223 Innihald-gerð: text / html; táknmynd = ísó-8859-1
405 Aðferð er ekki leyfð

Aðferð er ekki leyfð

Umbeðin aðferð TRACE er ekki leyfð fyrir slóðina /.

Tengingu lokað af erlendum gestgjafa.
#

Eins og þú sérð hér að ofan TRACE beiðni þá hefur það lokað fyrir beiðni mína með HTTP 405 aðferðinni ekki leyfð.

Nú, þessi vefþjónn leyfir ekki TRACE beiðni og hjálp við að hindra árás á vefsvæði.

Settu kex með HttpOnly og Secure flag

Þú getur dregið úr flestum algengum Cross Site Scripting árásum með HttpOnly og Secure fána í smáköku. Án þess að hafa HttpOnly og Secure er mögulegt að stela eða vinna með vefforritun og smákökur og það er hættulegt.

  •  Gakktu úr skugga um að mod_headers.so sé virkt á httpd.conf
  •  Farðu í $ Web_Server / conf skrá
  •  Bættu við eftirfarandi tilskipun og vistaðu httpd.conf

Haushaus breyta Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure

  •  Endurræstu apache

Clickjacking Attack

Clickjacking er vel þekkt varnarleysi á vefforritinu.

  •  Gakktu úr skugga um að mod_headers.so sé virkt á httpd.conf
  •  Farðu í $ Web_Server / conf skrá
  •  Bættu við eftirfarandi tilskipun og vistaðu httpd.conf

Fyrirsögn bæta alltaf við X-Frame-Options SAMEORIGIN

  •  Endurræstu apache

X-Frame-Options styður einnig tvo valkosti í viðbót sem ég útskýrði hér.

Miðlar hliðar með

Server Side Include (SSI) er hætt við að auka álag á netþjóninn. Ef þú hefur deilt umhverfi og þungum umferðarvef forritum ættir þú að íhuga að slökkva á SSI með því að bæta við Includes í Options tilskipun.

SSI árás gerir kleift að nýta vefforrit með því að sprauta forskriftum á HTML síður eða keyra lítillega.

  • Farðu í $ Web_Server / conf skrá
  •  Opnaðu httpd.conf með því að nota vi
  •  Leitaðu að skráasafni og bættu við Includes í Options tilskipun

Valkostir –Tryggingar – Innifalið
Panta leyfi, hafna öllu frá öllu

  • Endurræstu Apache

Athugið: ef þú ert með margar skráartilskipanir í umhverfi þínu ættirðu að íhuga að gera það sama fyrir alla.

X-XSS Vörn

XSS (Cross Site Scripting) vernd er hægt að komast framhjá í mörgum vöfrum. Þú gætir beitt þessari vörn fyrir vefforrit ef notandinn var slökkt á henni. Þetta er notað af meirihluta risavaxinna veffyrirtækja eins og Facebook, Twitter, Google osfrv.

  • Farðu í $ Web_Server / conf skrá
  • Opnaðu httpd.conf með því að nota vi og bættu við eftirfarandi tilskipun um haus

Hausstilla X-XSS-Vörn "1; ham = loka"

  •  Endurræstu Apache

Eins og þú sérð er XSS-vernd sprautað í svörunarhausnum.

Slökkva á HTTP 1.0-samskiptareglum

Þegar við tölum um öryggi, ættum við að vernda eins mikið og við getum. Svo hvers vegna notum við eldri HTTP útgáfu af samskiptareglunum, við skulum gera þá líka óvirka?

HTTP 1.0 hefur veikleika í öryggismálum sem tengjast ræfingu fundarins. Við getum slökkt á þessu með því að nota mod_rewrite eininguna.

  • Gakktu úr skugga um að hlaða mod_rewrite mát í httpd.conf skrá
  •  Virkja tilskipun RewriteEngine sem eftirfarandi og bæta við umritunarskilyrðum til að leyfa aðeins HTTP 1.1

Umrita vél á
RewriteCond% {THE_REQUEST}! HTTP / 1.1 $
RewriteRule. * – [F]

Stilling tímamörk

Sjálfgefið er að Apache tímamörk séu 300 sekúndur, sem getur verið fórnarlamb Slow Loris árásar og DoS. Til að draga úr þessu geturðu lækkað tímagildið í 60 sekúndur.

  • Farðu í $ Web_Server / conf skrá
  • Opnaðu httpd.conf með því að nota vi
  •  Bættu við eftirfarandi á httpd.conf

Tímalengd 60

SSL

Að hafa SSL er viðbótaröryggislag sem þú bætir við í Vefforrit. Hins vegar, sjálfgefið SSL stillingar leiðir til ákveðinna veikleika, og þú ættir að íhuga að fínstilla þessar stillingar.

SSL lykill

Að brjóta SSL lykil er erfitt, en ekki ómögulegt. Þetta er bara spurning um reikniskraft og tíma.

Eins og þú gætir vitað, með því að nota tölvu á 2009 tímabili sem sprungur í burtu í um 73 daga sem þú getur bakverkfræðingur 512 bita lykill.

Svo því hærri lykillengd sem þú hefur, því flóknara verður það að brjóta SSL lykilinn. Meirihluti risavaxinna netfyrirtækja notar 2048 bita lykil eins og hér að neðan svo hvers vegna gerum við það ekki?

  •  Outlook.com
  •  Microsoft.com
  •   Live.com
  •  Skype.com
  •  Apple.com
  •  Yahoo.com
  •  Bing.com
  •  Hotmail.com
  •  Twitter.com

Þú getur notað OpenSSL til að búa til CSR með 2048 bita eins og hér að neðan.

openssl req -out geekflare.csr -newkey rsa: 2048 -nodes -keyout geekflare.key

Það mun búa til CSR sem þú þarft að senda til vottorðsheimild að skrifa undir það. Þegar þú hefur fengið áritaða skírteinisskrána geturðu bætt þeim við í httpd-ssl.conf skránni

SSLCertificateFile # Certification undirritað af yfirvaldi
SSLCertificateChainFile #Certificate signer gefið með yfirvaldi
SSLCertificateKeyFile #Key skrá sem þú bjóst til hér að ofan

  • Endurræstu Apache vefþjóninn og reyndu að fá aðgang að slóðinni með https

SSL dulmál

SSL dulmál er dulkóðunaralgrími sem er notaður sem lykill milli tveggja tölvna í gegnum internetið. Gagnakóðun er aðferð til að umbreyta texta í leynilega dulkóðaða kóða.

Það er byggt á SSL dulmál stillingar vefþjónsins þinnar. Dulkóðunin mun eiga sér stað. Svo það er mikilvægt að stilla SSL dulmál, sem er sterkara og ekki viðkvæmt.

  • Farðu í $ Web_Server / conf / extra möppu
  •  Breyta SSLCipherSuite tilskipun í httpd-ssl.conf eins og hér að neðan til að samþykkja aðeins hærri dulkóðunaralgrit

SSLCipherSuite HIGH:! MEDIUM:! ANULL:! MD5:! RC4

  •  Vistaðu stillingaskrána og endurræstu apache netþjóninn

Athugasemd: ef þú ert með marga veika dulmál í SSL endurskoðunarskýrslunni þinni, geturðu fljótt hafnað því að bæta við! í upphafi.

Slökkva á SSL v2 & v3

SSL v2 & v3 hefur marga öryggisgalla og ef þú ert að vinna að skarpskyggni próf eða PCI samræmi, þá er gert ráð fyrir að þú lokir öryggisgögnum til að slökkva á SSL v2 / v3.

Öll SSL v2 / v3 samskipti geta verið berskjölduð fyrir árás Man-in-the-Middle sem gæti leyft fals eða gögnum gagna.

Við skulum útfæra apache vefþjóninn til að samþykkja aðeins nýjustu TLS og hafna SSL v2 / v3 tengingarbeiðni.

  • Farðu í $ Web_Server / conf / extra möppu
  • Breyttu SSLProtocol tilskipun á httpd-ssl.conf eins og hér að neðan til að samþykkja aðeins TLS 1.2+

SSLProtocol –ALL + TLSv1.2

Þegar þú ert búinn með SSL stillingar er það góð hugmynd að prófa vefforritið þitt með SSL / TLS vottorðatólinu á netinu til að finna allar villur á stillingum.

Undirbúningur öryggi

Mod Security er opinn hugbúnaður Firewall fyrir vefforrit sem þú getur notað með Apache.

Það kemur sem eining sem þú þarft að setja saman og setja upp. Ef þú hefur ekki efni á viðskiptalegum eldveggi í atvinnuskyni væri þetta frábært val að fara í það.

Til að veita almenna vefforritavörn notar grunnreglurnar eftirfarandi tækni:

  • HTTP vernd – uppgötva brot á HTTP samskiptareglum og notkunarstefnu sem er skilgreind á staðnum
  • Rauntíma leit á svartan lista – notar IP-orðstír þriðja aðila
  • Greining á skaðlegum villum á vefnum – auðkennir skaðlegt vefefni með ávísun gegn API fyrir örugga vafra Google.
  • HTTP neitun um þjónustuvernd – vörn gegn HTTP flóðum og hægum HTTP DoS árásum.
  • Algeng vernd gegn vefárásum – uppgötva algeng öryggisárás á vefforritum
  • Sjálfvirkni uppgötvun – Uppgötva vélmenni, skrið, skanna og aðra skaðlega yfirborðsvirkni
  • Samþætting við AV skönnun fyrir skráarupphleðslur – auðkennir skaðlegar skrár sem hlaðið er upp í gegnum vefforritið.
  • Rekja viðkvæm gögn – Fylgist með kreditkortanotkun og hindrar leka.
  • Tróverja vernd – Að finna aðgang að hestum Tróverja.
  • Auðkenning á göllum forrita – viðvaranir við rangar stillingar forrita.
  • Villa uppgötvun og felur – Að dulbúa villuboð send af netþjóninum.

Niðurhal & Uppsetning

Eftirfarandi forsendur verða að vera uppsettar á netþjóninum þar sem þú vilt nota Mod Security með Apache. Ef eitthvað af þessu er ekki til þá mun samantekt Mod Security mistakast. Þú getur notað yum install á Linux eða Centos til að setja þessa pakka upp.

  • apache 2.x eða hærra
  • libpcre pakki
  •  libxml2 pakki
  • liblua pakki
  • libcurl pakki
  •  libapr og libapr-util pakki
  •  mod_unique_id mát búnt með Apache vefþjóninum

Við skulum hlaða niður nýjustu stöðugu útgáfunni af Mod Security 2.7.5 frá hér

  • Flytja skrá sem er hlaðið niður til / opt / apache
  • Taktu modsecurity-apache_2.7.5.tar.gz

# gunzip –c modsecurity-apache_2.7.5.tar.gz | tjöru xvf –

  • Farðu í modsecurity-apache_2.7.5 útdráttarmöppu

# cd modsecurity-apache_2.7.5

  • Keyra stilla handritið þ.mt apxs slóð til núverandi Apache

# ./stilla –mith-apxs = / opt / apache / bin / apxs

  • Safna saman & setja upp með gera handrit

# gera
# gera setja upp

  • Þegar uppsetningunni er lokið myndiðu sjá mod_security2.so í möppu eininga undir / opt / apache

Nú lýkur þessu að þú hefur sett upp Mod Security mát á Apache vefþjóninum.

Stillingar

Til að nota Mod öryggisaðgerð með Apache verðum við að hlaða mod öryggis mát í httpd.conf. Mod_unique_id einingin er forsenda fyrir öryggi unga fólksins.

Þessi eining veitir umhverfisbreytu með einstakt auðkenni fyrir hverja beiðni, sem er rakin og notuð af Mod Security.

  • Bættu við eftir línu til að hlaða eining fyrir Mod Security í httpd.conf og vista stillingarskrána

LoadModule unique_id_module modules / mod_unique_id.so
LoadModule security2_module modules / mod_security2.so

  •  Endurræstu apache vefþjóninn

Undirbúningur Öryggi er nú sett upp!

Næsta sem þú þarft að gera er að setja upp Mod Security grunnregluna til að nýta aðgerð sína til fulls.

Hægt er að hala niður nýjustu kjarnareglunni frá því að fylgja tengli, sem er ókeypis. https://github.com/SpiderLabs/owasp-modsecurity-crs/zipball/master

  • Afritaðu niðurhal kjarna reglu zip / möppu / apache / conf
  • Taktu upp kjarna reglu
  • Þú gætir viljað endurnefna möppuna í eitthvað stutt og auðvelt að muna. Í þessu dæmi mun ég endurnefna í crs.
  • Fara í crs möppu og endurnefna modsecurity_crs10_setup.conf.example í modsecurity_crs10_setup.conf

Við skulum gera þessum reglum kleift að fá það til að virka með Apache vefþjóninum.

  •  Bættu við eftirfarandi á httpd.conf

Hafa conf / crs / modsecurity_crs_10_setup.confInclude conf / crs / base_rules / *. Conf

Í ofangreindri uppstillingu erum við að hlaða Mod Security aðalstillingarskrá modsecurity_crs_10_setup.conf og grunnreglur base_rules / *. Conf frá Mod Security Security Core Reglur til að vernda vefforrit.

  •  Endurræstu apache vefþjóninn

Þú hefur stillt Mod Security með Apache!

Vel gert. Nú er Apache vefþjónn varinn með Mod Security netforrit eldvegg.

Að byrja

Við skulum byrja á nokkrum mikilvægum stillingum í Mod Security til að herða & örugg vefforrit.

Í þessum kafla munum við gera allar breytingar á /opt/apache/conf/crs/modsecurity_crs_10_setup.conf.

Við munum vísa /opt/apache/conf/crs/modsecurity_crs_10_setup.conf sem setup.conf í þessum kafla sem dæmi..

Það er mikilvægt að skilja hverjar OWASP reglurnar eru ókeypis. Það eru tvenns konar reglur sem OWASP veitir.

Grunnreglur – Þessar reglur eru mjög prófaðar og líklega er rangt viðvörunarhlutfall minna.

Tilraunireglur – þessar reglur eru í tilraunaskyni og þú gætir haft mikla rangar viðvörun. Það er mikilvægt að stilla, prófa og útfæra í UAT áður en þau eru notuð í framleiðsluumhverfi.

Valfrjálsar reglur – þessar valkvæðu reglur henta ef til vill ekki fyrir allt umhverfið. Á grundvelli kröfu þinna geturðu notað þær.

Ef þú ert að leita að CSRF, Rekja notendur, ræna fundi osfrv., Þá gætirðu íhugað að nota valkvæðar reglur. Við höfum grunnreglur, valkvæðar og tilraunakenndar reglur eftir að hafa hlaðið niður crs zip skránni frá OWASP niðurhalssíðu.

Þessar reglur stillingar skrá er fáanleg í möppunni crs / base_rules, crs / optional_rules og crs / experimental_rules. Við skulum kynnast nokkrum grunnreglum.

  • modsecurity_crs_20_protocol_violations.conf: Þessi regla er að verja fyrir varnarleysi við bókanir eins og svörun, beðið um smygl, nota óleyfðar siðareglur (HTTP 1.0).
  • modsecurity_crs_21_protocol_anomalies.conf: Þetta er til að vernda gegn beiðni, sem vantar með Host, Accept, User-Agent í hausnum.
  • modsecurity_crs_23_request_limits.conf: Þessi regla er háð sérstökum forritum eins og stærð beiðni, upphleðslustærð, lengd breytu osfrv..
  • modsecurity_crs_30_http_policy.conf: Þetta er til að stilla og vernda leyfða eða óheimilaða aðferð eins og CONNECT, TRACE, PUT, DELETE osfrv..
  • modsecurity_crs_35_bad_robots.conf: Finndu illgjarna vélmenni
  • modsecurity_crs_40_generic_attacks.conf: Þetta er til að verja gegn stýringu á stýrikerfum, skrá á skránni, o.s.frv..
  • modsecurity_crs_41_sql_injection_attacks.conf: Þessi regla til að vernda SQL og blindan SQL sprauta beiðni.
  • modsecurity_crs_41_xss_attacks.conf: Vörn gegn beiðni um forskriftarþarfir.
  • modsecurity_crs_42_tight_security.conf: Uppgötvun og vernd skráasafns.
  • modsecurity_crs_45_trojans.conf: Þessi regla til að greina framleiðsla almenna skráastjórnunar, hlaða upp HTTP bakdyrasíðu, þekkt undirskrift.
  • modsecurity_crs_47_common_exceptions.conf: Þetta er notað sem undantekningartæki til að fjarlægja algengar rangar jákvæður sem kunna að verða uppi sem sjúga sem Apache innri tengibúnað, SSL pinger osfrv..

Skógarhögg

Skógarhögg er eitt af því fyrsta sem þarf að stilla svo þú getur búið til annál fyrir það sem Mod Security er að gera. Það eru tvenns konar skógarhögg í boði; Kemba & Endurskoðunarskrá.

Kembiforrit: þetta er til að afrita Apache villu, viðvörun og taka eftir skilaboðum úr villuloganum.

Endurskoðunarskrá: þetta er til að skrifa viðskiptaskrána sem eru merkt með Mod Öryggisreglu. Mod Öryggi gefur þér sveigjanleika til að stilla endurskoðun, kembiforrit eða báða skógarhögg.

Sjálfgefin stilling mun skrifa báðar skrárnar. Þú getur samt breytt á grundvelli kröfu þinna. Notkunarskránni er stjórnað í SecDefaultAction tilskipun. Við skulum skoða sjálfgefna skógarhöggstillingu í setup.conf

SecDefaultAction „áfangi: 1, hafna, skrá þig inn“

Til að skrá kembiforrit, endurskoðunarskrá – notaðu „log“ Til að skrá aðeins endurskoðunarskrá – notið „nolog, auditlog“ Til að skrá aðeins kembiforrit – notið „log, noauditlog“ Þú getur tilgreint staðsetningu endurskoðunarskrár sem á að geyma sem er stjórnað af SecAuditLog tilskipun.

Við skulum skrifa endurskoðunarskrá þig inn á /opt/apache/logs/modsec_audit.log með því að bæta við eins og sýnt er hér að neðan.

  • Bættu við SecAuditLog tilskipun í setup.conf og endurræstu Apache vefþjóninn

SecAuditLog /opt/apache/logs/modsec_audit.log

  • Eftir endurræsinguna ættirðu að sjá modsec_audit.log myndast

Virkja regluvélar

Sjálfgefið er að Regla fyrir vélar sé slökkt, sem þýðir að ef þú virkjar ekki reglu fyrir vél ertu ekki að nýta alla kosti Mod Security.

Regla vél sem gerir eða slökkva á er stjórnað af SecRuleEngine tilskipun.

  • Bættu við SecRuleEngine tilskipun í setup.conf og endurræstu Apache vefþjóninn

SecRuleEngine On

Það eru þrjú gildi fyrir SecRuleEngine:

  • Kveikt – til að virkja regluvélar
  • Slökkt – til að gera Rule Engine óvirkan
  • DetectionOnly – gera Rule Engine kleift en framkvæmir aldrei neinar aðgerðir eins og loka, hafna, sleppa, leyfa, proxy eða áframsenda

Þegar Rule Engine er í gangi – Mod Security er tilbúið að verja með nokkrum af algengum árásartegundum.

Algeng vörn gegn árás

Nú er vefþjónninn tilbúinn til að verja með algengum árásartegundum eins og XSS, SQL Injection, Protocol Violation, osfrv. Eins og við höfum sett upp Core Rule og kveikt á Rule Engine. Við skulum prófa nokkur þeirra.

XSS árás

  •  Opnaðu Firefox og opnaðu forritið þitt og settu merki í lokina eða slóðina
  •  Fylgstu með modsec_audit.log í apache / logs möppunni

Þú munt taka eftir beiðni um Mod Security blokkir þar sem það inniheldur merki sem er rót XSS árásar.

Listasnúningsárás: – Gagnasafnskotsárásir geta skapað mikið tjón með því að nýta sér þessa varnarleysi og fá aðgang að kerfisbundinni skrá. Ex – / etc / passwd, .htaccess, etc.

  •  Opnaðu Firefox og opnaðu forritið þitt með skráasniði
  •  Fylgstu með modsec_audit.log í apache / logs möppunni

http: // localhost /? ../…/boot

  • Þú munt taka eftir beiðni um öryggi við öryggisaðstoð þar sem það inniheldur skráasnið.

Skiptu um miðlara borða

Fyrr í þessari handbók lærðir þú hvernig á að fjarlægja Apache og OS gerð, útgáfuhjálp ServerTokens tilskipunar.

Förum einu skrefi á undan, hvernig væri að halda nafni netþjónsins hvað sem þú vilt? Það er mögulegt með SecServerSignature tilskipun í Mod Security. Þú sérð að það er áhugavert.

Athugasemd: Til að nota Mod Security til að vinna með Server Banner frá haus, verður þú að stilla ServerTokesn á Full á httpd.conf af Apache vefþjóninum..

  • Bættu við SecServerSignature tilskipun með viðeigandi netþjónarheiti í setup.conf og endurræstu Apache vefþjóninn

SecServerSignature YourServerName

Fyrrverandi:

[/ opt / apache / conf / crs] #grep SecServer modsecurity_crs_10_setup.conf
SecServerSignature geekflare.com
[/ opt / apache / conf / crs] #

Almenn stilling

Við skulum kíkja á nokkrar almennar stillingar sem bestu venjur.

Stilla hlustun

Þegar þú ert með mörg tengi og IP-tæki á einum netþjóni er mælt með því að láta hlusta tilskipun vera stillt með algeru IP- og portnúmeri.

Þegar þú lætur apache stillingu eftir að hlusta á allar IP-tölur með einhverju gáttarnúmeri getur það skapað vandamálið við að framsenda HTTP beiðni til einhvers annars netþjóns. Þetta er nokkuð algengt í sameiginlegu umhverfi.

  • Stilla hlustunartilskipunina á httpd.conf með algerum IP og höfn eins og sýnt dæmi hér að neðan

Hlustaðu 10.10.10.1:80

Aðgangsskráning

Það er grundvallaratriði að stilla aðgangsskrána rétt á vefþjóninum þínum. Sumir af mikilvægum breytum til að handtaka í annálnum væri tíminn sem gefinn er til að þjóna beiðninni, SESSION ID.

Sjálfgefið er að Apache er ekki stilltur til að handtaka þessi gögn. Þú verður að stilla þær handvirkt á eftirfarandi hátt.

  • Að taka tíma sem gefinn er til að þjóna beiðninni og SESSION ID í aðgangsskrá
  •  Bæta við% T & % sessionID í httpd.conf undir LogFormat tilskipun

LogFormat "% h% l% ú% t "% {sessionID} C" "% r" %>s% b% T" sameiginlegt

Þú getur vísað http://httpd.apache.org/docs/2.2/mod/mod_log_config.html fyrir heildarlista yfir færibreytur sem studdar eru í LogFormat tilskipun í Apache vefþjóninum.

Gera óvinnufæran hleðslu óæskilegra eininga

Ef þú hefur tekið saman og sett upp með öllum einingum, þá eru miklar líkur á að þú hafir marga einingar hlaðnar í Apache, sem gæti ekki verið krafist.

Best er að stilla Apache með nauðsynlegar einingar í vefforritunum þínum. Eftirfarandi einingar hafa áhyggjur af öryggi og þú gætir haft áhuga á að slökkva á httpd.conf á Apache vefþjóninum.

WebDAV (dreifing höfundar og útgáfa á vefnum) Þessi eining gerir fjartengdum viðskiptavinum kleift að vinna með skrár á netþjóninum og háð ýmsum árásum á afneitun á þjónustu. Til að slökkva á ummælunum hér á eftir í httpd.conf

#LoadModule dav_module modules / mod_dav.so
#LoadModule dav_fs_module modules / mod_dav_fs.so
#Taktu inn conf / extra / httpd-dav.conf

Upplýsingareining Mod_info einingin getur lekið viðkvæmum upplýsingum með .htaccess þegar þessi eining er hlaðin. Til að slökkva á ummælunum hér á eftir í httpd.conf

#LoadModule info_module modules / mod_info.so

Tilvísun: Þetta væri ekki mögulegt án leiðbeiningar frá eftirfarandi tengli:

Svo þetta var einhver af bestu aðferðum sem þú getur notað til að tryggja Apache vefþjóninn þinn.

Ef þú ert nýr í Apache HTTP, þá myndi ég mæla með því að taka Apache HTTP stjórnunarnámskeiðið.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map