5.5. Защита HTTP-сервера Apache

HTTP-сервер Apache — одна из самых стабильных и защищённых служб, входящих в состав Red Hat Enterprise Linux. Для защиты Apache придумано несчётное количество параметров и приёмов, слишком много, чтобы подробно разбирать их здесь.

Настраивая HTTP-сервер Apache, обязательно ознакомьтесь с прилагаемой к нему документацией. В том числе познакомьтесь с главой HTTP-сервер Apache Справочного руководства по Red Hat Enterprise Linux, главой Настройка HTTP-сервера Apache Руководства по системному администрированию Red Hat Enterprise Linux, и документацией к Stronghold, доступной по адресу https://access.redhat.com/products/.

Ниже перечислены параметры конфигурации, использовать которые нужно очень осторожно.

5.5.1. FollowSymLinks

Это указание по умолчанию включено, поэтому будьте очень внимательны, создавая символические ссылки в корневом каталоге документов веб-сервера. Например, не стоит создавать символические ссылки на /.

5.5.2. Указание Indexes

Это указание по умолчанию включено, но это может быть нежелательно. Чтобы предотвратить просмотр посетителями списков файлов на сервере, уберите это указание.

5.5.3. Указание UserDir

Указание UserDir по умолчанию отключено, так как с его помощью можно определить существующие в системе учётные записи. Чтобы разрешить на сервере просмотр каталогов пользователей, определите следующие указания:

UserDir enabled 
UserDir disabled root

Эти указания разрешают просмотр каталогов всех пользователей, за исключением /root/. Чтобы добавить пользователей в список запрещённых учётных записей, перечислите их через пробел в строке UserDir disabled.

5.5.4. Не удаляйте указание IncludesNoExec

По умолчанию модуль включений на стороне сервера (server-side includes) не может выполнять команды. Настоятельно рекомендуется не изменять этот параметр, если у вас нет на то веских причин, так как это может позволить взломщику выполнять команды в вашей системе.

5.5.5. Ограничьте доступ к каталогам с исполняемыми файлами

Убедитесь в том, что во всех каталогах, содержащих сценарии или CGI, разрешение на запись имеет только root. Это можно сделать, выполнив следующие команды:

chown root <directory_name>
chmod 755 <directory_name>

А также обязательно проверяйте, правильно ли работают сценарии в вашей системе, прежде чем запустить их в работу.

Поделиться с друзьями