Защита Apache в Ubuntu – часть 2

Моя предыдущая статья была посвящена основным советам и рекомендациям по безопасности для безопасный веб-сервер Apache в Ubuntu.

Здесь я собираюсь показать вам несколько дополнительных советов и рекомендаций по обеспечению безопасности веб-сервера Apache.

Защита Apache от атаки кликджекинга

Кликджекинг — широко известная уязвимость веб-сервера. Это известно как «атака восстановления пользовательского интерфейса». Это вредоносная техника, используемая злоумышлен

Защита Apache от атаки кликджекинга

Чтобы защитить ваш веб-сервер Apache от атаки Clickjacking, вам необходимо использовать «X-FRAME-OPTIONS» для ее предотвращения.

Вы можете сделать это, отредактировав файл «apache2.conf».

sudo nano /etc/apache2/apache2.conf

Добавьте следующую строку внутри Directory /var/www/html/:

 Header always append X-Frame-Options SAMEORIGIN

Сохраните файл и перезапустите Apache.

sudo /etc/init.d/apache2 restart

Теперь попробуйте открыть веб-браузер для доступа к вашему веб-серверу. Проверьте заголовки ответов HTTP в Firebug; вы должны увидеть X-Frame-Options, как показано на изображении ниже.

Отключить Etag

Etags, также известные как «теги объектов», представляют собой уязвимость в Apache. Они позволяют удаленным пользователям получать конфиденциальную информацию, такую ​​как номер индексного дескриптора, идентификаторы дочерних процессов и составную границу MIME, используя заголовок Etag. Рекомендуется отключить Etag.

Вы можете сделать это, отредактировав файл «apache2.conf».

sudo nano /etc/apache2/apache2.conf

Добавьте следующую строку внутри Directory /var/www/html/:

FileETag None

Сохраните файл и перезапустите Apache.

Теперь попробуйте открыть веб-браузер для доступа к вашему веб-серверу. Проверьте заголовки ответов HTTP в Firebug; вы вообще не должны видеть Etag.

Отключить старый протокол

Старый протокол HTTP (HTTP 1.0) имеет уязвимость безопасности, связанную с перехватом сеанса и атакам

Отключить Etag

Вы можете отключить его с помощью правила «mod_rewrite», разрешив только протокол HTTP 1.1.

Для этого отредактируйте файл «apache2.conf».

sudo nano /etc/apache2/apache2.conf

Добавьте следующую строку внутри Directory /var/www/html/:

RewriteEngine On
RewriteCond %{THE_REQUEST} !HTTP/1\.1$
RewriteRule .* - [F]

Сохраните файл и перезапустите Apache.

Методы HTTP-запроса

В Ubuntu протокол HTTP 1.1 поддерживает множество методов запроса, таких как «OPTIONS, GET, HEAD, POST, PUT, DELETE, TRACE, CONNECT», которые могут не потребоваться. Рекомендуется включать только методы запроса HEAD, POST и GET.

Чтобы это исправить, отредактируйте файл конфигурации Apache.

sudo nano /etc/apache2/apache2.conf

Добавьте следующую строку внутри Directory /var/www/html/:

 deny from all

Сохраните файл и перезапустите Apache.

Защитить Apache от XSS-атаки

XSS (также известный как межсайтовый скриптинг) — одна из наиболее расп

Отключить старый протокол

Это можно сделать, отредактировав файл конфигурации Apache.

sudo nano /etc/apache2/apache2.conf

Добавьте следующую строку внутри Directory /var/www/html/:

 Header set X-XSS-Protection "1; mode=block"

Сохраните файл и перезапустите Apache.

Теперь попробуйте открыть веб-браузер для доступа к вашему веб-серверу. Проверьте заголовки ответов HTTP в Firebug; вы должны увидеть параметры защиты X-XSS, как показано на рисунке ниже.

Защитить файлы cookie с помощью флага HTTPOnly

Файл cookie HTT

Методы HTTP-запроса

Чтобы это исправить, отредактируйте файл конфигурации Apache.

sudo nano /etc/apache2/apache2.conf

Добавьте следующую строку внутри Directory /var/www/html/:

 Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

Сохраните файл и перезапустите Apache.

Заключение

Надеюсь, теперь у вас достаточно зн

Защитить Apache от XSS-атаки

Защитить файлы cookie с помощью флага HTTPOnly

Заключение