IBM HTTP Server Təhlükəsizlik və Sertleştirme Bələdçisi

İstehsalat mühiti üçün IBM HTTP Serverini (IHS) silmək


IBM tərəfindən HTTP Server tez-tez IBM WebSphere Tətbiq Server ilə birlikdə istifadə olunur. Bəzi populyar saytlar IBM HTTP Server istifadə edərək bunlar:

  • Airtel.in
  • Marriott.com
  • Hsbc.co.uk
  • Mercedes-benz.com.eg
  • Argos.co.uk

IHS, Apache HTTP Serverinə əsaslanır, lakin müəssisə tətbiqləri və texniki dəstək üçün IBM tərəfindən tweaked. Çox az tutur bazar payı veb server dünyasında lakin hələ də geniş tətbiqetmələr proqramı ilə istifadə olunur.

ihs-bazar payı

Default IHS konfiqurasiyası çox həssas bir məlumat təqdim edir, bu da hakerə hücum üçün hazırlaşmağa və iş əməliyyatını dayandırmağa kömək edə bilər. Bir idarəçi olaraq veb tətbiqlərini təmin etmək üçün IHS konfiqurasiyasının sərtləşməsindən xəbərdar olmalısınız.

Bu yazıda IHS istehsalını təhlükəsiz saxlamaq üçün necə hazır vəziyyətə gətirəcəyimi izah edəcəyəm & etibarlı.

Az şey: –

  • Linux mühitində quraşdırılmış IHS varsa, quraşdırma təlimatını buraya göndərə bilərsiniz.
  • Bir konfiqurasiya faylının ehtiyat nüsxəsini götürməyiniz tövsiyə olunur.
  • Bir brauzerdə HTTP başlıq uzantılarınız var və ya istifadə edə bilərsiniz Başlıq yoxlayıcı onlayn vasitə.
  • Yazının uzunluğuna görə növbəti yazıda SSL konfiqurasiyasından danışacağam.

Server bannerini və məhsul məlumatını HTTP başlığından gizlət

Yəqin ki, istehsal mühitini qurarkən ediləcək ilk işlərdən biri başlıqda IHS versiyasını və Server Bannerini maska ​​etməkdir. Bu kritik deyil, məlumat sızıntısının zəifliyi kimi aşağı risk hesab olunur və PCI DSS uyğun tətbiq üçün etməlidir.

Standart konfiqurasiyada mövcud olmayan (404) sorğu cavabının necə olduğuna nəzər salaq.

ihs-yoxluq-cavab

Xeyr, bu, IBM HTTP Serverini server IP və port nömrəsi ilə birlikdə istifadə etdiyimi göstərir, bu da çirkindir. Gəlin onları gizlətək.

Həll: –

  • IHS-in httpd.conf faylına aşağıdakı üç direktiv əlavə edin.

AddServerHeader Off
ServerTokens Prod
ServerSignature Off

  • Faylı saxla və IHS-i yenidən başladın

Mövcud olmayan bir faylı əldə edərək təsdiqləyək. Siz də istifadə edə bilərsiniz HTTP başlıq vasitəsi cavabı yoxlamaq üçün.

ihs-yoxluq-cavab-sabit

Daha yaxşı! İndi məhsul, server və port məlumatları vermir.

Etag’ı deaktiv edin

Etag başlığı aça bilər inode məlumatları və hakerə NFS hücumlarını həyata keçirməyə kömək edə bilər. Varsayılan olaraq IHS etagı ortaya qoyur və bu zəifliyi necə aradan qaldıracağınıza baxın.

ihs-etag

Həll: –

  • Bir kök qovluğuna aşağıdakı direktiv əlavə edin.

FileETag heç biri

Məsələn:

Seçimlər FollowSymLinks
AllowOverride Heç biri
FileETag heç biri

  • Effektiv olmaq üçün IHS serverini yenidən başladın.

ihs-etag

Kök olmayan Hesab ilə IHS işləyin

Defolt konfiqurasiya köklü bir veb serveri işlədir & Güzəştli hesabdan istifadə etmək tövsiyə olunmayan heç bir istifadəçi təhlükəsizlik dəliyi olduqda bütün serverə təsir göstərə bilməz. Riskləri məhdudlaşdırmaq üçün IHS instansiyalarını işə salmaq üçün xüsusi bir istifadəçi yarada bilərsiniz.

Həll: –

  • İhsadmin adlı istifadəçi və qrup yaradın

groupadd ihsadmin
useradd –g ihsadmin ihsadmin

İndi, yeni yaradılan istifadəçinin buna tam icazəsi olduğu üçün IHS qovluq sahibliyini ihsadmin olaraq dəyişdirin. Defolt məkanda quraşdırdığınıza görə – / opt / IBM / HTTPServer

chown –R ihsadmin: ihsadmin / opt / IBM / HTTPServer

İstifadəçi dəyişək & Httpd.conf-da qrup dəyəri

İstifadəçi ihsadmin
Qrup ihsadmin

Httpd.conf-u qeyd edin və IHS serverini yenidən başladın. Bu, IHS-i ihsadmin istifadəçisi kimi başlamağa kömək edəcəkdir.

Cookie-də HttpOnly və Secure bayrağı həyata keçirin

Cookie-nin etibarlı və httponly olması XSS ​​hücumlarının riskini azaltmağa kömək edəcəkdir.

Həll: –

Bunu həyata keçirmək üçün təmin etməlisiniz mod_headers.so httpd.conf-da aktivdir.

Yoxdursa, httpd.conf-da aşağıdakı sətirdən çıxın

LoadModule başlıqları / modul modulları / mod_headers.so

Və başlıq parametrinin altına əlavə edin

Header edit Set-Cookie ^ (. *) $ 1; HttpOnly; Təhlükəsiz

Konfiqurasiya faylını qeyd edin və veb serveri yenidən başladın.

Tətil hücumunu yumşalt

Tıklama bir təcavüzkar istifadəçini bir linkə tıklayarak istifadəçinin xəbərdarlığı olmadan əlaqədar kodu işlətmək üçün istifadə edə biləcəyi üsul yaxşı bilinir.

Həll: –

  • Mod_headers.so effektiv olduğundan əmin olun və httpd.conf faylında başlıq parametrini əlavə edin

Başlıq həmişə X-Çərçivə-Seçimlər SAMEORIGIN əlavə edir

  • Faylı saxla və serveri yenidən başladın.

URL-ə daxil olmaqla təsdiqləyək, bunun aşağıda göstərildiyi kimi X-Çərçivə Seçimləri olmalıdır.

tıqqıltı-hücum-ihs

Dinləmə Direktivini konfiqurasiya edin

Bu, serverdə çox sayda Ethernet interfeysi / IP varsa, tətbiq olunur. DNS sorğularının yönləndirilməsinin qarşısını almaq üçün mütləq IP və Dinləmə təlimatında Portu konfiqurasiya etmək tövsiyə olunur. Bu tez-tez ortaq mühitdə görülür.

Həll: –

  • Təqdim olunan IP və Portu httpd.conf-də dinləyin. Məsələn:-

10.0.0.9:80 qulaq asın

X-XSS-Qoruma əlavə edin

İstifadəçi tərəfindən brauzerdə deaktiv olduqda aşağıdakı başlığı tətbiq edərək Sayt Skriptləri (XSS) qorunması üçün Xaç tətbiq edə bilərsiniz..

Başlıq X-XSS-Müdafiə dəsti "1; rejimi = blok"

İzləmə HTTP tələbini deaktiv edin

İzləmə metodunun veb serverdə aktivləşdirilməsi, saytın axtarış hücumuna və çerez məlumatlarını oğurlamağa imkan verə bilər. Varsayılan olaraq, bu effektivdir və aşağıdakı parametrlə onları deaktiv edə bilərsiniz.

Həll: –

  • Httpd.con faylını dəyişdirin və aşağıdakı sətir əlavə edin

TraceEnable söndürüldü

  • Faylı qeyd edin və təsir etmək üçün IHS instansiyasını yenidən başladın.

Ümid edirəm yuxarıda göstərilən tövsiyələr bir istehsal mühiti üçün IBM HTTP Serverini sərtləşdirməyə kömək edəcəkdir.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map