Ubuntu 22.04 жүйесіндегі Apache веб-серверін қорғауға арналған қауіпсіздік баптаулары

Apache веб-сервері әлемдегі ең танымал веб-серверлердің бірі болып табылады, алайда кез келген басқа веб-сервер сияқты, ол да әртүрлі қауіптерге осал.

Ubuntu 22.04 жүйесінде Apache қауіпсіздігін баптау рұқсат етілмеген қолжетімділікті, шабуылдарды және деректердің жоғалуын болдырмауға бағытталған бірқатар шараларды жүзеге асыруды талап етеді.

Бұл мақалада Apache қауіпсіздік баптауларын нақты мысалдар келтіре отырып қарастырамыз.

Жүйені және пакеттерді жаңарту

Кез келген серверді қорғаудағы бірінші және ең маңызды қадам – жүйені және орнатылған пакеттерді өзекті күйде ұстау. Бұл белгілі осалдықтар мен ақауларды жоюға көмектеседі.

1. Пакеттер тізімін жаңарту және жүйені жаңарту:
   bash

    

   sudo apt update sudo apt upgrade -y
2. Пакеттерді автоматты түрде жаңартуды орнату және баптау:
   bash

    

   sudo apt install unattended-upgrades -y sudo dpkg-reconfigure --priority=low unattended-upgrades
   Автоматты жаңартуды қосу үшін "Иә" опциясын таңдаңыз.

Брандмауэр арқылы қолжетімділікті шектеу (UFW)

UFW (Uncomplicated Firewall) брандмауэрін баптау серверіңізге қолжетімділікті бақылауға мүмкіндік береді, тек қажетті трафикке рұқсат береді.

1. SSH және Apache трафигіне рұқсат беру:
   bash

    

   sudo ufw allow OpenSSH sudo ufw allow 'Apache Full'
2. Брандмауэрді қосу:
   bash

    

   sudo ufw enable sudo ufw status
   Ережелердің дұрыс қолданылғанын тексеру үшін күйін тексеріңіз.

Файлдар мен қалталарға рұқсаттарды баптау

Веб-сервер файлдары мен қалталарына рұқсаттарды дұрыс баптау рұқсат етілмеген өзгертулер немесе деректерді оқуды болдырмауға көмектеседі.

1. Веб-сервердің түпкі каталогына иелік ету және топты өзгерту:
   bash

    

   sudo chown -R www-data:www-data /var/www/html
2. Файлдар мен қалталарға рұқсаттарды баптау:
   bash

    

   sudo find /var/www/html -type d -exec chmod 755 {} \; sudo find /var/www/html -type f -exec chmod 644 {} \;

Қажетсіз модульдерді өшіру

Барлық қажетсіз Apache модульдерін өшіру шабуыл бетінің ауданын азайтады және ықтимал осалдықтардың санын азайтады.

1. status модулін өшіру:
   bash

    

   sudo a2dismod status
2. autoindex модулін өшіру:
   bash

    

   sudo a2dismod autoindex

Конфигурациялық файлдарды қорғау

Apache конфигурациялық файлдарына рұқсаттарды дұрыс баптау рұқсат етілмеген өзгертулерді болдырмауға көмектеседі.

1. Конфигурациялық файлдың иесі мен тобын баптау:
   bash

    

   sudo chown root:root /etc/apache2/apache2.conf
2. Конфигурациялық файлға рұқсаттарды баптау:
   bash

    

   sudo chmod 644 /etc/apache2/apache2.conf

HTTPS пайдалану

Сервер мен клиенттер арасындағы берілген деректерді қорғау үшін Let's Encrypt көмегімен HTTPS баптаңыз.

1. Certbot және Apache плагинін орнату:
   bash

    

   sudo apt install certbot python3-certbot-apache -y
2. SSL сертификатын алу және баптау:
   bash

    

   sudo certbot --apache
   Сертификатты баптау аяқталғанға дейін экрандағы нұсқауларды орындаңыз.

Apache конфигурациясындағы қауіпсіздік параметрлерін баптау

Apache конфигурациясының баптауларын жаңарту қауіпсіздік деңгейін арттыруға көмектеседі.

1. /etc/apache2/conf-available/security.conf файлын өңдеу:
   conf

    

   ServerTokens Prod ServerSignature Off TraceEnable Off Header always set X-Frame-Options "DENY" Header always set X-Content-Type-Options "nosniff" Header always set X-XSS-Protection "1; mode=block"
   Өзгерістерді қолданысқа енгізу және Apache-ті қайта іске қосу:
   bash

    

   sudo systemctl restart apache2

Сұраулар өлшемін шектеу

Жүктелетін файлдардың өлшемін және басқа параметрлерді шектеу DoS шабуылдарын болдырмауға көмектеседі.

1. /etc/apache2/apache2.conf файлына сұрау өлшемін шектеу қосу:
   conf

    

   LimitRequestBody 10485760
   Өзгерістерді қолданысқа енгізу үшін Apache-ті қайта іске қосыңыз:
   bash

    

   sudo systemctl restart apache2

Қауіпсіздік модульдерін қосу

Әртүрлі шабуылдардан қорғау үшін ModSecurity және mod_evasive сияқты қауіпсіздік модульдерін орнатыңыз және баптаңыз.

1. ModSecurity орнату және баптау:

   bash

    

   sudo apt install libapache2-mod-security2 -y sudo a2enmod security2 sudo systemctl restart apache2

   /etc/modsecurity/modsecurity.conf файлына ModSecurity баптау:

   conf

    

   SecRuleEngine On

2. mod_evasive орнату және баптау:

   bash

    

   sudo apt install libapache2-mod-evasive -y sudo a2enmod evasive sudo systemctl restart apache2

   /etc/apache2/mods-available/evasive.conf файлына mod_evasive баптау:

   conf

    

   <IfModule mod_evasive20.c> DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 10 DOSEmailNotify Бұл электронды пошта мекен-жайы спам-боттардан қорғалған, оны қарау үшін Сізде Javascript қосылған. DOSSystemCommand "sudo /sbin/iptables -A INPUT -s %s -j DROP" DOSLogDir "/var/log/mod_evasive" </IfModule>

Журналдарды жүргізу

Журналдарды жүргізу және мониторинг баптауы күдікті әрекеттерді бақылауға және ықтимал қауіптерге уақтылы жауап беруге мүмкіндік береді.

1. Журналдарды талдау үшін GoAccess орнату:
   bash

    

   sudo apt install goaccess -y
2. Apache журналдарын талдау және есепті жасау:
   bash

    

   sudo goaccess /var/log/apache2/access.log /var/log/apache2/error.log -o /var/www/html/report.html --log-format=COMBINED

HTTP әдістерін шектеу

Шабуыл бетінің ауданын азайту үшін тек қажетті HTTP әдістерін қалдырып, пайдаланылатын әдістерді шектеңіз.

1. /etc/apache2/apache2.conf файлына HTTP әдістерін шектеу қосу:
   conf

    

   <Directory /var/www/> <LimitExcept GET POST HEAD> Deny from all </LimitExcept> </Directory>
   Өзгерістерді қолданысқа енгізу үшін Apache-ті қайта іске қосыңыз:
   bash

    

   sudo systemctl restart apache2

Clickjacking-ке қарсы қорғауды қосу

/etc/apache2/conf-available/security.conf файлын өңдеп, Clickjacking-ке қарсы қорғауды баптаңыз:

1. X-Frame-Options тақырыбын қосу:
   conf

    

   Header always set X-Frame-Options "SAMEORIGIN"

Құпия деректерді кэштеуден қорғау

Құпия деректерді кэштеуді болдырмау үшін HTTP тақырыптарын баптаңыз, келесі жолдарды /etc/apache2/conf-available/security.conf файлына қосыңыз:

1. Кэштеуді бақылау тақырыптарын қосу:
   conf

    

   Header set Cache-Control "no-store, no-cache, must-revalidate, proxy-revalidate, max-age=0" Header set Pragma "no-cache" Header set Expires "0"

Қорытынды

Ubuntu 22.04 жүйесіндегі Apache веб-серверінің қауіпсіздігін баптау жүйені үнемі жаңартудан бастап, қауіпсіздік модульдерін баптау және журналдарды жүргізуге дейінгі көптеген аспектілерді қамтиды.

Осы ұсыныстарды орындау арқылы веб-серверіңіздің қауіпсіздік деңгейін айтарлықтай арттырып, белгілі қауіптерден қорғауға болады.

Реклама Google

 

 

Назар аударыңыз! Бұл мақала ресми құжат емес. Ақпаратты сақтықпен және сынақ ортасында пайдалану керек. Әлемдегі жетекші жеткізушілерден сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының тегін сынақ нұсқасына тапсырыс беріңіз: Тегін сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының спецификациясын есептеу қызметіміздің артықшылығын пайдаланыңыз: Acronis Arcserve Veeam Vembu Vinchin Acronis Arcserve Veeam Vembu Vinchin   Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар.