10 biện pháp bảo mật Apache
Chia sẻ bởi Dương Tân Phong |
Ngày 14/10/2018 |
41
Chia sẻ tài liệu: 10 biện pháp bảo mật Apache thuộc Tư liệu tham khảo
Nội dung tài liệu:
10 biện pháp bảo mật Apache
1 . Cập nhật liên tục Việc Apache chạy trên hệ điều hành Linux không có nghĩa là bạn không cần cập nhật. Những lỗ hổng mới và những nguy cơ bảo mật luôn thường trực. Bạn nên thường xuyên cập nhật để vá những lỗ hổng và sửa những lỗi bảo mật đó. Nếu đã cài đặt Apache cùng với trình quản lý gói của bản phân phối, bạn có thể thực hiện cập nhật rất dễ dàng. Và nếu cài đặt từ nguồn, cần đảm bảo rằng quá trình cập nhật sẽ không làm thay đổi module hay những thành phần phụ của website. Ngoài ra nếu sử dụng PHP thì trong quá trình cập nhật Apache bạn phải đồng thời cập nhật cả hai. 2 Vận hành Apache theo từng đối tượng Apache thường được cài đặt cho nhiều nhóm hay nhiều người dùng. Một trong những người hay mắc lỗi nhất là root user (có quyền như admin) mà hậu quả là tạo ra một số lỗi rất nghiêm trọng. Hay nói theo cách khác cả Apache và MySQL đều do cùng một đối tượng người dùng hay nhóm người dùng vận hành. Nếu một người gây ra lỗ hổng, thì người khác có thể phải hứng chịu hậu quả. Biện pháp tốt nhất để tránh tình trạng này đó là đảm bảo Apache được vận hành như một Apache dành cho một người dùng hay một nhóm nhất định. Để thực hiện điều này, bạn chỉ cần mở file httpd.conf và kiểm tra những dòng có dạng:
User Group
Sau đó thay đổi các mục này thành:
User apache Group apache
Nếu gặp lỗi xảy ra trong khi thay đổi có nghĩa là nhóm hay người dùng khai báo không tồn tại và bạn cần phải tạo mới. 3. Tắt bỏ những dịch vụ không cần thiết Có một vài dịch vụ hay tính năng bạn sẽ muốn tắt bỏ hoặc chặn. Tất cả những dịch vụ này có thể được hủy bỏ trong file httpd.conf. Những dịch vụ/tính năng này có thể gây ra một số lỗi sau:
Directory browsing: Dịch vụ này được hủy bỏ trong một thẻ Directory (thường được khởi chạy trong gốc tài liệu) bằng cách sử dụng Options Directive và cài đặt nó với “-Indexing”.
Server side Includes: Đây là một công cụ khác có thể hủy bỏ trong thẻ Directory bằng cách sử dụng Options Directive và cài đặt nó với “-Includes”.
CGI execution: Nếu website không sử dụng đến CGI, bạn nên tắt bỏ dịch vụ này bằng cách sử dụng Options Directive và cài đặt nó với “-ExecCGI” trong tag thư mục.
Symbolic links: Cài đặt công cụ này trong một thẻ Directory với “-FollowSymLinks”.
None: Bạn có thể tắt bỏ mọi tùy chọn (theo những cách trên) bằng cách sử dụng “None” với Option Directive.
4. Hủy bỏ những module không sử dụng Apache gồm có rất nhiều module. Để xem có bao nhiêu module đang chạy, dùng lệnh grep –n LoadModule httpd.conf từ trong thư mục cấu hình Apache. Lệnh này sẽ hiển thị cho bạn mọi module mà Apache đang tải cùng với vị trí dòng của những module này. Để hủy bỏ những module không cần thiết, bạn chỉ cần bổ sung kí tự “#” vào đầu dòng của module cần tắt bỏ. 5. Giới hạn truy cập Giả sử bạn có một mạng intranet chứa nhiều thông tin quan trong của công ty và bạn không muốn cho người ngoài mạng riêng của mình truy cập vào nhóm thông tin này. Để làm được điều đó, bạn chỉ cần giới hạn truy cập vào mạng nội bộ của bạn bằng cách bổ sung đoạn mã dưới đây vào file httpd.conf trong thẻ Directory của bạn:
Order Deny, Allow Deny from all Allow from 192.168.1.0/16
Trong đó 192.168.1.0/16 là địa chỉ mạng nội bộ của bạn. Sau khi thực hiện thay đổi trong file httpd.conf, bạn cần khởi động lại Apache để áp dụng các thay đổi này. 6. Hạn chế yêu cầu Tấn công từ chối duchj vụ (DoS) luôn có thể xay ra khi bạn cho phép khối lượng yêu cầu lớn trên Apache. Apache có một lệnh điều hướng là LimitRequestBody được đặt trong thẻ thư mục. Số lượng giới hạn phụ thuộc vào nhu cầu của website. Theo mặc định thì LimitRequestBody được đặt giá trị vô hạn. 7. Sử dụng module mod_security Một trong những module quan trọng nhất của Apache là mod_security. Module này xử lý nhiều tác vụ, gồm lọc, lọc biểu thức thông thường, mã hóa URL và ẩn địa chỉ server. Việc cài đặt mod_security cũng khá phức tạp. Trước tiên bạn phải bổ sung hai lệnh điều hướng unique_id và security2 vào vùng module của Apache. Sau đó chạy lệnh:
service apache2 configtest
Khi nhận được thông báo Syntax OK là bạn đã cài đặt thành công. 8. Không cho phép duyệt tìm bên ngoài tài liệu gốc
1 . Cập nhật liên tục Việc Apache chạy trên hệ điều hành Linux không có nghĩa là bạn không cần cập nhật. Những lỗ hổng mới và những nguy cơ bảo mật luôn thường trực. Bạn nên thường xuyên cập nhật để vá những lỗ hổng và sửa những lỗi bảo mật đó. Nếu đã cài đặt Apache cùng với trình quản lý gói của bản phân phối, bạn có thể thực hiện cập nhật rất dễ dàng. Và nếu cài đặt từ nguồn, cần đảm bảo rằng quá trình cập nhật sẽ không làm thay đổi module hay những thành phần phụ của website. Ngoài ra nếu sử dụng PHP thì trong quá trình cập nhật Apache bạn phải đồng thời cập nhật cả hai. 2 Vận hành Apache theo từng đối tượng Apache thường được cài đặt cho nhiều nhóm hay nhiều người dùng. Một trong những người hay mắc lỗi nhất là root user (có quyền như admin) mà hậu quả là tạo ra một số lỗi rất nghiêm trọng. Hay nói theo cách khác cả Apache và MySQL đều do cùng một đối tượng người dùng hay nhóm người dùng vận hành. Nếu một người gây ra lỗ hổng, thì người khác có thể phải hứng chịu hậu quả. Biện pháp tốt nhất để tránh tình trạng này đó là đảm bảo Apache được vận hành như một Apache dành cho một người dùng hay một nhóm nhất định. Để thực hiện điều này, bạn chỉ cần mở file httpd.conf và kiểm tra những dòng có dạng:
User Group
Sau đó thay đổi các mục này thành:
User apache Group apache
Nếu gặp lỗi xảy ra trong khi thay đổi có nghĩa là nhóm hay người dùng khai báo không tồn tại và bạn cần phải tạo mới. 3. Tắt bỏ những dịch vụ không cần thiết Có một vài dịch vụ hay tính năng bạn sẽ muốn tắt bỏ hoặc chặn. Tất cả những dịch vụ này có thể được hủy bỏ trong file httpd.conf. Những dịch vụ/tính năng này có thể gây ra một số lỗi sau:
Directory browsing: Dịch vụ này được hủy bỏ trong một thẻ Directory (thường được khởi chạy trong gốc tài liệu) bằng cách sử dụng Options Directive và cài đặt nó với “-Indexing”.
Server side Includes: Đây là một công cụ khác có thể hủy bỏ trong thẻ Directory bằng cách sử dụng Options Directive và cài đặt nó với “-Includes”.
CGI execution: Nếu website không sử dụng đến CGI, bạn nên tắt bỏ dịch vụ này bằng cách sử dụng Options Directive và cài đặt nó với “-ExecCGI” trong tag thư mục.
Symbolic links: Cài đặt công cụ này trong một thẻ Directory với “-FollowSymLinks”.
None: Bạn có thể tắt bỏ mọi tùy chọn (theo những cách trên) bằng cách sử dụng “None” với Option Directive.
4. Hủy bỏ những module không sử dụng Apache gồm có rất nhiều module. Để xem có bao nhiêu module đang chạy, dùng lệnh grep –n LoadModule httpd.conf từ trong thư mục cấu hình Apache. Lệnh này sẽ hiển thị cho bạn mọi module mà Apache đang tải cùng với vị trí dòng của những module này. Để hủy bỏ những module không cần thiết, bạn chỉ cần bổ sung kí tự “#” vào đầu dòng của module cần tắt bỏ. 5. Giới hạn truy cập Giả sử bạn có một mạng intranet chứa nhiều thông tin quan trong của công ty và bạn không muốn cho người ngoài mạng riêng của mình truy cập vào nhóm thông tin này. Để làm được điều đó, bạn chỉ cần giới hạn truy cập vào mạng nội bộ của bạn bằng cách bổ sung đoạn mã dưới đây vào file httpd.conf trong thẻ Directory của bạn:
Order Deny, Allow Deny from all Allow from 192.168.1.0/16
Trong đó 192.168.1.0/16 là địa chỉ mạng nội bộ của bạn. Sau khi thực hiện thay đổi trong file httpd.conf, bạn cần khởi động lại Apache để áp dụng các thay đổi này. 6. Hạn chế yêu cầu Tấn công từ chối duchj vụ (DoS) luôn có thể xay ra khi bạn cho phép khối lượng yêu cầu lớn trên Apache. Apache có một lệnh điều hướng là LimitRequestBody được đặt trong thẻ thư mục. Số lượng giới hạn phụ thuộc vào nhu cầu của website. Theo mặc định thì LimitRequestBody được đặt giá trị vô hạn. 7. Sử dụng module mod_security Một trong những module quan trọng nhất của Apache là mod_security. Module này xử lý nhiều tác vụ, gồm lọc, lọc biểu thức thông thường, mã hóa URL và ẩn địa chỉ server. Việc cài đặt mod_security cũng khá phức tạp. Trước tiên bạn phải bổ sung hai lệnh điều hướng unique_id và security2 vào vùng module của Apache. Sau đó chạy lệnh:
service apache2 configtest
Khi nhận được thông báo Syntax OK là bạn đã cài đặt thành công. 8. Không cho phép duyệt tìm bên ngoài tài liệu gốc
* Một số tài liệu cũ có thể bị lỗi font khi hiển thị do dùng bộ mã không phải Unikey ...
Người chia sẻ: Dương Tân Phong
Dung lượng: 13,89KB|
Lượt tài: 0
Loại file: rar
Nguồn : Chưa rõ
(Tài liệu chưa được thẩm định)