selamat malam sobat ..... ,,
Ingin Apache web server Anda lebih aman ?
Di bawah ini merupakan rangkuman tulisan di blog ini (sebagai bahan buku slackware)
Oops ! Tidak sempurna ! :)
Masukan dan koreksi akan saya terima
Buang Modul Apache lainnya..
Pertimbangkan membuang modul di bawah yang 'biasanya' tidak di pakai.
Cukup beri tanda # pada baris LoadModule.
LoadModule info_module
LoadModule status_module
LoadModule cgi_module
LoadModule dav_fs_module
LoadModule autoindex_module
LoadModule userdir_module
LoadModule include_module
Samarkan Identitas Apache
Lebih baik sedikit mungkin mengekspos jadi diri Hehehe
ServerSignature Off
MaxKeepAliveRequests
Meski di default 100, Jika webserver Anda dari hari ke hari Maksimum cuma di hit < 15 secara bersamaan, kecilkan ajadech. :)
MaxKeepAliveRequests 60
TimeOut
Default 300. Mungkin Anda ingin mengecilkan untuk mengurangi efek DDoS :)
TimeOut 75
KeepAliveTimeout
Mungkin Anda ingin sedikit membesarkan KeepAliveTimeout ?. :)
Semakin besar akan mengurangi performance akses bertubi2 user (karena di beri jangka waktu 10 detik) Tapi hal ini akan mengurangi efek DDoS.
KeepAliveTimeout 10
Disable Trace
Trace umumnya digunakan untuk acara debug :). Matikan Trace dengan menambah beberapa baris pada konfigurasi HTTPD Apache.
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
Mod_security
Mod_security perlu dipertimbangkan sebagaifirewall internal web server. Modul ini bukan modul default Httpd Apache dan Slackware. Anda bisa memulai dengan mengkompile modul mod_security.c dengan apxs, kemudian memulai dengan rule dasar modsecurity.
Lihat di http://modsecurity.org untuk info lebih lanjut.
Chrootjail
Jika ingin repot, model 'penjara' dapat Anda terapkan bagi HTTPD Apache :).
Patch !
Jangan lupakan Patch ! Jika web server Anda sangat kadaluarsa, maka titik rentan sudah terekspos cukup lama. Upgrade program web server Anda jika Ada patch yang tersedia.
Selain konfigurasi HTTPD Apache, 'tetangga' lain yang perlu mendapat perhatian adalah konfigurasi PHP. Akan saya sarikan dari http://apachesecurity.net chapter 2 mengenai PHP :)
Konfigurasi agak paranoid buat php.ini :P
allow_url_fopen = Off
register_global = Off
enable_dl = Off
expose_php = Off
disable_functions = openlog,apache_child_terminate,apache_get_modules,apache_get_versions,apache_getenv, apache_note,apache_setenv,virtual
open_basedir = /home/slackerbox/public_html/
display_errors = off
display_startup_errors = off
max_input_time = 60
max_execution_time = 30
safe_mode = On
Terakhir, Anda bisa cek keamanan web server dengan tool scanner macam nikto.
Cek dengan Nikto !
Mungkin Anda ingin mencoba program Nikto untuk men-scan web server Anda ? Nikto akan memberitahukan titik lemah web server Anda.
perl nikto.pl -h hostAnda
Selamat berjuang !
1 lagi =)
Pertimbangkan juga pake Suhosin buat patching PHPnya biar lebih aman
selain itu juga install paket libsafe dari direktori /extra (CD 3) untuk mengurangi resiko eksploitasi
Mantep Bro :d
ReplyDelete