Cấu hình bảo mật cho hệ thống Web Server sử dụng Apache

Máy chủ web là một phần quan trọng của ứng dụng dựa trên web. Máy chủ web Apache Nó thường là thành phần tương tác trực tiếp với người dùng, do đó trở thành một trong những dịch vụ dễ bị tấn công nhất. Sử dụng cấu hình mặc định cung cấp nhiều thông tin nhạy cảm có thể giúp tin tặc chuẩn bị cho một cuộc tấn công máy chủ web. Hầu hết các cuộc tấn công ứng dụng web thường được sử dụng thông qua các cuộc tấn công XSS, rò rỉ thông tin, quản lý phiên và tấn công PHP Injection do mã lập trình kém và không đủ cơ sở hạ tầng ứng dụng web. Theo hãng bảo mật Cenzic, 96% ứng dụng được kiểm tra là có lỗ hổng.

1. Tránh rò rỉ thông tin (Rò rỉ thông tin)

Trong cấu hình mặc định của Apache Sẽ có nhiều thông tin nhạy cảm hơn có thể được sử dụng để chuẩn bị cho một cuộc tấn công. Đây là một trong những nhiệm vụ quan trọng nhất đối với người quản trị để hiểu và bảo mật chúng.

1.1 Xóa thông tin phiên bản và biểu ngữ

Việc để lộ phiên bản máy chủ web đang sử dụng đồng nghĩa với việc nó đang giúp hacker tăng tốc quá trình quét truy cập. Cấu hình mặc định sẽ hiển thị phiên bản Apache và hệ điều hành được sử dụng như hình dưới đây.

Thực hiện cấu hình trong File httpd.conf và khởi động lại apache

ServerSignature Off

ServerTokens Prod

Kết quả sau khi cấu hình:

1.2 Tắt danh sách thư mục trên web

Tắt danh sách thư mục trong trình duyệt để khi người dùng truy cập, bạn sẽ không thấy tất cả các File và thư mục bạn có trong thư mục gốc hoặc thư mục con. Sử dụng cấu hình mặc định khi truy cập liên kết http: // localhost / test

Mình nghĩ bạn cần xem =>  Single sign-on (SSO) - Đăng nhập một lần và những điều bạn chưa biết

Trong File cấu hình httpd.conf, đặt tham số Tùy chọn thành Không có hoặc –Indexes và khởi động lại apache

Tùy chọn Không có

Hoặc là

Tùy chọn –Indexes

Kết quả:

– Multiviews: hỗ trợ hiển thị nội dung tương ứng khi website hỗ trợ nhiều ngôn ngữ.

– ExecCGI: thực thi các đoạn script trong thư mục / cgi-bin.

– FollowSymLinks & SymLinksIfOwnerMatch: khuyến cáo không nên sử dụng disable nếu có thể. Vì việc sử dụng các liên kết tượng trưng làm tăng nguy cơ của kẻ tấn công bằng cách sử dụng các liên kết tượng trưng để truy cập nội dung bên ngoài của máy chủ web gốc tài liệu, cuộc tấn công cũng kết hợp một lỗ hổng bảo mật để tạo ra một liên kết không chính xác. .

– Bao gồm & Bao gồmNOEXEC: Chỉ nên sử dụng Bao gồmNOEXEC khi máy chủ có các yêu cầu cần thiết. Không nên dùng bao gồm vì tùy chọn này cũng có khả năng cho phép thực thi các câu lệnh shell.

1,3 Etags

Cho phép những kẻ tấn công từ xa lấy thông tin nhạy cảm như số inode, đa lõi MIME và quy trình con thông qua tiêu đề Etag. Để ngăn chặn lỗ hổng này, hãy thực hiện cài đặt bên dưới để khắc phục sự cố theo yêu cầu của PCI.

Thành lập:

Định cấu hình trong File httpd.conf để đặt tham số FileTag và khởi động lại apache

FileTag Không có

Kết quả:

2. Ủy quyền

2.1 Chạy ứng dụng Apache với người dùng không có đặc quyền (tài khoản không có đặc quyền)

Theo mặc định, cấu hình apache được chạy với quyền không ai hoặc daemon. Cách tốt nhất để giảm thiểu cuộc tấn công là tạo người dùng và nhóm không có đặc quyền cho một ứng dụng, không chạy ứng dụng với người dùng và nhóm “không ai cả” hoặc “daemon”. Thay vào đó, hãy tạo các tài khoản chỉ được sử dụng bởi apache và không có quyền truy cập vào các dịch vụ khác có trên hệ thống. Ngoài ra, UID của người dùng này không được người dùng thông thường sử dụng, tức là apache của người dùng nằm trong khoảng 1-999 đối với systemD và 1-499 đối với systemV hoặc phiên bản mới hơn.

Mình nghĩ bạn cần xem =>  IMAP - Thuật ngữ cần biết với người dùng ứng dụng đọc email

Thành lập:

1. Nếu người dùng và nhóm apache không tồn tại, hãy tạo một tài khoản hệ thống cho người dùng apache:

# groupadd -r apache

# useradd apache -r -g apache -d / var / www -s / sbin / nologin

2. Định cấu hình người dùng và nhóm Apache trong File cấu hình apache httpd.conf:

3. Khởi động lại Apache

Kiểm tra:

2.2 Chặn tài khoản người dùng apache

Tài khoản apache nên được Key để ngăn người dùng bình thường trên hệ thống có thể kiện người dùng apache sử dụng mật khẩu. Tốt nhất là không để bất kỳ ai khác chuyển sang tài khoản apache. Nếu cần, có thể sử dụng sudo để thay thế mà không cần mật khẩu đăng nhập

Thành lập:

Sử dụng mật khẩu để Key tài khoản apache:

2.3. Phân quyền thư mục File và thư mục trong apache

Các File và thư mục trong apache nên được đặt để giảm thiểu quyền của người dùng khác trên hệ thống thay đổi File. Cấu hình mặc định cung cấp các quyền rwxr-xr-x (755) và rw – r – r– (644). Với cấu hình cho phép thay đổi nội dung dữ liệu, có thể dẫn đến việc thêm File hoặc phần mềm độc hại vào hệ thống.

Thành lập:

Thực thi lệnh sau để loại bỏ quyền ghi cho các File trong thư mục apache:

# chown -R $ 750 web_server

Kiểm tra:

3. Bảo vệ cấu hình hệ thống

Trong cài đặt mặc định, người dùng có thể ghi đè cấu hình apache bằng .htaccess. Việc sử dụng File .htaccess để thực hiện kiểm soát truy cập phi tập trung làm tăng nguy cơ thay đổi cấu hình máy chủ bị xâm phạm bằng File .htaccess giả. Một số lỗ hổng phổ biến trong máy chủ hoặc ứng dụng web cho phép xem và sửa đổi thông báo, có khả năng thay thế File .htaccess. Vì vậy, để người dùng không thay đổi cài đặt trên apache, hãy cấu hình thêm AllowOverride thành Không như hình bên dưới.

Thành lập

Thêm File cấu hình Thư mục vào thư mục Gốc và khởi động lại Apache

AllowOverride Không có

. . .

4. Giới hạn phương thức yêu cầu HTTP

Giao thức HTTP 1.1 cung cấp một số phương thức yêu cầu thường hiếm khi được sử dụng và tiềm ẩn rủi ro khi sử dụng. Ví dụ: các phương thức PUT và DELETE hiếm khi được sử dụng và nên bị vô hiệu hóa, mặc dù phương pháp này cho phép sửa đổi nội dung máy chủ web vì mục tiêu bảo mật là sử dụng tối thiểu các tính năng và tùy chọn. Trong trang web hoạt động bình thường, chỉ cần 3 phương thức: GET, HEAD và POST cho phép tải nội dung trang web và gửi thông tin lên web. Phương thức OPTIONS cũng được phép sử dụng trong các yêu cầu HTTP. Phương thức TRACE không được phép cấu hình trong điểm chuẩn được đề xuất với TraceEnable.

Mình nghĩ bạn cần xem =>  GetResponse - Vũ khí marketing thời đại mới

Thành lập:

1. Thêm các lệnh sau cho gốc tài liệu

2. Nhìn vào các File cấu hình của apache và thêm cấu hình tương ứng.

. . .

# Giới hạn các phương thức HTTP

Yêu cầu tất cả bị từ chối

Nguồn: Tech.vccloud.vn

✤ Top 20 bài viết Tổng Hợp mới nhất :

Xem thêm nhiều Tổng Hợp mới hay

Leave A Reply

Your email address will not be published.