Secure & Harden Server web Apache con le seguenti best practice per proteggere la tua applicazione web.
Il Web Server è una parte cruciale delle applicazioni basate sul Web. Avere una configurazione errata e la configurazione predefinita può esporre informazioni sensibili e questo è un rischio.
In qualità di proprietario o amministratore di un sito Web, dovresti eseguire regolarmente scansioni di sicurezza sul tuo sito Web per individuare minacce online in modo da poter agire prima che lo faccia un hacker.
Esaminiamo le configurazioni essenziali per mantenere il tuo server web Apache.
Di seguito tutta la configurazione è in httpd.conf della tua istanza Apache.
Nota: fai un backup del file di configurazione necessario prima della modifica, quindi il ripristino è facile quando le cose vanno male.
Sommario:
Disabilita la richiesta HTTP di traccia
L’impostazione predefinita TraceEnable su consente TRACE, che impedisce a qualsiasi corpo della richiesta di accompagnare la richiesta.
TraceEnable off fa sì che il server principale e mod_proxy restituiscano un errore 405 (metodo non consentito) al client.
TraceEnable on consente il problema di tracciamento tra siti e offre potenzialmente la possibilità a un hacker di rubare le informazioni sui cookie.
Soluzione
Risolvi questo problema di sicurezza disabilitando il metodo TRACE HTTP in Apache Configuration.
Puoi farlo modificando/aggiungendo la seguente direttiva nel tuo httpd.conf del tuo server Web Apache.
TraceEnable off
Esegui come utente e gruppo separati
Per impostazione predefinita, Apache è configurato per funzionare con nessuno o demone.
Non impostare l’utente (o il gruppo) su root a meno che tu non sappia esattamente cosa stai facendo e quali siano i pericoli.
Soluzione
L’esecuzione di Apache nel proprio account non root è buona. Modifica la direttiva utente e gruppo in httpd.conf del tuo server Web Apache
User apache Group apache
Disattiva firma
L’impostazione Off, che è l’impostazione predefinita, sopprime la riga del piè di pagina.
L’impostazione On aggiunge semplicemente una riga con il numero di versione del server e ServerName dell’host virtuale di servizio.
Soluzione
È utile disabilitare Signature, poiché potresti non voler rivelare la versione di Apache che stai utilizzando.
ServerSignature Off
Disattiva bandiera
Questa direttiva controlla se il campo dell’intestazione della risposta del server, che viene inviato ai client, include una descrizione del tipo di sistema operativo generico del server e informazioni sui moduli compilati.
Soluzione
ServerTokens Prod
Limitare l’accesso a una rete o IP specifico
Se desideri che il tuo sito venga visualizzato solo da un indirizzo IP o una rete specifica, puoi modificare la directory del tuo sito in httpd.conf
Soluzione
Fornire l’indirizzo di rete nella direttiva Allow.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.0.0/24 </Directory>
Fornire l’indirizzo IP nella direttiva Allow.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.1.56 </Directory>
Usa solo TLS 1.2
Secondo quanto riferito, SSL 2.0, 3.0, TLS 1, 1.1 soffre di diversi difetti crittografici.
Hai bisogno di aiuto con la configurazione di SSL? fare riferimento a questa guida.
Soluzione
SSLProtocol -ALL +TLSv1.2
Disabilita l’elenco delle directory
Se non hai index.html nella directory del tuo sito Web, il client vedrà tutti i file e le sottodirectory elencati nel browser (come ls –l output).
Soluzione
Per disabilitare la navigazione nella directory, puoi impostare il valore della direttiva Option su “None” o “-Indexes”
<Directory /> Options None Order allow,deny Allow from all </Directory>
O
<Directory /> Options -Indexes Order allow,deny Allow from all </Directory>
Rimuovere i moduli DSO non necessari
Verificare la configurazione per rimuovere i moduli DSO ridondanti.
Ci sono molti moduli attivati per impostazione predefinita dopo l’installazione. Puoi rimuovere quello che non ti serve.
Disattiva cifrature nulle e deboli
Consenti solo cifrature forti, quindi chiudi tutte le porte che tentano di stringere la mano su suite di cifratura inferiori.
Soluzione
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Rimani aggiornato
Poiché Apache è un open source attivo, il modo più semplice per migliorare la sicurezza di Apache Web Server è mantenere l’ultima versione. Nuove correzioni e patch di sicurezza vengono aggiunte in ogni versione. Aggiorna sempre all’ultima versione stabile di Apache.
Sopra sono solo alcune delle configurazioni essenziali e, se stai cercando informazioni approfondite, puoi fare riferimento alla mia guida passo passo alla sicurezza e alla protezione.
Ti è piaciuto leggere l’articolo? Che ne dici di condividere con il mondo?