उबंटू पर अपाचे सुरक्षित - भाग 1
यह आलेख अपाचे सर्वर गाइड श्रृंखला का हिस्सा है:
- उबंटू पर अपाचे सुरक्षित - भाग 1
- उबंटू पर अपाचे सुरक्षित - भाग 2
- अपाचे प्रदर्शन को अनुकूलित करना - भाग 1
- अपाचे प्रदर्शन को अनुकूलित करना - भाग 2
- नाम-आधारित वर्चुअलहोस्ट अपाचे सेट अप करना
- अपाचे में आईपी और पोर्ट-आधारित वर्चुअलहोस्ट सेट अप करना
- Apache में पासवर्ड को सुरक्षित करने के लिए कैसे करें वेब निर्देशिका को सेट अप करें
- उबंटू पर एसएसएल समर्थन के साथ अपाचे सर्वर सेट अप करना
- एक डीडीओएस अटैक से अपाचे को सुरक्षित करने के लिए Fail2ban सेट अप करना
- उबंटू पर अपाचे के साथ वेबडाव कैसे सेट करें
- Mod_status का उपयोग कर अपाचे वेब सर्वर की निगरानी करें
- अपाचे सर्वर पर Mod_evasive के साथ डीडीओएस के खिलाफ कैसे सुरक्षा करें
अपाचे दुनिया में सबसे व्यापक रूप से उपयोग और लोकप्रिय वेब सर्वरों में से एक है, और यह दुनिया के सभी सर्वरों का लगभग 40% शक्तियों को शक्ति देता है। यदि आप एक वेबमास्टर या व्यवस्थापक हैं जो अपाचे सर्वर को बनाए रखते हैं, तो यह जानना महत्वपूर्ण है कि अपाचे को कैसे सुरक्षित किया जाए और इसे हैक होने से रोकें। इस आलेख में हम कुछ युक्तियों और युक्तियों का वर्णन करेंगे जिनका उपयोग आप अपने अपाचे सर्वर को सुरक्षित करने के लिए कर सकते हैं।
नोट : हम इस ट्यूटोरियल के लिए उबंटू 14.04 का उपयोग कर रहे हैं।
अपाचे स्थापित करें और अपडेट करें
सबसे पहले, आपको अपने सिस्टम में अपाचे अपडेट और इंस्टॉल करने की आवश्यकता है।
इसके लिए, निम्न आदेश चलाएं:
sudo apt-get अद्यतन sudo apt-apache2 स्थापित करें
अपाचे संस्करण छुपाएं
डिफ़ॉल्ट रूप से, अपाचे आपके सिस्टम पर आपके अपाचे वेब सर्वर के संस्करण को आपके सर्वर के ऑपरेटिंग सिस्टम के नाम से स्थापित करता है।
उपरोक्त स्क्रीनशॉट में आप अपाचे संस्करण और आपके सर्वर में स्थापित ऑपरेटिंग सिस्टम देख सकते हैं। यह आपके वेब सर्वर के लिए एक प्रमुख सुरक्षा समस्या हो सकती है। इस जानकारी को छिपाने के लिए, आपको अपाचे की मुख्य कॉन्फ़िगरेशन फ़ाइल ("/etc/apache2/conf-enabled/security.conf") संपादित करने की आवश्यकता है।
sudo nano /etc/apache2/conf-enabled/security.conf
निम्न पंक्ति जोड़ें / संपादित करें:
ServerSignature ऑफ सर्वरटोकन्स प्रोड
फ़ाइल को सहेजें और अपाचे सेवा को पुनरारंभ करें।
sudo /etc/init.d/apache2 पुनरारंभ करें
निर्देशिका ब्राउज़िंग बंद करें और प्रतीकात्मक लिंक अक्षम करें
अपाचे सर्वर में डिफ़ॉल्ट निर्देशिका सूची सक्षम है। निर्देशिका सूची अपाचे सर्वर से सभी फ़ाइलों के साथ सभी निर्देशिका प्रदर्शित करता है। यदि यह सक्षम है, तो हमलावर आसानी से किसी भी फ़ाइल को देख सकता है, इसका विश्लेषण कर सकता है और किसी एप्लिकेशन के बारे में संवेदनशील जानकारी प्राप्त कर सकता है।
आप नीचे दी गई छवि में डिफ़ॉल्ट निर्देशिका सूची देख सकते हैं।
आप अपाचे कॉन्फ़िगरेशन फ़ाइल को संपादित करके इस सेटिंग को अक्षम कर सकते हैं।
सुडो नैनो /etc/apache2/apache2.conf
निम्न पंक्ति जोड़ें / संपादित करें:
विकल्प- FollowSymLinks अनुमति दें ओवरराइड सभी को सभी की आवश्यकता नहीं है
नोट : उपर्युक्त कोड मानता है कि आपके वेब पेज "/ var / www / html" फ़ोल्डर से परोसे जाते हैं। यदि आपने सार्वजनिक फ़ोल्डर को किसी कस्टम स्थान में बदल दिया है, तो उपरोक्त कोड में Directory पथ बदलें।
लाइन Options -FollowSymLinks भी प्रतीकात्मक लिंक अक्षम करता है। यदि आप प्रतीकात्मक लिंक सक्षम करना चाहते हैं, तो FollowSymLinks सामने साइन-इन को हटा दें, इसलिए यह Options FollowSymLinks. बन जाता है Options FollowSymLinks.
फ़ाइल को सहेजें और अपाचे सर्वर को पुनरारंभ करें।
इसके बाद ब्राउज़र में वेब पर जाने का प्रयास करें, और आपको नीचे दी गई छवि में एक वर्जित त्रुटि दिखाई देगी।
अनावश्यक मॉड्यूल अक्षम करें
डिफ़ॉल्ट रूप से अपाचे कई स्थापित मॉड्यूल के साथ आता है जो सामान्य उपयोग के लिए अनावश्यक हैं। वसा को ट्रिम करने और उन सभी अनावश्यक मॉड्यूल को अक्षम करने की अनुशंसा की जाती है। आप निम्न आदेश का उपयोग कर अपने सर्वर पर सभी सक्षम मॉड्यूल सूचीबद्ध कर सकते हैं:
सुडो एलएस / आदि / apache2 / mods- सक्षम /
यह नीचे दी गई छवि में दिखाए गए आउटपुट को प्रदर्शित करेगा।
उपरोक्त सूचीबद्ध मॉड्यूल से, "स्थिति" और "ऑटोइंडेक्स" जैसे कुछ मॉड्यूल सक्षम हैं लेकिन इसकी आवश्यकता नहीं है।
आप निम्न आदेश का उपयोग कर इस मॉड्यूल को अक्षम कर सकते हैं:
sudo a2dismod autoindex sudo a2dismod स्थिति sudo /etc/init.d/apach2 पुनरारंभ करें
ModSecurity का उपयोग करें
मॉड सुरक्षा एक नि: शुल्क अपाचे मॉड्यूल है जो आपके वेब सर्वर को एसक्यूएल इंजेक्शन, क्रॉस साइट स्क्रिप्टिंग, सत्र अपहरण, ब्रूट फोर्स और कई अन्य शोषण जैसे विभिन्न हमलों से बचाने के लिए उपयोग किया जाता है। यह आपको वास्तविक समय के आधार पर यातायात की निगरानी करने की अनुमति देता है।
आप निम्न आदेश का उपयोग कर आधुनिक सुरक्षा स्थापित कर सकते हैं:
sudo apt-libapache2-modsecurity स्थापित करें
यह जांचने के लिए कि mod_security मॉड्यूल चल रहा है या नहीं, निम्न आदेश का उपयोग करें:
सुडो apachectl -M | grep --color सुरक्षा
नीचे दिखाया गया चित्र इंगित करता है कि मॉड्यूल लोड किया गया था।
Mod_security नियमों को सक्षम करने के लिए, आपको मॉड सुरक्षा अनुशंसित कॉन्फ़िगरेशन फ़ाइल का नाम बदलने और संपादित करने और SecRuleEngine विकल्प को On ।
इसके लिए निम्न आदेश चलाएं:
sudo mv /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf sudo nano /etc/modsecurity/modsecurity.conf
निम्न पंक्ति जोड़ें / संपादित करें:
SecRuleEngine चालू
परिवर्तनों को प्रभावी होने के लिए अब अपाचे को पुनरारंभ करें।
मॉडिसेक्योरिटी (कोर नियम सेट कहा जाता है) के साथ आने वाले बहुत से सुरक्षा नियम हैं जो "/ usr / share / modsecurity-crs" निर्देशिका में स्थित हैं। अब आपको अपाचे के साथ काम करने के लिए इन नियमों को सक्षम करने की आवश्यकता है।
आप इसे "/etc/apache2/mods-enabled/security2.conf" फ़ाइल संपादित करके कर सकते हैं।
सुडो नैनो /etc/apache2/mods-enabled/security2.conf
निम्न पंक्ति जोड़ें / संपादित करें:
IncludeOetal /etc/modsecurity/*.conf IncludeOptional "/usr/share/modsecurity-crs/*.conf" IncludeOptional "/usr/share/modsecurity-crs/base_rules/*.conf
फ़ाइल को सहेजें और अपाचे को पुनरारंभ करें।
सर्वर साइड बंद करें और सीजीआई निष्पादन बंद करें।
यदि सर्वर की आवश्यकता नहीं है तो सर्वर पक्ष को शामिल करने और सीजीआई निष्पादन को अक्षम करने की अनुशंसा की जाती है।
ऐसा करने के लिए आपको अपाचे मुख्य कॉन्फ़िगरेशन फ़ाइल को संपादित करने की आवश्यकता है।
सुडो नैनो /etc/apache2/apache2.conf
निम्न पंक्ति जोड़ें / संपादित करें:
विकल्प- FollowSymLinks- शामिल-ExecCGI अनुमति दें ओवरराइड सभी को सभी की आवश्यकता नहीं है
फ़ाइल को सहेजें और अपाचे को पुनरारंभ करें।
आप इसे एक विशिष्ट निर्देशिका के लिए भी कर सकते हैं। उदाहरण के लिए, सर्वर पक्ष को बंद करने के लिए "/ var / www / html / webdir1" निर्देशिका के लिए cgi फ़ाइल निष्पादन शामिल हैं, निम्न पंक्ति को ddd / संपादित करें:
विकल्प-शामिल-ExecCGI
फ़ाइल को सहेजें और अपाचे को पुनरारंभ करें।
बड़े अनुरोधों को सीमित करना
डिफ़ॉल्ट रूप से अपाचे के HTTP अनुरोध के आकार पर कोई सीमा नहीं है। यह हमलावर को बड़ी मात्रा में डेटा भेजने की अनुमति देगा। अपाचे में कई निर्देश हैं जो आपको उचित अनुरोध आकार निर्धारित करने की अनुमति देते हैं। यह आपके वेब सर्वर को सेवा हमले से इनकार करने से बचाएगा।
आप अपाचे मुख्य कॉन्फ़िगरेशन फ़ाइल में मान 0 (असीमित) से 2147483647 (2GB) तक सेट कर सकते हैं।
उदाहरण के लिए, "/ var / www / html / webdir1" निर्देशिका के अनुरोध आकार को 200K तक सीमित करें।
सुडो नैनो /etc/apache2/apache2.conf
निम्न पंक्ति जोड़ें / संपादित करें:
LimitRequestBody 204800
फ़ाइल को सहेजें और अपाचे को पुनरारंभ करें।
दस्तावेज़ रूट के बाहर ब्राउज़िंग को अस्वीकार करें
Apache के लिए केवल दस्तावेज़ रूट निर्देशिका तक पहुंचने में सक्षम होने की अनुशंसा की जाती है। आप निम्नलिखित पंक्ति को सेट करके रूट निर्देशिका (/) को सुरक्षित कर सकते हैं:
सुडो नैनो /etc/apache2/apache2.conf
निम्न पंक्ति जोड़ें / संपादित करें:
विकल्प कोई भी आदेश अस्वीकार नहीं, सभी से इनकार करने की अनुमति दें
यह कोड करता है:
Options None: यह सभी विकल्पों को बंद कर देगा।Order deny, allow: ऑर्डर जिसमें आदेशों को अनुमति और अस्वीकार कर दिया जाता है।Deny from all: यह सभी रूट निर्देशिका से अनुरोध अस्वीकार कर देगा।
फ़ाइल को सहेजें और अपाचे को पुनरारंभ करें।
अपाचे को अद्यतित रखें
नए अपाचे अपडेट में नए फिक्स और पैच होंगे जो आपके अपाचे सर्वर की भेद्यता को कम कर देंगे, इसलिए अपाचे सर्वर के नवीनतम संस्करण का उपयोग करने की अनुशंसा की जाती है।
आप निम्न आदेश का उपयोग कर अपने अपाचे को नवीनतम संस्करण में अपडेट कर सकते हैं:
sudo apt-apache2 --reinstall स्थापित करें
निष्कर्ष
मुझे आशा है कि यह पोस्ट आपको आपके अपाचे सर्वर को सुरक्षित करने में मदद करेगी। आपको मेरी अगली पोस्ट में अपाचे सर्वर को सुरक्षित करने के लिए अधिक अग्रिम सुरक्षा युक्तियां और युक्तियां मिलेंगी। यदि आपके कोई प्रश्न हैं तो नीचे टिप्पणी करने के लिए स्वतंत्र महसूस करें।
