Secure & Harden Apache webserver met de volgende best practices om uw webapplicatie veilig te houden.
De webserver is een cruciaal onderdeel van webgebaseerde toepassingen. Een verkeerde configuratie en de standaardconfiguratie kunnen gevoelige informatie blootleggen, en dat is een risico.
Als eigenaar of beheerder van een website moet u regelmatig beveiligingsscans uitvoeren op uw website om online bedreigingen op te sporen, zodat u actie kunt ondernemen voordat een hacker dat doet.
Laten we de essentiële configuraties doornemen om uw Apache-webserver te behouden.
Het volgen van alle configuratie bevindt zich in httpd.conf van uw apache-instantie.
Opmerking: maak een back-up van het benodigde configuratiebestand voordat u wijzigingen aanbrengt, zodat herstel eenvoudig is als er iets misgaat.
HTTP-verzoek traceren uitschakelen
De standaard TraceEnable staat TRACE toe, waardoor geen enkele verzoekinstantie het verzoek kan vergezellen.
TraceEnable off zorgt ervoor dat de kernserver en mod_proxy een 405-fout (methode niet toegestaan) naar de client retourneren.
TraceEnable aan zorgt voor Cross-Site Tracing Issue en geeft mogelijk de mogelijkheid aan een hacker om uw cookie-informatie te stelen.
Oplossing
Los dit beveiligingsprobleem op door de TRACE HTTP-methode in Apache-configuratie uit te schakelen.
U kunt dit doen door onderstaande richtlijn aan te passen/toe te voegen in uw httpd.conf van uw Apache Web Server.
TraceEnable off
Voer uit als afzonderlijke gebruiker en groep
Apache is standaard geconfigureerd om met niemand of een daemon te werken.
Stel Gebruiker (of Groep) niet in op root, tenzij u precies weet wat u doet en wat de gevaren zijn.
Oplossing
Het uitvoeren van Apache in zijn eigen niet-rootaccount is goed. Wijzig User & Group Directive in httpd.conf van uw Apache Web Server
User apache Group apache
Handtekening uitschakelen
De instelling Uit, de standaardinstelling, onderdrukt de voettekstregel.
De instelling Aan voegt gewoon een regel toe met het serverversienummer en de servernaam van de dienende virtuele host.
Oplossing
Het is goed om Signature uit te schakelen, omdat u de Apache-versie die u gebruikt misschien niet wilt onthullen.
ServerSignature Off
Banier uitschakelen
Deze richtlijn regelt of het serverantwoordheaderveld, dat wordt teruggestuurd naar clients, een beschrijving bevat van het generieke OS-type van de server, evenals informatie over gecompileerde modules.
Oplossing
ServerTokens Prod
Beperk de toegang tot een specifiek netwerk of IP
Als u wilt dat uw site alleen wordt bekeken door een specifiek IP-adres of netwerk, kunt u de directory van uw site wijzigen in httpd.conf
Oplossing
Geef het netwerkadres op in de Allow-richtlijn.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.0.0/24 </Directory>
Geef het IP-adres op in de Allow-richtlijn.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.1.56 </Directory>
Gebruik alleen TLS 1.2
SSL 2.0, 3.0, TLS 1, 1.1 heeft naar verluidt last van verschillende cryptografische fouten.
Hulp nodig bij het configureren van SSL? raadpleeg deze handleiding.
Oplossing
SSLProtocol -ALL +TLSv1.2
Directoryvermelding uitschakelen
Als u geen index.html onder uw WebSite Directory heeft, zal de client alle bestanden en submappen in de browser zien (zoals ls –l uitvoer).
Oplossing
Om bladeren door mappen uit te schakelen, kunt u de waarde van de optie-richtlijn instellen op “Geen” of “-Indexes”
<Directory /> Options None Order allow,deny Allow from all </Directory>
OF
<Directory /> Options -Indexes Order allow,deny Allow from all </Directory>
Verwijder onnodige DSO-modules
Controleer uw configuratie om overbodige DSO-modules te verwijderen.
Er zijn veel modules standaard geactiveerd na installatie. Wat je niet nodig hebt, kun je verwijderen.
Schakel null- en zwakke cijfers uit
Sta alleen sterke cijfers toe, dus sluit je alle deuren die proberen te handdrukken op lagere cijfersuites.
Oplossing
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Blijf actueel
Aangezien Apache een actieve open-source is, is de meest recente versie de eenvoudigste manier om de beveiliging van Apache Web Server te verbeteren. In elke release worden nieuwe fixes en beveiligingspatches toegevoegd. Upgrade altijd naar de nieuwste stabiele versie van Apache.
Hierboven staan slechts enkele van de essentiële configuraties, en als u op zoek bent naar diepgaande informatie, kunt u mijn stapsgewijze beveiligings- en verhardingsgids raadplegen.
Met plezier het artikel gelezen? Hoe zit het met delen met de wereld?
