Apache - самый распространенный web-сервер в
мире. В этой статье мы рассматриваем 20
способов сделать сервер более безопасным.

Пункт первый в нашем списке вполне
традиционен - убедитесь, что все патчи,
существующие для системы, установлены. 

Скройте версию Apache и другую
чувствительную информацию. По умолчанию
многие версии сервера говорят о своей
версии, о версии операционной системы и
даже выводя список модулей, которые
установлены на севрере. В httpd/conf необходимо
подправить пару директив:

ServerSignature Off
ServerTokens Prod

Первая отвечает за подписи внизу страниц (можно
использовать например эту
программу), которые генерятся сервером,
вторая - за заголовок HTTP ответа, в нашем
случае он будет:

Server: Apache

Если  паранойя совсем овладела вашим
мозгом, то можно изменить исходники или
использовать mod_security.

Сделайте так, что бы Apache работал от своего
пользователя и группы, пользователь nobody
позволит взломщику, например, получить
доступ к почтовому серверу, который так же
работает от nobody.

Убедитесь, что файлы вне web root директории
не обслуживаются сервером (в нашем примере
это директория /web):

<Directory />
Order Deny,Allow
Deny from all
Options None
AllowOverride None
</Directory>
<Directory /web>
Order Allow,Deny
Allow from all
</Directory>

Отметьте: установленные опции Options None и AllowOverride None
применимы для всего сервера, так что для
остальных директорий необходимо будет
устанавливать исключения, если им конечно
требуются эти опции.

Выключите просмотр директорий, в
директиве Options раздела Directory:

Options -Indexes или None

Выключите серверные инклуды:

Options -Includes или None

Выключите CGI, если вы их не используете:

Options -ExecCGI или None

Не позволяйте Апачу следовать по
исвольным ссылкам:

Options -FollowSymLinks или None

Если вы хотите выключить все Options просто
используйте None, если некоторые -
используйте последовательность. Например:

Options -ExecCGI -FollowSymLinks -Indexes

Выключите поддержку файлов .htaccess.
Делается это в  разделе Directory в директиве AllowOverride:

AllowOverride None

Если опция все же нужна, то убедитесь, что
файл не может быть скачан или измените его
название на что ни будь, типа .httpdoverride и
запретите загрузку любых файлов, которые
начинаются с .ht:

AccessFileName .httpdoverride
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>

Установите mod_security,
написанный Иваном Ристиком, он очень
полезен в работе, так как позволяет делать
множество интересных вещей. Подробности
можно прочитать на официальном сайте.

Выключите все ненужные модули. Обычно
Апач идет с несколькими модулями, 
изучите документацию и поймите что же
каждый модуль делает. Обычно вы поймете, что
большинство из них вам просто не нужны.
Просмотрите httpd.conf и найдите строчки LoadModule -
это и есть загрузка модулей. Для выключения
достаточно поставить в начале строки #. Для
поиска:

grep LoadModule httpd.conf

Вот типичный пример найденного:

mod_imap, mod_include, mod_info, mod_userdir, mod_status, mod_cgi, mod_autoindex

Убедитесь, что только рут имеет доступ к
конфигам и исполняемым файлам сервера:

chown -R root:root /usr/local/apache
chmod -R o-rwx /usr/local/apache

Уменьшите время таймаута со стандартных
300 до 45 секунд, это снизит потенциальный
эффект от DoS атак: 

Timeout 45

Ограничьте большие запросы, это так же
позволит бороться с DoS атаками:

LimitRequestBody 1048576

Полезно так же обозреть LimitRequestFields, LimitRequestFieldSize
и LimitRequestLine. 

Ограничьте размер XML Body (доступно только в
Apache 2). Многие руководства советуют
установить значение LimitXMLRequestBody к 0, что
означает загрузку произвольных файлов,
однако если вы используете XML запросы для
контроля версий то лучше сделать так:

LimitXMLRequestBody 10485760

Ограничьте одновременные запросы. У Апача
есть несколько опций при помощи которых
можно управлять конкурентными запросами.
Опция MaxClients определяет максимальное
количество дочерних процессов, которые
будут созданы по необходимости, если мало
памяти - установите значение побольше. Так
же следует обратить внимание на MaxSpareServers,
MaxRequestsPerChild и на Apache2 ThreadsPerChild, ServerLimit и MaxSpareThreads.

Ограничьте по IP

Если доступ есть только у ограниченного
круга лиц, то целесообразно прописать
адреса. Для сети:

Order Deny,Allow
Deny from all
Allow from 176.16.0.0/16

Для IP адреса:

Order Deny,Allow
Deny from all
Allow from 127.0.0.1

Настройте HTTP Keep Alive. Опция по умолчанию
включена и сильно влияет на работу
клиентов, так что будьте аккуратнее.
Обратите внимание на MaxKeepAliveRequests и KeepAliveTimeout,
проанализируйте логи для определения
правильных значений.

Запускайте Apache под chroot, в защищенной среде.
Дальше если произойдет взлом сервера, он не
затронет другие сервисы. Полезно прочитать документацию
для получения более подробной информации.

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии