18 Συμβουλές για την ασφάλεια και τη σκλήρυνση του διακομιστή Web Apache

Για να απενεργοποιήσετε την καταχώριση καταλόγου, μεταβείτε στο κύριο αρχείο ρυθμίσεων του Apache και αναζητήστε το χαρακτηριστικό «Directory». Ορίστε την παράμετρο "Επιλογές" σε '-Indexes' όπως φαίνεται.

<Directory /opt/apache/htdocs>
Options -Indexes
</Directory>

Επαναλάβετε τη φόρτωση του Apache και αυτή τη φορά, όταν επισκέπτεστε τη διεύθυνση URL, οι κατάλογοι δεν θα εμφανίζονται πλέον.

3. Ενημερώνετε τακτικά τον Apache

Συνιστάται πάντα να διατηρείτε όλες τις εφαρμογές σας ενημερωμένες, καθώς οι πιο πρόσφατες εφαρμογές συνοδεύονται από διορθώσεις σφαλμάτων και ενημερώσεις κώδικα ασφαλείας που αντιμετωπίζουν υποκείμενα τρωτά σημεία που υπάρχουν σε παλαιότερες εκδόσεις λογισμικού.

Ως εκ τούτου, συνιστάται η τακτική αναβάθμιση των εφαρμογών σας στις πιο πρόσφατες εκδόσεις τους.

sudo apt update && sudo apt upgrade [On Debian, Ubuntu and Mint]
sudo dnf upgrade                    [On RHEL/CentOS/Fedora and Rocky/AlmaLinux]

4. Χρησιμοποιήστε κρυπτογράφηση HTTPS στον Apache

Ο Apache, από προεπιλογή, χρησιμοποιεί πρωτόκολλο HTTP, το οποίο είναι ένα αδύναμο και ανασφαλές πρωτόκολλο που είναι επιρρεπές σε υποκλοπή. Για να βελτιώσετε την ασφάλεια του ιστότοπού σας και, περισσότερο, να βελτιώσετε την κατάταξή σας στο Google SEO, σκεφτείτε να κρυπτογραφήσετε τον ιστότοπό σας χρησιμοποιώντας ένα πιστοποιητικό SSL.

Με αυτόν τον τρόπο, αλλάζει το προεπιλεγμένο πρωτόκολλο HTTP σε HTTPS, καθιστώντας έτσι πιο δύσκολο για οποιονδήποτε να υποκλέψει και να αποκρυπτογραφήσει την επικοινωνία που αποστέλλεται εμπρός και πίσω από τον διακομιστή.

Δείτε πώς μπορείτε να ασφαλίσετε τον διακομιστή ιστού Apache χρησιμοποιώντας το Let’s Encrypt SSL στο Linux.

• Πώς να ασφαλίσετε τον Apache με το Let’s Encrypt SSL Certificate στο RHEL
• Πώς να ασφαλίσετε τον Apache με το δωρεάν Let's Encrypt SSL Certificate σε Ubuntu και Debian

5. Ενεργοποιήστε το HTTP Strict Transport Security (HSTS) για Apache

Εκτός από την κρυπτογράφηση του ιστότοπού σας με πιστοποιητικό TLS/SSL, εξετάστε το ενδεχόμενο να εφαρμόσετε τον μηχανισμό ασφάλειας ιστού HSTS πάνω από το HTTPS.

Η Αυστηρή ασφάλεια μεταφορών HTTP (HSTS) είναι ένας μηχανισμός πολιτικής που προστατεύει τους ιστότοπους από επιθέσεις από τον άνθρωπο στη μέση και παραβίαση cookie. Αυτό συμβαίνει όταν οι εισβολείς υποβαθμίζουν το πρωτόκολλο HTTPS στο μη ασφαλές πρωτόκολλο HTTP.

Το HSTS επιτρέπει στον διακομιστή ιστού να δηλώνει αυστηρά ότι τα προγράμματα περιήγησης ιστού πρέπει να αλληλεπιδρούν μαζί του μόνο μέσω HTTPS και ποτέ μέσω του πρωτοκόλλου HTTP.

Για να ενεργοποιήσετε το HSTS, βεβαιωθείτε ότι ο ιστότοπός σας εκτελεί HTTPS και διαθέτει έγκυρο πιστοποιητικό TLS/SSL.

Στη συνέχεια, ενεργοποιήστε τη μονάδα κεφαλίδων για Apache:

sudo a2enmod headers

Στη συνέχεια, φορτώστε ξανά το Apache για να εφαρμόσετε τις αλλαγές.

sudo systemctl restart apache2

Στη συνέχεια, αποκτήστε πρόσβαση στο αρχείο διαμόρφωσης εικονικού κεντρικού υπολογιστή του τομέα σας.

sudo vim /etc/apache2/sites-available/mydomain.conf

Στη συνέχεια, προσθέστε αυτήν τη γραμμή στο μπλοκ :

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Αυτό φαίνεται ως εξής.

<VirtualHost *:443>
        # .....
        # ....
        Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
</VirtualHost>

Η παράμετρος max-age δίνει εντολή στα προγράμματα περιήγησης ιστού να έχουν πρόσβαση στον ιστότοπό σας μόνο χρησιμοποιώντας HTTPS για τον επόμενο ένα χρόνο (31536000=1 έτος).

Τέλος, επανεκκινήστε το Apache για να τεθεί σε ισχύ η πολιτική HSTS.

sudo systemctl restart apache2

6. Ενεργοποιήστε το HTTP/2 στον Apache

Το 2015 κυκλοφόρησε το HTTP/2, το οποίο είναι μια νέα έκδοση του πρωτοκόλλου HTTP που επιδιώκει να αντιμετωπίσει ή να επιλύσει πολλά προβλήματα που δεν είχαν προβλέψει οι δημιουργοί του HTTP/1.1.

Ενώ το HTTP/1.1 χρησιμοποιείται ακόμη ευρέως, σχετίζεται με ζητήματα απόδοσης που σχετίζονται με τη χρήση πολλαπλών συνδέσεων TCP για την επεξεργασία πολλαπλών αιτημάτων από το πρόγραμμα περιήγησης, γεγονός που οδηγεί σε υψηλή επιβάρυνση πόρων από την πλευρά του πελάτη. οδηγώντας σε υποβαθμισμένη απόδοση του δικτύου.

Καθώς οι εφαρμογές αυξάνονταν σε πολυπλοκότητα και λειτουργικότητα, το HTTP/2 δημιουργήθηκε για να λύσει τα μειονεκτήματα του HTTP/1.1 που περιλαμβάνουν μεγάλες κεφαλίδες HTTP, αργές ταχύτητες φόρτωσης ιστοσελίδων και γενική απόδοση υποβιβασμός.

Το HTTP/2 παρέχει περισσότερη προστασία και απόρρητο από τον προκάτοχό του. Εξίσου σημαντική είναι η βελτιωμένη απόδοση μέσω της χρήσης πολυπλεξικών ροών δεδομένων. Με το HTTP/2 μία μόνο σύνδεση TCP διασφαλίζει αποτελεσματική χρήση εύρους ζώνης, ακόμη και κατά τη μετάδοση πολλαπλών ροών δεδομένων.

Δείτε πώς μπορείτε να ενεργοποιήσετε το HTTP/2 στον διακομιστή ιστού Apache χρησιμοποιώντας:

• Πώς να ενεργοποιήσετε το HTTP/2 στον Apache στο Ubuntu

7. Περιορίστε την πρόσβαση σε ευαίσθητους καταλόγους στο Apache

Ένα άλλο μέτρο ασφαλείας που μπορεί να λάβετε είναι να περιορίσετε την πρόσβαση σε καταλόγους που ενδέχεται να περιέχουν ευαίσθητες πληροφορίες, όπως δεδομένα χρήστη, αρχεία καταγραφής και αρχεία διαμόρφωσης.

<VirtualHost *:80>
    ServerName example.com
    DocumentRoot /var/www/html

    # Other virtual host settings

    <Directory /var/www/html/sensitive_directory>
        Require all denied
    </Directory>
</VirtualHost>

Στην παραπάνω διαμόρφωση, το Απαγόρευση όλων των απορριφθέντων δεν επιτρέπει την πρόσβαση σε οποιονδήποτε προσπαθεί να αποκτήσει πρόσβαση στα αρχεία στον /sensitive_directory.

Αποθηκεύστε τις αλλαγές και βγείτε από το αρχείο. Στη συνέχεια, επανεκκινήστε το Apache για να τεθούν σε ισχύ οι αλλαγές.

8. Απενεργοποιήστε την Οδηγία υπογραφής διακομιστή στον Apache

Η οδηγία ServerSignature στο αρχείο διαμόρφωσης Apache προσαρτά ένα υποσέλιδο σε έγγραφα που δημιουργούνται από διακομιστή και περιέχουν πληροφορίες σχετικά με τη διαμόρφωση του διακομιστή ιστού σας, όπως την έκδοση και το λειτουργικό σύστημα στο οποίο εκτελείται. Η έκθεση κρίσιμων λεπτομερειών σχετικά με τον διακομιστή ιστού σας σε κακόβουλους παράγοντες θα αυξήσει σημαντικά τις πιθανότητες επίθεσης.

Για να αποτρέψετε την έκθεση τέτοιων πληροφοριών, πρέπει να απενεργοποιήσετε αυτήν την οδηγία στο αρχείο διαμόρφωσης του Apache:

ServerSignature Off

Αποθηκεύστε τις αλλαγές και επανεκκινήστε ξανά τον Apache για να τεθούν σε ισχύ οι αλλαγές.

sudo systemctl restart apache2

9. Ορίστε την Οδηγία «ServerTokens» σε «Prod»

Η οδηγία «ServerTokens» ελέγχει ποιες πληροφορίες αποστέλλει ο διακομιστής, συμπεριλαμβανομένης της έκδοσης Apache (κυρίως και δευτερεύουσας έκδοσης), του λειτουργικού συστήματος και του τύπου του διακομιστή ιστού που εκτελείται.

Οι λιγότερες πληροφορίες που θα θέλατε να εκθέσετε στο κοινό είναι ότι ο διακομιστής ιστού είναι Apache. Οτιδήποτε άλλο θα εκθέσει τον διακομιστή σας μόνο σε πιθανές επιθέσεις. Επομένως, συνιστάται να ορίσετε την οδηγία "ServerTokens" στο αρχείο διαμόρφωσης του Apache σε "prod".

ServerTokens Off

Όπως πάντα αποθηκεύστε τις αλλαγές και φροντίστε να επανεκκινήσετε τον Apache.

10. Ασφαλίστε τον Apache με το Fail2ban

Το Fail2ban είναι μια εφαρμογή πρόληψης εισβολής ανοιχτού κώδικα που προστατεύει τα συστήματα Linux από εξωτερικές απειλές, συμπεριλαμβανομένων των επιθέσεων DoS και brute-force. Λειτουργεί παρακολουθώντας συνεχώς τα αρχεία καταγραφής συστημάτων για κακόβουλη δραστηριότητα και αποκλείοντας κεντρικούς υπολογιστές που ταιριάζουν με μοτίβα που μιμούνται τη συμπεριφορά επίθεσης.

Το Fail2ban μπορεί να ρυθμιστεί για να προστατεύει τον Apache από επιθέσεις DoS παρακολουθώντας συνεχώς τα αρχεία καταγραφής του Apache για αποτυχημένες προσπάθειες σύνδεσης και αποκλείοντας προσωρινά τις προσβλητικές IP.

Δείτε πώς να εγκαταστήσετε το Fail2ban σε Linux χρησιμοποιώντας:

• Πώς να χρησιμοποιήσετε το Fail2ban για να ασφαλίσετε τον διακομιστή σας Linux

11. Απενεργοποιήστε τις περιττές μονάδες

Οι λειτουργικές μονάδες Apache είναι απλά προγράμματα που φορτώνονται για να επεκτείνουν τη λειτουργικότητα του διακομιστή ιστού. Οι λειτουργίες που επεκτείνονται από μονάδες περιλαμβάνουν βασικό έλεγχο ταυτότητας, προσωρινή αποθήκευση περιεχομένου, κρυπτογράφηση, ασφάλεια κ.λπ.

Συνιστάται πάντα να απενεργοποιείτε όλες εκείνες τις μονάδες που δεν χρησιμοποιούνται αυτήν τη στιγμή για να ελαχιστοποιήσετε τις πιθανότητες να πέσετε θύματα επίθεσης.

Για να δείτε όλες τις ενεργοποιημένες μονάδες, εκτελέστε την εντολή

apache2ctl -M

Για να ελέγξετε εάν μια συγκεκριμένη λειτουργική μονάδα είναι ενεργοποιημένη, για παράδειγμα, η μονάδα επανεγγραφής, εκτελέστε την εντολή.

apache2ctl -M | grep rewrite

Για να απενεργοποιήσετε τη μονάδα, εκτελέστε την εντολή:

sudo a2dismod rewrite 

12. Χρησιμοποιήστε τις μονάδες mod_security και mod_evasive για να ασφαλίσετε τον Apache

Μπορείτε να ενεργοποιήσετε τις λειτουργικές μονάδες mod_security και mod_evasive για να ασφαλίσετε τον Apache από επιθέσεις ωμής βίας ή επιθέσεις DDoS.

• Η λειτουργική μονάδα mod_security λειτουργεί σαν ένα τείχος προστασίας εφαρμογών ιστού (WAF) και αποκλείει την ύποπτη και ανεπιθύμητη επισκεψιμότητα στον ιστότοπό σας.
• Η λειτουργική μονάδα mod_evasive προστατεύει τον διακομιστή σας από ωμή βία και επιθέσεις άρνησης υπηρεσίας (DoS).

Διαβάστε περισσότερα σχετικά με τον τρόπο προστασίας του Apache χρησιμοποιώντας modules mod_security και mod_evasive.

13. Περιορισμένες ανεπιθύμητες υπηρεσίες στον Apache

Για περαιτέρω ασφάλεια του Apache, εξετάστε το ενδεχόμενο να απενεργοποιήσετε ορισμένες υπηρεσίες, όπως συμβολικούς συνδέσμους και εκτέλεση CGI, εάν δεν απαιτούνται αυτήν τη στιγμή. Από προεπιλογή, το Apache ακολουθεί τους συμβολικούς συνδέσμους, μπορούμε να απενεργοποιήσουμε αυτήν τη δυνατότητα καθώς και τη δυνατότητα -Includes και το CGI σε μία γραμμή.

Για να το κάνετε αυτό, προσθέστε τη γραμμή '-ExecCGI -FollowSymLinks -Includes' για την οδηγία "Επιλογές" στην ενότητα "Κατάλογος".

<Directory /your/website/directory>
Options -ExecCGI -FollowSymLinks -Includes
</Directory>

Αυτό μπορεί επίσης να επιτευχθεί σε επίπεδο καταλόγου. Για παράδειγμα, εδώ, απενεργοποιούμε τις εκτελέσεις αρχείων Includes και Cgi για τον κατάλογο “/var/www/html/mydomain1”.

<Directory "/var/www/html/mydomain1">
	Options -Includes -ExecCGI
</Directory>

Αποθηκεύστε τις αλλαγές και επανεκκινήστε τον Apache.

14. Περιορίστε το μέγεθος αποστολής αρχείου σε Apache

Ένας άλλος τρόπος για να ασφαλίσετε τον διακομιστή ιστού σας είναι να περιορίσετε το συνολικό μέγεθος του σώματος αιτήματος HTTP που αποστέλλεται στον διακομιστή ιστού από έναν πελάτη. Μπορείτε να το ορίσετε στο πλαίσιο διακομιστή, ανά κατάλογο, ανά αρχείο ή ανά τοποθεσία.

Για παράδειγμα, εάν θέλετε να επιτρέψετε τη μεταφόρτωση αρχείων σε έναν συγκεκριμένο κατάλογο, πείτε /var/www/domain.com/wp-uploads κατάλογο και περιορίστε το μέγεθος του μεταφορτωμένου αρχείου σε 4 εκατ.=4194304Bytes, προσθέστε την ακόλουθη οδηγία στο αρχείο διαμόρφωσης του Apache ή στο αρχείο .htaccess.

<Directory "/var/www/domain.com/wp-uploads">
	LimitRequestBody  4194304
</Directory>

Αποθηκεύστε τις αλλαγές και θυμηθείτε να κάνετε επανεκκίνηση του Apache.

Μπορείτε να το ορίσετε στο πλαίσιο διακομιστή, ανά κατάλογο, ανά αρχείο ή ανά τοποθεσία. Η οδηγία αποκρούει την ανώμαλη συμπεριφορά αιτήματος πελάτη που μερικές φορές μπορεί να είναι μια μορφή επίθεσης άρνησης υπηρεσίας (DoS).

15. Ενεργοποιήστε τη σύνδεση στο Apache

Η καταγραφή παρέχει όλες τις λεπτομέρειες σχετικά με τα αιτήματα πελατών και οποιαδήποτε άλλη πληροφορία που σχετίζεται με την απόδοση του διακομιστή ιστού σας. Αυτό παρέχει χρήσιμες πληροφορίες σε περίπτωση που κάτι πάει στραβά. Η ενεργοποίηση των αρχείων καταγραφής Apache, ειδικά σε αρχεία εικονικού κεντρικού υπολογιστή, σάς επιτρέπει να εντοπίσετε ένα πρόβλημα σε περίπτωση που κάτι πάει στραβά με τον διακομιστή ιστού.

Για να ενεργοποιήσετε την καταγραφή, πρέπει να συμπεριλάβετε τη λειτουργική μονάδα mod_log_config, η οποία παρέχει δύο κύριες οδηγίες καταγραφής.

• ErrorLog – Καθορίζει τη διαδρομή του αρχείου καταγραφής σφαλμάτων.
• CustomLog – Δημιουργεί και μορφοποιεί ένα αρχείο καταγραφής.

Μπορείτε να χρησιμοποιήσετε αυτά τα χαρακτηριστικά σε ένα αρχείο εικονικού κεντρικού υπολογιστή στην ενότητα εικονικού κεντρικού υπολογιστή για να ενεργοποιήσετε την καταγραφή.

<VirtualHost 172.16.25.125:443>
        ServerName example.com
        DocumentRoot /var/www/html/example/
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

Η οδηγία {APACHE_LOG_DIR} στα συστήματα Debian ορίζεται ως διαδρομή /var/log/apache2.

16. Εκτελέστε το Apache ως ξεχωριστό χρήστη και ομάδα

Η εκτέλεση του Apache ως ξεχωριστού χρήστη και ομάδας είναι μια κοινή πρακτική ασφάλειας. Με αυτόν τον τρόπο, μπορείτε να απομονώσετε τη διαδικασία του διακομιστή web από άλλες διεργασίες του συστήματος και να ελαχιστοποιήσετε πιθανή ζημιά σε περίπτωση παραβίασης του διακομιστή web.

Αρχικά, θα θέλετε να δημιουργήσετε έναν νέο χρήστη και ομάδα ειδικά για τον Apache.

sudo groupadd apachegroup
sudo useradd -g apachegroup apacheuser

Στη συνέχεια, θα χρειαστεί να επεξεργαστείτε το αρχείο διαμόρφωσης του Apache για να καθορίσετε τον νέο χρήστη και ομάδα.

User apacheuser
Group apachegroup

Εφόσον αλλάζετε τον χρήστη και την ομάδα που εκτελεί το Apache, καθώς μπορεί να χρειαστεί να ενημερώσετε την ιδιοκτησία των καταλόγων και των αρχείων ιστού για να διασφαλίσετε ότι ο Apache εξακολουθεί να μπορεί να τα διαβάσει.

sudo chown -R apacheuser:apachegroup /var/www/html

Αφού κάνετε αυτές τις αλλαγές, επανεκκινήστε τον Apache για να τις εφαρμόσετε:

sudo systemctl restart httpd      # For RHEL/CentOS
sudo systemctl restart apache2    # For Debian/Ubuntu

17. Προστατέψτε τις επιθέσεις DDOS και τη σκλήρυνση

Λοιπόν, είναι αλήθεια ότι δεν μπορείτε να προστατεύσετε πλήρως τον ιστότοπό σας από επιθέσεις DDoS. Ωστόσο, ακολουθούν ορισμένες οδηγίες που μπορούν να σας βοηθήσουν να τις μετριάσετε και να τις διαχειριστείτε.

• TimeOut – Αυτή η οδηγία σάς επιτρέπει να καθορίσετε τη διάρκεια που θα περιμένει ο διακομιστής για να ολοκληρωθούν ορισμένα συμβάντα πριν εμφανιστεί ένα σφάλμα. Η προεπιλεγμένη τιμή είναι 300 δευτερόλεπτα. Για ιστότοπους που είναι επιρρεπείς σε επιθέσεις DDoS, συνιστάται να διατηρείτε αυτήν την τιμή χαμηλή. Ωστόσο, η κατάλληλη ρύθμιση εξαρτάται σε μεγάλο βαθμό από τη φύση των αιτημάτων που λαμβάνει ο ιστότοπός σας. Σημείωση: Ένα χαμηλό χρονικό όριο μπορεί να προκαλέσει προβλήματα με ορισμένα σενάρια CGI.
• MaxClients – Αυτή η οδηγία θέτει το όριο στον αριθμό των συνδέσεων που μπορούν να εξυπηρετηθούν ταυτόχρονα. Οποιεσδήποτε νέες συνδέσεις πέρα από αυτό το όριο θα βρίσκονται σε ουρά. Είναι διαθέσιμο τόσο στο Prefork και στο Worker MPM. Η προεπιλεγμένη τιμή είναι 256.
• KeepAliveTimeout – Αυτή η οδηγία καθορίζει τη διάρκεια που θα περιμένει ο διακομιστής για ένα επόμενο αίτημα πριν κλείσει τη σύνδεση. Η προεπιλεγμένη τιμή είναι 5 δευτερόλεπτα.
• LimitRequestFields – Αυτή η οδηγία θέτει ένα όριο στον αριθμό των πεδίων κεφαλίδας αιτήματος HTTP που γίνονται αποδεκτά από τους πελάτες. Η προεπιλεγμένη τιμή είναι 100. Εάν συμβαίνουν επιθέσεις DDoS λόγω υπερβολικού αριθμού κεφαλίδων αιτημάτων HTTP, συνιστάται να μειώσετε αυτήν την τιμή.
• LimitRequestFieldSize – Αυτή η οδηγία ορίζει ένα όριο μεγέθους για την κεφαλίδα αιτήματος HTTP.

18. Πραγματοποιήστε τακτικές σαρώσεις ευπάθειας

Ένας άλλος τρόπος προστασίας του διακομιστή ιστού σας είναι η διενέργεια τακτικών δοκιμών σάρωσης ευπάθειας. Αυτό βοηθά στον εντοπισμό πιθανών κενών ασφαλείας που ενδέχεται να εκμεταλλευτούν οι χάκερ για να αποκτήσουν πρόσβαση σε ευαίσθητα αρχεία ή να εισαγάγουν κακόβουλο λογισμικό.

Τα εργαλεία σάρωσης ευπάθειας βοηθούν επίσης στην επισήμανση των μη ασφαλών ρυθμίσεων διαμόρφωσης και βοηθούν στον έλεγχο συμμόρφωσης. Τα δημοφιλή εργαλεία σάρωσης ευπάθειας περιλαμβάνουν τα Acutenix, Nessus, Nexpose, Sucuri και πολλά άλλα.

συμπέρασμα

Αυτές είναι μερικές από τις συμβουλές σκλήρυνσης του Apache που μπορείτε να εφαρμόσετε στον διακομιστή ιστού σας για να παρέχετε ένα επιπλέον επίπεδο προστασίας και να κρατήσετε μακριά τις εισβολές.