Senin, 28 Desember 2009

20 Trik Keamanan Apache

Posted on 19.43 by baru belajar

Diambil dari simbah Google, dan di translate dalah bahasa Indonesia. Jangan
pernah percaya 100% dengan konfigurasi yang saya ketik nanti, ini hanya anjuran
demi keamanan web server anda, beberapa konfigurasi yang ada di httpd.conf, anda
harus selalu mempatch program keamanan di server anda, entah firewall dsb.


1. Hilangkan informasi mengenai versi Apache.
Konfigurasi default di Apache akan menampilkan informasi tentang versi produk
Apache yang dipakai, informasi sistem yang dipakai, dan beberapa module pada
Apache, informasi ini biasanya sering di gunakan oleh penyerang untuk mencari
celah keamanan pada server anda, oleh karenanya matikan module inidi file
httpd.conf.

ServerSignature Off
ServerTokens Prod

2. Setting HTTP respon header.

Server: Apache

3. Pastikan Apache berjalan pada user dan group yang telah di tentukan.
Konfigurasi ini akan memastikan bila terjadinya penyerangan maka akan dipastikan,
pada bagian apa penyerangan dilakukan, Mail server atau Apache.

User apache
Group apache

4. Pastikan web root directory si user sudah dibatasi.
Konfigurasi web root sangat penting, karena bila konfigurasi ini tidak di indah
kan, si user mampu melihat directory lain diatas directory dia sendiri, oleh ka
rena pembatasan perlu di lakukan.


Order Deny,Allow
Deny from all
Options None
AllowOverride None


Order Allow,Deny
Allow from all


5. Matikan option directory browsing.
Option ini bila di aktifkan maka tanpa file Index directory server akan bisa di
lihat.

Options -Indexes

6. Matikan option server side include.
Option ini sama dengan Indexes.

Options -Includes

7. Matikan option CGI eksekusi.
Bila server anda tidak menggunakan layanan yg berbasis CGI maka matikan option
tersebut.

Options -ExecCGI

8. Jangan ijinkan apache, untuk mengikuti link mata rantai di server.

Options -FollowSymLinks

9. Mematikan Option yang tidak berguna secara massal.
Option ini akan mematikan no 5 - 8.

Options None

apabila anda hanya ingin mematikan beberapa option anda bisa menggunakan
perintah :

Options -ExecCGI -FollowSymLinks -Indexes

10. Matikan support terhadap .htaccess.
None kan terlebih dahulu option AllowOverride.

AllowOverride None

rubah nama file .htaccess menjadi misal .htforaccess demi keamanan.

AccessFileName .httpdoverride

Order allow,deny
Deny from all
Satisfy All


11. Jalankan mod_security.
Module tersebut sangat handal dalam segi keamanan/sekuritas, di tulis oleh Ivan
Ristic dan di terbitkan oleh O'Reilly.
Beberapa keuntungan menggunakan mod_security:

* Filtering yang sederhana
* Regular Expression based filtering
* URL Encoding Validation
* Uniquote Encoding Validation
* Auditing
* Banyak lagi yag lainnya

12. Matikan modul-modul yang tidak di gunakan.
Baca dan pahami file httpd.conf perbaris, jika ada modul yang tidak berguna maka
nonaktifkan module tersbut dengan memberikan tanda "#" di depan modulnya.

13. Grep LoadModule httpd.conf.
Ringakas modul-modul yang dirasa perlu sehingga akan terlihat konfigurasi yang
bersih.
14. Set directory configure Apache.
Set permission file pada directory configure apache.

chown -R root:root /usr/local/apache
chmod -R o-rwx /usr/local/apache

15. Kecilkan timeout server.
Modul ini akan mencegah adanya serangan DDOS, karena defaultnya adalah 300 kita
kecilka menjadi 40 detik.

Timeout 45

16. Pembatasan request besar-besaran.
DDOS basanya menghabiskan resource bandwidth pada server kita, dikarenakan akses
request dari client ke server kita tidak dibatasi, ini membahayakan.

LimitRequestBody 1048576

directive diatas bisa di tentukan untuk apa server di gunakan, tinggal kita se
suaikan berdasarkan kebutuhan.

17. Batasi size file XML.
Apabila anda menggunakan webdav dan anda menginginkan adanya limiting pada file
XML anda, tingal rebah drective / modul nya.

LimitXMLRequestBody 10485760

18. Membatasi Concurrency.
Modul ini akan membatasi atau mengatur beberapa option seperti Maxclients dan be
berapa directive yang bisa anda set sehingga Apache anda sesuai dengan koneksi
dan hardware yang anda gunakan.

19. Atur konektifitas hanya untuk IP tertentu.
Demi keamanan maka aturlah server kita agar hanya di manage dari IP kita.

Order Deny,Allow
Deny from all
Allow from 176.16.0.0/16

Or by IP:
Order Deny,Allow
Deny from all
Allow from 127.0.0.1

20. Tentukan Keepalive.
Modul ini akan menentukan berapa lama sebuah request akan dilayani oleh server,
default pengaturannya adalah bernilai 100, maka anda bisa rubah menjadi 15, hal
ini akan meminimalkan server kita di serang oleh DDOS.

Ok mungkin hanya sedikit membantu anda dalam mengkonfigure server apache anda,
tentunya anda harus selalu waspada dan mengikuti perkembangan keamanan diinternet.

semoga artikel ini dapat bermanfaat.