Phenquestions
У овом чланку ћете пронаћи неколико савета и трикова за јачање ваших конфигурација Апацхе веб сервера и побољшање опште сигурности.
Непривилеговани кориснички рачун
Сврха корисничког налога који није роот или који није привилегован је да ограничи корисника од непотребног приступа одређеним задацима у систему. У контексту Апацхе веб сервера, то значи да би требало да ради у ограниченом окружењу са само потребним дозволама. Подразумевано, Апацхе ради са привилегијама даемон налога. Можете да направите засебни некоријенски кориснички налог да бисте избегли претње у случају сигурносних пропуста.
Штавише, ако су апацхе2 и МиСКЛ под истим корисничким подацима, било који проблем у процесу једном сервиса имаће утицаја на други. Да бисте променили привилегије корисника и групе за веб сервер, идите на / етц / апацхе2, отворите датотеку енвварс и подесите корисника и групу на новог непривилегованог корисника налога, рецимо, „апацхе“, и сачувајте датотеку.
убунту @ убунту ~: $ судо вим / етц / апацхе2 / енвварс... снип ..
извоз АПАЦХЕ_РУН_УСЕР = апацхе
извоз АПАЦХЕ_РУН_ГРОУП = апацхе
... снип ..
Сљедећу наредбу можете користити и за промјену власништва над инсталацијским директоријумом у новог некоренског корисника.
убунту @ убунту ~: $ судо цховн -Р апацхе: апацхе / етц / апацхе2Издајте следећу наредбу да бисте сачували промене:
убунту @ убунту ~: $ судо сервис апацхе2 рестарт
Редовно ажурирајте Апацхе
Апацхе је познат по томе што пружа сигурну платформу са веома забринутом заједницом програмера која се ретко суочава са било којим сигурносним грешкама. Ипак, нормално је откривати проблеме када се софтвер изда. Стога је неопходно да се веб сервер ажурира како би користио најновије безбедносне функције. Такође се саветује да пратите Апацхе Сервер Анноунцемент Листе како бисте се информисали о новим најавама, издањима и безбедносним исправкама из Апацхе развојне заједнице.
Да бисте ажурирали свој апацхе помоћу апт, откуцајте следеће:
убунту @ убунту ~: $ судо апт-гет упдатеубунту @ убунту ~: $ судо апт-гет надоградња
Онемогућите потпис сервера
Подразумевана конфигурација Апацхе сервера излаже пуно детаља о серверу и његовим подешавањима. На пример, омогућене СерверСигнатуре и СерверТокенс директиве у / етц / апацхе2 / апацхе2.цонф датотеци додајте додатно заглавље у ХТТП одговор које излаже потенцијално осетљиве информације. Ове информације укључују детаље о подешавању сервера, као што су верзија сервера и ОС за хостинг, који могу помоћи нападачу у процесу извиђања. Ове директиве можете онемогућити уређивањем апацхе2.цонф датотеку преко вим / нано и додајте следећу директиву:
убунту @ убунту ~: $ судо вим / етц / апацхе2 / апацхе2.цонф... снип ..
Потпис сервера искључен
... снип ..
СерверТокенс Прод
... снип ..
Поново покрените Апацхе да бисте ажурирали промене.
Онемогући списак директорија сервера
Списак директорија приказује сав садржај сачуван у основној фасцикли или поддиректоријумима. Датотеке директоријума могу садржати осетљиве информације које нису намењене јавном приказивању, као што су ПХП скрипте, датотеке конфигурације, датотеке које садрже лозинке, евиденције итд.
Да бисте онемогућили спискове директоријума, промените датотеку за конфигурацију Апацхе сервера уређивањем апацхе2.цонф датотека као:
... снип ..
Опције -Индекси
... снип ..
ИЛИ
... снип ..Опције -Индекси
... снип ..
Ову директиву такође можете додати у .хтаццесс датотеку вашег главног директоријума веб странице.
Заштитите системске поставке
Тхе .хтаццесс датотека је прикладна и моћна функција која омогућава конфигурацију изван главног апацхе2.цонф датотека. Међутим, у случајевима када корисник може отпремити датотеке на сервер, нападач то може искористити да отпреми своје “.хтаццесс “датотека са злонамерним конфигурацијама. Дакле, ако не користите ову функцију, можете да онемогућите .хтаццесс директива, тј.е.:
убунту @ убунту ~: $ судо вим / етц / апацхе2 / апацхе2.цонф... снип ..
#АццессФилеНаме .хтаццесс
... снип ..
ИЛИ
Онемогући .хтаццесс датотеку, осим посебно омогућених директорија уређивањем апацхе2.цонф датотеку и претварање АлловОверРиде директиве у Ноне;
... снип ..
АлловОверриде Ноне
... снип ..
Осигурајте директоријуме са аутентификацијом
Помоћу услужног програма хтпассвд можете креирати корисничке податке за заштиту свих или неких директоријума. Идите у директоријум вашег сервера и користите следећу команду да бисте креирали .хтпассвд датотека за чување хеша лозинке за акредитиве додељене, рецимо, кориснику по имену дев.
[заштићена е-поштом] ~: $ судо хтпассвд -ц / етц / апацхе2 / -хтпассвд девГорња команда ће тражити нову лозинку и потврду лозинке. Можете видети мачку ./ хтпассвд датотека за проверу хеша за ускладиштене корисничке податке.
Сада можете аутоматски поставити датотеку за конфигурацију у директоријум иоур_вебсите који требате заштитити модификовањем датотеке .хтаццесс датотека. Користите следеће наредбе и директиве да омогућите потврду идентитета:
убунту @ убунту ~: $ судо нано / вар / ввв / иоур_вебсите /.хтаццесс... снип ..
АутхТипе Басиц
АутхНаме "Додај упит за дијалог"
АутхУсерФиле / етц / апацхе2 / усер_наме / домаин_наме /.хтпассвд
Захтевати валид-усер
... снип ..
Не заборавите да додате путању према вашој.
Покрените неопходне модуле
Подразумевана Апацхе конфигурација укључује омогућене модуле који вам можда нису ни потребни. Ови унапред инсталирани модули отварају врата Апацхе сигурносним проблемима који или постоје или могу постојати у будућности. Да бисте онемогућили све ове модуле, прво морате да разумете који су модули потребни за несметано функционисање вашег веб сервера. У ту сврху погледајте документацију апацхе модула која покрива све доступне модуле.
Даље, користите следећу команду да бисте утврдили који су модули покренути на вашем серверу.
[заштићен е-поштом] ~: $ судо лс / етц / апацхе2 / модс-енабледАпацхе долази са моћном а2дисмод наредбом за онемогућавање модула. Спречава учитавање модула и тражи вас упозорење приликом онемогућавања модула да радња може негативно утицати на ваш сервер.
[емаил заштићен] ~: $ судо а2дисмод модуле_намеТакође можете онемогућити модул коментаром у линији ЛоадМодуле.
Спречите спор Лорис и ДоС напад
Подразумевана инсталација Апацхе сервера присиљава га да предуго чека захтеве клијената, што подвргава сервер спорим Лорис и ДоС нападима. Тхе апацхе2.конфигурациона датотека цонф пружа директиву помоћу које можете смањити вредност временског ограничења на неколико секунди како бисте спречили ове врсте напада, тј.е.:
убунту @ убунту ~: $ судо вим / етц / апацхе2 / апацхе2.цонфВременско ограничење 60
Поред тога, нови Апацхе сервер долази са практичним модулом мод_ректимеоут који пружа директиву РекуестРеадТимеоут за заштиту сервера од нелегитимних захтева. Ова директива долази са неколико незгодних конфигурација, тако да можете прочитати повезане информације доступне на страници документације.
Онемогућите непотребне ХТТП захтеве
Неограничени ХТТП / ХТТПС захтеви такође могу довести до слабих перформанси сервера или ДоС напада. Можете да ограничите пријем ХТТП захтева по директоријуму користећи ЛимитРекуестБоди на мање од 100К. На пример, да бисте креирали директиву за директоријум / вар / ввв / иоур_вебсите, можете додати директиву ЛимитРекуестБоди испод АлловОверриде Алл, и.е.:
... снип ..Опције -Индекси
АлловОверриде Алл
ЛимитРекуестБоди 995367
... снип ..
Напомена: Не заборавите да поново покренете Апацхе након примењених промена како бисте га ажурирали у складу са тим.
Закључак
Подразумевана инсталација Апацхе сервера може пружити обиље осетљивих информација за помоћ нападачима у нападу. У међувремену, постоји мноштво других начина (који нису горе наведени) да заштитите и Апацхе веб сервер. Наставите да истражујете и редовно се информишете о новим директивама и модулима како бисте додатно заштитили сервер.
