Apache Web Server Hardening: Cara Melindungi Server Anda Dari Serangan
Karena kebanyakan dari kita membiarkannya ke konfigurasi default, itu dapat membocorkan data sensitif mengenai server web.
Ada banyak server web di pasar. Apache adalah salah satu yang paling populer. Banyak digunakan dari semuanya. Karena popularitas ini, ia juga paling rentan terhadap serangan cyber.
Dengan menerapkan banyak penyesuaian konfigurasi, kami dapat membuat Apache menahan serangan berbahaya hingga batas tertentu. Berikut adalah beberapa tip pengerasan server web Apache yang dapat Anda sertakan untuk meningkatkan keamanan.
Menyembunyikan Spanduk Versi Server
Salah satu hal pertama yang harus diperhatikan adalah menyembunyikan banner versi server.
Konfigurasi Apache default akan mengekspos versi server. Informasi ini dapat membantu penyerang mendapatkan pemahaman yang lebih baik tentang sistem yang digunakan. Berpotensi mengembangkan serangan lebih lanjut yang ditargetkan pada versi server tertentu.
Kami dapat dengan mudah memperbaiki pengungkapan versi server dengan mengikuti langkah-langkah di bawah ini:
1. Buka apache. konf
2. Simpan konfigurasi dan restart Apache
Lebih baik lagi, kita dapat mengubah nama server menjadi apa pun di header server. Untuk mencapai ini, Anda perlu mengaktifkan modul mod_security. Kemudian tambahkan arahan berikut ke konfigurasi.
3. Simpan konfigurasi dan restart Apache
Nonaktifkan Daftar Direktori
Dengan konfigurasi default Apache, Jika direktori root server web Anda tidak berisi index.html, pengguna dapat melihat semua file dan sub direktori yang terdaftar di root web.
Untuk menonaktifkan daftar direktori, kita perlu menyetel nilai direktif `Option` sebagai `None` atau `-Indexes` dalam file konfigurasi Apache.
Mulai ulang apache2
Gunakan Modul mod_security
mod_security berfungsi sebagai firewall untuk aplikasi web.
Ini juga dapat digunakan untuk pemantauan dan pencatatan aplikasi web waktu nyata. Anda dapat menginstal mod_security dari penginstal paket default Anda.
Gunakan Modul mod_evasive
mod_evasive memberikan tindakan efektif terhadap serangan Distributed Denial of Service (DDoS/DoS) atau serangan brute force
Kemampuannya juga diperluas untuk bekerja dengan ipchains, firewall, router, dan banyak lagi. mod_evasive melaporkan kejadian melalui fasilitas email dan syslog.
mod_evasive memiliki prasyarat. Instal prasyarat dengan menjalankan perintah berikut.
Debian/Ubuntu
RHEL/CentOS/Fedora
Mengonfigurasi mod_evasive
Buka file konfigurasi mod_evasive di editor teks apa pun. Temukan baris berikut. Batalkan komentar mereka.
Ganti `DOSEmailNotify [email protected]` dengan alamat email Anda untuk mendapatkan notifikasi tentang acara. Notifikasi email hanya berfungsi jika ada server email fungsional yang berjalan di server. Simpan konfigurasi. Mulai ulang Apache. Sekarang, mod_evasive sedang berlaku.
Menyembunyikan Tajuk ETag
Header ETag melibatkan cukup banyak detail sensitif terkait server Anda. Sangat menarik bahwa untuk kepatuhan PCI diperlukan untuk menyembunyikan header Etag.
Untuk mencapai ini, tambahkan arahan berikut ke konfigurasi Apache.
Nonaktifkan CGI dan SSI
SSI adalah arahan yang ada pada aplikasi web yang digunakan untuk memberi makan halaman HTML dengan konten dinamis.
Mereka juga mampu membuka situs web Anda hingga sejumlah masalah keamanan jika dibiarkan. https://techking.id Kasus yang sama terjadi untuk skrip CGI. Untuk mencegah peretas menyuntikkan skrip berbahaya ke dalam kode Anda.
Batasi CGI dan SSI dengan menambahkan arahan berikut ke konfigurasi Apache:
Mengatur Batas HTTP
Menyiapkan beberapa batasan HTTP dapat bertahan terhadap serangan DDoS (Distributed Denial of Service), sangat mudah jika Anda mengetahui jenis tindakan yang harus diwaspadai.
DDoS selalu cenderung terjadi dengan memukul berulang kali di server Anda dengan permintaan yang sangat besar.
Berikut ini termasuk beberapa batasan yang perlu Anda konfigurasikan:
Aktifkan Header Perlindungan XSS
Cross-site scripting (XSS) adalah kerentanan umum yang ditemukan di aplikasi web. Header X-XSS-Protection dapat mencegah beberapa tingkat serangan XSS (cross-site-scripting).
Parameternya adalah:
- 0 - Filter XSS dinonaktifkan
- 1 - Filter XSS diaktifkan dan membersihkan halaman jika serangan terdeteksi
- 1;mode=block - Filter XSS diaktifkan dan mencegah rendering halaman jika serangan terdeteksi
- 1;report=http://reporting.url/ - Filter XSS diaktifkan dan akan melaporkan pelanggaran jika terdeteksi serangan
Tambahkan entri berikut ke konfigurasi Apache Anda untuk mengaktifkan XSS Protection Header.
Mulai ulang Apache.
Last but not least, selalu perbarui server web Anda.
Saya harap tips pengerasan keamanan server web Apache ini berguna untuk Anda!
Jika Anda ingin meningkatkan keamanan web, Anda dapat mendaftar untuk mendapatkan akun gratis di Beagle Security. Anda akan dapat mengidentifikasi kerentanan di situs web Anda sebelum peretas mengeksploitasinya. Tetap aman!
Sebelumnya diterbitkan di https://beaglesecurity.com/blog/blogs/2020/06/15/Apache-Web-Server-Hardening.html