Panduan Pengerasan & Pengerasan Server HTTP IBM

Tweaking IBM HTTP Server (IHS) untuk Lingkungan Produksi


HTTP Server oleh IBM sering digunakan dalam kombinasi dengan IBM WebSphere Application Server. Beberapa situs populer menggunakan IBM HTTP Server adalah:

  • Airtel.in
  • Marriott.com
  • Hsbc.co.uk
  • Mercedes-benz.com.eg
  • Argos.co.uk

IHS didasarkan pada Apache HTTP Server, namun, di-tweak oleh IBM untuk mendukung aplikasi perusahaan dan dukungan pemeliharaan. Itu memegang sangat sedikit saham di dunia server web tetapi masih banyak digunakan dengan WebSphere Application Server.

ihs-pangsa pasar

Konfigurasi IHS default menyediakan banyak informasi sensitif, yang dapat membantu hacker mempersiapkan diri untuk serangan dan mengganggu operasi bisnis. Sebagai administrator, Anda harus waspada terhadap pengerasan konfigurasi IHS untuk mengamankan aplikasi web.

Dalam artikel ini, saya akan menjelaskan bagaimana membuat lingkungan produksi IHS siap untuk tetap aman & aman.

Beberapa hal: –

  • Anda telah menginstal IHS di lingkungan Linux jika tidak, Anda dapat merujuk panduan instalasi di sini.
  • Anda disarankan untuk membuat cadangan file konfigurasi.
  • Anda memiliki ekstensi HTTP Header di browser atau dapat Anda gunakan Pemeriksa Header alat online.
  • Karena panjang artikel, saya akan berbicara tentang konfigurasi SSL di posting selanjutnya.

Sembunyikan Server Banner dan Info Produk dari HTTP Header

Mungkin salah satu tugas pertama yang harus dilakukan saat menyiapkan lingkungan produksi adalah untuk menutupi versi IHS dan Server Banner di header. Ini tidak kritis tetapi dianggap berisiko rendah sebagai kerentanan kebocoran informasi dan harus dilakukan untuk aplikasi yang sesuai dengan PCI DSS.

Mari kita lihat bagaimana tidak ada (404) permintaan respons dalam konfigurasi default.

ihs-nonexist-response

Oh tidak, itu mengungkapkan saya menggunakan IBM HTTP Server bersama dengan IP server dan nomor port, yang jelek. Mari sembunyikan mereka.

Solusi: –

  • Tambahkan tiga arahan berikut dalam file httpd.conf dari IHS Anda.

Mati AddServerHeader
ServerTokens Prod
ServerSignature Mati

  • Simpan file dan mulai ulang IHS

Mari kita verifikasi dengan mengakses file yang tidak ada. Anda juga dapat menggunakan Alat HTTP Header untuk memverifikasi respons.

ihs-nonexist-response-fix

Jauh lebih baik! Sekarang tidak memberikan informasi produk, server dan port.

Nonaktifkan Etag

Header Etag dapat dibuka informasi inode dan dapat membantu peretas untuk mengeksekusi serangan NFS. Secara default IHS mengungkapkan etag dan di sini adalah bagaimana Anda dapat memulihkan kerentanan ini.

ihs-etag

Solusi: –

  • Tambahkan arahan berikut di direktori root.

FileETag tidak ada

Misalnya:

Pilihan FollowSymLinks
AllowOverride Tidak Ada
FileETag tidak ada

  • Mulai ulang server IHS agar berlaku.

ihs-etag

Jalankan IHS dengan Akun non-root

Konfigurasi default menjalankan server web dengan root & tidak ada pengguna yang tidak disarankan menjalankan melalui akun istimewa dapat memengaruhi seluruh server jika ada lubang keamanan. Untuk membatasi risiko, Anda dapat membuat pengguna khusus untuk menjalankan mesin virtual IHS.

Solusi: –

  • Buat pengguna dan grup yang disebut ihsadmin

groupadd ihsadmin
useradd –g ihsadmin ihsadmin

Sekarang, ubah kepemilikan folder IHS menjadi ihsadmin sehingga pengguna yang baru dibuat memiliki izin penuh untuk itu. Dengan asumsi Anda telah menginstal di lokasi default – / opt / IBM / HTTPServer

chown –R ihsadmin: ihsadmin / opt / IBM / HTTPServer

Mari kita ubah Pengguna & Nilai grup di httpd.conf

Pengguna ihsadmin
Kelompok ihsadmin

Simpan httpd.conf dan mulai ulang server IHS. Ini akan membantu IHS untuk memulai sebagai pengguna ihsadmin.

Terapkan bendera HttpOnly dan Aman di Cookie

Mengamankan cookie dan httponly akan membantu Anda mengurangi risiko serangan XSS.

Solusi: –

Untuk menerapkan ini, Anda harus memastikan mod_headers.so diaktifkan di httpd.conf.

Jika tidak, batalkan komentar pada baris di bawah ini di httpd.conf

LoadModule headers_module modules / mod_headers.so

Dan tambahkan di bawah parameter Header

Edit Header Set-Cookie ^ (. *) $ $ 1; HttpOnly; Aman

Simpan file konfigurasi dan mulai ulang server web.

Mitigasi serangan Clickjacking

Clickjacking teknik ini dikenal luas di mana penyerang dapat menipu pengguna untuk mengklik tautan dan mengeksekusi kode yang disematkan tanpa sepengetahuan pengguna.

Solusi: –

  • Pastikan mod_headers.so diaktifkan dan tambahkan parameter header di bawah ini dalam file httpd.conf

Header selalu menambahkan X-Frame-Options SAMAORIGIN

  • Simpan file dan mulai ulang server.

Mari kita verifikasi dengan mengakses URL, itu harus memiliki X-Frame-Options seperti yang ditunjukkan di bawah ini.

clickjacking-attack-ihs

Konfigurasikan Dengarkan Petunjuk

Ini berlaku jika Anda memiliki beberapa antarmuka Ethernet / IP di server. Dianjurkan untuk mengonfigurasi IP absolut dan Port di Dengarkan direktif untuk menghindari permintaan DNS diteruskan. Ini sering terlihat di lingkungan bersama.

Solusi: –

  • Tambahkan IP dan Port yang dimaksud di httpd.conf di bawah Dengarkan arahan. Ex:-

Dengarkan 10.0.0.9:80

Tambahkan X-XSS-Protection

Anda dapat menerapkan perlindungan Cross for Site Scripting (XSS) dengan menerapkan tajuk berikut jika dinonaktifkan di browser oleh pengguna.

Header set X-XSS-Protection "1; mode = blok"

Nonaktifkan Lacak Permintaan HTTP

Memiliki metode Jejak diaktifkan di server web dapat memungkinkan Serangan Penelusuran Situs Lintas dan mungkin untuk mencuri informasi cookie. Secara default, ini diaktifkan dan Anda dapat menonaktifkannya dengan parameter di bawah ini.

Solusi: –

  • Ubah file httpd.con dan tambahkan baris di bawah ini

Tidak bisa dilacak

  • Simpan file dan mulai ulang instance IHS untuk mulai berlaku.

Saya harap tip di atas membantu Anda mengeraskan IBM HTTP Server untuk lingkungan produksi.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map