Kā nocietināt savu Apache Web serveri Ubuntu 18.04 speciālajā serverī vai VPS

Ievads

Apache ir viens no populārākajiem tīmekļa serveriem, tāpēc parasti ir pakļauts hakeru uzbrukumiem. Ar noklusējuma konfigurāciju, kas pakļauj sensitīvu informāciju par serveri, tiek saīsināts hakeru iepazīšanās laiks. Lielākā daļa uzbrukumu tiek veikti, izmantojot PHP injekcijas uzbrukumus, vietņu skriptu rakstīšanu, sīkdatņu zagšanu, pakalpojumu atteikšanu (DoS), izplatītu DOS (DDoS), HTTP brutālu spēku uzbrukumus.>, jāpiemin tikai daži. Šajā rakstā mēs parādām, kā konfigurēt jūsu Apache tīmekļa serveri Ubuntu 18.04 tā, lai tas būtu drošs un tam būtu stabila aizsardzība pret ļaunprātīgiem uzbrukumiem..


Priekšnoteikumi

  • Jums jābūt pamatzināšanām par Apache>
  • Ubuntu 18.04 VPS ir jābūt instalētam jaunākajam Apache tīmekļa serverim (publicēšanas brīdī ir 2.4.29).
  • Jums jābūt instalētai WordPress demonstrācijas vietnei mapē / var / www / html
  • Jums jāzina, kā testam izmantot inspektora elementu tīmekļa pārlūkprogrammā
  • Jums ir jābūt izgatavotam šo konfigurācijas failu kopiju

/etc/apache2/apache2.conf
/etc/apache2/conf-enabled/security.conf

1. Slēpt Apache versiju un operētājsistēmu

Pēc noklusējuma apache versija un OS tiek parādītas atbildes galvenēs, kā parādīts zemāk. Šī ir būtiska drošības nepilnība, kas pasaulei atklāj šādu informāciju, un hakeri to izmanto.

No attēla redzams, ka tīmekļa serveris darbojas Apache versijā 2.4.29 un Ubuntu OS. Lai paslēptu šo informāciju, pievienojiet divas rindiņas apache konfigurācijas failā /etc/apache2/conf-enabled/security.conf

Servera paraksts izslēgts
ServerTokens Prod

Pēc tam atkārtoti ielādējiet Apache:

$ sudo systemctl pārlādēt apache2

Atsvaidziniet pārlūkprogrammu, un pamanīsit noņemto versiju un OS, kā parādīts zemāk:

2. Atspējojiet direktoriju sarakstu un FollowSymLinks

Pēc noklusējuma ir iespējots visu Web saknes direktorijā esošo failu direktoriju uzskaitījums, ja nav indeksa faila, kā parādīts zemāk. Tas ļauj hakeriem apskatīt un analizēt failus jūsu tīmekļa servera direktorijā un maksimāli izmantot mazāko pieejamo ievainojamību, lai sāktu uzbrukumu..

Turklāt apache pēc noklusējuma ir konfigurēts, lai ievērotu simboliskas saites, kas nav ieteicams.

Lai tos atspējotu, rediģējiet konfigurācijas failu /etc/apache2/apache2.conf, pirms katras tagu direktīvas ievietojot “-” rindā Opciju indeksi FollowSymLinks, lai tie kļūtu par Opcijām -Indexes -FollowSymLinks, kā parādīts zemāk:

Iespējas -Indexes -FollowSymLinks
AllowOverride Nav
Pieprasīt visu piešķirto

Pēc tam atkārtoti ielādējiet apache pakalpojumu

Atsvaidziniet pārlūku un pamanīsit, ka failus vairs nevar apskatīt, tā vietā tiek ģenerēts 403 aizliegts kļūdas ziņojums, kā parādīts zemāk:

3. Nostipriniet Apache, izmantojot mod_security un mod_evasive moduļus

Mod_security

Darbojas kā tīmekļa serveru un lietojumprogrammu ugunsmūris, nodrošinot aizsardzību pret brutālu spēku uzbrukumiem. Instalējiet to un pēc tam restartējiet Apache.

$ sudo apt install libapache2-mod-security2 -y
$ sudo systemctl restartējiet apache2

Mod_evasive

Atklāj un nodrošina aizsardzību pret DDOS un HTTP brutālu spēku uzbrukumiem. Tas atklāj uzbrukumus ikreiz: tik daudz pieprasījumu tiek novirzīti uz lapu vairākas reizes sekundē; uz laiku melnajā sarakstā iekļautais IP joprojām mēģina iesniegt jaunu pieprasījumu; bērna process mēģina iesniegt vairāk nekā 50 vienlaicīgus pieprasījumus. Instalējiet un restartējiet Apache.

$ sudo apt install libapache2-mod-izvairīšanās -y
$ sudo systemctl restartējiet apache2

4. Ierobežot pieprasījuma lielumu

Pēc noklusējuma HTTP pieprasījums Apache ir neierobežots, tāpēc tīmekļa serveris ir jutīgs pret DoS uzbrukumiem, saglabājot to atvērtu lielam pieprasījumu skaitam. Piemēram, ir vietne, kas lietotājiem ļauj augšupielādēt failus, tad ir svarīgi noteikt augšupielādes ierobežojumu. To var izdarīt, iestatot LimitRequestBody konkrētajā augšupielādes direktorijā šādi:

LimitRequestBody 10485760

Augšupielādes lielums ir ierobežots līdz 10 megabaitiem. Maksimālais pieļaujamais ierobežojums parasti ir 2 GB.

Pēc tam restartējiet / atkārtoti ielādējiet apache pakalpojumu.

5. Atspējojiet TRACE HTTP pieprasījumu

Pēc noklusējuma Trace HTTP pieprasījums ir iespējots, ļaujot izsekot vietnēm. Tas ļauj hakerim viegli nozagt informāciju par sīkdatnēm. Atspējojot HTTP izsekošanas pieprasījumu, mod_proxy un servera serveris klientiem parāda kļūdas ziņojumu “405 – metode nav atļauta”. Izsekošanas pieprasījums ir atspējots, konfigurācijas failā /etc/apache2/apache2.conf pievienojot rindu TraceEnable off.

Saglabājiet failu un atkārtoti ielādējiet afišu pakalpojumu.

sudo systemctl restartējiet apache2

Secinājums

Iekļautās 5 darbības ir visvienkāršākās drošības aizsardzības funkcijas, kuras jāievieš jūsu Apache tīmekļa serverī. Lai pievienotu papildu drošības elementus, varat veikt šādas darbības:

  • Atspējot servera puses iekļaušanu (SSI) un CGI izpildi, kas parasti ļauj patvaļīgu kodu izpildi no attāluma
  • Pārliecinieties, ka Apache ir atjaunināta ar jaunāko versiju, jo tajā ir ielāpi, kas samazina uzbrukuma ievainojamību
  • Novērst Clickjack uzbrukumus, kas liek lietotājiem noklikšķināt uz ļaunprātīgām vietnēm
  • Lai šifrētu visu saziņu, izmantojot internetu, nostipriniet Apache Web serveri ar SSL sertifikātiem

Iepazīstieties ar šiem 3 populārākajiem serveru mitināšanas pakalpojumiem:

A2 mitināšana

Sākuma cena:
USD 99,59


Uzticamība
9.3


Cenu noteikšana
9.0


Lietotāju draudzīgs
9.3


Atbalsts
9.3


Iespējas
9.3

Lasīt atsauksmes

Apmeklējiet vietni A2 Hostings

FastComet

Sākuma cena:
139,00 USD


Uzticamība
9.7


Cenu noteikšana
9.5


Lietotāju draudzīgs
9.7


Atbalsts
9.7


Iespējas
9.6

Lasīt atsauksmes

Apmeklējiet vietni FastComet

Resursu vēji

Sākuma cena:
99,00 USD


Uzticamība
9.3


Cenu noteikšana
9.2


Lietotāju draudzīgs
9.2


Atbalsts
9.3


Iespējas
9.2

Lasīt atsauksmes

Apmeklējiet vietni Hostwinds

Saistītie padomi

  • Kā iestatīt WordPress multisite uz Ubuntu 18.04 ar Apache Web Server
    starpposms
  • Kā rūdīt Nginx Web Server uz Ubuntu 18.04 VPS vai Dedicated Server
    eksperts
  • Kā iespējot divfaktoru autentifikāciju Ubuntu 18.04 VPS vai speciālajā serverī
    starpposms
  • Kā mainīt vispārējos PHP iestatījumus Ubuntu 18.04 VPS vai speciālajā serverī
    starpposms
  • Kā iespējot Apache Mod_Rwrite Ubuntu 18.04 VPS vai speciālajā serverī
    eksperts
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me