GüvenlikSunucu

Apache sürüm bilgisi ve virtualhostları gizleme

Bu makalede apache ince ayarları anlatmak istiyorum. Bu yöntem sanal ortamın %90’ında açıktır. Bing üzerinden sunucudaki siteleri görebilirsiniz. Örnek saldırgan sizin ana sitenizi hackleyemiyor web üzerinde herhangi bir açık tespit edemedi. Ama sunucudaki siteleri tarayıp içindeki siteleri görebilir ve diğer siteler üzerinde yoğunlaşır açık bulduğu siteden girip sunucu rootlamaya kadar gider. Birde bakmışsınız sunucu elinizden gidip her site üzerinde index atılmış. Yani sunucuda bunun açılması evde canım perdenin olmaması   gibi birşey.

Bing ile sunucudaki siteleri görme

 

Güvenlik amaçlı  ayarlar konusunda ilk olarak saldırganlara ipucu vermemek adına apache sürümünü gizleyelim. Sürümünü gizleme işini bence arama motorlarının crawler programları dahil kimseyi ilgilendirmediği için tüm virtualhostlarda gizlemeliyiz.

Apache conf dosyasında yoksa ekleyin varsa yazdığımız gibi değiştirin.

ServerSignature Off
ServerTokens Prod

Apache dokümanlarında TraceEnable özelliği hakkında güvenlik açığı değildir yazmakta. Fakat aynı zamanda HTTP 1.1 belirtimine ait bir özellik olduğunu söylemekteler. Yani eski bir HTTP protokolünde yazılmıştır. Ayrıca HTTPOnly ile XSS ataklarına karşı güvenli hale getirmeye calıştığımız cookie bilgilerinin riske edebilir. Bu yüzden kapatılması iyi bir fikirdir.

TraceEnable Off

Artık web sunucumuz biraz daha güvenli.

Tags

Kaan GİRGİN

Ben Kaan GİRGİN, 1996 Balıkesir doğumluyum 2013 yılından beri kendimi sanal Dünyada geliştiriyorum. Sürekli olarak yeni bilgiler edinip deneyimlerimi bu site üzerinden sizler ile paylaşıyorum.

İlgili Makaleler

Kimler Neler Demiş?

avatar
  Subscribe  
Bildir

Bu yazımızada bakın

Kapat
Kapat