Amankan & Perkuat server web Apache dengan mengikuti praktik terbaik untuk menjaga keamanan aplikasi web Anda.
Server Web adalah bagian penting dari aplikasi berbasis web. Memiliki konfigurasi yang salah dan konfigurasi default dapat mengekspos informasi sensitif, dan itu adalah risiko.
Sebagai pemilik atau administrator situs web, Anda harus secara teratur melakukan pemindaian keamanan terhadap situs web Anda untuk menemukan ancaman daring sehingga Anda dapat mengambil tindakan sebelum peretas melakukannya.
Mari kita telusuri konfigurasi penting untuk mempertahankan server web Apache Anda.
Mengikuti semua konfigurasi ada di httpd.conf dari instance apache Anda.
Catatan: ambil cadangan file konfigurasi yang diperlukan sebelum modifikasi, jadi pemulihan mudah dilakukan saat terjadi kesalahan.
Nonaktifkan Lacak Permintaan HTTP
TraceEnable default pada mengizinkan TRACE, yang melarang badan permintaan apa pun untuk menyertai permintaan.
TraceEnable mati menyebabkan server inti dan mod_proxy mengembalikan kesalahan 405 (Metode tidak diizinkan) ke klien.
TraceEnable memungkinkan untuk Masalah Pelacakan Lintas Situs dan berpotensi memberikan opsi kepada peretas untuk mencuri informasi cookie Anda.
Larutan
Atasi masalah keamanan ini dengan menonaktifkan metode HTTP TRACE di Konfigurasi Apache.
Anda dapat melakukannya dengan Memodifikasi/Menambahkan direktif di bawah ini di httpd.conf Server Web Apache Anda.
TraceEnable off
Jalankan sebagai Pengguna & Grup terpisah
Secara default, Apache dikonfigurasi untuk dijalankan tanpa siapa pun atau daemon.
Jangan atur Pengguna (atau Grup) ke root kecuali Anda tahu persis apa yang Anda lakukan, dan apa bahayanya.
Larutan
Menjalankan Apache di akun non-rootnya sendiri bagus. Modifikasi User & Group Directive di httpd.conf dari Apache Web Server Anda
User apache Group apache
Nonaktifkan Tanda Tangan
Pengaturan Off, yang merupakan default, menekan baris footer.
Pengaturan Nyala cukup menambahkan baris dengan nomor versi server dan NamaServer dari host virtual yang melayani.
Larutan
Sebaiknya nonaktifkan Tanda Tangan, karena Anda mungkin tidak ingin mengungkapkan Versi Apache yang sedang Anda jalankan.
ServerSignature Off
Nonaktifkan Spanduk
Direktif ini mengontrol apakah bidang header respons Server, yang dikirim kembali ke klien, menyertakan deskripsi tipe OS generik dari server serta informasi tentang modul yang dikompilasi.
Larutan
ServerTokens Prod
Batasi Akses ke Jaringan atau IP Tertentu
Jika Anda ingin situs Anda hanya dilihat oleh alamat IP atau jaringan tertentu, Anda dapat memodifikasi Direktori situs Anda di httpd.conf
Larutan
Berikan alamat jaringan dalam arahan Izinkan.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.0.0/24 </Directory>
Berikan alamat IP dalam arahan Izinkan.
<Directory /yourwebsite> Options None AllowOverride None Order deny,allow Deny from all Allow from 10.20.1.56 </Directory>
Gunakan hanya TLS 1.2
SSL 2.0, 3.0, TLS 1, 1.1 dilaporkan mengalami beberapa kelemahan kriptografi.
Butuh bantuan untuk mengonfigurasi SSL? lihat panduan ini.
Larutan
SSLProtocol -ALL +TLSv1.2
Nonaktifkan Daftar Direktori
Jika Anda tidak memiliki index.html di bawah Direktori WebSite Anda, klien akan melihat semua file dan subdirektori yang terdaftar di browser (seperti keluaran ls –l).
Larutan
Untuk menonaktifkan penelusuran direktori, Anda dapat menyetel nilai direktif Opsi ke “Tidak Ada” atau “-Indeks”
<Directory /> Options None Order allow,deny Allow from all </Directory>
ATAU
<Directory /> Options -Indexes Order allow,deny Allow from all </Directory>
Hapus Modul DSO yang tidak perlu
Verifikasi konfigurasi Anda untuk menghapus modul DSO redundan.
Ada banyak modul yang diaktifkan secara default setelah instalasi. Anda dapat menghapus yang tidak Anda butuhkan.
Nonaktifkan Cipher Null dan Lemah
Izinkan sandi yang kuat saja, jadi Anda menutup semua pintu yang mencoba berjabat tangan di suite sandi yang lebih rendah.
Larutan
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
Tetap Aktual
Karena Apache adalah sumber terbuka yang aktif, cara termudah untuk meningkatkan keamanan Server Web Apache adalah dengan mempertahankan versi terbaru. Perbaikan dan tambalan keamanan baru ditambahkan di setiap rilis. Selalu perbarui ke versi stabil terbaru Apache.
Di atas hanyalah beberapa dari konfigurasi penting, dan jika Anda mencari secara mendalam, maka Anda dapat merujuk panduan keamanan & pengerasan langkah demi langkah saya.
Senang membaca artikelnya? Bagaimana kalau berbagi dengan dunia?
