7 основних порад для підвищення безпеки Apache на CentOS, ІТ Блог
Головне меню » Операційна система CentOS » 7 основних порад для підвищення безпеки Apache на CentOS
1. Тримайте оновленим Apache до теперішнього часу Найважливіша порада безпеки, а не тільки для Apache, але і для всіх сервісів, додатків та скриптів, щоб тримати їх в актуальному стані шляхом оновлення щоразу, коли виходить нова версія. Apache активно розвивається та питання безпеки фіксуються в нових версіях.
Щоб оновити веб-сервер Apache до останньої доступної версії, виконайте таку команду
2. Приховати версію Apache та OS Директива ServerSignature увімкнена за замовчуванням і відображає версію Apache, встановлений на вашому сервері та на операційній системі, яку ви використовуєте. Зловмисники можуть легко використовувати цю інформацію проти вашого сервера. Щоб приховати цю важливу інформацію, потрібно змінити дві директиви у файлі конфігурації Apache.
Відкрийте конфігураційний файл Apache, знайдіть директиви та внесіть наступні зміни.
3. Вимкнути список каталогів Якщо список каталогів не вимкнено, всі бажаючі зможуть перерахувати вміст каталогів у кореневому каталозі документів. Перелік каталогів можна вимкнути за допомогою директиви Options у конфігураційному файлі Apache.
Замінити шлях '/your/document/root' на фактичну кореневу директорію.
4. Встановити та використовувати модуль mod_security mod_security дуже корисний модуль Apache. Він зміцнює безпеку веб-сервера Apache і захистить ваш сайт від різних атак, блокуючи майже всі загальновідомі експлойти.
Для встановлення та налаштування mod_security на сервері CentOS, будь ласка, ознайомтесь з посібником зНалаштування: Встановити mod_security з основним правилом OWASP на CentOS VPS.
5. Вимкнути всі непотрібні модулі В Apache є багато модулів і деякі з них включені в установці Apache за промовчанням. Не всі вони необхідні, і рекомендується відключити модулі, що не використовуються. Ви можете використовувати наступну команду, щоб отримати список всіх включених модулів Apache
Ви можете перевірити офіційну документацію Apache для модулів, щоб дізнатися більше про їхню функціональність.
Усі непотрібні модулі можуть бути відключені, додавши символ '#' на початку рядка LoadModule у конфігураційному файлі веб-сервера. Наприклад:
6. Обмеження розміру запиту Директива 'LimitRequestBody' Apache може бути використана, щоб обмежити кількість байтів, які дозволені в тілі запиту. Межа багато в чому залежить від ваших потреб веб-сайту. За умовчанням ліміт 'LimitRequestBody' встановлений на необмежену і це може зробити вас жертвою атак відмови в обслуговуванні (DOS).
Межа цієї директиви Apache може бути встановлена від 0 (без обмежень) до 2147483647 (2 Гб). Наприклад, якщо ви хочете дозволити завантаження файлів розміром 100К у каталозі завантаження /var/www/html/upload, ви можете додати наступну директиву у файлі конфігурації Apache.
7. Включити ведення журналу Файли журналу завжди дуже корисні, щоб отримати докладнішу інформацію про події, що відбуваються на вашому сервері. Таким чином, це хороша практика, щоб увімкнути протоколювання в Apache. Він надасть вам більш детальну інформацію та відомості про всі клієнтські запити, зроблені на вашому веб-сервері. Для цього, ви повинні переконатися, що модуль log_config_module включений на вашому сервері.
Модуль Apache 'Log_config_module' забезпечуєфункціональні можливості директив TransferLog, LogFormat та CustomLog, які можуть бути використані для створення файлу журналу.