Proteja e proteja o servidor da web Apache com as seguintes práticas recomendadas para manter seu aplicativo da web seguro.
O servidor Web é uma parte crucial dos aplicativos baseados na Web. Ter uma configuração incorreta e padrão pode expor informações confidenciais, e isso é um risco.
Como proprietário ou administrador de um site, você deve realizar verificações de segurança regularmente em seu site para encontrar ameaças online para que possa agir antes que um hacker o faça.
Vamos passar pelas configurações essenciais para manter seu servidor Apache.
Segue toda configuração no httpd.conf da sua instância do apache.
Observação: faça um backup do arquivo de configuração necessário antes da modificação, para que a restauração seja fácil quando algo der errado.
últimas postagens
Desativar solicitação HTTP de rastreamento
O TraceEnable padrão permite TRACE, o que impede que qualquer corpo de solicitação acompanhe a solicitação.
TraceEnable desativado faz com que o servidor núcleo e o mod_proxy retorne um erro 405 (método não permitido) para o cliente.
TraceEnable ativado permite o problema de rastreamento entre sites e potencialmente oferece a opção de um hacker roubar suas informações de cookie.
Solução
Resolva esse problema de segurança desativando o método TRACE HTTP na Configuração do Apache.
Você pode fazer Modificando/Adicionando a diretiva abaixo no seu httpd.conf do seu Apache Web Server.
TraceEnable off
Executar como usuário e grupo separados
Por padrão, o Apache é configurado para executar com ninguém ou daemon.
Não defina o usuário (ou grupo) como root, a menos que você saiba exatamente o que está fazendo e quais são os perigos.
Solução
Executar o Apache em sua própria conta não root é bom. Modifique a Diretiva de Usuário e Grupo em httpd.conf do seu Apache Web Server
User apache Group apache
Desativar assinatura
A configuração Off, que é o padrão, suprime a linha do rodapé.
A configuração On simplesmente adiciona uma linha com o número da versão do servidor e ServerName do host virtual servidor.
Solução
É bom desativar a assinatura, pois você pode não querer revelar a versão do Apache que está executando.
ServerSignature Off
Desativar banner
Esta diretiva controla se o campo de cabeçalho de resposta do servidor, que é enviado de volta aos clientes, inclui uma descrição do tipo de sistema operacional genérico do servidor, bem como informações sobre módulos compilados.
Solução
ServerTokens Prod
Restringir o acesso a uma rede ou IP específico
Se você deseja que seu site seja visualizado apenas por um endereço IP ou rede específica, você pode modificar o diretório do site em httpd.conf
Solução
Forneça o endereço de rede na diretiva Allow.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.0.0/24 </Directory>
Forneça o endereço IP na diretiva Permitir.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.1.56 </Directory>
Use apenas TLS 1.2
SSL 2.0, 3.0, TLS 1, 1.1 supostamente sofre de várias falhas criptográficas.
Precisa de ajuda para configurar o SSL? consulte este guia.
Solução
SSLProtocol -ALL +TLSv1.2
Desativar listagem de diretórios
Se você não tiver index.html em seu WebSite Directory, o cliente verá todos os arquivos e subdiretórios listados no navegador (como ls –l output).
Solução
Para desabilitar a navegação no diretório, você pode definir o valor da diretiva Option como “None” ou “-Indexes”
<Directory /> Options None Order allow,deny Allow from all </Directory>
OU
<Directory /> Options -Indexes Order allow,deny Allow from all </Directory>
Remova módulos DSO desnecessários
Verifique sua configuração para remover módulos DSO redundantes.
Existem muitos módulos ativados por padrão após a instalação. Você pode remover o que não precisa.
Desativar cifras nulas e fracas
Permita apenas cifras fortes, então você fecha todas as portas que tentam apertar as mãos em conjuntos de cifras inferiores.
Solução
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Mantenha-se atualizado
Como o Apache é um código aberto ativo, a maneira mais fácil de melhorar a segurança do Apache Web Server é manter a versão mais recente. Novas correções e patches de segurança são adicionados a cada versão. Sempre atualize para a última versão estável do Apache.
Acima estão apenas algumas das configurações essenciais e, se você estiver procurando detalhes, consulte meu guia passo a passo de segurança e proteção.
Gostou de ler o artigo? Que tal compartilhar com o mundo?