beberapa trik web server hardening - Printable Version +- Indonesian Back|Track Team (https://www.indonesianbacktrack.or.id/forum) +-- Forum: Defensive Zone (https://www.indonesianbacktrack.or.id/forum/forum-173.html) +--- Forum: Hardening (https://www.indonesianbacktrack.or.id/forum/forum-189.html) +--- Thread: beberapa trik web server hardening (/thread-4832.html) |
beberapa trik web server hardening - koecroet - 07-25-2013 cuma mau share beberapa trik oldschool dari buku catetan ane. tentang hardening web server apache. yang ternyata apache web server bisa di amankan dari berbagai serangan seperti DoS(Denial of Service) walaupun tidak secara full, akan tetapi trik pertahanan ini cukup ampuh untuk mengantisipasi serangan "low bandwidth http DoS" dimana DoS dilancarkan dengan bandwidth yang tidak banyak namun mampu mematikan service apache. dan juga mampu mengamankan dari beberapa teknik penyerangan pada web applikasi seperti SQLi, XSS (cross site scripting). trik ini menggunakan cara yang cukup praktis dengan menggunakan mod_security. yang bertujuan sebagai modul tambahan bagi apache untuk meningkatkan keamanan tentunya dan melindungi dari beberapa serangan. coba deh klik thanks dulu :v [hide] mod security bisa di download di http://modsecurity.org/ ,alangkah baiknya bila anda sudah menggunakan modul ini gunakan lah secara up-to date. cara install & konfigurasinya pun cukup mudah. disini ane menggunakan linux distro redhat, fedora & centos juga bisa. Code: # yum install mod_security bila di munculkan dengan beberapa konfirmasi tekan saja 'y' selanjut nya yaitu melakukan sedikit konfigurasi pada file mod_security.conf yg ada di direktori '/etc/httpd/conf.d/mod_security.conf' gunakan editor kesayangan anda. ane menggunakan vi. Code: # vi /etc/httpd/conf.d/mod_security.conf konfigurasi default tanpa di ubah juga sudah mantap sih, tapi kalo mau di ubah tinggal ketikkan seperti diatas dengan menggunakan vi lalu bisa dengan mematikan atau juga mengaktifkan dengan memberi atau menghapus tanda '#'. oiya bila mau mengaktifkan atau mematikan harus yg ada di dalam baris antara Quote:<IfModule mod_security.c> </IfModule>. disini yg ane rubah hanya penempatan log nya saja. penempatan log ane letakkan di /var/log/httpd/ biar nge log ke direktori default nya saja. untuk mengaktifkannya Code: # /etc/init.d/httpd restart setelah itu, hardening lagi apache nya pada file konfigurasi httpd.conf . yg berada pada direktori '/etc/httpd/conf/httpd.conf' . jika tidak ditemukan file httpd.conf bisa anda cari dengan menggunakan locate. dan beberapa yg harus di hardening adalah. Code: Indexing no Quote:User & Group apachejangan gunakan root sebagai yang menjalankan apache. alangkah baiknya anda membuat user husus. Quote:ServerAdmin [email protected] gunakan alamat email yg asli milik anda/milik sysadmin Quote:ServerType standalone gunakan server standalone di webserver anda kemudian batasi aja permintaan tiap proses nya. insyaALLAH bakal mencegah dari DoS(Denial of Service) akibat request yg terus terusan. batasi client yg di proses untuk satu waktu Code: MinSpareServers 5 lalu waktu time out, sebetulnya harus sesuai sama kemampuan hardware. Code: Timeout 300 jangan pernah pamerin versi apache Code: ServerSignature off keep alive penentu waktu koneksi yg terhubung ke server Code: Keepalive (http 1.1) on Code: AllowOverride none thanks buat semua yg selalu support gw depan belakang. there isn't life always above thanks buat juni yg ngasih tau kode hide nya =)) visit http://koecroet.wordpress.com RE: beberapa trik web server hardening - Junior Riau - 07-25-2013 =)) gua baca via edit post aja ah =)) RE: beberapa trik web server hardening - koecroet - 07-25-2013 kampret hha RE: beberapa trik web server hardening - xnod_die - 07-25-2013 mantep bro, izin belajar ya << ngikutin reply nya om koecroet RE: beberapa trik web server hardening - abdilahrf - 07-25-2013 nice share om koecroet ... RE: beberapa trik web server hardening - Junior Riau - 07-25-2013 mod_security ya, nanti ane sambung lagi ni threads, penambah biar mod_security lebih powerfull RE: beberapa trik web server hardening - faizul amali - 07-26-2013 izin menikmati om , asyik kayaknya nih saya tunggu om juni RE: beberapa trik web server hardening - ino_ot - 07-26-2013 :v ,, okeh siap main haderning, wkwkwkw nice share si kuncrut ,,, :v RE: beberapa trik web server hardening - iKONspirasi - 07-27-2013 sedikit ane kasih tag code sama quote bro, klo ga berkenan bisa dihapus lagi btw +1 dari ane dari website modsecurity sendiri sebenarnya ga ada binary file utk instalasi tetapi hampir semua distro linux/unix besar punya masing2, lebih jelasnya lihat disini: https://modsecurity.org/download/ sama seperti IPS/IDS untuk network, modsecurity juga ada bbrp false positive (salah tebak serangan) atau kurang konfigurasi. dari OWASP (The Open Web Application Security Project) sendiri ada salah satu project mereka yang memberikan konfigurasi rule standar yang cukup bagus, bisa dilihat disini: http://spiderlabs.github.io/owasp-modsecurity-crs/ tinggal download saja trus masukkan ke tempat folder modsecurity diinstall. ada satu lagi yg cukup menarik bagi para malware researcher, menggunakan salah satu fitur modsecurity untuk mengirimkan hasil log serangan kepada Project Honeypot. tinggal masukkan code berikut ke dalam index.php Code: SecContentInjection On http://blog.spiderlabs.com/2012/12/setting-honeytraps-with-modsecurity-project-honeypot-integration.html semoga bermanfaat, iKONs |