[ad_1]
Apache là một trong những máy chủ web phổ biến nhất nhưng cấu hình mặc định của nó chứa các lựa chọn đáng ngờ trên nhiều bản phân phối Linux. Apache có xu hướng quảng cáo phiên bản cụ thể và nền tảng mà nó đang chạy, những thông tin có thể có giá trị đối với những kẻ tấn công.
Bài viết nhanh này sẽ hướng dẫn bạn cách tắt đầu ra này để giúp bảo vệ máy chủ của bạn. Thường không có lý do gì để nó hoạt động và việc tắt nó chỉ mất một phút.
Vấn đề là gì?
Đây là bản cài đặt Apache 2.4 mới hiển thị chỉ mục thư mục:
Chân trang của trang hiển thị mã phiên bản Apache, tên hệ điều hành, địa chỉ IP nội bộ và số cổng của máy chủ của bạn.
Đây là những chi tiết có khả năng nhạy cảm. Lỗ hổng zero-day trong Apache có thể chỉ ảnh hưởng đến một số phiên bản nhỏ. Bằng cách bật đầu ra này, bạn đang hiển thị cho cả thế giới biết máy của bạn có gặp rủi ro hay không. Điều này giúp những kẻ tấn công dễ dàng xác định máy chủ của bạn là mục tiêu tiềm năng.
Apache gọi dữ liệu này là “chữ ký máy chủ”. Nó không bị giới hạn trong các trang chỉ mục thư mục: mã phiên bản được bao gồm trong mọi phản hồi HTTP trong Server
tiêu đề:
Nó sẽ hiện diện bất kể mã trạng thái của phản hồi. Những kẻ tấn công có thể tìm thấy phiên bản Apache chính xác của bạn bằng cách chỉ cần ping một yêu cầu đến máy chủ của bạn, bất kể chúng có biết URL hợp lệ hay không.
Tắt Chữ ký Máy chủ
Có hai phần để tắt đầu ra không mong muốn này. Đầu tiên là ServerSignature
giá trị trong tệp cấu hình Apache của bạn. Vị trí của tệp này khác nhau; /etc/apache2/apache2.conf
và /usr/local/apache2/conf/httpd.conf
là hai khả năng phổ biến. Các ServerSignature
chỉ thị cũng được hỗ trợ bên trong .htaccess
tệp trong thư mục gốc của bạn.
Đặt chỉ thị thành Off
để tắt chữ ký xuất hiện trên các trang web do máy chủ tạo:
ServerSignature Off
Khởi động lại Apache để áp dụng thay đổi:
$ sudo service apache2 restart
Điều này ảnh hưởng đến danh sách thư mục, các trang lỗi mặc định của Apache và các đầu ra HTML khác do máy chủ tạo ra. Off
loại bỏ hoàn toàn dòng chữ ký. Tùy chọn cài đặt hỗ trợ giá trị thứ ba, EMail
cung cấp liên kết để gửi email đến địa chỉ được xác định bởi ServerAdmin
:
ServerAdmin example@example.com ServerSignature EMail
Điều này thay thế thông tin phiên bản Apache bằng liên kết email.
Quản lý mã thông báo máy chủ
Nội dung của Server
tiêu đề phản hồi được kiểm soát bởi một cài đặt khác, ServerTokens
. Điều này chỉ có thể được thiết lập bởi tệp cấu hình chung của máy chủ của bạn. Nó không được hỗ trợ bên trong .htaccess
các tập tin.
Giá trị mặc định là Full
trong đó trình bày chuỗi phiên bản chính xác và tên hệ điều hành được quan sát trong ví dụ trên. Điều này cũng có thể bao gồm số phiên bản của các mô-đun được tải và công cụ nội dung CGI như PHP.
Các giá trị thay thế sau được hỗ trợ:
Full
–Apache/2.4.2 (Ubuntu)
Prod
–Apache
Major
–Apache/2
Minor
–Apache/2.4
Min
–Apache/2.4.2
OS
– Giống nhưFull
nhưng không có thông tin về các mô-đun đã tải
Các Prod
sự lựa chọn là giá trị an toàn nhất. Bạn có thể nghĩ về nó như là Production
mặc dù nó thực sự là viết tắt của ProductOnly
. Mã thông báo máy chủ này có nghĩa là Server
tiêu đề sẽ chỉ tiết lộ bạn đang sử dụng Apache mà không có bất kỳ thông tin bổ sung nào về bản phát hành. Những kẻ tấn công sẽ phải thực hiện nhiều thử nghiệm và điều tra lỗi hơn để tìm ra các lỗ hổng có thể khai thác được trong cài đặt của bạn.
Thật không may, không có cách nào để loại bỏ Server
tiêu đề hoàn toàn. Apache thực sự duy trì rằng việc vô hiệu hóa nó “không làm gì cả để làm cho máy chủ của bạn an toàn hơn” và đề xuất sử dụng Min
để giúp gỡ lỗi các vấn đề liên quan dễ dàng hơn.
Tuy nhiên, hầu hết mọi người không bao giờ tiêu thụ Server
và luôn an toàn nhất là quảng cáo thông tin ít nhất có thể về hệ thống của bạn. Mặc dù nó sẽ không ngăn chặn việc khai thác các lỗ hổng, ServerTokens Prod
có thể ngăn chặn những kẻ tấn công thực hiện các nỗ lực đầu cơ. Nó cũng sẽ khiến người qua đường khó thu thập thông tin chi tiết về hoạt động bên trong ngăn xếp công nghệ của bạn. Nó chỉ là một khó khăn nhỏ nhưng một ngày nào đó nó có thể là sự khác biệt mà bạn cần.
Còn về PHP thì sao?
Apache thường được sử dụng trước các trang web và ứng dụng được hỗ trợ bởi PHP. Thật không may, PHP có thói quen cung cấp số phiên bản của nó lên internet. Nó sẽ xuất hiện trong X-Powered-By
tiêu đề của các phản hồi được gửi bởi mã PHP của bạn.
Bạn có thể tắt tính năng này bằng cách sửa đổi tệp cấu hình PHP của mình với dòng sau:
expose_php = Off
Tệp cấu hình thường có thể được tìm thấy tại /etc/php/8.1/apache2/php.ini
. Thay thế 8.1
với phiên bản PHP bạn đang sử dụng. Bạn sẽ cần khởi động lại máy chủ web của mình để áp dụng thay đổi.
Bản tóm tắt
Cấu hình mặc định của Apache hiển thị số phiên bản chính xác của máy chủ của bạn, cũng như hệ điều hành và địa chỉ IP của nó. Thông tin tưởng chừng như vô hại này có thể tiếp tay cho những kẻ tấn công đang tìm kiếm các máy chủ dễ bị tấn công.
Tắt chữ ký máy chủ là một cách nhanh chóng để làm cứng môi trường của bạn. Bạn cũng nên đồng thời giải quyết việc phơi bày thông tin tương tự từ các phần mềm khác trong ngăn xếp của bạn. PHP và một số khuôn khổ web có các lỗ hổng tương tự.
[ad_2]