Apache Security TIP

mrgill   | August 26, 2012   |   281 Views

เมื่อคืนลองใช้ nikto scan เว็บ Server ที่เพิ่งทำเสร็จ ผลปรากฏว่าเจอช่องโหลดตามนี้
เปิด ServerTokens OS ไว้ทำให้รู้ว่ารันด้วย OS และใช้ Apache เวอร์ชั่นอะไร
เปิด Method TRACE ไว้ซึ่งอาจทำให้โดน XSS ได้
เปิด expose_php On ไว้ทำให้ทราบว่าใช้ PHP เวอร์ชั่นอะไร
และ Scan เจอว่าอนุญาตให้อ่าน ETag header ได้

วิธีแก้ปัญหาของผมมี 3 ขั้นตอนครับ
1. เข้าไปแก้ไฟล์ /etc/httpd/conf/httpd.conf
โดยแก้

ServerTokens On

ให้เป็น

ServerTokens ProductOnly

เพื่อให้ Apache แสดงเฉพาะชื่อโปรดัก Apache อย่างเดียวไม่ให้แสดง OS และเวอร์ชั่นของ Apache

2. ปิด Method TRACE และ Etag โดยสร้างไฟล์ /etc/httpd/conf.d/security_tunning.conf โดยมีเนื้อหาไฟล์ดังนี้

#Diable Method TRACE
TraceEnable Off

#Disable ETag
Header unset ETag
FileETag None

3. ปิด expose_php On เป็น expose_php Off ซะโดยแก้ไขไฟล์ /etc/php.ini ให้เป็น

expose_php Off

จากนั้นก็สั่ง Restart Apache หรือ httpd สักหนึ่งรอบเป็นอันเสร็จลอง Scan ใหม่อีกรอบ
อยากให้ง่ายกว่านี้ก็ติดตั้ง mod_security เลยครับ
แต่เนื่องด้่วยบางเว็บไซต์ของผมไม่สามารถทำงานได้หลังรัน mod_security ซึ่งไม่สามารถรันมันได้
หวังว่าคงเป็นประโยชน์กับท่านผู้ดูแลระบบที่เจอปัญหาเดียวกันนะครับ

แหล่งข้อมูล :
http://www.ducea.com/2007/10/22/apache-tips-disable-the-http-trace-method/
http://www.askapache.com/htaccess/apache-speed-etags.html

Share/Save

Comments

comments

Powered by Facebook Comments

Category : Daily tips,Linux,Security,Server

ว่าด้วยการนับ ด้วยคำสั่ง wc Solved : Kloxo error libwrap refused connection to ftp (libwrap=pure-ftpd) from xxx.xxx.xxx.xxx


Recent Entries

Random Posts

Social Network

Tag Cloud

Calendar

August 2012
S M T W T F S
« Jul   Sep »
 1234
567891011
12131415161718
19202122232425
262728293031  

Twitter: imrgill

RSS LinuxToday

RSS HowToForge

RSS UbuntuClub

RSS Blognone

RSS PowerWindowsBlog

Tag

Categories

Archives

Blogroll