Phenquestions
Šajā rakstā jūs atradīsit dažus padomus un ieteikumus, kā uzlabot Apache Web Server konfigurāciju un uzlabot vispārējo drošību.
Lietotāja konts, kam nav privilēģiju
Lietotāja konta, kas nav root vai privileģēts, mērķis ir ierobežot lietotāja nevajadzīgu piekļuvi noteiktiem sistēmas uzdevumiem. Apache tīmekļa servera kontekstā tas nozīmē, ka tam jādarbojas ierobežotā vidē ar tikai nepieciešamajām atļaujām. Pēc noklusējuma Apache darbojas ar dēmonu konta privilēģijām. Lai izvairītos no draudiem drošības ievainojamības gadījumā, varat izveidot atsevišķu lietotāja bez root lietotāju kontu.
Turklāt, ja apache2 un MySQL ir vienādi lietotāja akreditācijas dati, jebkurš pakalpojuma vienreizējas apstrādes process ietekmēs citus. Lai mainītu tīmekļa servera lietotāja un grupas privilēģijas, dodieties uz / etc / apache2, atveriet failu envvars un iestatiet lietotāju un grupu jaunam privileģētam konta lietotājam, teiksim, “apache” un saglabājiet failu.
ubuntu @ ubuntu ~: $ sudo vim / etc / apache2 / envvars... izgriezums ..
eksportēt APACHE_RUN_USER = apache
eksportēt APACHE_RUN_GROUP = apache
... izgriezums ..
Varat arī izmantot šo komandu, lai mainītu instalācijas direktorija īpašumtiesības uz jauno lietotāju, kurš nav root lietotājs.
ubuntu @ ubuntu ~: $ sudo chown -R apache: apache / etc / apache2Lai saglabātu izmaiņas, izsniedziet šādu komandu:
ubuntu @ ubuntu ~: $ sudo pakalpojums apache2 restartējas
Atjauniniet Apache
Apache ir slavena ar to, ka nodrošina drošu platformu ar ļoti noraizējušos izstrādātāju kopienu, kas reti sastopas ar drošības kļūdām. Neskatoties uz to, pēc programmatūras izlaišanas ir normāli atklāt problēmas. Tādēļ ir svarīgi atjaunināt tīmekļa serveri, lai izmantotu jaunākās drošības funkcijas. Ieteicams arī sekot Apache servera paziņojumu sarakstiem, lai būtu informēts par Apache izstrādes kopienas jaunajiem paziņojumiem, izlaidumiem un drošības atjauninājumiem.
Lai atjauninātu apache, izmantojot apt, ierakstiet šo:
ubuntu @ ubuntu ~: $ sudo apt-get updateubuntu @ ubuntu ~: $ sudo apt-get jauninājums
Atspējot servera parakstu
Apache servera noklusējuma konfigurācija atklāj daudz informācijas par serveri un tā iestatījumiem. Piemēram, iespējotas ServerSignature un ServerTokens direktīvas direktorijās / etc / apache2 / apache2.conf fails HTTP atbildei pievieno papildu galveni, kas atklāj potenciāli sensitīvu informāciju. Šī informācija ietver detalizētu informāciju par servera iestatījumiem, piemēram, servera versiju un OS mitināšanu, kas var palīdzēt uzbrucējam iepazīšanās procesā. Varat atspējot šīs direktīvas, rediģējot apache2.conf failu, izmantojot vim / nano, un pievienojiet šādu direktīvu:
ubuntu @ ubuntu ~: $ sudo vim / etc / apache2 / apache2.konf... izgriezums ..
Servera paraksts ir izslēgts
... izgriezums ..
ServerTokens Prod
... izgriezums ..
Restartējiet Apache, lai atjauninātu izmaiņas.
Atspējot serveru direktoriju sarakstus
Direktoriju sarakstos tiek parādīts viss saturs, kas saglabāts saknes mapē vai apakšdirektorijos. Direktoriju failos var iekļaut sensitīvu informāciju, kas nav paredzēta publiskai demonstrēšanai, piemēram, PHP skriptus, konfigurācijas failus, failus, kas satur paroles, žurnālus utt.
Lai neatļautu direktoriju sarakstus, mainiet Apache servera konfigurācijas failu, rediģējot apache2.conf fails kā:
... izgriezums ..
Opcijas - Indeksi
... izgriezums ..
VAI
... izgriezums ..Opcijas - Indeksi
... izgriezums ..
Šo direktīvu varat pievienot arī .galvenās vietnes direktorijas htaccess fails.
Aizsargājiet sistēmas iestatījumus
The .htaccess fails ir ērta un jaudīga funkcija, kas ļauj konfigurēt ārpus galvenā apache2.conf fails. Tomēr gadījumos, kad lietotājs var augšupielādēt failus serverī, uzbrucējs to var izmantot, lai augšupielādētu savus.htaccess ”fails ar ļaunprātīgām konfigurācijām. Tātad, ja neizmantojat šo funkciju, varat to atspējot .htaccess direktīva, t.i.e.:
ubuntu @ ubuntu ~: $ sudo vim / etc / apache2 / apache2.konf... izgriezums ..
#AccessFileName .htaccess
... izgriezums ..
VAI
Atspējot .htaccess fails, izņemot īpaši iespējotos direktorijus, rediģējot apache2.conf fails un AllowOverRide direktīvas pagriešana uz None;
... izgriezums ..
AllowOverride None
... izgriezums ..
Drošie direktoriji ar autentifikāciju
Izmantojot utilītu htpasswd, varat izveidot lietotāja akreditācijas datus, lai aizsargātu visus vai dažus direktorijus. Dodieties uz sava servera mapi un izmantojiet šo komandu, lai izveidotu .htpasswd fails paroles jaukumu glabāšanai akreditācijas datiem, kas piešķirti, teiksim, lietotājam ar nosaukumu dev.
[aizsargāts ar e-pastu] ~: $ sudo htpasswd -c / etc / apache2 / -htpasswd devIepriekš minētā komanda lūgs jauno paroli un paroles apstiprinājumu. Jūs varat apskatīt kaķi ./ htpasswd failu, lai pārbaudītu saglabāto lietotāja akreditācijas datu jaukšanu.
Tagad jūs varat automātiski iestatīt konfigurācijas failu jūsu vietnes direktorijā, kas jums jāaizsargā, modificējot .htaccess fails. Lai iespējotu autentifikāciju, izmantojiet šīs komandas un direktīvas:
ubuntu @ ubuntu ~: $ sudo nano / var / www / jūsu_ vietne /.htaccess... izgriezums ..
AuthType Basic
AuthName "Pievienot dialoglodziņu"
AuthUserFile / etc / apache2 / lietotāja_nosaukums / domēna_nosaukums /.htpasswd
Pieprasīt derīgu lietotāju
... izgriezums ..
Atcerieties pievienot ceļu atbilstoši savam.
Palaidiet nepieciešamos moduļus
Apache noklusējuma konfigurācijā ir iekļauti iespējoti moduļi, kas jums var pat nebūt vajadzīgi. Šie iepriekš instalētie moduļi atver durvis Apache drošības jautājumiem, kas jau pastāv vai var pastāvēt nākotnē. Lai atspējotu visus šos moduļus, vispirms ir jāsaprot, kuri moduļi ir nepieciešami, lai jūsu tīmekļa serveris darbotos nevainojami. Šim nolūkam pārbaudiet apache moduļu dokumentāciju, kas aptver visus pieejamos moduļus.
Pēc tam izmantojiet šo komandu, lai noskaidrotu, kuri moduļi darbojas jūsu serverī.
[aizsargāts ar e-pastu] ~: iespējots $ sudo ls / etc / apache2 / modsApache nāk ar jaudīgo komandu a2dismod, lai atspējotu moduli. Tas novērš moduļa ielādi un aicina atspējot moduli, ka darbība var negatīvi ietekmēt jūsu serveri.
[e-pasts aizsargāts] ~: $ sudo a2dismod moduļa_nosaukumsJūs varat arī atspējot moduli, komentējot rindā LoadModule.
Novērsiet lēnu Lorisa un DoS uzbrukumu
Apache servera noklusējuma instalēšana liek pārāk ilgi gaidīt klientu pieprasījumus, kas pakļauj serveri lēniem Lorisa un DoS uzbrukumiem. Apache2.conf konfigurācijas fails nodrošina direktīvu, kuru varat izmantot, lai samazinātu taimauta vērtību līdz dažām sekundēm, lai novērstu šāda veida uzbrukumus, t.e.:
ubuntu @ ubuntu ~: $ sudo vim / etc / apache2 / apache2.konfTaimauts 60
Turklāt jaunajam Apache serverim ir ērts mod_reqtimeout modulis, kas nodrošina direktīvu RequestReadTimeout, lai aizsargātu serveri no neleģitīmiem pieprasījumiem. Šai direktīvai ir dažas sarežģītas konfigurācijas, lai jūs varētu izlasīt saistīto informāciju, kas pieejama dokumentācijas lapā.
Atspējojiet nevajadzīgus HTTP pieprasījumus
Neierobežoti HTTP / HTTPS pieprasījumi var izraisīt arī zemu servera veiktspēju vai DoS uzbrukumu. Varat ierobežot HTTP pieprasījumu saņemšanu direktorijā, izmantojot LimitRequestBody līdz mazāk nekā 100 K. Piemēram, lai izveidotu direktīvu mapei / var / www / your_website, varat pievienot LimitRequestBody direktīvu zem AllowOverride All, i.e.:
... izgriezums ..Opcijas - Indeksi
AllowOverride All
LimitRequestBody 995367
... izgriezums ..
Piezīme. Atcerieties restartēt Apache pēc veiktajām izmaiņām, lai to atbilstoši atjauninātu.
Secinājums
Apache servera noklusējuma instalācija var sniegt daudz sensitīvas informācijas, lai palīdzētu uzbrucējiem uzbrukumā. Tikmēr ir daudz citu veidu (kas nav uzskaitīti iepriekš), kā arī aizsargāt Apache tīmekļa serveri. Turpiniet pētīt un informēt sevi par jaunajām direktīvām un moduļiem, lai aizsargātu serveri vēl vairāk.
