我们在生产中的Rhel 7.5上安装了APache 2.4.6版本。 安全审核小组最近发现的漏洞很少,需要修复。
1。)在审核过程中,发现连接的Web服务器容易受到Slowloris攻击。 建议采取以下缓解措施: 限制传入请求的速率-基于某些使用因素限制访问将有助于减轻Slowloris攻击。限制单个IP地址的最大连接数,限制慢速传输速度以及限制客户端保持连接的最大时间等技术都是限制低速攻击和低速攻击有效性的方法。 >
2。)缺少HSTS会导致降级攻击,SSL剥夺中间人攻击并削弱cookie劫持保护。 缓解措施:将远程Web服务器配置为使用HSTS响应标头。
3。)在审核期间,发现未实现mod_security,这是针对Apache的应用程序安全防火墙。 减轻: 实施Mod_security以及时检测和防止应用程序安全攻击。
我对如何配置这些没有太多的想法。 请帮助我解决上述问题的步骤。
答案 0 :(得分:0)
也许我可以为您指明正确的方向,但是其中两个的完整配置/设置并非简短清单即可。
1)mod_qos是限制您接触慢虱的一种方法。它被设计用于反向代理服务器。不确定是否适合您的情况,但是这是您开始寻找的地方。我不确定能否获得对慢虱的完全免疫力,至少不是没有花很多钱的潜力。
http://mod-qos.sourceforge.net
2)这很容易。对于apache,请将其放在站点配置文件中:
Header always set Strict-Transport-Security "max-age=15638400"
从本质上讲,这意味着用户代理在接下来的6个月内(大约)甚至都不会考虑在该站点上仅使用http,而仅使用https。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security
3)mod_security应该在RHEL仓库(可能是EPEL)之一中可用,并且它的配置可能会变得很复杂,因此请从这里开始:
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual-(v2.x)
(这是版本2.x的手册,有一个3.x,但是我怀疑它尚未纳入RHEL,所以我要发布2.x版本)