10 Praktik Terbaik Untuk Mengamankan dan Memperkuat Server Web Apache Anda

Amankan & Perkuat server web Apache dengan mengikuti praktik terbaik untuk menjaga keamanan aplikasi web Anda.

Server Web adalah bagian penting dari aplikasi berbasis web. Memiliki konfigurasi yang salah dan konfigurasi default dapat mengekspos informasi sensitif, dan itu adalah risiko.

Sebagai pemilik atau administrator situs web, Anda harus secara teratur melakukan pemindaian keamanan terhadap situs web Anda untuk menemukan ancaman daring sehingga Anda dapat mengambil tindakan sebelum peretas melakukannya.

Mari kita telusuri konfigurasi penting untuk mempertahankan server web Apache Anda.

Mengikuti semua konfigurasi ada di httpd.conf dari instance apache Anda.

Catatan: ambil cadangan file konfigurasi yang diperlukan sebelum modifikasi, jadi pemulihan mudah dilakukan saat terjadi kesalahan.

  Bagaimana Mengaktifkan CORS dengan Cookie HTTPOnly untuk Mengamankan Token?

Nonaktifkan Lacak Permintaan HTTP

TraceEnable default pada mengizinkan TRACE, yang melarang badan permintaan apa pun untuk menyertai permintaan.

TraceEnable mati menyebabkan server inti dan mod_proxy mengembalikan kesalahan 405 (Metode tidak diizinkan) ke klien.

TraceEnable memungkinkan untuk Masalah Pelacakan Lintas Situs dan berpotensi memberikan opsi kepada peretas untuk mencuri informasi cookie Anda.

Larutan

Atasi masalah keamanan ini dengan menonaktifkan metode HTTP TRACE di Konfigurasi Apache.

Anda dapat melakukannya dengan Memodifikasi/Menambahkan direktif di bawah ini di httpd.conf Server Web Apache Anda.

TraceEnable off

Jalankan sebagai Pengguna & Grup terpisah

Secara default, Apache dikonfigurasi untuk dijalankan tanpa siapa pun atau daemon.

Jangan atur Pengguna (atau Grup) ke root kecuali Anda tahu persis apa yang Anda lakukan, dan apa bahayanya.

Larutan

Menjalankan Apache di akun non-rootnya sendiri bagus. Modifikasi User & Group Directive di httpd.conf dari Apache Web Server Anda

User apache 
Group apache

Nonaktifkan Tanda Tangan

Pengaturan Off, yang merupakan default, menekan baris footer.

Pengaturan Nyala cukup menambahkan baris dengan nomor versi server dan NamaServer dari host virtual yang melayani.

  Cara bergabung ke rapat Microsoft Teams tanpa aplikasi

Larutan

Sebaiknya nonaktifkan Tanda Tangan, karena Anda mungkin tidak ingin mengungkapkan Versi Apache yang sedang Anda jalankan.

ServerSignature Off

Nonaktifkan Spanduk

Direktif ini mengontrol apakah bidang header respons Server, yang dikirim kembali ke klien, menyertakan deskripsi tipe OS generik dari server serta informasi tentang modul yang dikompilasi.

Larutan

ServerTokens Prod

Batasi Akses ke Jaringan atau IP Tertentu

Jika Anda ingin situs Anda hanya dilihat oleh alamat IP atau jaringan tertentu, Anda dapat memodifikasi Direktori situs Anda di httpd.conf

Larutan

Berikan alamat jaringan dalam arahan Izinkan.

<Directory /yourwebsite>    
Options None    
AllowOverride None    
Order deny,allow    
Deny from all    
Allow from 10.20.0.0/24  
</Directory>

Berikan alamat IP dalam arahan Izinkan.

<Directory /yourwebsite>
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 10.20.1.56
</Directory>

Gunakan hanya TLS 1.2

SSL 2.0, 3.0, TLS 1, 1.1 dilaporkan mengalami beberapa kelemahan kriptografi.

Butuh bantuan untuk mengonfigurasi SSL? lihat panduan ini.

Larutan

SSLProtocol -ALL +TLSv1.2

Nonaktifkan Daftar Direktori

Jika Anda tidak memiliki index.html di bawah Direktori WebSite Anda, klien akan melihat semua file dan subdirektori yang terdaftar di browser (seperti keluaran ls –l).

  Cara Mempratinjau Warna Dari Kode HEX-nya

Larutan

Untuk menonaktifkan penelusuran direktori, Anda dapat menyetel nilai direktif Opsi ke “Tidak Ada” atau “-Indeks”

<Directory />
Options None
Order allow,deny
Allow from all
</Directory>

ATAU

<Directory />
Options -Indexes
Order allow,deny
Allow from all
</Directory>

Hapus Modul DSO yang tidak perlu

Verifikasi konfigurasi Anda untuk menghapus modul DSO redundan.

Ada banyak modul yang diaktifkan secara default setelah instalasi. Anda dapat menghapus yang tidak Anda butuhkan.

Nonaktifkan Cipher Null dan Lemah

Izinkan sandi yang kuat saja, jadi Anda menutup semua pintu yang mencoba berjabat tangan di suite sandi yang lebih rendah.

Larutan

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Tetap Aktual

Karena Apache adalah sumber terbuka yang aktif, cara termudah untuk meningkatkan keamanan Server Web Apache adalah dengan mempertahankan versi terbaru. Perbaikan dan tambalan keamanan baru ditambahkan di setiap rilis. Selalu perbarui ke versi stabil terbaru Apache.

Di atas hanyalah beberapa dari konfigurasi penting, dan jika Anda mencari secara mendalam, maka Anda dapat merujuk panduan keamanan & pengerasan langkah demi langkah saya.

Senang membaca artikelnya? Bagaimana kalau berbagi dengan dunia?