10 práticas recomendadas para proteger e proteger seu servidor da Web Apache

Proteja e proteja o servidor da web Apache com as seguintes práticas recomendadas para manter seu aplicativo da web seguro.

O servidor Web é uma parte crucial dos aplicativos baseados na Web. Ter uma configuração incorreta e padrão pode expor informações confidenciais, e isso é um risco.

Como proprietário ou administrador de um site, você deve realizar verificações de segurança regularmente em seu site para encontrar ameaças online para que possa agir antes que um hacker o faça.

Vamos passar pelas configurações essenciais para manter seu servidor Apache.

Segue toda configuração no httpd.conf da sua instância do apache.

Observação: faça um backup do arquivo de configuração necessário antes da modificação, para que a restauração seja fácil quando algo der errado.

Desativar solicitação HTTP de rastreamento

O TraceEnable padrão permite TRACE, o que impede que qualquer corpo de solicitação acompanhe a solicitação.

  O guia definitivo para mineração de criptomoedas para iniciantes

TraceEnable desativado faz com que o servidor núcleo e o mod_proxy retorne um erro 405 (método não permitido) para o cliente.

TraceEnable ativado permite o problema de rastreamento entre sites e potencialmente oferece a opção de um hacker roubar suas informações de cookie.

Solução

Resolva esse problema de segurança desativando o método TRACE HTTP na Configuração do Apache.

Você pode fazer Modificando/Adicionando a diretiva abaixo no seu httpd.conf do seu Apache Web Server.

TraceEnable off

Executar como usuário e grupo separados

Por padrão, o Apache é configurado para executar com ninguém ou daemon.

Não defina o usuário (ou grupo) como root, a menos que você saiba exatamente o que está fazendo e quais são os perigos.

Solução

Executar o Apache em sua própria conta não root é bom. Modifique a Diretiva de Usuário e Grupo em httpd.conf do seu Apache Web Server

User apache 
Group apache

Desativar assinatura

A configuração Off, que é o padrão, suprime a linha do rodapé.

A configuração On simplesmente adiciona uma linha com o número da versão do servidor e ServerName do host virtual servidor.

  Como Encontrar Emails Arquivados no Gmail

Solução

É bom desativar a assinatura, pois você pode não querer revelar a versão do Apache que está executando.

ServerSignature Off

Desativar banner

Esta diretiva controla se o campo de cabeçalho de resposta do servidor, que é enviado de volta aos clientes, inclui uma descrição do tipo de sistema operacional genérico do servidor, bem como informações sobre módulos compilados.

Solução

ServerTokens Prod

Restringir o acesso a uma rede ou IP específico

Se você deseja que seu site seja visualizado apenas por um endereço IP ou rede específica, você pode modificar o diretório do site em httpd.conf

Solução

Forneça o endereço de rede na diretiva Allow.

<Directory /yourwebsite>    
Options None    
AllowOverride None    
Order deny,allow    
Deny from all    
Allow from 10.20.0.0/24  
</Directory>

Forneça o endereço IP na diretiva Permitir.

<Directory /yourwebsite>
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 10.20.1.56
</Directory>

Use apenas TLS 1.2

SSL 2.0, 3.0, TLS 1, 1.1 supostamente sofre de várias falhas criptográficas.

Precisa de ajuda para configurar o SSL? consulte este guia.

Solução

SSLProtocol -ALL +TLSv1.2

Desativar listagem de diretórios

Se você não tiver index.html em seu WebSite Directory, o cliente verá todos os arquivos e subdiretórios listados no navegador (como ls –l output).

  Como excluir sua conta Spotify

Solução

Para desabilitar a navegação no diretório, você pode definir o valor da diretiva Option como “None” ou “-Indexes”

<Directory />
Options None
Order allow,deny
Allow from all
</Directory>

OU

<Directory />
Options -Indexes
Order allow,deny
Allow from all
</Directory>

Remova módulos DSO desnecessários

Verifique sua configuração para remover módulos DSO redundantes.

Existem muitos módulos ativados por padrão após a instalação. Você pode remover o que não precisa.

Desativar cifras nulas e fracas

Permita apenas cifras fortes, então você fecha todas as portas que tentam apertar as mãos em conjuntos de cifras inferiores.

Solução

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Mantenha-se atualizado

Como o Apache é um código aberto ativo, a maneira mais fácil de melhorar a segurança do Apache Web Server é manter a versão mais recente. Novas correções e patches de segurança são adicionados a cada versão. Sempre atualize para a última versão estável do Apache.

Acima estão apenas algumas das configurações essenciais e, se você estiver procurando detalhes, consulte meu guia passo a passo de segurança e proteção.

Gostou de ler o artigo? Que tal compartilhar com o mundo?