Αυτό το άρθρο είναι μέρος της σειράς Apache Server Guide:

  • Ασφάλεια Apache στο Ubuntu - Μέρος 1
  • Ασφάλεια του Apache στο Ubuntu - Μέρος 2
  • Βελτιστοποίηση της απόδοσης του Apache - Μέρος 1
  • Βελτιστοποίηση της απόδοσης του Apache - Μέρος 2
  • Ρύθμιση του βασισμένου σε όνομα Apache του
  • Εγκατάσταση IP και Port-Based Virtualhost στο Apache
  • Πώς να ρυθμίσετε τον Κατάλογο Ιστού Προστατέψτε τον Κωδικό στο Apache
  • Εγκατάσταση του Apache Server με υποστήριξη SSL στο Ubuntu
  • Ρύθμιση του Fail2ban για την προστασία του Apache από επίθεση DDOS
  • Πώς να ρυθμίσετε το Webdav με Apache στο Ubuntu
  • Παρακολούθηση του διακομιστή Web Apache χρησιμοποιώντας το Mod_status
  • Πώς να προστατεύσετε το DDoS με Mod_evasive στο Apache Server

Το προηγούμενο άρθρο μου επικεντρώθηκε σε βασικές συμβουλές ασφάλειας και κόλπα για την ασφάλεια του διακομιστή ιστού Apache στο Ubuntu.

Εδώ θα σας δείξω κάποιες συμβουλές ασφάλειας και τεχνάσματα για την ασφάλεια ενός διακομιστή ιστού Apache.

Ασφαλής Apache από την επίθεση Clickjacking

Το Clickjacking είναι μια γνωστή ευπάθεια του διακομιστή ιστού. Είναι γνωστή ως "επίθεση επανόρθωσης UI". Είναι μια κακόβουλη τεχνική που χρησιμοποιείται από έναν εισβολέα για τη συλλογή των κλικ ενός μολυσμένου χρήστη. Το clickjacking αποτελείται από δύο λέξεις - Click και Hijacking. Το κλικ σημαίνει "κλικ με το ποντίκι" και η πειρατεία σημαίνει "εξαναγκάστε τον χρήστη να κάνει κλικ". Το clickjacking σημαίνει ότι αναγκάζει έναν χρήστη να κάνει κλικ σε μια ιστοσελίδα στην οποία ο χάκερ θέλει να κάνει κλικ για να εκτελέσει την επιθυμητή κακόβουλη δραστηριότητα.

Για να εξασφαλίσετε τον διακομιστή ιστού Apache από μια επίθεση Clickjacking, πρέπει να χρησιμοποιήσετε το "X-FRAME-OPTIONS" για να το αποφύγετε.

Μπορείτε να το κάνετε αυτό με την επεξεργασία του αρχείου "apache2.conf".

 sudo nano /etc/apache2/apache2.conf 

Προσθέστε την ακόλουθη γραμμή μέσα στον Directory /var/www/html/ :

 Η επικεφαλίδα προσαρτάται πάντοτε στο X-Frame-Options SAMEORIGIN 

Αποθηκεύστε το αρχείο και κάντε επανεκκίνηση του Apache.

 sudo /etc/init.d/apache2 επανεκκίνηση 

Τώρα, προσπαθήστε να ανοίξετε ένα πρόγραμμα περιήγησης ιστού για πρόσβαση στον διακομιστή ιστού σας. Ελέγξτε τις κεφαλίδες απόκρισης HTTP στο firebug. θα πρέπει να δείτε το X-Frame-Options όπως φαίνεται στην παρακάτω εικόνα.

Απενεργοποιήστε την επισήμανση

Τα etags, επίσης γνωστά ως "Ετικέτες οντοτήτων", είναι ένα θέμα ευπάθειας στο Apache. Επιτρέπουν σε απομακρυσμένους χρήστες να λαμβάνουν ευαίσθητες πληροφορίες, όπως τον αριθμό inode, τα αναγνωριστικά διαδικασίας παιδιού και τα όρια MIME πολλαπλών τμημάτων, χρησιμοποιώντας την κεφαλίδα Etag. Συνιστάται να απενεργοποιήσετε το Etag.

Μπορείτε να το κάνετε αυτό με την επεξεργασία του αρχείου "apache2.conf".

 sudo nano /etc/apache2/apache2.conf 

Προσθέστε την ακόλουθη γραμμή μέσα στον Directory /var/www/html/ :

 Fileetag Κανένα 

Αποθηκεύστε το αρχείο και κάντε επανεκκίνηση του Apache.

Τώρα, προσπαθήστε να ανοίξετε ένα πρόγραμμα περιήγησης ιστού για πρόσβαση στον διακομιστή ιστού σας. Ελέγξτε τις κεφαλίδες απόκρισης HTTP στο firebug. δεν πρέπει να βλέπετε καθόλου το Etag.

Απενεργοποίηση παλιού πρωτοκόλλου

Το παλιό πρωτόκολλο HTTP (HTTP 1.0) έχει ευπάθεια ασφαλείας που σχετίζεται με τις επιθέσεις κατάχρησης και τις επιθέσεις Clickjacking. Συνιστάται να απενεργοποιήσετε το παλιό πρωτόκολλο.

Μπορείτε να το απενεργοποιήσετε χρησιμοποιώντας τον κανόνα "mod_rewrite" επιτρέποντας μόνο το πρωτόκολλο HTTP 1.1.

Για αυτό, επεξεργαστείτε το αρχείο "apache2.conf".

 sudo nano /etc/apache2/apache2.conf 

Προσθέστε την ακόλουθη γραμμή μέσα στον Directory /var/www/html/ :

 RewriteEngine Στο RewriteCond% {THE_REQUEST}! HTTP / 1 \ .1 $ RewriteRule. * - [F] 

Αποθηκεύστε το αρχείο και κάντε επανεκκίνηση του Apache.

Μέθοδοι αίτησης HTTP

Στο πρωτόκολλο Ubuntu, το πρωτόκολλο HTTP 1.1 υποστηρίζει πολλές μεθόδους όπως "OPTIONS, GET, HEAD, POST, PUT, DELETE, TRACE, CONNECT" οι οποίες μπορεί να μην απαιτούνται. Συνιστάται η ενεργοποίηση μόνο των μεθόδων αιτήματος HEAD, POST και GET.

Για να το διορθώσετε, επεξεργαστείτε το αρχείο διαμόρφωσης Apache.

 sudo nano /etc/apache2/apache2.conf 

Προσθέστε την ακόλουθη γραμμή μέσα στον Directory /var/www/html/ :

 αρνούνται από όλους 

Αποθηκεύστε το αρχείο και κάντε επανεκκίνηση του Apache.

Ασφαλίστε το Apache από μια επίθεση XSS

Το XSS (γνωστό επίσης και ως δέσμη ενεργειών μεταξύ τοποθεσιών) είναι ένα από τα πιο κοινά ευπάθειες στρώματος εφαρμογών. Επιτρέπει σε έναν εισβολέα να εκτελέσει κώδικα στον διακομιστή ιστού προορισμού από το πρόγραμμα περιήγησης ιστού ενός χρήστη. Οι επιτιθέμενοι μπορούν να επιτεθούν σε ευπαθές διακομιστή ιστού XSS χρησιμοποιώντας μια δέσμη ενεργειών περιήγησης (JavaScript), επομένως συνιστάται να ενεργοποιήσετε την προστασία XSS στο Apache.

Μπορείτε να το κάνετε αυτό με την επεξεργασία του αρχείου διαμόρφωσης Apache.

 sudo nano /etc/apache2/apache2.conf 

Προσθέστε την ακόλουθη γραμμή μέσα στον Directory /var/www/html/ :

 Σετ επικεφαλής X-XSS-Προστασία "1; mode = block" 

Αποθηκεύστε το αρχείο και κάντε επανεκκίνηση του Apache.

Τώρα, προσπαθήστε να ανοίξετε ένα πρόγραμμα περιήγησης ιστού για πρόσβαση στον διακομιστή ιστού σας. Ελέγξτε τις κεφαλίδες απόκρισης HTTP στο firebug. θα πρέπει να δείτε τις επιλογές προστασίας X-XSS όπως φαίνεται στην παρακάτω εικόνα.

Προστατέψτε τα cookies με HTTPOnly Flag

Το HTTPOnly Cookie είναι επίσης γνωστό ως ασφαλές cookie που χρησιμοποιείται για τη μετάδοση http ή https μέσω Internet. Συνιστάται να χρησιμοποιείτε "HttpOnly" και "Secure flag" σε ένα cookie. Αυτό θα προστατεύσει τον διακομιστή ιστού Apache από τις πιο κοινές επιθέσεις, όπως οι εισβολές CSS, επιθέσεις cookie και cookies.

Για να το διορθώσετε, επεξεργαστείτε το αρχείο διαμόρφωσης Apache.

 sudo nano /etc/apache2/apache2.conf 

Προσθέστε την ακόλουθη γραμμή μέσα στον Directory /var/www/html/ :

 Επεξεργασία κεφαλίδας Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure 

Αποθηκεύστε το αρχείο και κάντε επανεκκίνηση του Apache.

συμπέρασμα

Ελπίζω ότι έχετε αρκετές γνώσεις για να εξασφαλίσετε τον διακομιστή ιστού Apache από διάφορα είδη επιθέσεων. Αν έχετε οποιεσδήποτε ερωτήσεις, μπορείτε να σχολιάσετε παρακάτω.