Что нового

Article [0] Apache: Повышение безопасности Web-сервера

Vander 0

Vander

Команда форума
10.11.2019
444
983
Приветствую уважаемую аудиторию форума protey.net.

pngegg.png

В этой статье, мы рассмотрим методы повышения безопасности вашего web-сервера Apache, эта публикация будет вступительной для цикла статей по обеспечению безопасности Apache web-серверов.

По умолчанию ваши серверы Apache раскрывают больше информации, чем вы, вероятно, пожелаете. Мы покажем вам, как минимизировать количество деталей, отображаемых на этих серверах.

1601576550612.png

Если вы администрируете веб-сервер Apache, вы знаете, что есть много вещей, которые вы можете сделать, чтобы улучшить его безопасность. Например, вы можете (и должны) использовать mod_security. Вы также можете скрывать папки каталогов, запускать только необходимые модули, ограничивать большие запросы, ограничивать просмотр определенными каталогами и многое другое.

Но есть два, часто упускаемых из виду, шага, которые вы можете предпринять, чтобы повысить безопасность своего сервера Apache:
  • Отключение подписи Apache и настройка ServerTokens.
Почему это помогает? Просто. Если вы транслируете конкретную информацию о своем сервере, вы сообщаете потенциальным злоумышленникам, с чем они борются. Они могут знать, какой веб-сервер вы используете, какую версию веб-сервера, платформу хостинга и многое другое.

Вы не хотите, чтобы эта информация отображалась для всеобщего обозрения. Так как же скрыть эту информацию?
Есть два параметра, которые нужно настроить, и я собираюсь показать вам, как именно их установить, чтобы скрыть отображаемые детали о вашем сервере. Я покажу, как это делается как на Apache (CentOS 7), так и на Apache2 (Ubuntu).

Процесс очень прост.

Что нужно знать?

Мы будем иметь дело со следующими двумя опциями:
  • ServerSignature - используется для настройки строки нижнего колонтитула под документами, созданными сервером.
  • ServerTokens - контролирует детали, которые отправляет сервер. Детали могут включать ОС и другие собранные модули.
Существует шесть различных настроек ServerToken:
  • Full (or not specified) - Server: Apache/2.4.18 (UNIX) PHP/7.0.25
  • Prod (or ProductOnly) - Server: Apache
  • Major - Server: Apache/2
  • Minor - Server: Apache/2.4
  • Min (or Minimal) - Server: Apache/2.4.18
  • OS - Server: Apache/2.4.18 (UNIX)
Таким образом, наименьшее количество информации, которую вы можете выдать с помощью ServerTokens, - это Prod, который только сообщит публике, что сервер - это Apache. Он не будет выдавать номер версии, хост-платформу или какую-либо информацию о модулях.

Как это настроить на сервере?

Apache2 on Ubuntu

Откройте окно терминала и введите команду:

Код:
sudo nano /etc/apache2/conf-enabled/security.conf
В этом файле найдите SeverTokens и установите для него значение Prod, затем найдите ServerSignature и установите для него значение Off.

1601577713287.png

Сохраните и закройте этот файл. Перезапустите Apache с помощью команды:

Код:
sudo systemctl reload apache2
Теперь Apache предоставит минимум информации.

Apache on CentOS 7

Для CentOS 7 необходимо добавить эти две директивы (поскольку по умолчанию они не находятся в файле конфигурации). Откройте окно терминала и введите команду:

Код:
sudo nano /etc/httpd/conf/httpd.conf
В конце этого файла добавьте следующее:

Код:
ServerTokens Prod
ServerSignature Off
1601577885324.png

Сохраните и закройте файл. Перезапустите Apache с помощью команды:

Код:
sudo systemctl reload httpd
Это все, что нужно сделать.

Теперь вы настроили Apache для объявления меньшего количества информации, чем было, прямо из коробки. Хотя это не повлияет на защиту Apache напрямую, хакерам будет сложнее использовать данные вашего веб-сервера против вас.

Сделайте это для всех своих серверов Apache и получите немного больше безопасности.

Спасибо за внимание, материал подготовлен специально для protey.net
 
Верх Низ