Príručka IBM HTTP Server Security & Hardening

Vylepšenie produktu IBM HTTP Server (IHS) pre výrobné prostredie


HTTP Server od IBM sa často používa v kombinácii s aplikačným serverom IBM WebSphere. Niektoré z populárne stránky používajúce IBM HTTP Server sú:

  • Airtel.in
  • Marriott.com
  • Hsbc.co.uk
  • Mercedes-benz.com.eg
  • Argos.co.uk

IHS je založený na HTTP serveri Apache, vyladenom spoločnosťou IBM na podporu podnikových aplikácií a podpory údržby. To platí veľmi menej trhový podiel vo svete webových serverov, ale stále sa používa s WebSphere Application Server.

IHS-market-share

Predvolená konfigurácia IHS poskytuje veľa citlivých informácií, ktoré môžu hackerovi pomôcť pripraviť sa na útok a prerušiť obchodné operácie. Ako správca by ste si mali byť vedomí sprísnenia konfigurácie IHS na zabezpečenie webových aplikácií.

V tomto článku vysvetlím, ako pripraviť prostredie IHS na bezpečné fungovanie & zabezpečiť.

Pár vecí: –

  • Ak máte nainštalovaný IHS v prostredí Linuxu, ak nie, môžete si prečítať inštalačnú príručku tu.
  • Odporúča sa zálohovať konfiguračný súbor.
  • V prehliadači máte rozšírenia hlavičky HTTP alebo ich môžete použiť Kontrola hlavičky online nástroj.
  • Vzhľadom na dĺžku článku budem hovoriť o konfigurácii SSL v nasledujúcom príspevku.

Skryť banner servera a informácie o produkte z hlavičky HTTP

Pravdepodobne jednou z prvých úloh, ktorú musíte urobiť pri nastavovaní produkčného prostredia, je maskovať verziu IHS a serverový banner v hlavičke. Toto nie je kritické, ale považuje sa za nízke riziko ako zraniteľnosť pri úniku informácií a musí to platiť pre aplikáciu kompatibilnú s PCI DSS.

Pozrime sa, ako neexistuje (404) požiadavka na odpoveď v predvolenej konfigurácii.

IHS-nonexist-odozva

Ale nie, odhaľuje to, že používam IBM HTTP Server spolu s IP serverom a číslom portu, čo je škaredé. Skryť ich.

Riešenie: –

  • Do súboru httpd.conf vášho IHS pridajte nasledujúce tri smernice.

AddServerHeader Off
ServerTokens Prod
ServerSignature Off

  • Uložte súbor a reštartujte IHS

Overme to prístupom k neexistujúcemu súboru. Môžete tiež použiť Nástroj HTTP Header overiť odpoveď.

IHS-nonexist-odozva fixné

Oveľa lepšie! Teraz neposkytuje informácie o produkte, serveri a porte.

Zakázať Etag

Etag hlavička môže odhaliť informácie o inode a môžu hackerovi pomôcť vykonať útoky NFS. V predvolenom nastavení IHS odhalí etag a tu je návod, ako môžete túto chybu zabezpečenia napraviť.

IHS-ETAG

Riešenie: –

  • Pridajte nasledujúcu smernicu do koreňového adresára.

FileETag žiadny

Napríklad:

Možnosti FollowSymLinks
AllowOverride Žiadne
FileETag žiadny

  • Aby sa prejavila účinnosť, reštartujte server IHS.

IHS-ETAG

Spustite IHS s účtom typu non-root

Predvolená konfigurácia spúšťa webový server s rootom & nikto užívateľ, ktorý sa neodporúča prevádzkovať prostredníctvom privilegovaného účtu, nemôže v prípade bezpečnostnej diery ovplyvniť celý server. Na zníženie rizika môžete vytvoriť vyhradeného používateľa na spúšťanie inštancií IHS.

Riešenie: –

  • Vytvorte používateľa a skupinu s názvom ihsadmin

groupadd ihsadmin
useradd –g ihsadmin ihsadmin

teraz, zmeňte vlastníctvo priečinka IHS na ihsadmin, aby naň mal novo vytvorený užívateľ plné povolenie. Za predpokladu, že ste nainštalovali predvolené umiestnenie – / opt / IBM / HTTPServer

chown –R ihsadmin: ihsadmin / opt / IBM / HTTPServer

Zmeňte používateľa & Hodnota skupiny v httpd.conf

Používateľ ihsadmin
Skupina ihsadmin

Uložte httpd.conf a reštartujte server IHS. To pomôže IHS začať ako užívateľ ihsadmin.

Implementujte príznak HttpOnly a Secure do súboru cookie

Zabezpečenie súborov cookie a httponly vám pomôže pri znižovaní rizika útokov XSS.

Riešenie: –

Aby ste to mohli implementovať, musíte zabezpečiť mod_headers.so je povolený v httpd.conf.

Ak nie, oddeľte spodný riadok v httpd.conf

LoadModule headers_module modules / mod_headers.so

A pridajte pod parameter Hlavička

Upraviť hlavičku súboru Cookie ^ (. *) $ $ 1; HttpOnly; Secure

Uložte konfiguračný súbor a reštartujte webový server.

Zmierniť útok na kliknutie

Clickjacking Táto technika je dobre známa, keď útočník môže používateľov prinútiť kliknúť na odkaz a spustiť vložený kód bez vedomia používateľa.

Riešenie: –

  • Uistite sa, že je povolený mod_headers.so a pridajte pod parameter hlavičky do súboru httpd.conf

Hlavička vždy pripája X-Frame-Options SAMEORIGIN

  • Uložte súbor a reštartujte server.

Overme sa tým, že prejdete na webovú adresu, mala by mať X-rámcové možnosti, ako je uvedené nižšie.

Clickjackingu-útok-IHS

Konfigurovať smernicu o počúvaní

Platí to, ak máte na serveri viac ethernetových rozhraní / IP. Je vhodné nakonfigurovať smernicu o absolútnych IP a portoch v počúvaní, aby sa zabránilo postúpeniu DNS požiadaviek. Toto je často vidieť v zdieľanom prostredí.

Riešenie: –

  • Pridajte zamýšľanú IP a port do httpd.conf podľa smernice o počúvaní. ex:-

Vypočujte si 10.0.0,9:80

Pridajte ochranu X-XSS

Ochranu krížového skriptovania stránok (XSS) môžete použiť tak, že implementujete nasledujúcu hlavičku, ak ju používateľ v prehliadači deaktivuje..

Sada hlavíc X-XSS-Protection "1; Režim = blok"

Zakázať požiadavku na sledovanie HTTP

Ak je na webovom serveri povolená metóda sledovania, môže to umožniť útok na sledovanie viacerých stránok a je možné ukradnúť informácie cookie. V predvolenom nastavení je to povolené a môžete ich zakázať pomocou nižšie uvedeného parametra.

Riešenie: –

  • Upravte súbor httpd.con a pridajte pod riadok

Sledovanie je možné vypnúť

  • Uložte súbor a reštartujte inštanciu IHS, aby sa prejavil.

Dúfam, že vyššie uvedené tipy vám pomôžu spevniť server IBM HTTP pre produkčné prostredie.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map