Топ-7 советов для обеспечения вашего веб-сервера Apache

В этой должности по безопасности Apache, я покажу вам 10 самых важных вещей, что вам нужно сделать для обеспечения сервера.

1. Измените свой httpd.conf и удалить неиспользуемые модули

Это очень важно, так как каждый дополнительный модуль, таких как, например, mod_php увеличит риск для безопасности вашего сайта. Если есть уязвимость в PHP, и вы не работаете с mod_php, вам не будут подвержены. Если у вас требуют только mod_rewrite, то только комментарии, модуль строку в файл httpd.conf должны быть

LoadModule rewrite_module модулей / mod_rewrite.so

(Лучше если вы поняла, что над линией только для Apache 2.x конфигурационных файлов)

2. Будьте в курсе уязвимостей для модулей, которые вы установили

Это означает, подписавшись на списки рассылки и проверить блоги и веб-сайты регулярно новости уязвимостей в модулях у вас установлена.

3. Хранить информацию о последней версии Apache HTTPD

Хотя Apache имеет прекрасную репутацию безопасности, вы все равно должны искать новые версии регулярно httpd.apache.org

4. Выключите сервер подпись

Там не нужно никому, что веб-сервер и версии продукта вы работаете. Чтобы выключить сервер подписей, как на страницы с ошибками и в заголовке ответа HTML, добавьте следующие строки в httpd.conf:


ServerSignature Офф
ServerTokens ProductOnly

5. Не позволяйте индекса каталога просмотра

Если пользователь вводит www.yoursite.com/images в своем браузере бар, и нет индексной страницы для каталога изображений, можно увидеть все файлы в этой или любой другой каталог, не индексную страницу. Чтобы убедиться, что этого не произойдет, отключите индексирование каталога с помощью использования следующих в httpd.conf:

Options-индексы России

6. Выполнить mod_security

Этот модуль, написанный Apache гуру Иван Ристич, позволяет делать такие вещи, как отфильтровать SQL инъекций попытки из строк URI, обнаружить оболочки код в POST или GET запросов, и многое, многое другое.

Получить его на www.modsecurity.org

7. Выполнить Apache в Chroot тюрьмы

Эта передовая конфигурация позволяет "тюрьма" Apache для конкретного корневого каталога. Процесс не будет иметь доступ к ничего, кроме chroot'ed каталога. Для учебника, см. эту статью Linux.com.