Sikre Apache på Ubuntu - Del 2

Denne artikkelen er en del av Apache Server Guide-serien:

• Sikre Apache på Ubuntu - Del 1
• Sikre Apache på Ubuntu - Del 2
• Optimalisering av Apache Performance - Del 1
• Optimalisering av Apache Performance - Del 2
• Sette opp navnbasert Virtualhost Apache
• Sette opp IP og portbasert Virtualhost i Apache
• Hvordan sette opp passordbeskytt webkatalogen i Apache
• Sette opp Apache Server med SSL-støtte på Ubuntu
• Konfigurere Fail2ban for å beskytte Apache fra et DDOS-angrep
• Hvordan sette opp Webdav med Apache på Ubuntu
• Overvåk Apache Web Server ved hjelp av Mod_status
• Slik beskytter du mot DDoS med Mod_evasive på Apache Server

Min forrige artikkel fokuserte på grunnleggende sikkerhetstips og triks for å sikre Apache webserver i Ubuntu.

Her kommer jeg til å vise deg noen forhåndssikkerhetstips og triks for å sikre en Apache webserver.

Sikker Apache Fra Clickjacking Attack

Clickjacking er et velkjent nettleserproblem. Det er kjent som et "UI-rettsangrep". Det er en ondsinnet teknikk som en angriper bruker til å samle inn en infisert brukeres klikk. Clickjacking består av to ord - klikk og hijacking. Klikk betyr "museklikk" og hijacking betyr "tvinge en bruker til å klikke." Clickjacking betyr å tvinge en bruker til å klikke på en nettside som hackeren vil at han skal klikke for å utføre ønsket skadelig aktivitet.

For å sikre Apache webserveren fra et Clickjacking-angrep, må du bruke "X-FRAME-OPTIONS" for å forhindre det.

Du kan gjøre dette ved å redigere filen "apache2.conf".

 sudo nano /etc/apache2/apache2.conf 

Legg til følgende linje i Directory /var/www/html/ :

 Header legger alltid til X-Frame-Options SAMMENDRAG 

Lagre filen og start Apache på nytt.

 sudo /etc/init.d/apache2 restart 

Prøv nå å åpne en nettleser for å få tilgang til webserveren din. Sjekk HTTP-responsoverskrifter i firebug; Du bør se X-Frame-Alternativer som vist i bildet nedenfor.

Deaktiver Etag

Etags, også kjent som "Entity Tags, " er et sikkerhetsproblem i Apache. De tillater ekstern brukere å skaffe seg sensitiv informasjon som inode nummer, barn prosess ID og multipart MIME grense ved hjelp av Etag header. Det anbefales å deaktivere Etag.

Du kan gjøre dette ved å redigere filen "apache2.conf".

 sudo nano /etc/apache2/apache2.conf 

Legg til følgende linje i Directory /var/www/html/ :

 FileETag None 

Lagre filen og start Apache på nytt.

Prøv nå å åpne en nettleser for å få tilgang til webserveren din. Sjekk HTTP-responsoverskrifter i firebug; Du bør ikke se Etag i det hele tatt.

Deaktiver gammel protokoll

Gammel HTTP-protokoll (HTTP 1.0) har et sikkerhetsproblem knyttet til øktkapring og Clickjacking-angrep. Det anbefales å deaktivere gammel protokoll.

Du kan deaktivere den ved hjelp av "mod_rewrite" -regelen ved bare å tillate HTTP 1.1-protokollen.

For dette, rediger filen "apache2.conf".

 sudo nano /etc/apache2/apache2.conf 

Legg til følgende linje i Directory /var/www/html/ :

 RewriteEngine On RewriteCond% {THE_REQUEST}! HTTP / 1 \ .1 $ RewriteRule. * - [F] 

Lagre filen og start Apache på nytt.

HTTP-forespørselsmetoder

I Ubuntu støtter HTTP 1.1-protokollen mange forespørselsmetoder som "OPTIONS, GET, HEAD, POST, PUT, DELET, TRACE, CONNECT" som kanskje ikke er nødvendig. Det anbefales å aktivere kun HEAD, POST og GET forespørselsmetoder.

For å fikse dette, rediger du Apache-konfigurasjonsfilen.

 sudo nano /etc/apache2/apache2.conf 

Legg til følgende linje i Directory /var/www/html/ :

 nekte fra alle 

Lagre filen og start Apache på nytt.

Sikker Apache fra et XSS Attack

XSS (også kjent som Cross-site Scripting) er en av de mest vanlige programlagsårbarhetene. Det tillater en angriper å utføre kode på målwebserveren fra en brukers nettleser. Angrepere kan angripe på XSS sårbare webserver ved hjelp av en webleser side scripting (JavaScript), så det anbefales å aktivere XSS beskyttelse på Apache.

Du kan gjøre dette ved å redigere Apache-konfigurasjonsfilen.

 sudo nano /etc/apache2/apache2.conf 

Legg til følgende linje i Directory /var/www/html/ :

 Header sett X-XSS-Protection "1; modus = blokk" 

Lagre filen og start Apache på nytt.

Prøv nå å åpne en nettleser for å få tilgang til webserveren din. Sjekk HTTP-responsoverskrifter i firebug; Du bør se X-XSS-beskyttelsesalternativer som vist på bildet under.

Beskytt informasjonskapsler med HTTPOnly Flag

HTTPOnly Cookie er også kjent som en sikker informasjonskapsel som brukes til å overføre http eller https via Internett. Det anbefales å bruke "HttpOnly" og "Secure flag" i en informasjonskapsel. Dette vil beskytte Apache webserver fra de fleste vanlige angrep som CSS, informasjonskapsler angrep og informasjonskapsler.

For å fikse dette, rediger du Apache-konfigurasjonsfilen.

 sudo nano /etc/apache2/apache2.conf 

Legg til følgende linje i Directory /var/www/html/ :

 Overskrift redigere Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure 

Lagre filen og start Apache på nytt.

Konklusjon

Jeg håper at du har nok kunnskap nå for å sikre Apache webserver fra ulike typer angrep. Hvis du har noen spørsmål, gjerne kommentere nedenfor.