Ръководство за сигурност и закаляване на IBM HTTP Server

Настройване на IBM HTTP сървър (IHS) за производствена среда


HTTP Server от IBM често се използва в комбинация с IBM WebSphere Application Server. Някои от популярни сайтове използвайки IBM HTTP Server са:

  • Airtel.in
  • Marriott.com
  • Hsbc.co.uk
  • Mercedes-benz.com.eg
  • Argos.co.uk

IHS се базира на Apache HTTP Server, обаче, ощипан от IBM за поддръжка на корпоративни приложения и поддръжка. Той държи много по-малко пазарен дял в света на уеб сървърите, но все още широко използван с WebSphere Application Server.

IHS-пазарния дял

Конфигурацията по подразбиране IHS предоставя много чувствителна информация, която може да помогне на хакера да се подготви за атака и да прекъсне бизнес операцията. Като администратор трябва да сте наясно с втвърдяването на IHS конфигурацията, за да защитите уеб приложенията.

В тази статия ще обясня как да направя IHS производство готова среда, за да се запази & сигурен.

Някои неща: –

  • Имате инсталиран IHS в Linux среда, ако не, можете да се обърнете към ръководството за инсталиране тук.
  • Препоръчваме ви да вземете резервно копие на конфигурационен файл.
  • Имате разширения за HTTP Header в браузър или можете да използвате Проверка на хедъра онлайн инструмент.
  • Поради продължителност на статията, ще говоря за SSL конфигурация в следващата публикация.

Скриване на сървърен банер и информация за продукта от HTTP Header

Вероятно една от първите задачи, които трябва да направите при създаването на производствена среда, е да маскира IHS версията и Server Banner в хедър. Това не е критично, но се счита за нисък риск като уязвимост на изтичане на информация и трябва да се отнася за PCI DSS приложение, съвместимо.

Нека да разгледаме как не съществува (404) заявка за отговор в конфигурацията по подразбиране.

IHS-nonexist-отговор

О, не, това разкрива, че използвам IBM HTTP Server заедно с IP сървъра и номера на порта, което е грозно. Да ги скрием.

Решение: –

  • Добавете следните три директиви във httpd.conf файла на вашия IHS.

AddServerHeader Off
ServerTokens Prod
Подпис на сървъра изключен

  • Запазете файла и рестартирайте IHS

Нека да потвърдим чрез достъп до несъществуващ файл. Можете също така да използвате HTTP заглавен инструмент за проверка на отговора.

IHS-nonexist-отговор фиксирани

Много по-добре! Сега тя не дава информация за продукта, сървъра и порта.

Деактивиране на етикета

Заглавката на етикета може да разкрие информация за inode и може да помогне на хакера да изпълни NFS атаки. По подразбиране IHS разкрива етага и ето как можете да преправите тази уязвимост.

IHS-ETAG

Решение: –

  • Добавете следната директива в главна директория.

FileETag няма

Например:

Опции FollowSymLinks
AllowOverride None
FileETag няма

  • Рестартирайте IHS сървъра, за да влезе в сила.

IHS-ETAG

Изпълнете IHS с не-root акаунт

Конфигурацията по подразбиране стартира уеб сървър с root & никой потребител, който не е препоръчително да работи през привилегирован акаунт, не може да засегне целия сървър в случай на дупка в сигурността. За да ограничите риска, можете да създадете специализиран потребител, който да стартира IHS екземпляри.

Решение: –

  • Създайте потребител и група, наречена ihsadmin

groupadd ihsadmin
useradd –g ihsadmin ihsadmin

Сега, променете собствеността на IHS папката на ihsadmin, така че новосъздаденият потребител има пълно разрешение за него. Ако приемем, че сте инсталирали на местоположение по подразбиране – / opt / IBM / HTTPServer

chown –R ihsadmin: ihsadmin / opt / IBM / HTTPServer

Нека променим Потребителя & Стойност на групата в httpd.conf

Потребител ihsadmin
Групирайте ihsadmin

Запазете httpd.conf и рестартирайте IHS сървъра. Това ще помогне на IHS да стартира като ihsadmin потребител.

Внедрете HttpOnly и Secure флаг в бисквитката

Защитата на бисквитките и httponly ще ви помогне да намалите риска от XSS атаки.

Решение: –

За да приложите това, трябва да осигурите mod_headers.so е активиран в httpd.conf.

Ако не, коментирайте долния ред в httpd.conf

LoadModule headers_module модули / mod_headers.so

И добавете под параметъра Header

Редактиране на заглавка Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure

Запазете конфигурационния файл и рестартирайте уеб сървъра.

Облекчете атаката с щракване

Кликването техниката е добре известна, когато нападателят може да подмами потребителите да кликнат върху връзка и да изпълни вграден код без знанието на потребителя.

Решение: –

  • Уверете се, че mod_headers.so е активиран и добавете под параметъра заглавие във файла httpd.conf

Заглавката винаги добавя опции за X-Frame SAMEORIGIN

  • Запазете файла и рестартирайте сървъра.

Нека да проверим чрез достъп до URL адреса, той трябва да има опции X-Frame, както е показано по-долу.

clickjacking-атака-IHS

Конфигурирайте директивата за слушане

Това е приложимо, ако имате множество Ethernet интерфейс / IP на сървъра. Препоръчително е да конфигурирате абсолютна IP и Port in Listen директива, за да избегнете пренасочване на DNS заявки. Това често се наблюдава в споделена среда.

Решение: –

  • Добавете предназначен IP и порт в httpd.conf под директива за слушане. Ex:-

Слушайте 10.0.0.9:80

Добавете X-XSS-защита

Можете да приложите Cross for Site Scripting (XSS) защита, като приложите следното заглавие, ако е деактивирано в браузъра от потребителя.

Комплект заглавки X-XSS-защита "1; режим = блок"

Деактивирайте HTTP заявка за проследяване

Ако методът Trace е активиран в уеб сървъра, може да позволи Cross Site Tracing Attack и възможно кражба на бисквитки. По подразбиране това е активирано и можете да ги деактивирате с параметър по-долу.

Решение: –

  • Променете httpd.con файла и добавете под реда

TraceEnable изключен

  • Запазете файла и рестартирайте IHS инстанцията, за да влезе в сила.

Надявам се, че горните съвети ви помагат да втвърдите IBM HTTP Server за производствена среда.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map