Dit artikel maakt deel uit van de Apache Server Guide-serie:

  • Apache beveiligen op Ubuntu - Deel 1
  • Apache beveiligen op Ubuntu - Deel 2
  • Apache-prestaties optimaliseren - deel 1
  • Apache-prestaties optimaliseren - deel 2
  • Op naam gebaseerde Virtualhost Apache instellen
  • IP en op poorten gebaseerde Virtualhost instellen in Apache
  • Hoe de wachtwoordbeveiliging van de webdirectory in Apache in te stellen
  • Apache-server instellen met SSL-ondersteuning op Ubuntu
  • Fail2ban instellen om Apache te beschermen tegen een DDOS-aanval
  • Hoe Webdav instellen met Apache op Ubuntu
  • Controleer Apache Web Server met Mod_status
  • Hoe te beschermen tegen DDoS met Mod_evasive op Apache Server

Mijn vorige artikel ging over basistips voor beveiliging en tricks om de Apache-webserver in Ubuntu te beveiligen.

Hier ga ik wat geavanceerde beveiligingstips en tricks voor het beveiligen van een Apache-webserver laten zien.

Veilige Apache van Clickjacking Attack

Clickjacking is een bekende kwetsbaarheid voor de webserver. Het is bekend als een 'UI-herstel-aanval'. Het is een kwaadwillende techniek die door een aanvaller wordt gebruikt om de klikken van een geïnfecteerde gebruiker te verzamelen. Clickjacking bestaat uit twee woorden - Click and Hijacking. Klik betekent 'muisklikken' en Hijacking betekent 'dwingen dat een gebruiker klikt.' Clickjacking houdt in dat een gebruiker wordt gedwongen te klikken op een webpagina waarop de hacker wil dat hij klikt om de gewenste schadelijke activiteit uit te voeren.

Om uw Apache-webserver te beveiligen tegen een Clickjacking-aanval, moet u "X-FRAME-OPTIONS" gebruiken om dit te voorkomen.

U kunt dit doen door het bestand "apache2.conf" te bewerken.

 sudo nano /etc/apache2/apache2.conf 

Voeg de volgende regel toe in Directory /var/www/html/ :

 Header voegt altijd X-Frame-Opties SAMEORIGIN toe 

Sla het bestand op en start Apache opnieuw.

 sudo /etc/init.d/apache2 opnieuw opstarten 

Probeer nu een webbrowser te openen om toegang te krijgen tot uw webserver. Controleer HTTP-antwoordheaders in firebug; je zou X-Frame-Options moeten zien zoals in de onderstaande afbeelding.

Schakel Etag uit

Etags, ook wel bekend als 'Entiteitslabels', zijn een kwetsbaarheid in Apache. Hiermee kunnen externe gebruikers gevoelige informatie zoals inode-nummer, onderliggende proces-ID's en multipart MIME-grens verkrijgen met behulp van de Etag-header. Het wordt aanbevolen om Etag uit te schakelen.

U kunt dit doen door het bestand "apache2.conf" te bewerken.

 sudo nano /etc/apache2/apache2.conf 

Voeg de volgende regel toe in Directory /var/www/html/ :

 FileETag Geen 

Sla het bestand op en start Apache opnieuw.

Probeer nu een webbrowser te openen om toegang te krijgen tot uw webserver. Controleer HTTP-antwoordheaders in firebug; je zou Etag helemaal niet moeten zien.

Schakel het oude protocol uit

Oud HTTP-protocol (HTTP 1.0) heeft een beveiligingsprobleem met betrekking tot sessie-kaping en Clickjacking-aanvallen. Het wordt aanbevolen om het oude protocol uit te schakelen.

U kunt het uitschakelen met de "mod_rewrite" -regel door alleen het HTTP 1.1-protocol toe te staan.

Bewerk hiervoor het bestand "apache2.conf".

 sudo nano /etc/apache2/apache2.conf 

Voeg de volgende regel toe in Directory /var/www/html/ :

 RewriteEngine On RewriteCond% {THE_REQUEST}! HTTP / 1 \ .1 $ RewriteRule. * - [F] 

Sla het bestand op en start Apache opnieuw.

HTTP-verzoekmethoden

In Ubuntu ondersteunt het HTTP 1.1-protocol vele verzoekmethoden, zoals "OPTIES, GET, HEAD, POST, PUT, DELETE, TRACE, CONNECT", wat misschien niet nodig is. Het wordt aanbevolen om alleen HEAD-, POST- en GET-verzoekmethoden in te schakelen.

Om dit op te lossen, bewerkt u het Apache-configuratiebestand.

 sudo nano /etc/apache2/apache2.conf 

Voeg de volgende regel toe in Directory /var/www/html/ :

 ontken van iedereen 

Sla het bestand op en start Apache opnieuw.

Beveilig Apache van een XSS-aanval

XSS (ook wel Cross-site Scripting genoemd) is een van de meest voorkomende kwetsbaarheden in applicatielagen. Hiermee kan een aanvaller code uitvoeren op de doelwebserver vanuit de webbrowser van een gebruiker. Aanvallers kunnen aanvallen op een kwetsbare XSS-webserver met behulp van browser side scripting (JavaScript), dus het wordt aanbevolen om XSS-beveiliging in te schakelen op Apache.

U kunt dit doen door het Apache-configuratiebestand te bewerken.

 sudo nano /etc/apache2/apache2.conf 

Voeg de volgende regel toe in Directory /var/www/html/ :

 Koptekstset X-XSS-bescherming "1; modus = blok" 

Sla het bestand op en start Apache opnieuw.

Probeer nu een webbrowser te openen om toegang te krijgen tot uw webserver. Controleer HTTP-antwoordheaders in firebug; je zou X-XSS-beschermingsopties moeten zien zoals in de onderstaande afbeelding.

Bescherm cookies met HTTPOnly Flag

De HTTPOnly-cookie staat ook bekend als een veilige cookie die wordt gebruikt voor het verzenden van http of https via internet. Het wordt aanbevolen om "HttpOnly" en "Secure flag" in een cookie te gebruiken. Dit beschermt je Apache-webserver tegen de meest voorkomende aanvallen zoals CSS, cookies-aanvallen en cookies-injecties.

Om dit op te lossen, bewerkt u het Apache-configuratiebestand.

 sudo nano /etc/apache2/apache2.conf 

Voeg de volgende regel toe in Directory /var/www/html/ :

 Kop bewerken Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure 

Sla het bestand op en start Apache opnieuw.

Conclusie

Ik hoop dat je nu genoeg kennis hebt om je Apache-webserver te beveiligen tegen verschillende soorten aanvallen. Als je vragen hebt, kun je hieronder reageren.