وب سرورها یکی از رایج ترین سرویس هایی است که امروزه بر روی یک سیستم اجرا می شود.آنها طیف گسترده ای از انواع محتوا را ارائه می دهند، می توانند به راحتی پیکربندی شوند تا به مخاطبان محدود یا گسترده ای ارائه دهند، و به سرعت نصب و پیکربندی می شوند. پیکربندی ایمن نیاز به تلاش بیشتری دارد و تمرکز این بهترین سند عملی است.

خرید سرور مجازی گیم مجهز به فایروال اختصاصی

در زیر ما برخی از راهنمایی‌های خاص را در مورد مشکلاتی که اغلب با دو سرور وب رایج مشاهده می‌کنیم ارائه کرده‌ایم: Apache و سرور اطلاعات اینترنت مایکروسافت (IIS). به شما توصیه می شود قبل از بارگیری صفحات و برنامه های کاربردی وب در آن، به اسناد موجود برای وب سرور خود نگاه کنید و در مورد تنظیمات امنیتی آن اطلاعات کسب کنید. اگر توصیه ای برای نصب سایر وب سرور دارید، لطفاً به ما اطلاع دهید و ما می توانیم به شما کمک کنیم اطلاعات را با آنها به اشتراک بگذارید.

ترفندهای پیکربندی آپاچی

* به سرور اجازه ندهید فایل های شامل php را سرویس دهد

اکثر برنامه های php دارای فایل های شامل هستند و این فایل ها اغلب حاوی اطلاعات حساسی مانند داده های پیکربندی سیستم و رمزهای عبور پایگاه های داده هستند. مهم این است که افرادی که از طریق وب سرور سایت شما را مرور می کنند، تحت هیچ شرایطی نتوانند محتوای این فایل ها را ببینند. با افزودن موارد زیر به فایل httpd.conf و راه اندازی مجدد وب سرور، آپاچی را می توان برای جلوگیری از اشتراک گذاری این فایل ها پیکربندی کرد :

Orderallow,denyDenyfromallSatisfyAll"> Orderallow,denyDenyfromallSatisfyAll

به یاد داشته باشید که تست کنید که بعد از ایجاد تغییر کار می کند!

* اجازه اجرای عمومی فایل های phpinfo.php را ندهید.

اسکریپت phpinfo.php گاهی اوقات توسط برنامه های کاربردی وب اضافه می شود یا توسط توسعه دهندگان وب اضافه می شود تا اطلاعات بیشتری در مورد محیط وب و پیکربندی php که برای اشکال زدایی لازم است به دست آورید. با این حال، مهاجمان ممکن است از آنها علیه شما استفاده کنند تا اطلاعات بیشتری در مورد پیکربندی سرور شما به دست آورند. به طور کلی ارائه اطلاعات بیشتر از آنچه نیاز دارید ایده بدی است، بنابراین توصیه می کنیم این عملکرد را خاموش کنید.

برای آپاچی نسخه 1.3.34 (یا نسخه های جدیدتر 1.3.x)، یا apache 2.0.55 (یا بالاتر)، این کار آسان شده است. فقط خط "TraceEnable off" را به فایل httpd.conf خود اضافه کنید و سرور را راه اندازی مجدد کنید. اگر از آپاچی استفاده می کنید که از هر کدام از این نسخه ها قدیمی تر است، باید آن را ارتقا دهید.

نسخه‌های قدیمی‌تر آپاچی می‌توانند با استفاده از قوانین بازنویسی با افزودن موارد زیر به فایل پیکربندی، به عملکرد مشابهی دست یابند:

#TurnontherewriteengineRewriteEngineOnRewriteLoglogs/rewrite-logRewriteLogLevel4#GetridoftrackandtrackRewriteCond%{REQUEST_METHOD}^(TRACE|TRACK)RewriteRule.*-[F]

* رمزهای SSL ضعیف

پیکربندی پیش‌فرض ماژول SSL آپاچی به طیف گسترده‌ای از رمزها اجازه می‌دهد که ضعیف‌تر از حد لازم برای اکثر برنامه‌ها هستند. به طور کلی، اگر از SSL استفاده می‌کنید، می‌خواهید که داده‌ها تا حد امکان ایمن منتقل شوند، بنابراین اجازه دادن به رمزهای ضعیف تنها امنیتی را که می‌خواستید به دست آورید کاهش می‌دهد. می توانید رمزهای موجود برای استفاده را با تغییر دستورالعمل SSLCipherSuite در فایل httpd.conf یا ssl.conf خود تغییر دهید (بستگی به نصب شما دارد). با تنظیم متغیر به صورت زیر، رمزهایی که کمتر از 128 بیت دارند، چندین رمز صادراتی و برخی از رمزهای ضعیف‌تر Diffie-Hellman خلاص می‌شوند.

SSLCipherSuite!ADH:!EXP:RSA:HIGH:MEDIUM:!NULL:!LOW

توجه داشته باشید که این ممکن است با توانایی برخی از کامپیوترهایی که در خارج از ایالات متحده فروخته شده و کار می کنند از اتصال به سرور SSL شما تداخل ایجاد کند زیرا هیچ رمزی برای آنها وجود نخواهد داشت. با این حال، اگر این مخاطب شما نیستید، باید به خوبی کار کند.

* نسخه های 2 و 3 SSL را غیرفعال کنید

پروتکل‌های SSL نسخه 2 و 3 حاوی نقص‌های رمزنگاری متعددی است که استفاده از آن را ناامن می‌کند، با این حال هنوز توسط آپاچی پشتیبانی می‌شود و به‌طور پیش‌فرض توسط تعدادی از کلاینت‌ها انتخاب می‌شود که قادر به استفاده از چیز بهتری هستند. توصیه می شود مرورگرها را مجبور به استفاده از نسخه TLS کنید.

1.2 با حذف پشتیبانی از SSL. این کار را می توان از طریق فایل پیکربندی (httpd.conf یا ssl.conf بسته به نصب شما) با ارائه دستورالعمل SSLProtocol به شرح زیر انجام داد :

SSLProtocolall-SSLv2-SSLv3

ترفندهای پیکربندی IIS

* نصب و ایمن سازی IIS

مایکروسافت فصلی را در بهبود امنیت برنامه های وب خود اختصاص داده است: راهنمای تهدیدها و اقدامات متقابل برای ایمن سازی وب سرور [IIS] شما برای دریافت توصیه های مفید در مورد نحوه بهترین نصب و پیکربندی وب سرور خود برای عملکرد ایمن باید آن را مرور کنید.

مراحل مورد نیاز برای ایمن سازی IIS برای هر نسخه از IIS متفاوت است. کارکنان Windows Security راهنمای نصب و ایمن سازی سرورهای IIS را تهیه کرده اند که اصول اولیه هر نسخه از سرور را پوشش می دهد. ما توصیه می کنیم که از طریق راهنما نگاهی بیندازید و دستورالعمل های مربوط به محیط خود را دنبال کنید.

* نسخه های 2 و 3 SSL را غیرفعال کنید

پروتکل‌های SSL نسخه 2 و 3 حاوی نقص‌های رمزنگاری متعددی است که استفاده از آن را ناامن می‌کند، با این حال هنوز توسط IIS پشتیبانی می‌شود و به‌طور پیش‌فرض توسط تعدادی از کلاینت‌ها انتخاب می‌شود که قادر به استفاده از چیزی بهتر هستند. توصیه می شود با حذف پشتیبانی از SSL، مرورگرها را مجبور به استفاده از TLS نسخه 1.2 کنید. مایکروسافت مقاله پایگاه دانش را در مورد غیرفعال کردن پروتکل های SSL در IIS ارائه کرده است.