如何强化Apache的安全漏洞
我们在生产中的Rhel 7.5上安装了APache 2.4.6版本。安全审计团队最近发现了一些需要修复的漏洞。
1.)在审计过程中,发现connect web服务器易受Slowloris攻击。针对此建议的缓解措施:速率限制传入请求-基于某些使用因素限制访问将有助于缓解Slowloris攻击。限制单个IP地址允许建立的最大连接数、限制低速传输速度和限制客户端保持连接的最长时间等技术都是限制低速和慢速攻击的有效性的方法。
2.) HSTS的缺失使得降级攻击、剥离SSL的中间人攻击、cookie劫持防护能力减弱。缓解措施:将远程web服务器配置为使用HSTS响应头。
3.)在审计期间,观察到mod_security没有实现,这是一个用于apache的应用程序安全防火墙。缓解:实施Mod_security以及时检测和预防应用程序安全攻击。
我没有太多关于如何配置这些的想法。请帮助我解决上述问题的步骤。
回答 1
Stack Overflow用户
发布于 2019-07-12 22:18:26
也许我可以为您指出正确的方向,但其中两个的完整配置/设置并不是简短的检查表友好的。
1) mod_qos是一种限制你接触slowloris的方法。它被设计用在reverse_proxy服务器中。不确定它是否适合你的情况,但这是一个让你开始寻找的地方。我不确定是否能获得对slowloris的完全免疫力,至少在没有花费大量资金的情况下是不可能的。
http://mod-qos.sourceforge.net
2)这个很简单。对于apache,请将以下内容放入站点配置文件:
Header always set Strict-Transport-Security "max-age=15638400"这基本上告诉用户代理,在接下来的6个月里,永远不要想着在这个网站上使用http,只使用https。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security
3) mod_security应该在其中一个RHEL代码库(可能是EPEL)中可用,它的设置和配置可能会变得复杂,所以从这里开始:
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual-(v2.x)
(这是2.x版本的手册,有3.x版本,但我怀疑它还没有进入RHEL,所以我发布了2.x版本)
https://stackoverflow.com/questions/56143561
复制相似问题
腾讯云开发者
