Apache Webserver الأمن و نصائح التحسين

StackOverflow https://stackoverflow.com/questions/171237

سؤال

أنا على وشك الاتفاق مع إدارة و تشغيل أول متصل بالإنترنت أباتشي خادم الويب و أنا أتساءل عما إذا كان هناك أي sys مدراء ومطوري المواقع هناك التي ترغب في مشاركة بعض من معارفهم فيما يتعلق بالأمن الأمثل نصائح تشغيل أباتشي خادم الويب.

ربما يمكنك مشاركة الخاص بك أعلى خمسة (أو العشر) قائمة من الأشياء التي يمكنك القيام به على الفور بعد تثبيت Apache webserver (على لينكس مربع).

أي مساعدة محل تقدير كبير جدا.

هل كانت مفيدة؟

المحلول

الأساسية

  1. تأكد من أن لديك أحدث إصدار مستقر تثبيت.التشغيل القديمة أو غير مستقرة نسخة من طراز أباتشي يمكن أن يعرض النظام الخاص بك إلى ثغرات أمنية أو لم تختبر حلول
  2. تأكد فقط المقصود الطلبات هي في الواقع معالجتها.يجب عليك أن تنظر الذين أن الوصول إلى الموارد على شبكة الإنترنت تعرض من قبل أباتشي ، كيف.
  3. تجنب تشغيل أباتشي كجذر.هذا هو يجب أن يكون.
  4. التعامل مع السجلات الخاصة بك.سجلات تميل إلى أن تصبح أكبر وأكبر ؛ تنظر إلى الإعداد logrotate أو لتنظيف السجل الخاص بك بشكل دوري.
  5. رصد أباتشي الصحية مع نظام الرصد.أود أن الزوجين مونين و monit ، سواء من السهل أن setuo والحفاظ على.Nagios وغيرها تستحق نظرة.
  6. إذا أباتشي يخدم تطبيقات الويب (أيPHP, Perl, القضبان) تأكد من الطلبات يتم التعامل معها من قبل وحدة الحق في حق النظام.
  7. كتابة جميلة 404 و 500 رسالة.عاجلا أو آجلا زوار موقعك سوف الصيد خطأ.
  8. إيقاف وإعادة تشغيل أباتشي, لذلك يمكنك أن تكون متأكدا من كل shoutdown والبدء في إجراءات العمل flawlessy.
  9. استخدام mod_security

الأمن

  1. حماية أباتشي ضد DOS.
  2. تحميل فقط وحدات حاجة حقا.
  3. مراقبة السجل الخاص بك لمعرفة إذا كان هناك شيء غريب يحدث.

الأداء

  1. إذا كنت تجميع أباتشي من شفرة المصدر ، تأكد من استخدام MPM (Multi-تجهيز وحدات).
  2. تحميل فقط وحدات حاجة حقا.
  3. التحقق من MaxClients الإعداد بحيث الخادم الخاص بك لا تفرخ الكثير من الأطفال يبدأ في مبادلة.
  4. استخدام mod_deflate الوحدة ، فإنه يوفر انكماش الناتج الفلتر الذي يسمح الناتج من الخادم الخاص بك أن تكون مضغوطة قبل إرسالها إلى العميل عبر الشبكة.

نصائح أخرى

  • ضمان عملية أباتشي لا يعمل كما الجذر.
  • تأكد من أن تكون على أحدث إصدار مستقر
  • إذا كان مربع ترتبط مباشرة إلى شبكة الإنترنت ضمان كنت قد فكرت في كل شيء خدمات أخرى ، مثل ssh.
  • تفتيش بعناية المحلي قواعد جدار الحماية ، وتشديد الرقابة عليه.(انظر إيبتبلس)
  • لا تتحول على خيارات أنت لا تفهم أو لا تخطط لاستخدام
  • النظر في الاشتراك أباتشي الأمن القائمة البريدية لذلك عليك معرفة الحق بعيدا من أي بقع حرجة
  1. استجذار مزود الويب
  2. تعطيل أي وحدة أنك لن تحتاج
  3. واحد بدلا حاجة mod_security
  4. إعداد ملف سلامة مدقق الخاص بك webroot
  5. تأمين كل شيء آخر على نفس الخادم وإيقاف أي شيء لم يستخدم
  6. تشغيل الاختبارات ضد الخادم الخاص بك مع أدوات مثل nmap أو Metasploit

أنا ذاهب إلى تفسير "بعد تثبيت اباتشي على مربع" كما "إعداد ملقم جديد التثبيت للاستخدام الإنتاج" ، لأن هذا بطبيعة الحال أن كل شيء على الخادم التنمية و ملتزمة SCM أو صلب الآلي تثبيت.

كل ما يمكنك القيام به لتحسين يجب أن يتم على أساس القياسات الحقيقية.إعداد بيئة اختبار مع التطبيق الفعلي كنت تنوي تشغيل ، بأكبر قدر ممكن من الواقعية.للنظر في بعض النقاط هي:

  • لا تعيين MaxClients عالية جدا.يمكنك استخدام ما يصل الكثير من ذاكرة الوصول العشوائي ، خاصة مع prefork ملقمات مع تطبيق كبير جزءا لا يتجزأ منها (مثلا ، mod_perl, PHP الخ).استخدام الكثير من الذاكرة يؤدي إلى نتائج عكسية.فمن الأفضل للعملاء الانتظار لنجاح خدمة من خدم خطأ.
  • النظر بعناية في ما إذا كان لديك Keepalives على.هذه على حد سواء يمكن تسريع وتبطئ اعتمادا على البيئة الخاصة بك.إذا اخترت أن يكون لهم على, عليك أن تفكر في keepalive المهلة على أساس الاستخدام الفعلي القضية.
  • هل اختبار الأداء مع HTTPS تمكين إذا كنت تستخدم HTTPS في الإنتاج
  • مجموعة "آخر تعديل" و "تنتهي" الرؤوس على نحو ملائم على الأشياء التي تتغير بشكل غير منتظم (لزيادة التخزين المؤقت من جانب العميل).اختبار التخزين المؤقت من جانب العميل في مجموعة متنوعة من المتصفحات.
  • التأكد من التطبيق الخاص بك يستخدم HTTPS بشكل صحيح ، وليس في الطريقة التي تسبب المتصفحات لتوليد التحذيرات الأمنية (هذا هو سبب وجيه آخر كنت بحاجة إلى استخدام HTTPS أثناء الاختبار)

إذا كنت تقوم بتشغيل LAMP معيار بيئة (لينكس، اباتشي، الخلية، PHP / PEARL / PYTHON): وضع الخلية على جهاز آخر من طراز أباتشي. سوف يكون أبطأ قليلا مع سوى عدد قليل من العمليات المتزامنة (بسبب استتار الشبكة)، ولكن سيكون أسرع بكثير مع العديد من العمليات المتزامنة.

تأكد من قمت بتكوين لكشف DOS (الحرمان من الخدمة) الهجمات.

مرخصة بموجب: CC-BY-SA مع الإسناد
لا تنتمي إلى StackOverflow
scroll top