Vodič za varnost in strjevanje strežnika IBM HTTP

Prilagoditev strežnika IBM HTTP (IHS) za proizvodno okolje


IBM-ov strežnik HTTP se pogosto uporablja v kombinaciji z aplikacijskim strežnikom IBM WebSphere. Nekateri od priljubljena spletna mesta z uporabo strežnika IBM HTTP so:

  • Airtel.in
  • Marriott.com
  • Hsbc.co.uk
  • Mercedes-benz.com.eg
  • Argos.co.uk

IHS temelji na strežniku Apache HTTP, vendar ga je IBM prilagodil za podpiranje poslovnih aplikacij in podporo za vzdrževanje. Drži zelo malo tržni delež v svetu spletnih strežnikov, vendar se še vedno pogosto uporablja s strežnikom WebSphere Application Server.

ih-tržni delež

Privzeta konfiguracija IHS ponuja veliko občutljivih informacij, kar lahko pomaga hekerju, da se pripravi na napad in prekine poslovanje. Kot skrbnik se morate zavedati, da je utrjevanje konfiguracije IHS za zaščito spletnih aplikacij.

V tem članku bom razložil, kako narediti IHS proizvodnjo pripravljeno okolje, da bo varen & varno.

Malo stvari: –

  • Če je sistem IHS nameščen v okolju Linux, če ni, ga lahko preberete tukaj.
  • Svetujemo vam, da vzamete varnostno kopijo konfiguracijske datoteke.
  • V brskalniku imate razširitve glave HTTP ali jih lahko uporabljate Preverjeva glave spletno orodje.
  • Zaradi dolžine članka bom v naslednji objavi govoril o konfiguraciji SSL.

Skrij pasico strežnika in informacije o izdelku iz glave HTTP

Verjetno je ena od prvih nalog med nastavitvijo proizvodnega okolja maskiranje verzije IHS in strežnika v glavo. To ni kritično, vendar je majhno tveganje za ranljivost uhajanja informacij in mora veljati za PCI DSS skladno aplikacijo.

Poglejmo, kako v privzeti konfiguraciji ne obstaja (404) odziv na zahtevo.

ihs-nonexist-odziv

Oh ne, razkrivam, da uporabljam strežnik IBM HTTP skupaj s IP strežnikom in številko vrat, kar je grdo. Skrijmo jih.

Rešitev: –

  • V datoteko httpd.conf vašega IHS dodajte naslednje tri direktive.

AddServerHeader je izklopljen
ServerTokens Prod
Podpis strežnika izklopljen

  • Shranite datoteko in znova zaženite IHS

Preverimo z dostopom do datoteke, ki ne obstaja. Lahko tudi uporabite Orodje HTTP Header da preverimo odziv.

določen ihs-nonexist-odgovor

Precej bolje! Zdaj ne daje podatkov o izdelku, strežniku in vratih.

Onemogoči oznako

Glava etag lahko razkrije inode informacije in lahko pomaga hekerju za izvajanje napadov NFS. IHS privzeto razkrije etag in tukaj je, kako lahko to ranljivost odpravite.

ihs-etag

Rešitev: –

  • V korenski imenik dodajte naslednjo direktivo.

FileETag noben

Na primer:

Možnosti FollowSymLinks
DovoliOverride Brez
FileETag noben

  • Znova zaženite strežnik IHS.

ihs-etag

Zaženite IHS z nekorenskim računom

Privzeta konfiguracija zažene spletni strežnik s root & noben uporabnik, ki ni priporočljiv za upravljanje prek privilegiranega računa, ne more vplivati ​​na celoten strežnik v primeru varnostne luknje. Če želite omejiti tveganje, lahko ustvarite namenskega uporabnika za zagon primerkov IHS.

Rešitev: –

  • Ustvari uporabnika in skupino z imenom ihsadmin

groupadd ihsadmin
useradd –g ihsadmin ihsadmin

Zdaj, spremenite lastništvo mape IHS v ihsadmin, tako da novopečeni uporabnik nanj ima popolno dovoljenje. Ob predpostavki, da ste namestili privzeto lokacijo – / opt / IBM / HTTPServer

chown –R ihsadmin: ihsadmin / opt / IBM / HTTPServer

Spremenimo uporabnika & Vrednost skupine v httpd.conf

Uporabnik ihsadmin
Skupina ihsadmin

Shranite httpd.conf in znova zaženite strežnik IHS. To bo pomagalo IHS, da se začne kot uporabnik ihsadmin.

V piškotke implementirajte HttpOnly in Secure zastavico

Zaščiten piškotek in https vam bosta pomagala zmanjšati tveganje napadov XSS.

Rešitev: –

Za izvajanje tega morate zagotoviti mod_headers.so je omogočeno v httpd.conf.

Če ne, komentirajte spodnjo vrstico v httpd.conf

LoadModule headers_module module / mod_headers.so

In dodajte pod parameter Header

Urejanje glave Set-Cookie ^ (. *) $ 1 $; HttpOnly; Secure

Shranite konfiguracijsko datoteko in znova zaženite spletni strežnik.

Ublažite napad na klik

Klikanje dobro je znano, kje napadalec lahko prevari uporabnike, da kliknejo na povezavo in izvedejo vdelano kodo brez uporabnikove vednosti.

Rešitev: –

  • Prepričajte se, da je mod_headers.so omogočen in pod datoteko httpd.conf dodajte spodnji parameter

Glava vedno priloži možnosti X-Frame SAMEORIGIN

  • Shranite datoteko in znova zaženite strežnik.

Preverimo z dostopom do URL-ja, v njem morajo biti možnosti X-Frame, kot je prikazano spodaj.

clickjacking-attack-ihs

Konfigurirajte direktivo o poslušanju

To velja, če imate na strežniku več ethernetnih vmesnikov / IP. Priporočljivo je, da konfigurirate absolutno direktivo IP in Port in Listen, da preprečite posredovanje zahtev DNS. To se pogosto vidi v skupnem okolju.

Rešitev: –

  • V direktivo o poslušanju dodajte predvideni IP in vrata v httpd.conf. Primer:-

Poslušajte 10.0.0.9:80

Dodajte X-XSS-zaščito

Lahko uporabite zaščito Cross for Scripting Site (XSS) tako, da uporabite naslednjo glavo, če je v brskalniku onemogočen uporabnik.

Nastavitev glave X-XSS-Protection "1; način = blok"

Onemogoči zahtevo HTTP za sledenje

Če je omogočena metoda Trace v spletnem strežniku, lahko omogoči napad na sledenje med spletnimi stranmi in krade podatke o piškotkih. To je privzeto omogočeno in jih lahko onemogočite s spodnjim parametrom.

Rešitev: –

  • Spremenite datoteko httpd.con in dodajte spodnjo vrstico

TraceEnable off

  • Shranite datoteko in znova zaženite primerek IHS.

Upam, da vam zgornji nasveti pomagajo utrjevati IBM HTTP Server za proizvodno okolje.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map