Apache – Porady dotyczące bezpieczeństwa

Każdy z was zna Apacha, jest to bardzo popularny serwer WWW do przechowywania plików internetowych lub witryny. Nie raz wykorzystujemy go w swoich projektach opartych o raspberrypi. Poniżej opiszę kilka przydatnych porad odnośnie zabezpieczenia go przed niechcianymi ludźmi.

Ukrywanie wersję Apache jak i wersji systemu operacyjnego przy stronie błędu.

Kiedy instalujesz Apache ze źródła lub jakimkolwiek innym instalatorem, domyślnie wyświetla przy stronie błędu wersję twojego serwera Apache jak i  nazwą systemu operacyjnego jakiego używa. Pokazywanie takiej informacji nie jest zbyt bezpiecznym rozwiązaniem, daje informacje w jaki sposób najłatwiej sforsować zabezpieczenia twojego serwera.

Na powyższym obrazku widać, że Apache pokazuje swoją wersję z wersją  systemu operacyjnego zainstalowanego na serwerze. Może to stanowić  zagrożenie bezpieczeństwa dla twojego serwera. Aby zablokować wyświetlanie tych informacji, musimy wprowadzić pewne zmiany w pliku konfiguracyjnym Apache.

W tym celu edytujemy plik:
nano /etc/apache2/apache2.conf

Wyszukujemy i zmieniamy według poniższego wzorca lub w momencie gdy nie mamy takiego wpisu dodajemy.
ServerSignature Off
ServerTokens Prod

Po zapisaniu zmian resetujemy serwer Apache

service apache2 restart

Poniżej przykład wykonanych zmian.


Kolejna na liście funkcji która jest domyślnie w Apache włączona jest to, wyświetlanie zawartości katalogu głównego dokumentu w przypadku braku pliku indeks. Przykład poniżej.

Możemy oczywiście wyłączyć listowanie katalogu za pomocą dyrektywy Options w pliku konfiguracyjnym apache2.conf.

W tym celu edytujemy ponownie plik:

nano /etc/apache2/apache2.conf

szukamy

<Directory /var/www/>
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>

i zmieniamy na

<Directory /var/www/>
Options -Indexes
AllowOverride None
Require all granted
</Directory>

po zapisaniu oczywiście resetujemy Apache

nano /etc/apache2/apache2.conf

Uruchom Apache jako osobny użytkownik
Przy domyślnej instalacji Apache uruchamia swój proces wraz z użytkownikiem nobody / daemon . Ze względów bezpieczeństwa zaleca się uruchamianie Apache na swoim własnym nieuprzywilejowanym koncie. W przykładzie posłużę się nazwą http-web.

groupadd http-web
useradd -d /var/www/ -g http-web -s /bin/nologin http-web

Teraz musisz wskazać Apachowi, aby uruchamiał się z  nowym użytkownikiem, aby tego dokonać musimy wprowadzić wpis w  /etc/httpd/conf/httpd.conf po czym ponownie uruchomić usługę / serwer.

nano /etc/httpd/conf/httpd.conf 

wyszukaj “User” i “Group” i tam wprowadź nazwę naszego nowego użytkownika.

User http-web
Group http-web

Oczywiście elementów które należało by jeszcze zabezpieczyć jest więcej, chcesz coś dodać podeślij dodamy do tej listy.
PS. nie zamieszczam tu wszystkiego gdyż na tym zarabiam 😉

Post Author: swistak

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Potwierdz, że nie jesteś botem. *

This site uses Akismet to reduce spam. Learn how your comment data is processed.