راهنمای امنیت و سخت شدن سرور IBM HTTP

Tweaking IBM HTTP Server (IHS) برای محیط تولید


سرور HTTP توسط IBM اغلب در ترکیب با سرور برنامه IBM WebSphere Application استفاده می شود. برخی از سایتهای محبوب با استفاده از سرور IBM HTTP عبارتند از:

  • Airtel.in
  • Marriott.com
  • Hsbc.co.uk
  • Mercedes-benz.com.eg
  • Argos.co.uk

IHS مبتنی بر Apache HTTP Server است ، با این حال ، IBM برای پشتیبانی از برنامه های سازمانی و پشتیبانی از پشتیبانی ، تنظیم شده است. آن را بسیار کمتر نگه می دارد سهم بازار در جهان وب سرور اما هنوز به طور گسترده ای با WebSphere Application Server استفاده می شود.

ihs-سهم بازار

پیکربندی پیش فرض IHS اطلاعات بسیار حساسی را ارائه می دهد ، که می تواند به هکر کمک کند تا برای حمله آماده کند و عملیات تجاری را قطع کند. به عنوان یک مدیر ، شما باید از سخت شدن پیکربندی IHS برای امنیت برنامه های وب آگاه باشید.

در این مقاله ، من توضیح می دهم که چگونه می توان تولید IHS را در محیط آماده برای حفظ امنیت قرار داد & امن است.

چند مورد: –

  • اگر IHS در محیط لینوکس نصب شده باشد در غیر اینصورت می توانید راهنمای نصب را در اینجا مراجعه کنید.
  • به شما توصیه می شود از یک فایل پیکربندی پشتیبان تهیه کنید.
  • شما افزونه های HTTP Header را در یک مرورگر دارید یا می توانید از آنها استفاده کنید جستجوگر هدر ابزار آنلاین.
  • به دلیل طولانی بودن مقاله ، در پست بعدی در مورد پیکربندی SSL صحبت خواهم کرد.

پنهان کردن بنر سرور و اطلاعات مربوط به محصول از هدر HTTP

احتمالاً یکی از اولین کارهایی که باید هنگام تنظیم محیط تولید انجام دهید ، پوشاندن نسخه IHS و سرور بنر در هدر است. این امر حیاتی نیست ، اما به عنوان آسیب پذیری نشت اطلاعات در معرض خطر قرار دارد و باید برای برنامه سازگار با PCI DSS انجام شود.

بیایید بررسی کنیم که چگونه عدم وجود (404) درخواست پاسخ در پیکربندی پیش فرض را بررسی می کنیم.

پاسخ من

اوه نه ، این نشان می دهد که من از IBM HTTP Server به همراه IP سرور و شماره پورت استفاده می کنم که زشت است. بیایید آنها را پنهان کنیم.

راه حل: –

  • سه دستورالعمل زیر را در پرونده httpd.conf از IHS خود اضافه کنید.

AddServerHeader خاموش است
ServerTokens محصول
ServerSignature خاموش است

  • پرونده را ذخیره کرده و IHS را مجدداً راه اندازی کنید

اجازه دهید با دسترسی به پرونده غیر موجود تأیید کنیم. شما همچنین ممکن است استفاده کنید ابزار هدر HTTP برای تأیید پاسخ.

این-عدم-پاسخ-ثابت است

خیلی بهتر! اکنون اطلاعات مربوط به محصول ، سرور و پورت را نمی دهد.

غیرفعال کردن Etag

هدر Etag ممکن است نشان دهد اطلاعات درونگرا و می تواند به هکر برای انجام حملات NFS کمک کند. به طور پیش فرض IHS etag را آشکار می کند و در اینجا می توانید چگونه این آسیب پذیری را اصلاح کنید.

ihs-etag

راه حل: –

  • بخشنامه زیر را در فهرست اصلی اضافه کنید.

FileETag هیچ

برای مثال:

گزینه ها FollowSymLinks
AllowOverride None
FileETag هیچ

  • مجدداً سرور IHS را شروع کنید.

ihs-etag

IHS را با حساب غیر ریشه اجرا کنید

پیکربندی پیش فرض یک سرور وب را با ریشه اجرا کنید & هیچ کس از کاربران که توصیه نمی شود از طریق حساب کاربری ممتاز استفاده کنید ممکن است در صورت وجود سوراخ امنیتی روی کل سرور تأثیر بگذارد. برای محدود کردن خطر ، ممکن است شما یک کاربر اختصاصی برای اجرای موارد IHS ایجاد کنید.

راه حل: –

  • کاربر و گروهی بنام ihsadmin ایجاد کنید

گروهک احساندین
useradd – g ihsadmin ihsadmin

اکنون, مالکیت پوشه IHS را به ihsadmin تغییر دهید تا کاربر تازه ایجاد شده مجوز کاملی روی آن بگذارد. با فرض اینکه شما در مکان پیش فرض نصب کرده اید – / opt / IBM / HTTPServer

chown –R ihsadmin: ihsadmin / opt / IBM / HTTPServer

بگذارید کاربر را تغییر دهیم & ارزش گروه در httpd.conf

کاربر ihsadmin
گروه ihsadmin

httpd.conf را ذخیره کرده و سرور IHS را مجدداً راه اندازی کنید. این به IHS کمک می کند تا به عنوان کاربر ihsadmin شروع شود.

پرچم HttpOnly و Secure را در کوکی اجرا کنید

ایمن سازی کوکی و httponly به شما در کاهش خطر حملات XSS کمک می کند.

راه حل: –

برای اجرای این امر باید اطمینان حاصل کنید mod_headers.so در httpd.conf فعال شده است.

اگر اینطور نیست ، خط زیر را در httpd.conf لغو کنید

ماژول های header_module / mod_headers.so را بارگذاری کنید

و زیر پارامتر Header را اضافه کنید

ویرایش هدر تنظیمات کوکی ^ (. *) $ 1 $ ؛ HttpOnly ؛ امن

فایل پیکربندی را ذخیره کرده و سرور وب را مجدداً راه اندازی کنید.

حمله Clickjacking را کاهش دهید

کلیک کلیک کنید این تکنیک به خوبی شناخته شده است که در آن حمله کننده می تواند کاربران را فریب دهد تا بر روی یک لینک کلیک کنند و کد جاسازی شده را بدون اطلاع کاربر اجرا کنند.

راه حل: –

  • اطمینان حاصل کنید که mod_headers.so فعال شده است و در زیر پارامتر هدر در پرونده httpd.conf اضافه کنید

هدر همیشه گزینه های X-Frame-SAMEORIGIN را ضمیمه می کند

  • فایل را ذخیره کرده و سرور را مجدداً راه اندازی کنید.

اجازه دهید با دسترسی به URL تأیید کنیم ، باید مطابق شکل زیر دارای گزینه های X-Frame باشد.

clickjacking-حمله-آه

دستورالعمل گوش دادن را پیکربندی کنید

این امر قابل استفاده است اگر شما چندین رابط / IP اترنت روی سرور دارید. توصیه می شود برای جلوگیری از ارسال درخواست های DNS ، دستورالعمل IP و Port را در دستورالعمل مطلوب پیکربندی کنید. این اغلب در محیط مشترک دیده می شود.

راه حل: –

  • IP و درگاه مورد نظر را در دستورالعمل گوش دادن اضافه کنید. سابق:-

10.0.0.9:80 گوش دهید

X-XSS-Protection را اضافه کنید

اگر غیرفعال شده در مرورگر توسط کاربر باشد ، می توانید با استفاده از عنوان زیر از محافظت در برابر محافظت در سایت (XSS) استفاده کنید..

تنظیم هدر X-XSS-Protection "1؛ حالت = بلوک"

غیرفعال کردن درخواست HTTP را غیرفعال کنید

با فعال کردن روش Trace در سرور وب ممکن است امکان Cross Site Tracing Attack فراهم شود و امکان سرقت اطلاعات کوکی وجود داشته باشد. به طور پیش فرض ، این فعال است و می توانید آنها را با پارامتر زیر غیرفعال کنید.

راه حل: –

  • پرونده httpd.con را اصلاح کنید و در زیر خط اضافه کنید

TraceEnable خاموش است

  • پرونده را ذخیره کنید و نمونه IHS را مجدداً راه اندازی کنید تا عملی شود.

امیدوارم نکات فوق به شما کمک کند سرور IBM HTTP را برای یک محیط تولید سخت کنید.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map