10 best practices om uw Apache-webserver te beveiligen en te versterken

Secure & Harden Apache webserver met de volgende best practices om uw webapplicatie veilig te houden.

De webserver is een cruciaal onderdeel van webgebaseerde toepassingen. Een verkeerde configuratie en de standaardconfiguratie kunnen gevoelige informatie blootleggen, en dat is een risico.

Als eigenaar of beheerder van een website moet u regelmatig beveiligingsscans uitvoeren op uw website om online bedreigingen op te sporen, zodat u actie kunt ondernemen voordat een hacker dat doet.

Laten we de essentiële configuraties doornemen om uw Apache-webserver te behouden.

Het volgen van alle configuratie bevindt zich in httpd.conf van uw apache-instantie.

Opmerking: maak een back-up van het benodigde configuratiebestand voordat u wijzigingen aanbrengt, zodat herstel eenvoudig is als er iets misgaat.

HTTP-verzoek traceren uitschakelen

De standaard TraceEnable staat TRACE toe, waardoor geen enkele verzoekinstantie het verzoek kan vergezellen.

TraceEnable off zorgt ervoor dat de kernserver en mod_proxy een 405-fout (methode niet toegestaan) naar de client retourneren.

  Wat zijn oproepbladen? [Explanation and Free Templates]

TraceEnable aan zorgt voor Cross-Site Tracing Issue en geeft mogelijk de mogelijkheid aan een hacker om uw cookie-informatie te stelen.

Oplossing

Los dit beveiligingsprobleem op door de TRACE HTTP-methode in Apache-configuratie uit te schakelen.

U kunt dit doen door onderstaande richtlijn aan te passen/toe te voegen in uw httpd.conf van uw Apache Web Server.

TraceEnable off

Voer uit als afzonderlijke gebruiker en groep

Apache is standaard geconfigureerd om met niemand of een daemon te werken.

Stel Gebruiker (of Groep) niet in op root, tenzij u precies weet wat u doet en wat de gevaren zijn.

Oplossing

Het uitvoeren van Apache in zijn eigen niet-rootaccount is goed. Wijzig User & Group Directive in httpd.conf van uw Apache Web Server

User apache 
Group apache

Handtekening uitschakelen

De instelling Uit, de standaardinstelling, onderdrukt de voettekstregel.

De instelling Aan voegt gewoon een regel toe met het serverversienummer en de servernaam van de dienende virtuele host.

Oplossing

Het is goed om Signature uit te schakelen, omdat u de Apache-versie die u gebruikt misschien niet wilt onthullen.

ServerSignature Off

Banier uitschakelen

Deze richtlijn regelt of het serverantwoordheaderveld, dat wordt teruggestuurd naar clients, een beschrijving bevat van het generieke OS-type van de server, evenals informatie over gecompileerde modules.

  Wat is ultrabreedband en waarom zit het in de iPhone 11?

Oplossing

ServerTokens Prod

Beperk de toegang tot een specifiek netwerk of IP

Als u wilt dat uw site alleen wordt bekeken door een specifiek IP-adres of netwerk, kunt u de directory van uw site wijzigen in httpd.conf

Oplossing

Geef het netwerkadres op in de Allow-richtlijn.

<Directory /yourwebsite>    
Options None    
AllowOverride None    
Order deny,allow    
Deny from all    
Allow from 10.20.0.0/24  
</Directory>

Geef het IP-adres op in de Allow-richtlijn.

<Directory /yourwebsite>
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 10.20.1.56
</Directory>

Gebruik alleen TLS 1.2

SSL 2.0, 3.0, TLS 1, 1.1 heeft naar verluidt last van verschillende cryptografische fouten.

Hulp nodig bij het configureren van SSL? raadpleeg deze handleiding.

Oplossing

SSLProtocol -ALL +TLSv1.2

Directoryvermelding uitschakelen

Als u geen index.html onder uw WebSite Directory heeft, zal de client alle bestanden en submappen in de browser zien (zoals ls –l uitvoer).

Oplossing

Om bladeren door mappen uit te schakelen, kunt u de waarde van de optie-richtlijn instellen op “Geen” of “-Indexes”

<Directory />
Options None
Order allow,deny
Allow from all
</Directory>

OF

<Directory />
Options -Indexes
Order allow,deny
Allow from all
</Directory>

Verwijder onnodige DSO-modules

Controleer uw configuratie om overbodige DSO-modules te verwijderen.

  Hoe u Rainmeter-skins aan de bovenkant vastmaakt

Er zijn veel modules standaard geactiveerd na installatie. Wat je niet nodig hebt, kun je verwijderen.

Schakel null- en zwakke cijfers uit

Sta alleen sterke cijfers toe, dus sluit je alle deuren die proberen te handdrukken op lagere cijfersuites.

Oplossing

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Blijf actueel

Aangezien Apache een actieve open-source is, is de meest recente versie de eenvoudigste manier om de beveiliging van Apache Web Server te verbeteren. In elke release worden nieuwe fixes en beveiligingspatches toegevoegd. Upgrade altijd naar de nieuwste stabiele versie van Apache.

Hierboven staan ​​slechts enkele van de essentiële configuraties, en als u op zoek bent naar diepgaande informatie, kunt u mijn stapsgewijze beveiligings- en verhardingsgids raadplegen.

Met plezier het artikel gelezen? Hoe zit het met delen met de wereld?

gerelateerde berichten