Руководство по безопасности и усилению безопасности IBM HTTP Server

Настройка IBM HTTP Server (IHS) для производственной среды


HTTP-сервер IBM часто используется в сочетании с IBM WebSphere Application Server. Некоторые из популярные сайты с помощью IBM HTTP Server являются:

  • Airtel.in
  • Marriott.com
  • Hsbc.co.uk
  • Mercedes-benz.com.eg
  • Argos.co.uk

Однако IHS основан на Apache HTTP Server, который был настроен IBM для поддержки корпоративных приложений и поддержки обслуживания. Это держит очень меньше рыночная доля в мире веб-серверов, но все еще широко используется с WebSphere Application Server.

IHS-доля рынка

Конфигурация IHS по умолчанию предоставляет много конфиденциальной информации, которая может помочь хакеру подготовиться к атаке и прервать деловую операцию. Как администратор, вы должны знать об усилении конфигурации IHS для защиты веб-приложений..

В этой статье я расскажу, как обеспечить готовую среду IHS для обеспечения безопасности. & безопасный.

Несколько вещей: –

  • У вас установлен IHS в среде Linux, если нет, вы можете обратиться к руководству по установке здесь.
  • Вам рекомендуется сделать резервную копию файла конфигурации.
  • У вас есть расширения заголовка HTTP в браузере или вы можете использовать Проверка заголовка онлайн инструмент.
  • Из-за продолжительности статьи я буду говорить о конфигурации SSL в следующем посте..

Скрыть баннер и информацию о продукте из заголовка HTTP

Вероятно, одной из первых задач, которые необходимо выполнить при настройке производственной среды, является маскирование версии IHS и Server Banner в заголовке. Это не критично, но рассматривается как низкий риск как уязвимость, связанная с утечкой информации, и должно применяться для приложений, совместимых с PCI DSS.

Давайте посмотрим, как не существует (404) ответ на запрос в конфигурации по умолчанию.

IHS-nonexist-ответ

О нет, это показывает, что я использую IBM HTTP Server вместе с IP-адресом сервера и номером порта, что ужасно. Давайте их спрячем.

Решение: –

  • Добавьте следующие три директивы в файл httpd.conf вашего IHS.

AddServerHeader Off
ServerTokens Prod
ServerSignature Off

  • Сохраните файл и перезапустите IHS

Давайте проверим доступ к несуществующему файлу. Вы также можете использовать Инструмент HTTP-заголовка проверить ответ.

IHS-nonexist-ответ фиксированный

Намного лучше! Теперь он не дает информацию о продукте, сервере и порте.

Отключить Etag

Заголовок Etag может раскрыть информация об узле и может помочь хакеру выполнить атаки NFS. По умолчанию IHS раскрывает etag, и вот как вы можете исправить эту уязвимость.

IHS-ETag

Решение: –

  • Добавьте следующую директиву в корневой каталог.

FileETag нет

Например:

Опции FollowSymLinks
AllowOverride Нет
FileETag нет

  • Перезапустите сервер IHS для вступления в силу.

IHS-ETag

Запустите IHS с учетной записью без полномочий root

Конфигурация по умолчанию запустить веб-сервер с рутом & Ни один пользователь, который не рекомендуется использовать в качестве привилегированной учетной записи, не может повлиять на весь сервер в случае дыры в безопасности. Чтобы ограничить риск, вы можете создать выделенного пользователя для запуска экземпляров IHS.

Решение: –

  • Создайте пользователя и группу под названием ihsadmin

groupadd ихсадмин
useradd –g ихсадмин ихсадмин

Сейчас же, измените владельца папки IHS на ihsadmin, чтобы вновь созданный пользователь имел на это полное разрешение. Предполагая, что вы установили в папку по умолчанию – / opt / IBM / HTTPServer

chown –R ihsadmin: ihsadmin / opt / IBM / HTTPServer

Давайте сменим пользователя & Значение группы в httpd.conf

Пользователь ihsadmin
Группа ихсадмин

Сохраните httpd.conf и перезапустите сервер IHS. Это поможет запустить IHS от имени пользователя ihsadmin..

Внедрите HttpOnly и безопасный флаг в Cookie

Наличие cookie-файлов и httponly поможет вам снизить риск XSS-атак..

Решение: –

Для реализации этого вы должны убедиться, mod_headers.so включен в httpd.conf.

Если нет, раскомментируйте строку ниже в httpd.conf

LoadModule headers_module modules / mod_headers.so

И добавьте ниже параметр заголовка

Редактировать заголовок Set-Cookie ^ (. *) $ $ 1; HttpOnly; Безопасный

Сохраните файл конфигурации и перезапустите веб-сервер..

Смягчить атаку Clickjacking

Кликбэк хорошо известна техника, когда злоумышленник может обманом заставить пользователей щелкнуть ссылку и выполнить встроенный код без ведома пользователя.

Решение: –

  • Убедитесь, что mod_headers.so включен, и добавьте ниже параметр заголовка в файл httpd.conf.

Заголовок всегда добавляет X-Frame-Options SAMEORIGIN

  • Сохраните файл и перезагрузите сервер.

Давайте проверим доступ к URL, он должен иметь X-Frame-Options, как показано ниже.

ClickJacking-атака-IHS

Настроить директиву прослушивания

Это применимо, если у вас есть несколько интерфейсов Ethernet / IP на сервере. Рекомендуется настроить абсолютный IP-адрес и директиву Port in Listen, чтобы избежать перенаправления DNS-запросов. Это часто наблюдается в общей среде.

Решение: –

  • Добавьте IP-адрес и порт в httpd.conf под директивой Listen. Пример:-

Слушай 10.0.0.9:80

Добавить X-XSS-Protection

Вы можете применить защиту Cross for Site Scripting (XSS), применив следующий заголовок, если он отключен в браузере пользователем.

Набор заголовков X-XSS-Protection "1; Режим = Блок"

Отключить трассировку HTTP-запроса

Включение метода отслеживания на веб-сервере может разрешить межсайтовую отслеживание атак и может украсть информацию о файлах cookie. По умолчанию это включено, и вы можете отключить их с помощью параметра ниже.

Решение: –

  • Измените файл httpd.con и добавьте строку ниже

TraceEnable off

  • Сохраните файл и перезапустите экземпляр IHS для вступления в силу.

Надеюсь, что приведенные выше советы помогут вам укрепить IBM HTTP Server для производственной среды..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map