Tweaking IBM HTTP-bediener (IHS) vir die produksie-omgewing


HTTP-bediener deur IBM word gereeld gebruik in kombinasie met IBM WebSphere Application Server. Sommige van die gewilde webwerwe met behulp van IBM HTTP-bediener is:

  • Airtel.in
  • Marriott.com
  • Hsbc.co.uk
  • Mercedes-benz.com.eg
  • Argos.co.uk

IHS is gebaseer op Apache HTTP-bediener, maar deur IBM opgestel om ondernemings-toepassings en instandhoudingsondersteuning te ondersteun. Dit hou baie minder in markaandeel in die webbedienerwêreld, maar steeds wyd gebruik word met WebSphere Application Server.

IHS-mark-aandeel

Standaard IHS-konfigurasie verskaf baie sensitiewe inligting, wat die hacker kan help om voor te berei op ‘n aanval en die bedryfsonderneming te onderbreek. As administrateur moet u bewus wees van die verharding van die IHS-konfigurasie om die webtoepassings te beveilig.

In hierdie artikel sal ek verduidelik hoe u die IHS-produksie-omgewing gereed kan maak om veilig te bly & verseker.

Min dinge:

  • U het IHS in ‘n Linux-omgewing geïnstalleer, anders kan u die installasiegids hierna verwys.
  • U word aangeraai om ‘n rugsteun van ‘n konfigurasielêer te neem.
  • U het HTTP-kopuitbreidings in ‘n blaaier, of u kan dit gebruik Kopskakelaar aanlyn hulpmiddel.
  • As gevolg van die lengte van die artikel, sal ek in die volgende pos oor SSL-konfigurasie praat.

Versteek bedienerbanner en produkinligting van HTTP-kop

Een van die eerste take wat tydens die instelling van die produksieomgewing gedoen moet word, is om IHS-weergawe en Server Banner in ‘n kopstuk te masker. Dit is nie van kritieke belang nie, maar word as ‘n lae risiko beskou as ‘n kwesbaarheid met betrekking tot inligtinglekkering en moet dit doen vir PCI DSS-toepassingsprogramme.

Kom ons kyk hoe die reaksie wat nie bestaan ​​nie (404) in die standaardkonfigurasie versoek word.

IHS-nonexist-reaksie

O nee, dit onthul dat ek IBM HTTP-bediener gebruik saam met die IP-server en die poortnommer van die bediener, wat lelik is. Laat ons hulle wegsteek.

Oplossing: –

  • Voeg drie opdragte in die httpd.conf-lêer van u IHS by.

AddServerHeader af
ServerTokens Prod
Bedienerhandtekening af

  • Stoor die lêer en herbegin die IHS

Laat ons verifieer deur toegang tot ‘n lêer wat nie bestaan ​​nie, te verkry. U mag ook gebruik HTTP Header-instrument om die antwoord te verifieer.

-IHS-nonexist-reaksie vaste

Baie beter! Dit gee nie inligting oor die produk, bediener en hawe nie.

Deaktiveer Etag

Etag-kop kan moontlik onthul inode inligting en kan hacker help om NFS-aanvalle uit te voer. IHS onthul standaard die etag en hier is hoe u hierdie kwesbaarheid kan herstel.

IHS-ETAG

Oplossing: –

  • Voeg die volgende richtlijn in ‘n stamgids.

FileETag geen

Vir eks:

Opsies VolgSymLinks
Laat geen toe nie
FileETag geen

  • Herbegin die IHS-bediener om in werking te tree.

IHS-ETAG

Begin IHS met nie-wortelrekeninge

Standaardkonfigurasie het ‘n webbediener met root & niemand gebruiker wat nie aanbeveel word nie omdat hy deur die bevoorregte rekening loop, kan die hele bediener beïnvloed in geval van ‘n veiligheidsgat. Om die risiko te beperk, kan u ‘n toegewyde gebruiker skep om IHS-gevalle te bedryf.

Oplossing: –

  • Skep gebruiker en groep genaamd ihsadmin

groepadd ihsadmin
useradd –g ihsadmin ihsadmin

nou, verander die eienaarskap van die IHS-lêergids na ihsadmin, sodat die nuutgeskepte gebruiker volle toestemming het. As u aanvaar dat u op die standaardligging geïnstalleer is – / opt / IBM / HTTPServer

chown –R ihsadmin: ihsadmin / opt / IBM / HTTPServer

Laat ons gebruiker verander & Groepwaarde in httpd.conf

Gebruiker ihsadmin
Groep ihsadmin

Stoor die httpd.conf en herbegin die IHS-bediener. Dit help IHS om as ihsadmin-gebruiker te begin.

Implementeer HttpOnly en Secure-vlag in koekie

As u koekie veilig en httponly beveilig, sal dit u help om die risiko van XSS-aanvalle te verminder.

Oplossing: –

U moet dit verseker om dit te implementeer mod_headers.so is aangeskakel in httpd.conf.

Indien nie, los die onderstaande reël in httpd.conf

LoadModule headers_module modules / mod_headers.so

En voeg die onderstaande Header-parameter by

Kopkop wysig Set-cookie ^ (. *) $ $ 1; HttpOnly; Secure

Stoor die konfigurasielêer en herbegin die webbediener.

Versag Clickjacking-aanval

Die clickjacking tegniek is bekend waar ‘n aanvaller gebruikers kan mislei om op ‘n skakel te klik en ingebedde kode uit te voer sonder die gebruiker se medewete.

Oplossing: –

  • Maak seker dat mod_headers.so geaktiveer is en voeg die onderstaande kopparameter by in die httpd.conf-lêer

Kopkop voeg altyd X-Frame-Options SAMEORIGIN aan

  • Stoor die lêer en herbegin die bediener.

Laat ons verifieer deur toegang tot die URL te kry, dit moet X-raamopsies hê soos hieronder getoon.

clickjacking-aanval-IHS

Stel Luister richtlijn op

Dit is van toepassing as u meer as een Ethernet-koppelvlak / IP op die bediener het. Dit is raadsaam om absolute IP en Port in Luister-richtlijn op te stel om te verhoed dat DNS-versoeke aangestuur word. Dit word gereeld gesien in ‘n gedeelde omgewing.

Oplossing: –

  • Voeg beoogde IP en poort by in httpd.conf onder Luister richtlijn. ex:-

Luister 10.0.0.9:80

Voeg X-XSS-beskerming by

U kan Cross-beveiliging vir werfbeskrywing (XSS) toepas deur die volgende kopstuk te implementeer as dit deur die gebruiker in die blaaier gedeaktiveer is.

Kopstuk X-XSS-beskerming "1; modus = blok"

Deaktiveer spoor-HTTP-versoek

As ‘n opsporing-metode op die webbediener geaktiveer is, kan dit moontlik wees om kruisingsopsporing aan te spoor en om inligting oor koekies te steel. Dit is standaard ingeskakel en u kan hulle met die parameter hieronder deaktiveer.

Oplossing: –

  • Verander die httpd.con-lêer en voeg die onderstaande reël by

TraceEnable af

  • Stoor die lêer en herbegin die IHS-instansie om in werking te tree.

Ek hoop dat bogenoemde wenke u help om die IBM HTTP-bediener te verhard vir ‘n produksie-omgewing.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me