Настройка безопасности для защиты веб-сервера Apache на Ubuntu 22.04

Веб-сервер Apache является одним из самых популярных веб-серверов в мире, однако, как и любой другой веб-сервер, он подвержен различным угрозам безопасности.

Настройка безопасности Apache на Ubuntu 22.04 требует внедрения ряда мер для защиты от несанкционированного доступа, атак и утечек данных.

В этой статье рассмотрим шаги по настройке безопасной конфигурации Apache, приводя конкретные примеры на каждом этапе.

Обновление системы и пакетов

Первый и самый важный шаг в защите любого сервера - это поддержание системы и установленных пакетов в актуальном состоянии. Это помогает устранить известные уязвимости и баги.

1. Обновление списка пакетов и обновление системы:
   bash

    

   sudo apt update sudo apt upgrade -y
2. Установка и настройка автоматического обновления пакетов:
   bash

    

   sudo apt install unattended-upgrades -y sudo dpkg-reconfigure --priority=low unattended-upgrades
   Выберите "Yes" для включения автоматического обновления безопасности.

Ограничение доступа через брандмауэр (UFW)

Настройка брандмауэра UFW (Uncomplicated Firewall) позволяет контролировать доступ к вашему серверу, разрешая только необходимый трафик.

1. Разрешение SSH и Apache трафика:
   bash

    

   sudo ufw allow OpenSSH sudo ufw allow 'Apache Full'
2. Включение брандмауэра:
   bash

    

   sudo ufw enable sudo ufw status
   Проверьте статус, чтобы убедиться, что правила применены правильно.

Настройка прав доступа к файлам и каталогам

Корректная настройка прав доступа к файлам и каталогам веб-сервера помогает предотвратить несанкционированное изменение или чтение данных.

1. Изменение владельца и группы для корневого каталога веб-сервера:
   bash

    

   sudo chown -R www-data:www-data /var/www/html
2. Настройка разрешений для файлов и каталогов:
   bash

    

   sudo find /var/www/html -type d -exec chmod 755 {} \; sudo find /var/www/html -type f -exec chmod 644 {} \;

Отключение ненужных модулей

Отключение всех ненужных модулей Apache снижает поверхность атаки и уменьшает количество потенциальных уязвимостей.

1. Отключение модуля status:
   bash

    

   sudo a2dismod status
2. Отключение модуля autoindex:
   bash

    

   sudo a2dismod autoindex

Защита конфигурационных файлов

Убедитесь, что права доступа к конфигурационным файлам Apache настроены правильно для предотвращения несанкционированных изменений.

1. Настройка владельца и группы для конфигурационного файла:
   bash

    

   sudo chown root:root /etc/apache2/apache2.conf
2. Настройка разрешений для конфигурационного файла:
   bash

    

   sudo chmod 644 /etc/apache2/apache2.conf

Использование HTTPS

Для защиты данных, передаваемых между сервером и клиентами, настройте HTTPS с помощью Let's Encrypt.

1. Установка Certbot и плагина для Apache:
   bash

    

   sudo apt install certbot python3-certbot-apache -y
2. Получение и настройка SSL-сертификата:
   bash

    

   sudo certbot --apache
   Следуйте инструкциям на экране для завершения настройки сертификата.

Настройка параметров безопасности в конфигурации Apache

Обновите настройки конфигурации Apache для повышения уровня безопасности.

1. Редактирование файла /etc/apache2/conf-available/security.conf:
   conf

    

   ServerTokens Prod ServerSignature Off TraceEnable Off Header always set X-Frame-Options "DENY" Header always set X-Content-Type-Options "nosniff" Header always set X-XSS-Protection "1; mode=block"
   Примените изменения и перезапустите Apache:
   bash

    

   sudo systemctl restart apache2

Ограничение размера запросов

Ограничение размера загружаемых файлов и других параметров помогает предотвратить атаки типа DoS.

1. Добавление ограничения размера запроса в файл /etc/apache2/apache2.conf:
   conf

    

   LimitRequestBody 10485760
   Перезапустите Apache для применения изменений:
   bash

    

   sudo systemctl restart apache2

Включение модулей безопасности

Установите и настройте модули безопасности, такие как ModSecurity и mod_evasive, для защиты от различных типов атак.

1. Установка и настройка ModSecurity:

   bash

    

   sudo apt install libapache2-mod-security2 -y sudo a2enmod security2 sudo systemctl restart apache2

   Настройка ModSecurity в файле /etc/modsecurity/modsecurity.conf:

   conf

    

   SecRuleEngine On

2. Установка и настройка mod_evasive:

   bash

    

   sudo apt install libapache2-mod-evasive -y sudo a2enmod evasive sudo systemctl restart apache2

   Настройка mod_evasive в файле /etc/apache2/mods-available/evasive.conf:

   conf

    

   <IfModule mod_evasive20.c> DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 10 DOSEmailNotify Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в браузере должен быть включен Javascript. DOSSystemCommand "sudo /sbin/iptables -A INPUT -s %s -j DROP" DOSLogDir "/var/log/mod_evasive" </IfModule>

Ведение логов

Настройка ведения логов и мониторинга позволяет отслеживать подозрительную активность и своевременно реагировать на потенциальные угрозы.

1. Установка GoAccess для анализа логов:
   bash

    

   sudo apt install goaccess -y
2. Анализ логов Apache и генерация отчета:
   bash

    

   sudo goaccess /var/log/apache2/access.log /var/log/apache2/error.log -o /var/www/html/report.html --log-format=COMBINED

Ограничение методов HTTP

Ограничьте используемые методы HTTP для уменьшения поверхности атаки, оставив только необходимые.

1. Добавление ограничения методов HTTP в файл /etc/apache2/apache2.conf:
   conf

    

   <Directory /var/www/> <LimitExcept GET POST HEAD> Deny from all </LimitExcept> </Directory>
   Перезапустите Apache для применения изменений:
   bash

    

   sudo systemctl restart apache2

Включение защиты от Clickjacking

Настройте заголовки HTTP для защиты от Clickjacking, редактируя файл /etc/apache2/conf-available/security.conf:

1. Добавление заголовка X-Frame-Options:
   conf

    

   Header always set X-Frame-Options "SAMEORIGIN"

Защита от кэширования конфиденциальных данных

Настройте заголовки HTTP для предотвращения кэширования конфиденциальных данных, добавив следующие строки в файл /etc/apache2/conf-available/security.conf:

1. Добавление заголовков для контроля кэширования:
   conf

    

   Header set Cache-Control "no-store, no-cache, must-revalidate, proxy-revalidate, max-age=0" Header set Pragma "no-cache" Header set Expires "0"

Заключение

Настройка безопасности веб-сервера Apache на Ubuntu 22.04 включает в себя множество аспектов, начиная от регулярного обновления системы и заканчивая настройкой модулей безопасности и ведением логов.

Следуя этим рекомендациям, вы сможете значительно повысить уровень безопасности вашего веб-сервера и защитить его от большинства известных угроз.