07-25-2013, 08:07 PM
cuma mau share beberapa trik oldschool dari buku catetan ane. tentang hardening web server apache.
yang ternyata apache web server bisa di amankan dari berbagai serangan seperti DoS(Denial of Service) walaupun tidak secara full, akan tetapi trik pertahanan ini cukup ampuh untuk mengantisipasi serangan "low bandwidth http DoS" dimana DoS dilancarkan dengan bandwidth yang tidak banyak namun mampu mematikan service apache.
dan juga mampu mengamankan dari beberapa teknik penyerangan pada web applikasi seperti SQLi, XSS (cross site scripting). trik ini menggunakan cara yang cukup praktis dengan menggunakan mod_security. yang bertujuan sebagai modul tambahan bagi apache untuk meningkatkan keamanan tentunya dan melindungi dari beberapa serangan.
coba deh klik thanks dulu :v
[hide]
mod security bisa di download di http://modsecurity.org/ ,alangkah baiknya bila anda sudah menggunakan modul ini gunakan lah secara up-to date.
cara install & konfigurasinya pun cukup mudah.
disini ane menggunakan linux distro redhat, fedora & centos juga bisa.
bila di munculkan dengan beberapa konfirmasi tekan saja 'y'
selanjut nya yaitu melakukan sedikit konfigurasi pada file mod_security.conf yg ada di direktori '/etc/httpd/conf.d/mod_security.conf' gunakan editor kesayangan anda. ane menggunakan vi.
konfigurasi default tanpa di ubah juga sudah mantap sih, tapi kalo mau di ubah tinggal ketikkan seperti diatas dengan menggunakan vi lalu bisa dengan mematikan atau juga mengaktifkan dengan memberi atau menghapus tanda '#'. oiya bila mau mengaktifkan atau mematikan harus yg ada di dalam baris antara
disini yg ane rubah hanya penempatan log nya saja. penempatan log ane letakkan di /var/log/httpd/ biar nge log ke direktori default nya saja.
untuk mengaktifkannya
setelah itu, hardening lagi apache nya pada file konfigurasi httpd.conf . yg berada pada direktori '/etc/httpd/conf/httpd.conf' . jika tidak ditemukan file httpd.conf bisa anda cari dengan menggunakan locate. dan beberapa yg harus di hardening adalah.
berguna agar tidak tampil daftar direktori di server.
gunakan alamat email yg asli milik anda/milik sysadmin
gunakan server standalone di webserver anda
kemudian batasi aja permintaan tiap proses nya. insyaALLAH bakal mencegah dari DoS(Denial of Service) akibat request yg terus terusan. batasi client yg di proses untuk satu waktu
lalu waktu time out, sebetulnya harus sesuai sama kemampuan hardware.
jangan pernah pamerin versi apache
keep alive penentu waktu koneksi yg terhubung ke server
lalu pake .htaccess
[/hide]
thanks buat semua yg selalu support gw depan belakang.
there isn't life always above
thanks buat juni yg ngasih tau kode hide nya =))
visit http://koecroet.wordpress.com
yang ternyata apache web server bisa di amankan dari berbagai serangan seperti DoS(Denial of Service) walaupun tidak secara full, akan tetapi trik pertahanan ini cukup ampuh untuk mengantisipasi serangan "low bandwidth http DoS" dimana DoS dilancarkan dengan bandwidth yang tidak banyak namun mampu mematikan service apache.
dan juga mampu mengamankan dari beberapa teknik penyerangan pada web applikasi seperti SQLi, XSS (cross site scripting). trik ini menggunakan cara yang cukup praktis dengan menggunakan mod_security. yang bertujuan sebagai modul tambahan bagi apache untuk meningkatkan keamanan tentunya dan melindungi dari beberapa serangan.
coba deh klik thanks dulu :v
[hide]
mod security bisa di download di http://modsecurity.org/ ,alangkah baiknya bila anda sudah menggunakan modul ini gunakan lah secara up-to date.
cara install & konfigurasinya pun cukup mudah.
disini ane menggunakan linux distro redhat, fedora & centos juga bisa.
Code:
# yum install mod_security
bila di munculkan dengan beberapa konfirmasi tekan saja 'y'
selanjut nya yaitu melakukan sedikit konfigurasi pada file mod_security.conf yg ada di direktori '/etc/httpd/conf.d/mod_security.conf' gunakan editor kesayangan anda. ane menggunakan vi.
Code:
# vi /etc/httpd/conf.d/mod_security.conf
konfigurasi default tanpa di ubah juga sudah mantap sih, tapi kalo mau di ubah tinggal ketikkan seperti diatas dengan menggunakan vi lalu bisa dengan mematikan atau juga mengaktifkan dengan memberi atau menghapus tanda '#'. oiya bila mau mengaktifkan atau mematikan harus yg ada di dalam baris antara
Quote:<IfModule mod_security.c> </IfModule>.
disini yg ane rubah hanya penempatan log nya saja. penempatan log ane letakkan di /var/log/httpd/ biar nge log ke direktori default nya saja.
untuk mengaktifkannya
Code:
# /etc/init.d/httpd restart
setelah itu, hardening lagi apache nya pada file konfigurasi httpd.conf . yg berada pada direktori '/etc/httpd/conf/httpd.conf' . jika tidak ditemukan file httpd.conf bisa anda cari dengan menggunakan locate. dan beberapa yg harus di hardening adalah.
Code:
Indexing no
Quote:User & Group apachejangan gunakan root sebagai yang menjalankan apache. alangkah baiknya anda membuat user husus.
Quote:ServerAdmin [email protected]
gunakan alamat email yg asli milik anda/milik sysadmin
Quote:ServerType standalone
gunakan server standalone di webserver anda
kemudian batasi aja permintaan tiap proses nya. insyaALLAH bakal mencegah dari DoS(Denial of Service) akibat request yg terus terusan. batasi client yg di proses untuk satu waktu
Code:
MinSpareServers 5
Max SpareServers 10
StartServers 5
MaxClients 150
MaxRequestsPerChild 30
lalu waktu time out, sebetulnya harus sesuai sama kemampuan hardware.
Code:
Timeout 300
jangan pernah pamerin versi apache
Code:
ServerSignature off
keep alive penentu waktu koneksi yg terhubung ke server
Code:
Keepalive (http 1.1) on
MaxKeepAliveRequests 100
KeepAliveTimeout 15
Code:
AllowOverride none
thanks buat semua yg selalu support gw depan belakang.
there isn't life always above
thanks buat juni yg ngasih tau kode hide nya =))
visit http://koecroet.wordpress.com
[shcode=This_site_xss-ed]