IBM HTTP Server Security & Hardening-Handbuch

Optimieren von IBM HTTP Server (IHS) für die Produktionsumgebung


HTTP Server von IBM wird häufig in Kombination mit IBM WebSphere Application Server verwendet. Manche der beliebte Websites Verwenden von IBM HTTP Server sind:

  • Airtel.in
  • Marriott.com
  • Hsbc.co.uk
  • Mercedes-benz.com.eg
  • Argos.co.uk

IHS basiert auf Apache HTTP Server, das jedoch von IBM optimiert wurde, um Unternehmensanwendungen und Wartungsunterstützung zu unterstützen. Es hält sehr wenig Marktanteil in der Webserverwelt, aber immer noch weit verbreitet mit WebSphere Application Server.

ihs-Marktanteil

Die Standard-IHS-Konfiguration liefert viele vertrauliche Informationen, die dem Hacker helfen können, sich auf einen Angriff vorzubereiten und den Geschäftsbetrieb zu unterbrechen. Als Administrator sollten Sie sich darüber im Klaren sein, die IHS-Konfiguration zu sichern, um die Webanwendungen zu sichern.

In diesem Artikel werde ich erklären, wie die IHS-Produktionsumgebung sicher gemacht werden kann & sichern.

Wenige Sachen: –

  • Sie haben IHS in einer Linux-Umgebung installiert. Wenn nicht, finden Sie hier die Installationsanleitung.
  • Es wird empfohlen, eine Sicherungskopie einer Konfigurationsdatei zu erstellen.
  • Sie haben HTTP-Header-Erweiterungen in einem Browser oder können diese verwenden Header Checker Online-Tool.
  • Aufgrund der Länge des Artikels werde ich im nächsten Beitrag über die SSL-Konfiguration sprechen.

Server-Banner und Produktinformationen im HTTP-Header ausblenden

Wahrscheinlich besteht eine der ersten Aufgaben beim Einrichten der Produktionsumgebung darin, die IHS-Version und das Server-Banner in einem Header zu maskieren. Dies ist nicht kritisch, wird jedoch als geringes Risiko als Sicherheitslücke für Informationslecks angesehen und muss für PCI DSS-kompatible Anwendungen gelten.

Schauen wir uns an, wie nicht vorhandene (404) Anforderungsantworten in der Standardkonfiguration vorhanden sind.

ihs-nonexist-response

Oh nein, es zeigt, dass ich IBM HTTP Server zusammen mit der Server-IP und der Portnummer verwende, was hässlich ist. Lass sie uns verstecken.

Lösung: –

  • Fügen Sie die folgenden drei Anweisungen in die Datei httpd.conf Ihres IHS ein.

AddServerHeader Aus
ServerTokens Prod
ServerSignature Off

  • Speichern Sie die Datei und starten Sie das IHS neu

Überprüfen Sie dies, indem Sie auf eine nicht vorhandene Datei zugreifen. Sie können auch verwenden HTTP-Header-Tool um die Antwort zu überprüfen.

ihs-nonexist-response-fixed

Viel besser! Jetzt werden keine Produkt-, Server- und Portinformationen mehr angezeigt.

Etag deaktivieren

Etag Header kann offenbaren Inode-Informationen und kann Hackern helfen, NFS-Angriffe auszuführen. Standardmäßig zeigt IHS das etag an. Hier erfahren Sie, wie Sie diese Sicherheitsanfälligkeit beheben können.

ihs-etag

Lösung: –

  • Fügen Sie die folgende Anweisung in ein Stammverzeichnis ein.

FileETag keine

Zum Beispiel:

Optionen FollowSymLinks
AllowOverride Keine
FileETag keine

  • Starten Sie den IHS-Server neu, damit er wirksam wird.

ihs-etag

Führen Sie IHS mit einem Nicht-Root-Konto aus

Standardkonfiguration Führen Sie einen Webserver mit root aus & Kein Benutzer, dessen Ausführung durch ein privilegiertes Konto nicht ratsam ist, kann im Falle einer Sicherheitslücke Auswirkungen auf den gesamten Server haben. Um das Risiko zu begrenzen, können Sie einen dedizierten Benutzer zum Ausführen von IHS-Instanzen erstellen.

Lösung: –

  • Erstellen Sie einen Benutzer und eine Gruppe mit dem Namen ihsadmin

groupadd ihsadmin
useradd –g ihsadmin ihsadmin

Jetzt, Ändern Sie den Besitz des IHS-Ordners in ihsadmin, damit der neu erstellte Benutzer die volle Berechtigung dazu hat. Angenommen, Sie haben am Standardspeicherort installiert – / opt / IBM / HTTPServer

chown –R ihsadmin: ihsadmin / opt / IBM / HTTPServer

Wechseln wir den Benutzer & Gruppenwert in httpd.conf

Benutzer ihsadmin
Gruppe ihsadmin

Speichern Sie die httpd.conf und starten Sie den IHS-Server neu. Dies hilft IHS, als ihsadmin-Benutzer zu starten.

Implementieren Sie das HttpOnly- und Secure-Flag in Cookie

Wenn Sie Cookies und httponly gesichert haben, können Sie das Risiko von XSS-Angriffen verringern.

Lösung: –

Um dies umzusetzen, müssen Sie sicherstellen mod_headers.so ist in httpd.conf aktiviert.

Wenn nicht, kommentieren Sie die folgende Zeile in httpd.conf aus

LoadModule headers_module modules / mod_headers.so

Und fügen Sie unten den Header-Parameter hinzu

Header bearbeiten Set-Cookie ^ (. *) $ $ 1; HttpOnly; Sicher

Speichern Sie die Konfigurationsdatei und starten Sie den Webserver neu.

Mildern Sie Clickjacking-Angriffe

Das Clickjacking Es ist allgemein bekannt, dass ein Angreifer Benutzer dazu verleiten kann, auf einen Link zu klicken und eingebetteten Code ohne Wissen des Benutzers auszuführen.

Lösung: –

  • Stellen Sie sicher, dass mod_headers.so aktiviert ist, und fügen Sie den folgenden Header-Parameter in die Datei httpd.conf ein

Header hängen immer X-Frame-Optionen SAMEORIGIN an

  • Speichern Sie die Datei und starten Sie den Server neu.

Überprüfen Sie durch Zugriff auf die URL, ob sie über X-Frame-Optionen verfügt (siehe Abbildung unten).

Clickjacking-Attack-ihs

Listen-Direktive konfigurieren

Dies gilt, wenn Sie mehrere Ethernet-Schnittstellen / IP auf dem Server haben. Es ist ratsam, die absolute IP- und Port-in-Listen-Direktive zu konfigurieren, um zu verhindern, dass DNS-Anforderungen weitergeleitet werden. Dies wird häufig in einer gemeinsam genutzten Umgebung beobachtet.

Lösung: –

  • Fügen Sie die beabsichtigte IP und den Port in httpd.conf unter der Anweisung Listen hinzu. Ex:-

Hören Sie 10.0.0.9:80

X-XSS-Schutz hinzufügen

Sie können den XSS-Schutz (Cross for Site Scripting) anwenden, indem Sie den folgenden Header implementieren, wenn er vom Benutzer im Browser deaktiviert wurde.

Header-Set X-XSS-Schutz "1; mode = block"

Deaktivieren Sie die Trace-HTTP-Anforderung

Wenn die Trace-Methode auf dem Webserver aktiviert ist, kann Cross Site Tracing Attack aktiviert und Cookie-Informationen gestohlen werden. Standardmäßig ist dies aktiviert und Sie können sie mit dem folgenden Parameter deaktivieren.

Lösung: –

  • Ändern Sie die Datei httpd.con und fügen Sie die folgende Zeile hinzu

TraceEnable aus

  • Speichern Sie die Datei und starten Sie die IHS-Instanz neu, damit sie wirksam wird.

Ich hoffe, die obigen Tipps helfen Ihnen dabei, den IBM HTTP Server für eine Produktionsumgebung zu härten.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map