Осигуряване на Apache на Ubuntu - Част 2
Тази статия е част от серията Ръководство за Apache Server:
- Осигуряване на Apache на Ubuntu - Част 1
- Осигуряване на Apache на Ubuntu - Част 2
- Оптимизиране на ефективността на Apache - Част 1
- Оптимизиране на ефективността на Apache - Част 2
- Настройване на Apache на
- Настройване на IP и Port-базирани Virtualhost в Apache
- Как да настроите паролата за защита на уеб директорията в Apache
- Настройване на Apache Server със SSL поддръжка на Ubuntu
- Създаване на Fail2ban за защита на Apache от DDOS атака
- Как да настроите Webdata с Apache на Ubuntu
- Следете уеб сървъра на Apache, използвайки Mod_status
- Как да защитите срещу DDoS с Mod_evasive на Apache Server
Предишната ми статия бе фокусирана върху основни съвети и трикове за сигурност, за да се осигури уеб сървър на Apache в Ubuntu.
Тук ще ви покажа някои предварителни съвети за сигурност и трикове за осигуряване на уеб сървър на Apache.
Сигурен Apache От Clickjacking атака
Clickjacking е известна уязвимост на уеб сървъра. Това е злонамерена техника, използвана от нападателя, за да събира кликванията на заразения потребител. Clickjacking се състои от две думи - кликване и отвличане. Кликването означава "щракване с мишката" и отвличането означава "принуждаване на потребителя да кликне". Clickjacking означава принуждаване на потребител да кликне върху уеб страница, на която хакерът иска да кликне, за да изпълни желаната злонамерена дейност.
За да защитите уеб сървъра си в Apache от атака на Clickjacking, трябва да използвате "X-FRAME-OPTIONS", за да го предотвратите.
Можете да направите това, като редактирате файла "apache2.conf".
sudo nano /etc/apache2/apache2.conf
Добавете следния ред в Directory /var/www/html/
:
Header винаги прибавя X-Frame-Options SAMEORIGIN
Запишете файла и рестартирайте Apache.
sudo /etc/init.d/apache2 рестартирайте
Сега опитайте да отворите уеб браузър за достъп до вашия уеб сървър. Проверете HTTP отговор глави в firebug; трябва да видите опциите за X-Frame, както е показано на изображението по-долу.
Деактивиране на етикета
Етагите, известни също като "Етикети на етикети", са уязвимост в Apache. Те дават възможност на отдалечените потребители да получават чувствителна информация, като например номерът на инода, идентификационните номера на детайлите и многостранната MIME граница, използвайки заглавката на Etag. Препоръчва се да деактивирате Etag.
Можете да направите това, като редактирате файла "apache2.conf".
sudo nano /etc/apache2/apache2.conf
Добавете следния ред в Directory /var/www/html/
:
ФайлЕТАГ Няма
Запишете файла и рестартирайте Apache.
Сега опитайте да отворите уеб браузър за достъп до вашия уеб сървър. Проверете HTTP отговор глави в firebug; изобщо не трябва да виждате Етаг.
Деактивиране на стария протокол
Старият HTTP протокол (HTTP 1.0) има уязвимост за сигурността, свързана с отвличане на сесии и атаки срещу Clickjacking. Препоръчва се да деактивирате стария протокол.
Можете да го деактивирате, като използвате правилото "mod_rewrite", като разрешите само HTTP 1.1 протокола.
Затова редактирайте файла "apache2.conf".
sudo nano /etc/apache2/apache2.conf
Добавете следния ред в Directory /var/www/html/
:
RewriteEngine На RewriteCond% {THE_REQUEST}! HTTP / 1 \ .1 $ RewriteRule. * - [F]
Запишете файла и рестартирайте Apache.
Методи за заявка по HTTP
В Ubuntu протоколът HTTP 1.1 поддържа много методи за заявка като "OPTIONS, GET, HEAD, POST, PUT, DELETE, TRACE, CONNECT", които може да не са необходими. Препоръчва се да се активират само методите за заявка HEAD, POST и GET.
За да коригирате това, редактирайте конфигурационния файл на Apache.
sudo nano /etc/apache2/apache2.conf
Добавете следния ред в Directory /var/www/html/
:
отричай от всички
Запишете файла и рестартирайте Apache.
Защитете Apache от XSS атака
XSS (известен също като "скриптове на различни места") е една от най-често срещаните уязвимости на ниво приложение. Тя позволява на атакуващия да изпълнява код на целевия уеб сървър от уеб браузъра на потребителя. Атакуващите могат да атакуват на XSS уязвим уеб сървър, като използват скриптове от страна на браузъра (JavaScript), така че е препоръчително да активирате XSS защита на Apache.
Можете да направите това, като редактирате конфигурационния файл на Apache.
sudo nano /etc/apache2/apache2.conf
Добавете следния ред в Directory /var/www/html/
:
Набор от заглавки X-XSS-Защита "1; режим = блок"
Запишете файла и рестартирайте Apache.
Сега опитайте да отворите уеб браузър за достъп до вашия уеб сървър. Проверете HTTP отговор глави в firebug; трябва да видите X-XSS-Опции за защита, както е показано на изображението по-долу.
Защитете "бисквитките" с HTTPOnly Flag
HTTPOnly Cookie е известно също като защитена "бисквитка", използвана за предаване на http или https през интернет. Препоръчително е да използвате "HttpOnly" и "Secure flag" в "бисквитка". Това ще защити вашия уеб сървър на Apache от най-често срещаните атаки като CSS, атаки на "бисквитки" и "бисквитки".
За да коригирате това, редактирайте конфигурационния файл на Apache.
sudo nano /etc/apache2/apache2.conf
Добавете следния ред в Directory /var/www/html/
:
Header редактиране Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure
Запишете файла и рестартирайте Apache.
заключение
Надявам се, че имате достатъчно познания сега, за да защитите уеб сървъра си в Apache от различни видове атаки. Ако имате някакви въпроси, можете да коментирате по-долу.