IBM HTTP Server biztonsági és edzési útmutató

Az IBM HTTP Server (IHS) hozzáigazítása a termelési környezethez


Az IBM által készített HTTP-kiszolgálót gyakran használják az IBM WebSphere Application Server-rel kombinálva. Néhány népszerű webhelyek az IBM HTTP Server használatával:

  • Airtel.in
  • Marriott.com
  • Hsbc.co.uk
  • Mercedes-benz.com.eg
  • Argos.co.uk

Az IHS az Apache HTTP Server alapján működik, amelyet azonban az IBM javított, hogy támogassa a vállalati alkalmazásokat és a karbantartási támogatást. Nagyon kevesebb piaci részesedés a webszerver világában, de még mindig széles körben használják a WebSphere Application Server alkalmazásban.

IHS-a piaci részesedés

Az alapértelmezett IHS-konfiguráció sok érzékeny információt szolgáltat, amely segíthet a hackereknek a támadásokra való felkészülésben és az üzleti működés megszakításában. Rendszergazdaként tisztában kell lennie az IHS-konfiguráció megszilárdításával a webes alkalmazások biztosítása érdekében.

Ebben a cikkben elmagyarázom, hogyan lehet az IHS gyártására kész környezetet készíteni a biztonság megőrzése érdekében & biztos.

Néhány dolog: –

  • Ha nem, telepítette az IHS-t a Linux környezetbe, itt olvashatja a telepítési útmutatót.
  • Javasoljuk, hogy készítsen biztonsági másolatot egy konfigurációs fájlról.
  • Van egy HTTP-fejléc-kiterjesztés egy böngészőben, vagy használhatja Fejléc-ellenőrző online eszköz.
  • A cikk hosszának köszönhetően a következő bejegyzésben beszélek az SSL konfigurációjáról.

A szerver szalaghirdetése és a termékinformációk elrejtése a HTTP fejlécből

Valószínűleg az egyik első feladat, amelyet a termelési környezet beállításánál kell elvégezni, az IHS verzió és a Server Banner maszkolása egy fejlécben. Ez nem kritikus, de alacsony kockázatúnak tekinthető, mint az információszivárgás veszélye, és ezt meg kell tennie a PCI DSS-kompatibilis alkalmazások esetén.

Vessen egy pillantást arra, hogy az alapértelmezett konfigurációban hogyan létezik (404) válaszlépés.

IHS-nonexist-válasz

Ó, nem, kiderül, hogy az IBM HTTP Server-et használom a kiszolgáló IP-jével és portszámával együtt, ami csúnya. Rejtsük el őket.

Megoldás: –

  • Adja hozzá az alábbi három irányelvet az IHS httpd.conf fájljában.

Az AddServerHeader ki
ServerTokens Prod
Kiszolgáló aláírás ki

  • Mentse el a fájlt, és indítsa újra az IHS-t

Ellenőrizzük egy nem létező fájl elérésével. Ön is használhatja HTTP fejléc eszköz hogy ellenőrizze a választ.

IHS-nonexist-válasz rögzített

Sokkal jobb! Most nem ad információt a termékről, szerverről és portról.

Az Etag letiltása

Az Etag fejléc feltárhatja inode információk és segíthet a hackereknek az NFS támadások végrehajtásában. Az IHS alapértelmezés szerint feltárja a szakaszot, és itt áll módjuk szerint orvosolni ezt a biztonsági rést.

IHS-ETAG

Megoldás: –

  • Adja hozzá a következő irányelvet egy gyökérkönyvtárba.

FileETag nincs

Például:

Opciók FollowSymLinks
AllowOverride Nincs
FileETag nincs

  • A hatálybalépés érdekében indítsa újra az IHS szervert.

IHS-ETAG

Az IHS futtatása nem root felhasználóval

Alapértelmezett konfigurációval egy webkiszolgálót kell futtatni, amelynek alapja a gyökér & senki olyan felhasználó, aki nem ajánlott, mivel privilégiumon keresztül fut, biztonsági rés esetén az egész kiszolgálóra hatással lehet. A kockázat korlátozása érdekében létrehozhat egy dedikált felhasználót az IHS példányok futtatásához.

Megoldás: –

  • Hozzon létre ihsadmin nevű felhasználót és csoportot

groupadd ihsadmin
useradd –g ihsadmin ihsadmin

Most, változtassa meg az IHS mappa tulajdonjogát ihsadmin-re, hogy az újonnan létrehozott felhasználó teljes engedélyével rendelkezzen rajta. Feltételezve, hogy telepítette az alapértelmezett helyre – / opt / IBM / HTTPServer

chown – R ihsadmin: ihsadmin / opt / IBM / HTTPServer

Cseréljük meg a felhasználót & Csoportérték a httpd.conf fájlban

Ihsadmin felhasználó
Ihsadmin csoport

Mentse a httpd.conf fájlt, és indítsa újra az IHS szervert. Ez segít az IHS-nek, hogy ihsadmin felhasználóvá váljon.

Végrehajtja a HttpOnly és Secure zászlót a Cookie-ban

A cookie-k biztonságos és httponly biztosítása segít csökkenteni az XSS támadások kockázatát.

Megoldás: –

Ennek végrehajtása érdekében biztosítania kell mod_headers.so engedélyezve van a httpd.conf fájlban.

Ha nem, akkor törölje az alábbi sort a httpd.conf fájlban

LoadModule fejlécek_modul modulok / mod_headers.so

És adja hozzá a fejléc paraméter alá

Fejléc szerkesztése Set-Cookie ^ (. *) $ $ 1; HttpOnly; Biztonságos

Mentse a konfigurációs fájlt, és indítsa újra a webszervert.

A Clickjacking támadás enyhítése

A kattintás jól ismert technika, ahol a támadó rácsaphatja a felhasználókat egy linkre kattintásra és a beágyazott kód végrehajtására a felhasználó tudta nélkül.

Megoldás: –

  • Győződjön meg arról, hogy a mod_headers.so engedélyezve van, és adja hozzá a fejléc paraméter alatta a httpd.conf fájlhoz

A fejléc mindig csatolja az X-Frame-Options SAMEORIGIN elemet

  • Mentse el a fájlt, és indítsa újra a szervert.

Ellenőrizzük az URL elérésével, az X-Frame-Options opcióval kell rendelkeznie, az alább látható módon.

clickjacking-támadás-IHS

A Figyelési irányelv konfigurálása

Ez akkor alkalmazható, ha több Ethernet interfész / IP van a szerveren. A DNS-kérelmek továbbításának elkerülése érdekében tanácsos konfigurálni az abszolút IP-t és a Port in Listen irányelvet. Ez gyakran megfigyelhető megosztott környezetben.

Megoldás: –

  • Adja hozzá a kívánt IP-címet és portot a httpd.conf fájlban a Figyelem irányelv alatt. Volt:-

Figyelj 10.0.0.9:80

Adjon hozzá X-XSS-védelmet

A Cross for Site Scripting (XSS) védelmet alkalmazhatja az alábbi fejléc végrehajtásával, ha a felhasználó letiltotta a böngészőben.

Fejléckészlet X-XSS-Protection "1; mode = block"

Tiltsa le a HTTP nyomkövetési kérelem nyomon követését

A nyomkövetési módszer engedélyezése a webkiszolgálón lehetővé teheti a Cross Site Tracing Attack támadást és a süti információk ellopását. Alapértelmezés szerint ez engedélyezve van, és az alábbi paraméterrel tilthatja le őket.

Megoldás: –

  • Módosítsa a httpd.con fájlt, és adja hozzá a sor aljára

TraceEnable ki

  • Mentse el a fájlt és indítsa újra az IHS példányt a hatálybalépéshez.

Remélem, hogy a fenti tippek segítenek az IBM HTTP Server megszilárdításában egy termelési környezethez.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map