Każdy z was zna Apacha, jest to bardzo popularny serwer WWW do przechowywania plików internetowych lub witryny. Nie raz wykorzystujemy go w swoich projektach opartych o raspberrypi. Poniżej opiszę kilka przydatnych porad odnośnie zabezpieczenia go przed niechcianymi ludźmi.
Ukrywanie wersję Apache jak i wersji systemu operacyjnego przy stronie błędu.
Kiedy instalujesz Apache ze źródła lub jakimkolwiek innym instalatorem, domyślnie wyświetla przy stronie błędu wersję twojego serwera Apache jak i nazwą systemu operacyjnego jakiego używa. Pokazywanie takiej informacji nie jest zbyt bezpiecznym rozwiązaniem, daje informacje w jaki sposób najłatwiej sforsować zabezpieczenia twojego serwera.
Na powyższym obrazku widać, że Apache pokazuje swoją wersję z wersją systemu operacyjnego zainstalowanego na serwerze. Może to stanowić zagrożenie bezpieczeństwa dla twojego serwera. Aby zablokować wyświetlanie tych informacji, musimy wprowadzić pewne zmiany w pliku konfiguracyjnym Apache.
W tym celu edytujemy plik:
nano /etc/apache2/apache2.conf
Wyszukujemy i zmieniamy według poniższego wzorca lub w momencie gdy nie mamy takiego wpisu dodajemy.
ServerSignature Off
ServerTokens Prod
Po zapisaniu zmian resetujemy serwer Apache
service apache2 restart
Poniżej przykład wykonanych zmian.
Kolejna na liście funkcji która jest domyślnie w Apache włączona jest to, wyświetlanie zawartości katalogu głównego dokumentu w przypadku braku pliku indeks. Przykład poniżej.
Możemy oczywiście wyłączyć listowanie katalogu za pomocą dyrektywy Options w pliku konfiguracyjnym apache2.conf.
W tym celu edytujemy ponownie plik:
nano /etc/apache2/apache2.conf
szukamy
<Directory /var/www/>
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
i zmieniamy na
<Directory /var/www/>
Options -Indexes
AllowOverride None
Require all granted
</Directory>
po zapisaniu oczywiście resetujemy Apache
nano /etc/apache2/apache2.conf
Uruchom Apache jako osobny użytkownik
Przy domyślnej instalacji Apache uruchamia swój proces wraz z użytkownikiem nobody / daemon . Ze względów bezpieczeństwa zaleca się uruchamianie Apache na swoim własnym nieuprzywilejowanym koncie. W przykładzie posłużę się nazwą http-web.
groupadd http-web
useradd -d /var/www/ -g http-web -s /bin/nologin http-web
Teraz musisz wskazać Apachowi, aby uruchamiał się z nowym użytkownikiem, aby tego dokonać musimy wprowadzić wpis w /etc/httpd/conf/httpd.conf po czym ponownie uruchomić usługę / serwer.
nano /etc/httpd/conf/httpd.conf
wyszukaj “User” i “Group” i tam wprowadź nazwę naszego nowego użytkownika.
User http-web
Group http-web
Oczywiście elementów które należało by jeszcze zabezpieczyć jest więcej, chcesz coś dodać podeślij dodamy do tej listy.
PS. nie zamieszczam tu wszystkiego gdyż na tym zarabiam 😉
Pretty! This was an extremely wonderful article. Many thanks for supplying
this information.
Jak wam wywala błąd przy php 7.3 dograjcie
apt install php7.3-gmp php7.3-bcmath php-imagick php7.3-xml php7.-zip