Diskusi ICT 28
Bagaimanakah cara untuk meningkatkan tahap keselamatan web server Apache yang sedang saya tadbir urus untuk sebuah organisasi?
Bazoka Penaka, Paya Tengang.
Aplikasi pelayan web Apache merupakan di antara pelayan web yang paling banyak digunakan di Internet. Ia merupakan perisian berasaskan sumber terbuka dan boleh digunakan secara percuma.
Di samping itu, ia merupakan di antara aplikasi pelayan web yang selamat dan stabil digunakan untuk sesebuah laman web. Namun begitu, disebabkan ia percuma dan berasaskan sumber terbuka, para pengguna perlu tahu bagaimana untuk mengendalikannya dengan selamat dan stabil
Jadi, di sini disediakan beberapa panduan yang boleh diambil pakai dalam mentadbir dan mengendalikan aplikasi pelayan web Apache ini secara selamat.
Sembunyikan Pemidang atau Banner.
Perisian Apache akan mepaparkan pemidang yang menyatakan ia adalah Apache berserta dengan versinya. Nasib tidak baik, berkemungkinan besar ia akan memaparkan jenis sistem pengoperasian yang digunakan.
Perkara ini tidak baik kerana ia akan membuka jalan pengetahuan kepada penggodam. Mereka akan mengetahui kelemahan aplikasi dan membuat sesuatu yang tidak baik berdasarkan maklumat yang diperolehi daripada pemidang tersebut.
Dengan itu, nyah aktifkan atau off fungsi SecuritySignature dalam Apache. Caranya:-
- Buka tetingkap terminal dan buka fail konfigurasi Apache - /etc/apache/apache2.conf (Linux).
- Cari baris yang mengandungi teks SecuritySignature dan setkan ia kepada Off.
- Cari pula teks ServerToken. Setkan ia kepada ProductOnly.
- Restart aplikasi Apache.
Bagi mengujinya pada domain, sila guna baris arahan curl -I http://DOMAIN.
Nafikan kesemua capaian.
Bagi memastikan aplikasi Apache ini dicapai dengan selamat, nafikan kesemua capaian terhadapnya oleh sesiapa sahaja. Benarkan capaian hanya kepada pengguna tertentu dan apabila ia perlu sahaja.
Caranya dengan setkan pada kandungan dalam Directory () dengan, (1) Order deny,allow (2) Deny from all. Restart program Apache.
Kenal pasti HTTP Request.
HTTP Request ini boleh dimanipulasi keselamatannya dengan serangan secara Cross Site Sripting oleh pihak penggodam.
Kesemua maklumat yang diterima oleh HTTP Request ini akan dikembalikan. Ini akan digunakan untuk menipu perisian Apache dengan maklumat yang ada pada HTTP cookies dan mensabotaj sesi HTTP tersebut.
Jadi, bagi mengurangkan berlakunya risiko ini, sila nyah aktifkan atau Off fungsi TraceEnable dalam fail konfigurasi Apache, apache2.conf.
Nyah aktifkan Directory Indexing
Directory Indexing ini akan memaparkan segala kandungan yang ada dalam direktori pada aplikasi Apache. Jadi, ia boleh dinyah aktifkan dengan memindahkan atau buang fail autoindex.load dan autoindex.conf ke lokasi yang lain.
Dalam kandungan Directory pula sila cari baris seperti Options index FollowSymLinks…. Buang index tersebut. Simpan fail dan restart aplikasi Apache.
Contoh arahan dalam Linux, sudo rm -rf /etc/apache2/mods-enabled/autoindex.load
Nyah aktifkan WebDAV.
WebDAV merupakan satu protokol yang digunakan untuk perkongsian data dan membenarkan penggunaan emel berasaskan web.
Sekiranya tidak diperlukan, nyah aktifkan WebDAV dengan membuang fail dav.load, dav_fs.conf, dav_fs.load dan dav_lock.load yang terdapat dalam konfigurasi aplikasi Apache.
Contoh arahan dalam linux, sudo rm /etc/apache2/mods-enabled/dav.load
Gunakan SSL
Gunalah protokol keselamatan SSL untuk keselamatan http bagi aplikasi pelayan Apache anda.
Kemas kini perisian Apache
Sentiasa melakukan kemas kini terhadap aplikasi pelayan web Apache yang digunakan.
Sentiasa melihat fail log.
Terdapat dua fail log yang utama dalam aplikasi Apache iaitu access.log dan error.log. Buatlah pemantauan yang kerap terhadap fail-fail log ini. Dalam Linux, untuk melihat fail-fail ini boleh laksanakan arahan, sudo tail -f /var/log/apache2/access.log.
Bagi perisian Apache yang berasaskan Windows, caranya adalah sama. Anda perlu capai fail konfigurasi yang dinyatakan dan buat perubahan terhadapnya seperti yang dibincangkan.
Semoga ia bermanfaat untuk keselamatan laman web yang dikendalikan dengan aplikasi Apache.
No comments:
Post a Comment
Harap menggunakan bahasa yang berbudi tinggi dan terima kasih di atas komen anda.