Cấu hình bảo mật Web server Apache

quachhuy1703

New Member
09/01/2023
0
4 bài viết
Cấu hình bảo mật Web server Apache

I. Những Điều Cần Lưu Ý​

  • Trước tiên thiết lập, bạn nắm một số điều cơ bản về Apache như sau. Apache nó thường được cài với mặc định như sau:
    • Document root Directory: /var/www/html or /var/www
    • File cấu hình tại: /etc/httpd/conf/httpd.conf (RHEL/CentOS/Fedora)/etc/apache/apache2.conf (Debian/Ubuntu).
    • Cổng HTTP mặc định: 80 TCP
    • Cổng HTTPS mặc định: 443 TCP
    • Kiểm tra file cấu hình bằng lệnh: httpd -t
    • Log truy cập tại: /var/log/httpd/access_log
    • Log ghi lại lỗi tại: /var/log/httpd/error_log
    • Lệnh khởi động lại Apache: #service httpd restart
    • Sửa nội dung file httpd.conf bạn dùng lệnh sửa text nào có trong hệ thống của bạn như vi, vim …

II. Ẩn Thông Tin Phiên Bản Apache Và Hê Điều Hành Khi Truy Cập Trang Không Có​

  • Khi truy cập với một URL lỗi, nó có thể hiện thị thông tin về Apache và OS mà bạn muốn giấu như:
loi-apache-4170.png

  • Để tắt thông tin này bạn sủa file config của Apache (httpd.conf)
ServerSignature Off
ServerTokens Prod


Screenshot-at-2023-02-01-09-09-52.png
  • Rồi khởi động lại Apache, nó sẽ không còn xuất hiện Version Apache nữa.

III. Hủy Liệt Kê Danh Sách File​

  • Mặc định Apache sẽ liệt kê danh sách file trong Directory theo dạng:
index-apache-4171.png
  • Để tắt nó bạn cần thêm directive Options như sau:
    <Directory /var/www/html>
    Options -Indexes
    </Directory>
Screenshot-at-2023-02-01-09-11-15.png
  • Khởi động lại Apache sẽ không còn liệt kê nữa

    III. Cập Nhật Apache Thường Xuyên​

  • Để cho server hoạt động một cách an toàn. Các bạn nên kiểm tra webserver của mình định kỳ 6 tháng hoặc 3 tháng một lần.
  • Để kiểm tra câu lệnh các bạn có thể tham khảo câu lệnh bên dưới.
---------centos-----------------
# httpd -v
Server version: Apache/2.2.15 (Unix)
Server built: Aug 13 2013 17:29:28
---------ubuntu-----------------
root@693e6eeb34f3:/# apache2 -v
Server version: Apache/2.4.52 (Ubuntu)
Server built: 2022-09-30T04:09:50

IV. Sử Dụng Allow, Deny Để Hạn Chế Truy Cập Các Thư Mục​

Ví dụ nếu như các bạn muốn không cho phép truy cập vào thư mục wp-admin thì các bạn vào file httpd.conf thêm như sau:
  • <Directory wp-admin>
    Options None
    Order deny,allow
    Deny from all
    </Directory>
  • Options “None” – Không cho phép User bật lại thiết lập (Ví dụ cố tình bật thông qua file htaccess)
  • Order deny, allow – Thứ tự đọc các thiết lập deny trước, allow sau
  • Deny from all – Không ai được truy cập thư mục gốc
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên