Ghid de securitate și întărire a serverului IBM HTTP

Tweaking IBM HTTP Server (IHS) pentru mediu de producție


HTTP Server de IBM este adesea utilizat în combinație cu IBM WebSphere Application Server. Unele dintre site-uri populare folosind IBM HTTP Server sunt:

  • Airtel.in
  • Marriott.com
  • Hsbc.co.uk
  • Mercedes-benz.com.eg
  • Argos.co.uk

IHS se bazează pe serverul HTTP Apache, cu toate acestea, modificat de IBM pentru a sprijini aplicațiile întreprinderii și asistența de întreținere. Ține foarte puțin cotă de piață în lumea serverului web, dar încă utilizat pe scară largă cu WebSphere Application Server.

IHS-piață-parts

Configurația implicită IHS furnizează informații mult mai sensibile, care pot ajuta hackerii să se pregătească pentru un atac și să întrerupă operațiunea de afaceri. Ca administrator, ar trebui să fiți conștienți de întărirea configurației IHS pentru a securiza aplicațiile web.

În acest articol, vă voi explica cum să faceți producția IHS să fie gata pentru a păstra mediul în siguranță & sigur.

Câteva lucruri: –

  • Dacă aveți IHS instalat pe mediul Linux, dacă nu, puteți consulta aici ghidul de instalare.
  • Vi se recomandă să faceți o copie de rezervă a unui fișier de configurare.
  • Aveți extensii de antet HTTP într-un browser sau pe care le puteți utiliza Verificativ antet instrument online.
  • Datorită unei lungimi a articolului, voi vorbi despre configurația SSL în următoarea postare.

Ascundeți Banner și informații despre produs din antetul HTTP

Probabil una dintre primele sarcini de făcut în timpul configurarii mediului de producție este mascarea versiunii IHS și a Banner-ului Server într-un antet. Aceasta nu este critică, dar este considerată un risc scăzut ca fiind o vulnerabilitate a scurgerii de informații și trebuie să o facă pentru aplicațiile compatibile DSS PCI.

Să aruncăm o privire la modul în care nu există (404) răspunsuri la solicitarea în configurația implicită.

-nonexist-IHS răspuns

Oh, nu, dezvăluie că folosesc IBM HTTP Server împreună cu IP-ul serverului și numărul de port, care este urât. Să le ascundem.

Soluție: –

  • Adăugați următoarele trei directive în fișierul httpd.conf al IHS.

AddServerHeader Off
ServerTokens Prod
ServerSignature Off

  • Salvați fișierul și reporniți IHS

Verificăm accesând un fișier inexistent. De asemenea, puteți utiliza Instrumentul antet HTTP pentru a verifica răspunsul.

fix-nonexist-IHS-răspuns

Mult mai bine! Acum nu oferă informații despre produs, server și port.

Dezactivează Etag

Antetul Etag poate fi dezvăluit informații inode și poate ajuta hackerul să execute atacuri NFS. În mod implicit, IHS dezvăluie etag-ul și iată cum puteți remedia această vulnerabilitate.

IHS-ETAG

Soluție: –

  • Adăugați următoarea directivă într-un director root.

FileETag nici una

De exemplu:

Opțiuni FollowSymLink
AllowOverride None
FileETag nici una

  • Reporniți serverul IHS pentru a produce efect.

IHS-ETAG

Rulați IHS cu un cont non-root

Configurația implicită rulează un server web cu root & nimeni utilizator, care nu este recomandabil, deoarece rulează un cont privilegiat, nu poate afecta întregul server în cazul unei gauri de securitate. Pentru a limita riscul, puteți crea un utilizator dedicat pentru a rula instanțe IHS.

Soluție: –

  • Creați un utilizator și un grup numit ihsadmin

groupadd ihsadmin
useradd –g ihsadmin ihsadmin

Acum, schimbați proprietatea folderului IHS în ihsadmin, astfel încât utilizatorul nou creat să aibă permisiunea completă asupra acestuia. Presupunând că ați instalat pe locația implicită – / opt / IBM / HTTPServer

chown –R ihsadmin: ihsadmin / opt / IBM / HTTPServer

Să schimbăm Utilizator & Valoarea grupului în httpd.conf

Utilizator ihsadmin
Grup ihsadmin

Salvați httpd.conf și reporniți serverul IHS. Acest lucru va ajuta IHS să înceapă ca utilizator ihsadmin.

Implementați HttpOnly și Secure flag în Cookie

Asigurarea cookie-urilor și httponly vă vor ajuta să reduceți riscul de atacuri XSS.

Soluție: –

Pentru a implementa acest lucru, trebuie să vă asigurați mod_headers.so este activat în httpd.conf.

În caz contrar, decomandați linia de mai jos din httpd.conf

LoadModule headers_module modules / mod_headers.so

Și adăugați mai jos parametrul antet

Editarea antetului Set-Cookie ^ (. *) $ 1; HttpOnly; Secure

Salvați fișierul de configurare și reporniți serverul web.

Atenuează atacul Clickjacking

Clickjacking tehnica este bine cunoscută în cazul în care un atacator poate păcăli utilizatorii să facă clic pe un link și să execute cod încorporat fără știrea utilizatorului.

Soluție: –

  • Asigurați-vă că mod_headers.so este activat și adăugați sub parametrul antetului în fișierul httpd.conf

Antetul adaugă întotdeauna X-Frame Options SAMEORIGIN

  • Salvați fișierul și reporniți serverul.

Să verificăm accesând adresa URL, ar trebui să aibă opțiuni de cadru X, așa cum se arată mai jos.

clickjacking-atac-IHS

Configurați Directiva de ascultare

Aceasta se aplică dacă aveți mai multe interfețe / IP Ethernet pe server. Este recomandabil să configurați IP și Port absolut în Directiva Listen pentru a evita trimiterea cererilor DNS. Acest lucru este adesea observat în mediul comun.

Soluție: –

  • Adăugați IP și port intenționat în httpd.conf sub Directiva Listen. Ex:-

Ascultă 10.0.0.9:80

Adăugați Protecție X-XSS

Puteți aplica protecție Cross for Scripting Site (XSS), punând în aplicare următorul antet dacă utilizatorul este dezactivat în browser.

Set antet X-XSS-Protection "1; mode = bloc"

Dezactivați Cererea de urmărire HTTP

Activarea metodei de urmărire pe serverul web poate permite atacul de urmărire a site-urilor și poate fura informații despre cookie-uri. În mod implicit, aceasta este activată și le puteți dezactiva cu parametrul de mai jos.

Soluție: –

  • Modificați fișierul httpd.con și adăugați linia de mai jos

TraceEnable off

  • Salvați fișierul și reporniți instanța IHS pentru a intra în vigoare.

Sper că sfaturile de mai sus vă ajută să întăriți Serverul HTTP IBM pentru un mediu de producție.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map