Hos Maya Apache: Menambah Keselamatan

Untuk memastikan keselamatan semasa menyediakan proksi terbalik dengan Apache, anda boleh melaksanakan beberapa amalan terbaik, seperti mendayakan HTTPS dengan SSL/TLS, melaraskan pengepala keselamatan, mengkonfigurasi firewall dan mendapatkan akses kepada bahagian belakang. Di bawah ialah pelaksanaan terperinci untuk anda memastikan persekitaran yang lebih selamat.

Dayakan HTTPS dengan SSL/TLS

Menggunakan HTTPS adalah penting untuk melindungi data antara klien dan pelayan. Untuk melakukan ini, kami akan mengkonfigurasi sijil SSL dalam Apache.

1.Pasang Certbot dan Modul SSL Apache

Jika anda belum memasang modul SSL, pasangkannya:

sudo apt install certbot python3-certbot-apache
sudo a2enmod ssl

2.Dapatkan Sijil SSL (Mari Menyulitkan)

Jika domain anda sudah menghala ke pelayan, anda boleh mendapatkan sijil SSL percuma daripada Let's Encrypt with Certbot. Jalankan arahan berikut:

sudo certbot --apache -d php.info

• Jika domain itu terbuka, gantikan php.info dengan domain sebenar anda.

• Certbot akan mengkonfigurasi SSL secara automatik pada Hos Maya anda dan mengubah hala trafik HTTP ke HTTPS.

3.Sahkan dan Laraskan SSL Hos Maya

Selepas konfigurasi, Certbot akan mencipta atau mengubah suai fail konfigurasi SSL Hos Maya. Semak sama ada semuanya betul:

sudo your_editor /etc/apache2/sites-available/php-le-ssl.conf

Ia sepatutnya kelihatan seperti ini:

<IfModule mod_ssl.c>
    <VirtualHost *:443>
        ServerAdmin webmaster@localhost
        ServerName php.info
        DocumentRoot /var/www/html/php

        # Reverse Proxy Configuration for HTTPS
        ProxyPreserveHost On
        ProxyPass / http://localhost:8080/
        ProxyPassReverse / http://localhost:8080/

        <Directory /var/www/html/php/>
            AllowOverride All
            Require all granted
        </Directory>

        ErrorLog ${APACHE_LOG_DIR}/php_error.log
        CustomLog ${APACHE_LOG_DIR}/php_access.log combined

        SSLEngine on
        SSLCertificateFile /etc/letsencrypt/live/php.info/fullchain.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/php.info/privkey.pem
        Include /etc/letsencrypt/options-ssl-apache.conf
    </VirtualHost>
</IfModule>

Ubah hala HTTP ke HTTPS

Anda boleh memastikan bahawa semua trafik HTTP diubah hala ke HTTPS. Dalam Hos Maya HTTP anda (/etc/apache2/sites-available/php.conf), tambah:

<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    ServerName php.info
    Redirect permanent / https://php.info/
</VirtualHost>

Ini akan memastikan bahawa sebarang permintaan HTTP akan diubah hala ke versi selamat (HTTPS) tapak.

Pengepala Keselamatan

Tambahkan pengepala keselamatan berikut pada fail konfigurasi Hos Maya SSL anda untuk mengurangkan beberapa kelemahan biasa seperti Clickjacking dan Cross-Site Scripting (XSS):

<IfModule mod_headers.c>
    Header always set X-Content-Type-Options "nosniff"
    Header always set X-Frame-Options "SAMEORIGIN"
    Header always set X-XSS-Protection "1; mode=block"
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
    Header always set Content-Security-Policy "default-src 'self';"
</IfModule>

• X-Content-Type-Options: Menghalang penyemak imbas daripada cuba meneka jenis kandungan, mengurangkan serangan menghidu MIME.
• X-Frame-Options: Menghalang penggunaan tapak dalam iframe, melindungi daripada clickjacking.
• X-XSS-Protection: Mendayakan perlindungan terhadap serangan XSS dalam penyemak imbas.
• Strict-Transport-Security: Memaksa penyemak imbas untuk sentiasa menggunakan HTTPS.
• Polisi-Keselamatan-Kandungan: Mentakrifkan dasar pemuatan kandungan untuk mencegah serangan seperti XSS.

Mengamankan Bahagian Belakang

Anda mesti memastikan bahawa perkhidmatan bahagian belakang, seperti pelayan PHP atau perkhidmatan lain, tidak boleh diakses secara langsung oleh orang ramai. Ini boleh dilakukan dengan mengehadkan akses kepada bahagian belakang kepada proksi sahaja.

Konfigurasikan Firewall (UFW pada Ubuntu):

Pertama, benarkan trafik HTTP (port 80) dan HTTPS (port 443) sahaja ke pelayan.

sudo ufw allow 'Apache Full'
sudo ufw enable

Sekarang, sekat sebarang trafik terus ke port 8080 (bahagian belakang), kecuali Apache:

sudo ufw deny 8080

Pemantauan dan Log

Awas aktif pada akses dan log ralat untuk memantau tingkah laku yang mencurigakan:

• Log ralat akses:

tail -f /var/log/apache2/php_error.log

• Akses log akses:

tail -f /var/log/apache2/php_access.log

Anda juga boleh menggunakan alat pemantauan, seperti Fail2Ban, untuk menyekat alamat IP secara automatik yang membuat terlalu banyak percubaan log masuk gagal atau aktiviti lain yang mencurigakan.

Kemas Kini Biasa

Mengemas kini sistem pengendalian anda, Apache dan Certbot adalah penting untuk memastikan anda dilindungi daripada kelemahan yang diketahui.

sudo apt update && sudo apt upgrade

Dengan mengikuti langkah ini, anda akan mempunyai persekitaran proksi terbalik selamat dengan HTTPS dan perlindungan asas terhadap serangan biasa. Tetapan ini meliputi keselamatan pengangkutan (SSL/TLS), mengurangkan serangan melalui pengepala HTTP dan melindungi bahagian belakang daripada akses luaran.

Atas ialah kandungan terperinci Hos Maya Apache: Menambah Keselamatan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!