מאמר זה הוא חלק מסדרת מדריך השרתים של Apache:

  • אבטחת אפאצ 'י על אובונטו - חלק 1
  • אבטחת אפאצ 'י על אובונטו - חלק 2
  • אופטימיזציה של ביצועי Apache - חלק 1
  • אופטימיזציה של ביצועי Apache - חלק 2
  • הגדרת שם מבוסס Virtualhost Apache
  • הגדרת IP ו Virtualhost מבוסס יציאה ב Apache
  • כיצד להגדיר את הסיסמה להגן על מדריך האינטרנט ב - Apache
  • הגדרת שרת Apache עם תמיכה ב- SSL על אובונטו
  • הגדרת Fail2ban כדי להגן על אפאצ 'י מהתקפה DDOS
  • כיצד להגדיר Webdav עם אפאצ 'י על אובונטו
  • לפקח על שרת האינטרנט Apache באמצעות
  • כיצד להגן על DDoS עם Mod_evasive על שרת אפאצ 'י

המאמר הקודם שלי התמקד עצות אבטחה בסיסיים וטריקים כדי להבטיח שרת האינטרנט Apache ב אובונטו.

הנה אני הולך להראות לך כמה עצות אבטחה מראש טריקים לאבטחת שרת אינטרנט Apache.

מאובטח Apache מ Clickjacking התקפה

Clickjacking היא פגיעות שרת אינטרנט ידועה. היא מכונה "התקפת תיקון של ממשק משתמש". זוהי טכניקה זדונית המשמשת את התוקף כדי לאסוף קליקים של משתמש נגוע. Clickjacking מורכב משתי מילים - לחץ וחטיפה. לחץ פירושו "לחיצות עכבר" ו "חטיפת" פירושו "לאלץ משתמש ללחוץ". לחיצה על לחיצה פירושה לאלץ משתמש ללחוץ על דף אינטרנט שבו האקר רוצה ללחוץ עליו כדי לבצע את הפעילות הזדונית הרצויה.

כדי לאבטח את שרת האינטרנט Apache שלך ​​מפני התקפה Clickjacking, אתה צריך להשתמש "X-FRAME-OPTIONS" כדי למנוע את זה.

ניתן לעשות זאת על ידי עריכת הקובץ "apache2.conf".

 sudo nano /etc/apache2/apache2.conf 

הוסף את השורה הבאה בתוך Directory /var/www/html/ :

 כותרת תמיד לצרף X-Frame-SAMEORIGIN אפשרויות 

שמור את הקובץ והפעל מחדש את Apache.

 / הפעלה מחדש / 

כעת, נסה לפתוח דפדפן אינטרנט כדי לגשת לשרת האינטרנט שלך. בדיקת כותרות תגובת HTTP באש. אתה אמור לראות X-Frame-Options כפי שמוצג בתמונה הבאה.

השבת את Etag

Etags, הידוע גם בשם "תגיות גוף, " הם פגיעות ב- Apache. הם מאפשרים למשתמשים מרוחקים לקבל מידע רגיש כמו מספר inode, מזהה תהליך הילד ואת הגבול MIME multipart באמצעות כותרת Etag. מומלץ להשבית את Etag.

ניתן לעשות זאת על ידי עריכת הקובץ "apache2.conf".

 sudo nano /etc/apache2/apache2.conf 

הוסף את השורה הבאה בתוך Directory /var/www/html/ :

 FileETag ללא 

שמור את הקובץ והפעל מחדש את Apache.

כעת, נסה לפתוח דפדפן אינטרנט כדי לגשת לשרת האינטרנט שלך. בדיקת כותרות תגובת HTTP באש. אתה לא צריך לראות את אטאג בכלל.

השבת פרוטוקול ישן

פרוטוקול HTTP ישן (HTTP 1.0) כולל פגיעות אבטחה הקשורה לחטיפת פעילויות באתר ולחיצה על קליקים. מומלץ להשבית פרוטוקול ישן.

אתה יכול להשבית אותו באמצעות "mod_rewrite" כלל רק על ידי מתן HTTP 1.1 פרוטוקול.

לשם כך, ערוך את הקובץ "apache2.conf".

 sudo nano /etc/apache2/apache2.conf 

הוסף את השורה הבאה בתוך Directory /var/www/html/ :

 RewriteEngine On RewriteCond% {THE_REQUEST}! HTTP / 1 \ .1 $ RewriteRule. * - [F] 

שמור את הקובץ והפעל מחדש את Apache.

שיטות בקשת HTTP

ב- Ubuntu, פרוטוקול HTTP 1.1 תומך בשיטות רבות של בקשות כגון "אפשרויות, GET, HEAD, POST, PUT, DELETE, TRACE, CONNECT" אשר ייתכן שלא יידרש. מומלץ לאפשר רק HEAD, POST ו GET בקשות.

כדי לתקן זאת, ערוך את קובץ ההגדרות של Apache.

 sudo nano /etc/apache2/apache2.conf 

הוסף את השורה הבאה בתוך Directory /var/www/html/ :

 להכחיש מכל 

שמור את הקובץ והפעל מחדש את Apache.

אפאצ 'י מאובטח מתוך התקפת XSS

XSS (הידוע גם בשם Cross-site Scripting) הוא אחת מהפגיעות הנפוצות ביותר של שכבת יישומים. הוא מאפשר לתוקף לבצע קוד בשרת האינטרנט של היעד מדפדפן אינטרנט של משתמש. התוקפים יכולים לתקוף את שרת האינטרנט הפגיע XSS באמצעות סקריפטים בצד השרת (JavaScript), ולכן מומלץ לאפשר הגנה XSS על Apache.

תוכל לעשות זאת על ידי עריכת קובץ ההגדרות של Apache.

 sudo nano /etc/apache2/apache2.conf 

הוסף את השורה הבאה בתוך Directory /var/www/html/ :

 כותרת להגדיר X-XSS-Protection "1, מצב = בלוק" 

שמור את הקובץ והפעל מחדש את Apache.

כעת, נסה לפתוח דפדפן אינטרנט כדי לגשת לשרת האינטרנט שלך. בדיקת כותרות תגובת HTTP באש. אתה אמור לראות X-XSS הגנה אפשרויות כפי שמוצג בתמונה הבאה.

להגן על עוגיות עם HTTPOnly דגל

קוקי HTTPOnly ידוע גם כקובץ cookie מאובטח המשמש להעברת http או https דרך האינטרנט. מומלץ להשתמש ב- "HttpOnly" ו- "Secure flag" בקובץ cookie. פעולה זו תגן על שרת האינטרנט של Apache מפני ההתקפות הנפוצות ביותר כגון CSS, התקפות של קובצי cookie וזריקות של קובצי cookie.

כדי לתקן זאת, ערוך את קובץ ההגדרות של Apache.

 sudo nano /etc/apache2/apache2.conf 

הוסף את השורה הבאה בתוך Directory /var/www/html/ :

 כותרת עריכה Set-Cookie ^ (. *) $ 1 $; HttpOnly; מאובטח 

שמור את הקובץ והפעל מחדש את Apache.

סיכום

אני מקווה שיש לך מספיק ידע עכשיו כדי לאבטח את שרת האינטרנט Apache מפני סוגים שונים של התקפות. אם יש לך שאלות אל תהסס להגיב למטה.