Hướng dẫn bảo mật và bảo mật máy chủ HTTP của IBM

Tinh chỉnh Máy chủ HTTP IBM (IHS) cho môi trường sản xuất


Máy chủ HTTP của IBM thường được sử dụng kết hợp với Máy chủ ứng dụng WebSphere của IBM. Một số trang web phổ biến sử dụng Máy chủ HTTP của IBM là:

  • Airtel.in
  • Marriott.com
  • Hsbc.co.uk
  • Mercedes-benz.com
  • Argos.co.uk

IHS dựa trên Máy chủ HTTP Apache, tuy nhiên, được IBM tinh chỉnh để hỗ trợ các ứng dụng doanh nghiệp và hỗ trợ bảo trì. Nó giữ rất ít thị phần trong thế giới máy chủ web nhưng vẫn được sử dụng rộng rãi với Máy chủ ứng dụng WebSphere.

ihs-thị phần

Cấu hình IHS mặc định cung cấp nhiều thông tin nhạy cảm, có thể giúp hacker chuẩn bị cho một cuộc tấn công và làm gián đoạn hoạt động kinh doanh. Là quản trị viên, bạn cần lưu ý đến việc tăng cường cấu hình IHS để bảo mật các ứng dụng web.

Trong bài viết này, tôi sẽ giải thích cách làm cho môi trường sản xuất IHS sẵn sàng để giữ an toàn & đảm bảo.

Vài điều: –

  • Bạn đã cài đặt IHS trên môi trường Linux nếu không, bạn có thể tham khảo hướng dẫn cài đặt tại đây.
  • Bạn nên sao lưu tệp cấu hình.
  • Bạn có tiện ích mở rộng HTTP Header trong trình duyệt hoặc bạn có thể sử dụng Kiểm tra tiêu đề công cụ trực tuyến.
  • Do độ dài của bài viết, tôi sẽ nói về cấu hình SSL trong bài tiếp theo.

Ẩn biểu ngữ máy chủ và thông tin sản phẩm từ tiêu đề HTTP

Có lẽ một trong những nhiệm vụ đầu tiên phải làm trong khi thiết lập môi trường sản xuất là che dấu phiên bản IHS và Biểu ngữ máy chủ trong một tiêu đề. Điều này không quan trọng nhưng được coi là rủi ro thấp vì lỗ hổng rò rỉ thông tin và phải làm cho ứng dụng tuân thủ PCI DSS.

Chúng ta hãy xem cách phản hồi yêu cầu không tồn tại (404) trong cấu hình mặc định.

ihs-nonexist-hồi đáp

Ồ không, nó tiết lộ tôi đang sử dụng Máy chủ HTTP của IBM cùng với IP máy chủ và số cổng, thật là xấu. Hãy để che giấu chúng.

Giải pháp: –

  • Thêm ba chỉ thị sau vào tệp httpd.conf của IHS của bạn.

AddServerHeader Tắt
Máy chủ Prodokens
Tắt máy chủ

  • Lưu tệp và khởi động lại IHS

Hãy để xác minh bằng cách truy cập một tệp không tồn tại. Bạn cũng có thể sử dụng Công cụ tiêu đề HTTP để xác minh phản hồi.

ihs-nonexist-answer-fixed

Tốt hơn nhiều! Bây giờ nó không cung cấp thông tin về sản phẩm, máy chủ và cổng.

Vô hiệu hóa Etag

Tiêu đề Etag có thể tiết lộ thông tin inode và có thể giúp hacker thực hiện các cuộc tấn công NFS. Theo mặc định, IHS tiết lộ etag và đây là cách bạn có thể khắc phục lỗ hổng này.

ihs-etag

Giải pháp: –

  • Thêm chỉ thị sau vào thư mục gốc.

FileETag không

Ví dụ:

Tùy chọn FollowSymLinks
AllowOverride Không
FileETag không

  • Khởi động lại máy chủ IHS để có hiệu lực.

ihs-etag

Chạy IHS với tài khoản không root

Cấu hình mặc định chạy máy chủ web có root & không ai sử dụng không được khuyến khích vì chạy qua tài khoản đặc quyền có thể ảnh hưởng đến toàn bộ máy chủ trong trường hợp lỗ hổng bảo mật. Để hạn chế rủi ro, bạn có thể tạo một người dùng chuyên dụng để chạy các phiên bản IHS.

Giải pháp: –

  • Tạo người dùng và nhóm được gọi là ihsadmin

nhóm ihsadmin
useraddTHERg ihsadmin ihsadmin

Hiện nay, thay đổi quyền sở hữu thư mục IHS thành ihsadmin để người dùng mới được tạo có toàn quyền đối với nó. Giả sử bạn đã cài đặt trên vị trí mặc định – / opt / IBM / HTTPServer

chown chuyệnR ihsadmin: ihsadmin / opt / IBM / HTTPServer

Hãy để người dùng thay đổi & Giá trị nhóm trong httpd.conf

Người dùng ihsadmin
Nhóm ihsadmin

Lưu httpd.conf và khởi động lại máy chủ IHS. Điều này sẽ giúp IHS bắt đầu với tư cách là người dùng ihsadmin.

Triển khai cờ httpOnly và Secure trong Cookie

Có cookie được bảo mật và httponly sẽ giúp bạn giảm nguy cơ bị tấn công XSS.

Giải pháp: –

Để thực hiện điều này, bạn phải đảm bảo mod_headers.so được kích hoạt trong httpd.conf.

Nếu không, hãy bỏ dòng dưới đây trong httpd.conf

Các mô-đun loadModule headftimemodule / mod_headers.so

Và thêm bên dưới tham số Header

Chỉnh sửa tiêu đề Set-Cookie ^ (. *) $ 1; HttpOnly; Secure

Lưu tệp cấu hình và khởi động lại máy chủ web.

Giảm thiểu tấn công Clickjacking

Nhấp chuột Kỹ thuật này được biết đến nơi kẻ tấn công có thể lừa người dùng nhấp vào liên kết và thực thi mã nhúng mà không có kiến ​​thức về người dùng..

Giải pháp: –

  • Đảm bảo mod_headers.so được bật và thêm bên dưới tham số tiêu đề trong tệp httpd.conf

Tiêu đề luôn nối thêm SAMEORIGIN tùy chọn X-Frame

  • Lưu tệp và khởi động lại máy chủ.

Hãy để xác minh bằng cách truy cập URL, URL phải có Tùy chọn khung X như hiển thị bên dưới.

clickjacking-tấn công-ihs

Cấu hình Nghe Chỉ thị

Điều này có thể áp dụng nếu bạn đang có nhiều giao diện Ethernet / IP trên máy chủ. Nó khuyên bạn nên cấu hình IP và Cổng tuyệt đối trong Chỉ thị Nghe để tránh các yêu cầu DNS được chuyển tiếp. Điều này thường thấy trong môi trường chia sẻ.

Giải pháp: –

  • Thêm IP và Cổng dự định trong httpd.conf trong Chỉ thị Nghe. Ví dụ:-

Nghe 10.0.0.9:80

Thêm X-XSS-Bảo vệ

Bạn có thể áp dụng bảo vệ Cross for Site Scripting (XSS) bằng cách triển khai tiêu đề sau nếu người dùng bị vô hiệu hóa trong trình duyệt.

Bộ tiêu đề X-XSS-Protection "1; chế độ = khối"

Vô hiệu hóa yêu cầu HTTP theo dõi

Có phương thức Trace được kích hoạt trong máy chủ web có thể cho phép Cross Site Trace Attack và có thể đánh cắp thông tin cookie. Theo mặc định, điều này được kích hoạt và bạn có thể vô hiệu hóa chúng với tham số bên dưới.

Giải pháp: –

  • Sửa đổi tệp httpd.con và thêm dòng dưới đây

TraceEnable tắt

  • Lưu tệp và khởi động lại phiên bản IHS để có hiệu lực.

Tôi hy vọng các mẹo trên giúp bạn làm cứng Máy chủ HTTP IBM cho môi trường sản xuất.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map