Säkra Apache på Ubuntu - Del 2
Den här artikeln är en del av Apache Server Guide-serien:
- Säkra Apache på Ubuntu - Del 1
- Säkra Apache på Ubuntu - Del 2
- Optimera Apache Performance - Del 1
- Optimera Apache Performance - Del 2
- Konfigurera namnbaserad Virtualhost Apache
- Konfigurera IP och portbaserad Virtualhost i Apache
- Så här ställer du in lösenordskyddswebbkatalogen i Apache
- Ställa in Apache Server med SSL-support på Ubuntu
- Konfigurera Fail2ban för att skydda Apache från ett DDOS-attack
- Så här ställer du upp Webdav med Apache på Ubuntu
- Övervaka Apache webbserver med Mod_status
- Hur man skyddar mot DDoS med Mod_evasive på Apache Server
Min tidigare artikel fokuserade på grundläggande säkerhets tips och knep för att säkra Apache webbserver i Ubuntu.
Här kommer jag att visa dig några tips och tips för förskottssäkerhet för att säkra en Apache webbserver.
Säker Apache från Clickjacking Attack
Clickjacking är en välkänd webbserver sårbarhet. Det är känt som ett "UI-reparationsattack." Det är en skadlig teknik som används av en angripare att samla in en infekterad användares klick. Clickjacking består av två ord - Klicka och hijacking. Klicka betyder "musklick" och kapring betyder "tvinga en användare att klicka". Clickjacking innebär att man tvingar en användare att klicka på en webbsida där hackaren vill att han ska klicka för att utföra den önskade skadliga aktiviteten.
För att säkra din Apache-webbserver från en Clickjacking-attack måste du använda "X-FRAME-OPTIONS" för att förhindra det.
Du kan göra detta genom att redigera filen "apache2.conf".
sudo nano /etc/apache2/apache2.conf
Lägg till följande rad i Directory /var/www/html/
:
Header lägger alltid till X-Frame-Options SAMEORIGIN
Spara filen och starta om Apache.
sudo /etc/init.d/apache2 omstart
Försök nu att öppna en webbläsare för att komma åt din webbserver. Kontrollera HTTP-responshuvud i firebug; Du bör se X-Frame-Alternativ enligt bilden nedan.
Inaktivera Etag
Etags, även känt som "Entity Tags, " är en sårbarhet i Apache. De låter fjärranslutna användare få känslig information som inodnummer, barnprocess-ID och multipart-MIME-gränsen med hjälp av Etag-rubriken. Det rekommenderas att inaktivera Etag.
Du kan göra detta genom att redigera filen "apache2.conf".
sudo nano /etc/apache2/apache2.conf
Lägg till följande rad i Directory /var/www/html/
:
FileETag None
Spara filen och starta om Apache.
Försök nu att öppna en webbläsare för att komma åt din webbserver. Kontrollera HTTP-responshuvud i firebug; Du borde inte se Etag alls.
Inaktivera gammalt protokoll
Gamla HTTP-protokollet (HTTP 1.0) har ett säkerhetsproblem som är relaterat till sessionskapning och Clickjacking-attacker. Det rekommenderas att inaktivera gamla protokoll.
Du kan inaktivera den med "mod_rewrite" -regeln genom att bara tillåta HTTP 1.1-protokoll.
För detta, redigera filen "apache2.conf".
sudo nano /etc/apache2/apache2.conf
Lägg till följande rad i Directory /var/www/html/
:
RewriteEngine On RewriteCond% {THE_REQUEST}! HTTP / 1 \ .1 $ RewriteRule. * - [F]
Spara filen och starta om Apache.
HTTP-förfrågningsmetoder
I Ubuntu stöder HTTP 1.1-protokoll många ansökningsmetoder som "OPTIONS, GET, HEAD, POST, PUT, DELETE, TRACE, CONNECT" som kanske inte krävs. Det rekommenderas att aktivera endast HEAD, POST och GET-förfrågan.
För att åtgärda detta, redigera Apache-konfigurationsfilen.
sudo nano /etc/apache2/apache2.conf
Lägg till följande rad i Directory /var/www/html/
:
förneka allt från alla
Spara filen och starta om Apache.
Säker Apache från en XSS Attack
XSS (även känd som Cross-site Scripting) är ett av de vanligaste programlagrets sårbarheter. Det låter en angripare utföra kod på målwebbservern från en användares webbläsare. Attackers kan attackera XSS sårbara webbservern med hjälp av en webbsidescript (JavaScript), så det rekommenderas att aktivera XSS-skydd på Apache.
Du kan göra det genom att redigera Apache-konfigurationsfilen.
sudo nano /etc/apache2/apache2.conf
Lägg till följande rad i Directory /var/www/html/
:
Header set X-XSS-Protection "1; mode = block"
Spara filen och starta om Apache.
Försök nu att öppna en webbläsare för att komma åt din webbserver. Kontrollera HTTP-responshuvud i firebug; Du bör se X-XSS-skyddsåtgärder som visas i bilden nedan.
Skydda cookies med HTTPOnly Flag
HTTPOnly Cookie är också känd som en säker cookie som används för att överföra http eller https via Internet. Det rekommenderas att använda "HttpOnly" och "Secure flag" i en cookie. Detta kommer att skydda din Apache webbserver från vanligaste attacker som CSS, cookies attack och cookies injektioner.
För att åtgärda detta, redigera Apache-konfigurationsfilen.
sudo nano /etc/apache2/apache2.conf
Lägg till följande rad i Directory /var/www/html/
:
Header edit Set-Cookie ^ (. *) $ $ 1; HttpOnly; Säkert
Spara filen och starta om Apache.
Slutsats
Jag hoppas att du har tillräckligt med kunskap nu för att säkra din Apache webbserver från olika typer av attacker. Om du har några frågor, vänligen kommentera nedan.