it-swarm-eu.dev

Doporučené postupy pro kalení serveru Apache?

Jaké jsou některé doporučené postupy, doporučení, potřebné čtení pro zabezpečení serveru Apache?

104
Eric Warriner

Získejte průvodce Centra pro internetové zabezpečení (CIS) pro zabezpečení Apache (podrobně popisuje, jak zvýšit zabezpečení):

Upravit: Aktualizovaný odkaz CIS Apache HTTP Server 2.2.x Benchmark

Pokud máte licenci na Nessus , můžete spustit automatickou kontrolu tak, že uchopíte jejich šablonu auditu:

alt text

31
Tate Hansen
  • Použijte přihlášení založená na klíči SSH
  • Zabezpečte MySQL
  • Zakázat phpMyAdmin, webmin atd
  • Zavřete všechny nepotřebné porty/procesy
  • Použijte nástroj pro kontrolu integrity souborů
  • Použijte mod_security
  • Nastavte správná oprávnění/skupiny

Toto je dobrý průvodce:
https://serverfault.com/questions/212269/tips-for-securing-a-lamp-server

Základní příručka pro kalení: http://www.wpsecure.net/server-guide/

Pokud používáte php: http://www.madirish.net/?article=229

Najděte 404 (nebo jiné stavové kódy) v protokolu Apache
awk '$9 == 404 {print $7}' access_log | uniq -c | sort -rn | head

12
Wyck

Původně vysoce hlasovaná odpověď na tuto otázku, která byla přijata, byla vymazána, protože šlo o přímý plagiát o 20 způsobů, jak zabezpečit vaši konfiguraci Apache . Tato stránka je fantastickým zdrojem.

@RoryMcCune to také zveřejnil jako odkaz na tuto odpověď: Existuje projekt OWASP na vývoj ModSecurity Core Rule Set here , který by mohl být užitečný.

7
Jeff Ferland

Je tu spousta dobrých rad, takže nebudu opakovat již zmíněné věci. Ale řeknu to:

Nezapomeňte nahradit výchozí chybové stránky věcmi, které nedávají pryč vaše vydání webového serveru nebo revizi jádra. Mám sklon nahradit každý výchozí html 1 vložkami, které jsou něco jako „Chyba 400“. O systému se dá jen velmi málo. Tato zásada platí pro všechny webové servery, které jsou schopny zobrazovat vlastní chybové stránky. Všechny jsou ve výchozím nastavení, aby poskytovaly příliš mnoho informací, než je nutné. Mysleli byste si, že ServerSignature to skrývá, ale v mnoha případech to tak není.

Nezapomeňte také odstranit veškerý výchozí obsah HTML (specifický pro jazyk atd.), Takže otisky prstů jsou mnohem těžší.

Pokud jde o dobré čtení, tam byl whitepaper od Apcon 2008 to stojí za přečtení.

Mod_Security je uvedeno několikrát, je to vhodnější pro webové aplikace, takže pokud obsluhujete pouze statický obsah, nebude vám to také pomáhat , i když existují některé útoky, proti nimž se během zpracování žádosti brání a které by mohly ovlivnit statický webový server.

Druhou věcí, kterou bych zmínil, je dobrá správa protokolů, pokud nechcete své protokoly obdělávat a pozorně sledujete systém, riskujete, že na něj útočník buší, aniž by o tom věděl.

6
Ori

Platí všechny obecné zásady zabezpečení: spusťte pouze moduly, které potřebujete, vypněte funkce, které nepotřebujete, upravte svá oprávnění/vlastnictví (většina obsahu je pouze ke čtení, tak proč soubory potřebují něco víc než 400 perms?).

Věci, které jsou pro Apache zvláštní, jako například úlohy CGI nebo různé vhostiny, kteří dvakrát rozdávají stejný obsah se dvěma různými bezpečnostními mechanismy, jsou mnohem těžší najít; ne úplně automatizovaná kontrola, musíte vlastně znát Apache, základní operační systém a co aplikace spuštěné v Apache dělají.

Pro úplnost zde je Apache 2.2 Security Checklist od DISA. AKTUALIZACE: Zde je odkaz na jejich celou sbírk dokumentů zpřístupňujících webový server.

6
Marcin

Možná by stálo za to dát Apache mod_security pohled.

Nedávno jsem na některých svých serverech chodil nejen to, že provádí některé vylepšení konfigurace Apache, jako je změna čísla verze atd., Ale také funguje jako firewall webové aplikace, který pomáhá chránit před celou řadou útoků, jako je SQL injekce atd.

4
Mark Davidson

Jak zabezpečím webový server Apache

Jakou odpověď byste očekávali, kdybyste se zeptali: „Jak mohu létat v jumb-jetu“ nebo „Jak mohu operovat mozek“ - to samé platí pro zabezpečení webserveru - musíte udělat 1000 hodin tréninku, praxe a výzkumu . Ale protože každý musí někde začít ...

Na internetu je spousta základních kontrolních seznamů, jak ztvrdnout server - ale podle mého komentáře se jinde liší velmi v kvalitě.

Doporučil bych sans one jako dobrý zdroj.

Poté, co jste se řídili kontrolním seznamem, musíte stanovit prostředky, kterými můžete

  • ověřte integritu vašeho serveru (určitě potřebujete IDS založené na hostiteli, jako je tripwire spolu s detektorem rootkit)
  • být si vědom a používat záplaty
  • obnovit váš systém do známého dobrého stavu

Neplánujte, jak se vypořádáte s bezpečnostním incidentem , pokud k tomu dojde . Naplánujte, co dělat , když se stane .

Poté, co jste nastavili a nakonfigurovali systém, vyměňte pevný disk a zjistěte, jak dlouho trvá, než se služba znovu uvede do provozu, aniž byste použili původní disk.

2
symcbean

to není jen související s Apache (a také se počítá pro nginx + php-fpm), ale často zapomenuté: php-eastereggs, které by mohly být přepnuty přes php.ini

  expose_php = off

není to tak hrozné jako ponechat phpinfo.php pozadu, ale obvykle je náznakem velmi líné správy systému.

viz velikonoční vajíčka

Dobrý závit se otočil. Mnoho lidí říká pravdu.

Zapomněli jeden, OpenBSD způsob:

V OpenBSD byl server Apache httpd (8) ve výchozím nastavení chroot (2)

httpd (v.1 Apache) ve výchozím nastavení zahrnutý do OpenBSD a standardně chrootovaný.

Můžete to snadno opakovat s Apache2 nebo nginx na jakémkoli jiném unixovém OS.

0
user29424

Použijte nejnovější verzi Apache, opravte operační systém a také třetí strany, jako je openssl nebo jiné.

Blokovat nežádoucí porty.

Toto vás ochrání před některými známými zranitelnostmi, ale vždy budete náchylní k 0dennímu dni.

0
Novice User

Zde je 6 klíčových kroků:

  1. Zabezpečte kód aplikace
  2. vypněte všechny nepoužívané moduly. Zkuste zakázat všechny a potom postupně přidávat moduly.
  3. odeberte všechny skripty a záložní soubory z webové složky.
  4. vypněte výpis adresářů
  5. použijte modsecurity k ochraně aplikace před útoky na úrovni aplikace.
  6. Pomocí Fail2ban můžete vyvolat chyby HTTP (403, 404).

Nespoléhejte se na síťový firewall, je to zbytečné, když mluvíme o zabezpečení webu.

0
Mike