IBM HTTP Server -turvallisuus- ja karkaisu-opas

IBM HTTP Server (IHS) mukauttaminen tuotantoympäristöön


IBM: n HTTP-palvelinta käytetään usein yhdessä IBM WebSphere Application Server -palvelimen kanssa. Jotkut suositut sivustot IBM HTTP Server -palvelinta käyttävät ovat:

  • Airtel.in
  • Marriott.com
  • Hsbc.co.uk
  • Mercedes-benz.com.eg
  • Argos.co.uk

IHS perustuu Apache HTTP Server -palvelimeen, jota kuitenkin IBM on tarkistanut tukemaan yrityssovelluksia ja ylläpitotukia. Sitä pitää hyvin vähemmän markkinaosuus Web-palvelinmaailmassa, mutta sitä käytetään edelleen laajasti WebSphere Application Server -palvelimen kanssa.

IHS-markkinaosuuksien

IHS-oletuskokoonpanot tarjoavat paljon arkaluonteisia tietoja, jotka voivat auttaa hakkereita valmistautumaan hyökkäykseen ja keskeyttämään liiketoiminnan. Järjestelmänvalvojana sinun tulisi olla tietoinen IHS-määritysten kovettumisesta Web-sovellusten suojaamiseksi.

Tässä artikkelissa selitän kuinka tehdä IHS-tuotannosta käyttövalmis ympäristö turvallisuuden varmistamiseksi & turvallinen.

Muutama asia: –

  • IHS on asennettu Linux-ympäristöön, jos ei, voit tutustua asennusoppaaseen täältä.
  • Sinua kehotetaan ottamaan varmuuskopio määritystiedostosta.
  • Sinulla on HTTP-otsikkolaajennuksia selaimessa tai voit käyttää sitä Otsikon tarkistus online-työkalu.
  • Artikkelin pituuden takia puhun seuraavassa viestissä SSL-määrityksistä.

Piilota palvelinpalkki ja tuotetiedot HTTP-otsikosta

Todennäköisesti yksi ensimmäisistä tehtävistä tuotantoympäristön määrittämisessä on peittää IHS-versio ja palvelinpalkki otsikossa. Tämä ei ole kriittinen asia, mutta sitä pidetään vähäisenä tiedonvuotoheikkoutena, ja se on tehtävä PCI DSS -yhteensopivassa sovelluksessa.

Katsotaanpa kuinka olematonta (404) pyyntövastausta oletuskokoonpanossa.

ihs-nonexist-vaste

Voi ei, se paljastaa, että käytän IBM HTTP Server -palvelinta yhdessä palvelimen IP: n ja porttinumeron kanssa, mikä on ruma. Piilotaan heidät.

Ratkaisu: –

  • Lisää seuraavat kolme direktiiviä IHS: n httpd.conf-tiedostoon.

AddServerHeader pois päältä
ServerTokens Prod
ServerSignature Pois käytöstä

  • Tallenna tiedosto ja käynnistä IHS uudelleen

Vahvistetaan tarkistamalla pääsy tiedostoon, jota ei ole olemassa. Voit myös käyttää HTTP-otsikkotyökalu tarkistaa vastaus.

ihs-nonexist-vaste-kiinteä

Paljon parempi! Nyt se ei anna tuote-, palvelin- ja porttitietoja.

Poista etätagi käytöstä

Etag-otsikko saattaa paljastaa inode tiedot ja voi auttaa hakkereita toteuttamaan NFS-hyökkäyksiä. Oletuksena IHS paljastaa vaiheen ja tässä on kuinka voit korjata tämän haavoittuvuuden.

IHS-ETAG

Ratkaisu: –

  • Lisää seuraava direktiivi juurihakemistoon.

FileETag mitään

Ex:

Asetukset FollowSymLinks
AllowOverride Ei mitään
FileETag mitään

  • Käynnistä IHS-palvelin uudelleen.

IHS-ETAG

Suorita IHS muulla kuin root-tilillä

Oletuskokoonpano suorittaa Web-palvelimen, jolla on juuri & kukaan käyttäjä, jota ei ole suositeltavaa käyttää etuoikeutetulla tilillä, ei voi vaikuttaa koko palvelimeen tietoturvaaukon ilmetessä. Riskin rajoittamiseksi voit luoda omistetun käyttäjän IHS-ilmentymien ajamiseen.

Ratkaisu: –

  • Luo käyttäjä ja ryhmä nimeltään ihsadmin

ryhmäadd ihsadmin
useradd –g ihsadmin ihsadmin

Nyt, Vaihda IHS-kansion omistusoikeus ihsadminiin, jotta vasta luodulla käyttäjällä on siihen täysi lupa. Olettaen, että olet asentanut oletuspaikkaan – / opt / IBM / HTTPServer

chown – R ihsadmin: ihsadmin / opt / IBM / HTTPServer

Vaihdetaan käyttäjä & Ryhmän arvo sivustossa httpd.conf

Käyttäjä ihsadmin
Ryhmä ihsadmin

Tallenna httpd.conf ja käynnistä IHS-palvelin uudelleen. Tämä auttaa IHS: tä aloittamaan ihsadmin-käyttäjänä.

Ota käyttöön HttpOnly and Secure -lippu evästeessä

Evästeiden suojaaminen ja httponly auttavat vähentämään XSS-hyökkäysten riskiä.

Ratkaisu: –

Tämän toteuttamiseksi sinun on varmistettava mod_headers.so on käytössä osoitteessa httpd.conf.

Jos ei, poista alla olevan rivin kommentti osoitteessa httpd.conf

LoadModule headders_module moduulit / mod_headers.so

Ja lisää otsikkoparametrin alapuolelle

Otsikon muokkaus Set-Cookie ^ (. *) $ $ 1; HttpOnly; Suojattu

Tallenna määritystiedosto ja käynnistä web-palvelin uudelleen.

Lieventää Clickjacking-hyökkäystä

Clickjacking tekniikka on hyvin tunnettua, jossa hyökkääjä voi huijata käyttäjiä napsauttamaan linkkiä ja suorittamaan upotetun koodin käyttäjän tietämättä.

Ratkaisu: –

  • Varmista, että mod_headers.so on käytössä, ja lisää otsikkoparametrin alapuolelle httpd.conf-tiedosto

Otsikko lisää aina X-Frame-Options SAMEORIGIN -sovelluksen

  • Tallenna tiedosto ja käynnistä palvelin uudelleen.

Tarkistetaan pääsemällä URL-osoitteeseen, sillä pitäisi olla X-kehyksen asetukset alla esitetyllä tavalla.

clickjacking-hyökkäys-ihs

Määritä kuunteludirektiivi

Tätä voidaan käyttää, jos palvelimella on useita Ethernet-liittymiä / IP. On suositeltavaa määrittää absoluuttinen IP- ja Port in Listen -direktiivi, jotta vältetään DNS-pyyntöjen välitys. Tämä näkyy usein jaetussa ympäristössä.

Ratkaisu: –

  • Lisää suunniteltu IP ja portti httpd.conf-kuunteluohjeisiin. Esim:-

Kuuntele 10.0.0.9:80

Lisää X-XSS-suojaus

Voit käyttää Cross for Site Scripting (XSS) -suojausta toteuttamalla seuraava otsikko, jos käyttäjä on poistanut sen selaimessa..

Otsikko asetettu X-XSS-Protection "1; mode = lohko"

Poista HTTP-jäljityspyyntö käytöstä

Jäljitysmenetelmän ottaminen käyttöön web-palvelimella voi sallia Cross Site Tracing Attack -sovelluksen ja mahdollisuuden varastaa evästeitä koskevia tietoja. Oletuksena tämä on käytössä ja voit poistaa ne käytöstä parametrilla alla.

Ratkaisu: –

  • Muokkaa httpd.con-tiedostoa ja lisää rivin alapuolelle

TraceEnable pois

  • Tallenna tiedosto ja käynnistä IHS-ilmentymä, jotta se astuisi voimaan.

Toivon, että edellä mainitut vinkit auttavat sinua kovettamaan IBM HTTP Server -palvelimen tuotantoympäristöä varten.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map