Info BackTrack

Linux & Security Tutorial

Cara Mengamankan Apache Web Server Dari Attacker / Hacker


Ingin Apache web server Anda lebih aman ?
Di bawah ini merupakan rangkuman tulisan di blog (sebagai bahan buku slackware)

—Buang Modul Apache lainnya..

Pertimbangkan membuang modul di bawah yang ‘biasanya’ tidak di pakai.

Cukup beri tanda # pada baris LoadModule.


LoadModule info_module
LoadModule status_module
LoadModule cgi_module
LoadModule dav_fs_module
LoadModule autoindex_module
LoadModule userdir_module
LoadModule include_module

Samarkan Identitas Apache
Lebih baik sedikit mungkin mengekspos jadi diri Hehehe


ServerSignature Off
MaxKeepAliveRequests

Meski di default 100, Jika webserver Anda dari hari ke hari Maksimum cuma di hit < 15 secara bersamaan, kecilkan ajadech.🙂


MaxKeepAliveRequests 60
TimeOut
Default 300.

Mungkin Anda ingin mengecilkan untuk mengurangi efek DDoS🙂


TimeOut 75
KeepAliveTimeout

Mungkin Anda ingin sedikit membesarkan KeepAliveTimeout ?.🙂
Semakin besar akan mengurangi performance akses bertubi2 user (karena di beri jangka waktu 10 detik) Tapi hal ini akan mengurangi efek DDoS.


KeepAliveTimeout 10
Disable Trace

Trace umumnya digunakan untuk acara debug🙂. Matikan Trace dengan menambah beberapa baris pada konfigurasi HTTPD Apache.


RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
Mod_security

Mod_security perlu dipertimbangkan sebagaifirewall internal web server. Modul ini bukan modul default Httpd Apache dan Slackware. Anda bisa memulai dengan mengkompile modul mod_security.c dengan apxs, kemudian memulai dengan rule dasar modsecurity.

Lihat di http://modsecurity.org untuk info lebih lanjut.
Chrootjail
Jika ingin repot, model ‘penjara’ dapat Anda terapkan bagi HTTPD Apache🙂.
Patch !

Jangan lupakan Patch ! Jika web server Anda sangat kadaluarsa, maka titik rentan sudah terekspos cukup lama. Upgrade program web server Anda jika Ada patch yang tersedia.
Selain konfigurasi HTTPD Apache, ‘tetangga’ lain yang perlu mendapat perhatian adalah konfigurasi PHP. Akan saya sarikan dari http://apachesecurity.net chapter 2 mengenai PHP🙂
Konfigurasi agak paranoid buat php.ini😛


allow_url_fopen = Off
register_global = Off
enable_dl = Off
expose_php = Off
disable_functions = openlog,apache_child_terminate,apache_get_modules,apache_get_versions,apache_getenv, apache_note,apache_setenv,virtual
open_basedir = /home/slackerbox/public_html/
display_errors = off
display_startup_errors = off
max_input_time = 60
max_execution_time = 30
safe_mode = On

Terakhir, Anda bisa cek keamanan web server dengan tool scanner macam nikto.
Cek dengan Nikto !
Mungkin Anda ingin mencoba program Nikto untuk men-scan web server Anda ? Nikto akan memberitahukan titik lemah web server Anda.


perl nikto.pl -h hostAnda

Pertimbangkan juga pake Suhosin buat patching PHPnya biar lebih aman
selain itu juga install paket libsafe dari direktori /extra (CD 3) untuk mengurangi resiko eksploitasi.

Penulis : M. Rizky

Sumber

Artikel Terkait:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: