[Уроци] Nginx,Apache (Anti DDoS) и други уроци

Аватар
terrorsecurity.tech
Извън линия
VIP
VIP
Мнения: 126
Регистриран на: 15 Фев 2017, 21:53
Получена благодарност: 9 пъти

[Уроци] Nginx (Anti DDoS) и други уроци

Мнение от terrorsecurity.tech » 21 Ное 2019, 10:35

Познавам те от години, нали се досети кой съм? :)
Радвам се, че все още се занимаваш с тези неща, както и аз.
То твоето дори не са грешки, а неща за начинаещи, както спомена, просто нещата изглеждат много по-подредени, а не нахвърляни.

И само да ти кажа - има атаки, които не можеш да спреш с iptables. За тях се изисква хардуерна защита, която наистина струва много пари.

Аватар
Smok3Pot
Извън линия
Потребител
Потребител
Мнения: 255
Регистриран на: 08 Фев 2018, 23:52
Се отблагодари: 8 пъти
Получена благодарност: 11 пъти

[Уроци] Nginx (Anti DDoS) и други уроци

Мнение от Smok3Pot » 21 Ное 2019, 10:47

terrorsecurity.tech написа:
21 Ное 2019, 10:35
Познавам те от години, нали се досети кой съм? :)
Радвам се, че все още се занимаваш с тези неща, както и аз.
То твоето дори не са грешки, а неща за начинаещи, както спомена, просто нещата изглеждат много по-подредени, а не нахвърляни.

И само да ти кажа - има атаки, които не можеш да спреш с iptables. За тях се изисква хардуерна защита, която наистина струва много пари.
Много пари, е колко да е много, преувеличаваш. Всичко зависи до какъв проект управляваш и на колко си готов да го защитиш. :think:

Аватар
V.A.L.V.E
Извън линия
Потребител
Потребител
Мнения: 362
Регистриран на: 18 Дек 2016, 22:48
Се отблагодари: 65 пъти
Получена благодарност: 53 пъти
Обратна връзка:

[Уроци] Nginx (Anti DDoS) и други уроци

Мнение от V.A.L.V.E » 21 Ное 2019, 11:17

Smok3Pot написа:
21 Ное 2019, 10:47
terrorsecurity.tech написа:
21 Ное 2019, 10:35
Познавам те от години, нали се досети кой съм? :)
Радвам се, че все още се занимаваш с тези неща, както и аз.
То твоето дори не са грешки, а неща за начинаещи, както спомена, просто нещата изглеждат много по-подредени, а не нахвърляни.

И само да ти кажа - има атаки, които не можеш да спреш с iptables. За тях се изисква хардуерна защита, която наистина струва много пари.
Много пари, е колко да е много, преувеличаваш. Всичко зависи до какъв проект управляваш и на колко си готов да го защитиш. :think:
За 1500лв. си купуваш хардуерен Firewall, който ти дава защита до 720GBPS.
За 4000лв. обаче става интересно, получаваш Firewall с над 1.5TBPS защита подобна на Voxility.
Ако наистина проекта е голям и си заслужава, това са добри оферти. :clap:

https://carrier.huawei.com/~/media/CNBG ... asheet.pdf

Аватар
terrorsecurity.tech
Извън линия
VIP
VIP
Мнения: 126
Регистриран на: 15 Фев 2017, 21:53
Получена благодарност: 9 пъти

[Уроци] Nginx (Anti DDoS) и други уроци

Мнение от terrorsecurity.tech » 22 Ное 2019, 01:24

V.A.L.V.E написа:
21 Ное 2019, 11:17
Smok3Pot написа:
21 Ное 2019, 10:47
terrorsecurity.tech написа:
21 Ное 2019, 10:35
Познавам те от години, нали се досети кой съм? :)
Радвам се, че все още се занимаваш с тези неща, както и аз.
То твоето дори не са грешки, а неща за начинаещи, както спомена, просто нещата изглеждат много по-подредени, а не нахвърляни.

И само да ти кажа - има атаки, които не можеш да спреш с iptables. За тях се изисква хардуерна защита, която наистина струва много пари.
Много пари, е колко да е много, преувеличаваш. Всичко зависи до какъв проект управляваш и на колко си готов да го защитиш. :think:
За 1500лв. си купуваш хардуерен Firewall, който ти дава защита до 720GBPS.
За 4000лв. обаче става интересно, получаваш Firewall с над 1.5TBPS защита подобна на Voxility.
Ако наистина проекта е голям и си заслужава, това са добри оферти. :clap:

https://carrier.huawei.com/~/media/CNBG ... asheet.pdf
Утре на обяд ми пиши на личен чат или в скайп (ще ти го дам). Ще ти покажа едни други трикове с nginx.

Ще останеш очарован.

Аватар
V.A.L.V.E
Извън линия
Потребител
Потребител
Мнения: 362
Регистриран на: 18 Дек 2016, 22:48
Се отблагодари: 65 пъти
Получена благодарност: 53 пъти
Обратна връзка:

[Уроци] Nginx,Apache (Anti DDoS) и други уроци

Мнение от V.A.L.V.E » 29 Юни 2020, 19:12

Урок #12
Ръководство за закаляване и сигурност на уеб сървъра Apache

Уеб сървърът е важна част от уеб-базирани приложения. Apache Web Server често се поставя на ръба на мрежата, поради което става една от най-уязвимите услуги за атака.

Настройката по подразбиране предоставя много чувствителна информация, която може да помогне на хакера да се подготви за атака на приложенията. По-голямата част от атаките на уеб приложения са чрез XSS, изтичане на информация, управление на сесии и SQL инжектиране, които се дължат на слаб код за програмиране.
 ! Съобщение от: V.A.L.V.E
Защитата е тествана на Apache 2.4.x версия.
1.Премахване на банера на сървърната версия

Конфигурацията по подразбиране ще разкрие версията на Apache и типа на ОС, както е показано по-долу.
Изображение

Отидете във папка /etc/apache2
Отворете файла httpd.conf с текстов редактор примерно Notepad++
Добавете следната директива и запазете httpd.conf
ServerTokens Prod ServerSignature Off

Рестартирайте апачето с команда service apache2 restart

ServerSignature - ще премахне информацията за версията от страницата, генерирана от Apache.
ServerTokens - ще промени хедъра

Както можете да видите по-долу, информация за версията и ОС няма.
Изображение

2. Деактивиране на списъка с браузъри на директории

Деактивирайте списъка с директории в браузъра, така че посетителят да не вижда какви файлове и папки имате.

Нека да тестваме как изглежда в настройките по подразбиране.
Отидете в папка /var/www/html

Създайте папка и няколко файла вътре в нея
mkdir test
touch hi
touch hello

Сега, нека се опитаме да осъществим достъп до Apache като отворим нашият сайт пример: moqtsait.com/test/
Изображение
Както можете да видите, това разкрива какви файлове / папки имате и съм сигурен, че не искате да се виждат.

Отидете във папка /etc/apache2
Отворете файла httpd.conf с текстов редактор примерно Notepad++
Потърсете за <Directory и променете от Options -Indexes на Options none
 ! Съобщение от: V.A.L.V.E
Рестартирайте апаче сървъра
3. Etag
Тези тагове позволяват на хакера който ви атакува да събере достатъчно информация примерно inodes (брой файлове) и други чрез Etag.
За да предотвратите тази уязвимост, нека я приложим по-долу. Това е необходимо за коригиране на PCI.

Отидете във папка /etc/apache2
Отворете файла httpd.conf с текстов редактор примерно Notepad++
Добавете следната директива и запазете httpd.conf
FileETag None
 ! Съобщение от: V.A.L.V.E
Рестартирайте апаче сървъра

4. Защита на системните настройки
По подразбиране, всеки потребител може да промени настройките на апаче сървъра за опреден сайт посредством .htaccess
Ако искате да спрете потребителите да променят настройките на вашия сървър на апаш, можете да добавите AllowOverride в None, както е показано по-долу.

<Directory /> Options -Indexes AllowOverride None </Directory>
 ! Съобщение от: V.A.L.V.E
Рестартирайте апаче сървъра
5. Методи за заявка на HTTP
HTTP 1.1 протоколът поддържа много методи за заявка, които може да не се изискват и някои от тях имат потенциален риск.

Обикновено може да се наложи GET, HEAD, POST методи за заявка в уеб приложение, които могат да бъдат конфигурирани в съответната директива за директория.

Отидете във папка /etc/apache2
Отворете файла httpd.conf с текстов редактор примерно Notepad++
Намерете <Directory /> и добавете:
<LimitExcept GET POST HEAD> deny from all </LimitExcept>
 ! Съобщение от: V.A.L.V.E
Рестартирайте апаче сървъра
6. Деактивирайте HTTP заявка за проследяване
По подразбиране методът Trace е активиран в уеб сървъра Apache.

Разрешаването на това може да позволи атака с кръстосано проследяване и потенциално да се даде възможност на хакер да открадне информация за бисквитките.
Отидете във папка /etc/apache2
Отворете файла httpd.conf с текстов редактор примерно Notepad++
Добавете директивата:
TraceEnable off
 ! Съобщение от: V.A.L.V.E
Рестартирайте апаче сървъра
7. Задаване на бисквитките да работят само с с Http и Secure flag
Можете да смекчите по-голямата част от обичайната атака от скриптове.

Уверете се, че mod_headers.so е активиран във вашия httpd.conf
Отидете във папка /etc/apache2
Отворете файла httpd.conf с текстов редактор примерно Notepad++
Добавете следната директива и запазете httpd.conf
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
 ! Съобщение от: V.A.L.V.E
Рестартирайте апаче сървъра
8. Clickjacking Attack
Clickjacking е добре известни уязвимости на уеб приложенията.
Уверете се, че mod_headers.so е активиран във вашия httpd.conf
Отидете във папка /etc/apache2
Отворете файла httpd.conf с текстов редактор примерно Notepad++
Добавете следната директива и запазете httpd.conf
Header always append X-Frame-Options SAMEORIGIN
 ! Съобщение от: V.A.L.V.E
Рестартирайте апаче сървъра
Изображение

9. X-XSS Protection
Какво е XSS?
XSS е съкращение от Cross Site Scripting. Не се ползва CSS, защото CSS вече е запазено от Cascading Style Sheets. XSS е втората по разпространение в интернет атака след MySQL Injection. Застрашени са всички сайтове, които визуализират информация въведена от потребител на сайта.
Отидете във папка /etc/apache2
Отворете файла httpd.conf с текстов редактор примерно Notepad++
Добавете следната директива и запазете httpd.conf
Header set X-XSS-Protection "1; mode=block"
 ! Съобщение от: V.A.L.V.E
Рестартирайте апаче сървъра
Както можете да видите, XSS-Protection е активиран
Изображение

10.Конфигурация на стойността на изчакване (Timeout)
По подразбиране стойността на времето за изчакване на Apache е 300 секунди, което може да стане жертва на бавна атака Loris и DDos. За да смекчите това, можете да намалите стойността на времето за изчакване до може би 60 секунди.
Отидете във папка /etc/apache2
Отворете файла httpd.conf с текстов редактор примерно Notepad++
Добавете следният ред:
Timeout 60
 ! Съобщение от: V.A.L.V.E
Рестартирайте апаче сървъра
Автор: Chandan Kumar
Превод и редакция: @V.A.L.V.E
Изображение
Ако смятате, че съм свършил добра работа, моля, дарете малка сума. Благодаря!
Кликни тук

Публикувай отговор
  • Подобни теми
    Отговори
    Преглеждания
     Последно мнение

Обратно към “Уроци”

Кой е на линия

Потребители разглеждащи този форум: 0 регистрирани и 1 гост