Apache Virtual Host: Sicherheit hinzufügen

Um die Sicherheit beim Einrichten eines Reverse-Proxys mit Apache zu gewährleisten, können Sie mehrere Best Practices implementieren, z. B. die Aktivierung von HTTPS mit SSL/TLS, Anpassen von Sicherheitsheadern, Konfigurieren der Firewall und Sichern des Zugriffs auf das Backend. Nachfolgend finden Sie eine detaillierte Implementierung für Sie, um eine sicherere Umgebung zu gewährleisten.

Aktivieren Sie HTTPS mit SSL/TLS

Die Verwendung von HTTPS ist zum Schutz der Daten zwischen dem Client und dem Server unerlässlich. Dazu konfigurieren wir ein SSL-Zertifikat in Apache.

1.Certbot- und Apache-SSL-Module installieren

Wenn Sie die SSL-Module noch nicht installiert haben, installieren Sie sie:

sudo apt install certbot python3-certbot-apache
sudo a2enmod ssl

2.Besorgen Sie sich ein SSL-Zertifikat (Let's Encrypt)

Wenn Ihre Domain bereits auf den Server verweist, können Sie mit Certbot ein kostenloses SSL-Zertifikat von Let's Encrypt erhalten. Führen Sie den folgenden Befehl aus:

sudo certbot --apache -d php.info

• Wenn die Domain öffentlich ist, ersetzen Sie php.info durch Ihre tatsächliche Domain.

• Certbot konfiguriert automatisch SSL auf Ihrem virtuellen Host und leitet den HTTP-Verkehr zu HTTPS um.

3.Überprüfen und passen Sie das SSL des virtuellen Hosts an

Nach der Konfiguration erstellt oder ändert Certbot die SSL-Konfigurationsdatei für den virtuellen Host. Überprüfen Sie, ob alles korrekt ist:

sudo your_editor /etc/apache2/sites-available/php-le-ssl.conf

Es sollte ungefähr so ​​aussehen:

<IfModule mod_ssl.c>
    <VirtualHost *:443>
        ServerAdmin webmaster@localhost
        ServerName php.info
        DocumentRoot /var/www/html/php

        # Reverse Proxy Configuration for HTTPS
        ProxyPreserveHost On
        ProxyPass / http://localhost:8080/
        ProxyPassReverse / http://localhost:8080/

        <Directory /var/www/html/php/>
            AllowOverride All
            Require all granted
        </Directory>

        ErrorLog ${APACHE_LOG_DIR}/php_error.log
        CustomLog ${APACHE_LOG_DIR}/php_access.log combined

        SSLEngine on
        SSLCertificateFile /etc/letsencrypt/live/php.info/fullchain.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/php.info/privkey.pem
        Include /etc/letsencrypt/options-ssl-apache.conf
    </VirtualHost>
</IfModule>

Leiten Sie HTTP zu HTTPS um

Sie können sicherstellen, dass der gesamte HTTP-Verkehr auf HTTPS umgeleitet wird. Fügen Sie in Ihrem virtuellen HTTP-Host (/etc/apache2/sites-available/php.conf) Folgendes hinzu:

<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    ServerName php.info
    Redirect permanent / https://php.info/
</VirtualHost>

Dadurch wird sichergestellt, dass alle HTTP-Anfragen an die sichere (HTTPS)-Version der Website umgeleitet werden.

Sicherheitsheader

Fügen Sie die folgenden Sicherheitsheader zu Ihrer SSL Virtual Host-Konfigurationsdatei hinzu, um einige häufige Schwachstellen wie Clickjacking und Cross-Site Scripting (XSS) zu verringern:

<IfModule mod_headers.c>
    Header always set X-Content-Type-Options "nosniff"
    Header always set X-Frame-Options "SAMEORIGIN"
    Header always set X-XSS-Protection "1; mode=block"
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
    Header always set Content-Security-Policy "default-src 'self';"
</IfModule>

• X-Content-Type-Options: Verhindert, dass der Browser versucht, den Inhaltstyp zu erraten, und schwächt so MIME-Sniffing-Angriffe ab.
• X-Frame-Optionen: Verhindert die Nutzung der Website in Iframes und schützt so vor Clickjacking.
• X-XSS-Schutz: Ermöglicht den Schutz vor XSS-Angriffen in Browsern.
• Strict-Transport-Security: Zwingt den Browser, immer HTTPS zu verwenden.
• Content-Security-Policy: Definiert Richtlinien zum Laden von Inhalten, um Angriffe wie XSS zu verhindern.

Sicherung des Backends

Sie müssen sicherstellen, dass der Backend-Dienst, beispielsweise ein PHP-Server oder ein anderer Dienst, nicht direkt für die Öffentlichkeit zugänglich ist. Dies kann erreicht werden, indem der Zugriff auf das Backend nur auf den Proxy beschränkt wird.

Konfigurieren Sie die Firewall (UFW unter Ubuntu):

Erlauben Sie zunächst nur HTTP- (Port 80) und HTTPS- (Port 443) Datenverkehr zum Server.

sudo ufw allow 'Apache Full'
sudo ufw enable

Blockieren Sie jetzt jeglichen direkten Datenverkehr zu Port 8080 (dem Backend), mit Ausnahme von Apache:

sudo ufw deny 8080

Überwachung und Protokolle

Behalten Sie die Zugriffs- und Fehlerprotokolle im Auge, um verdächtiges Verhalten zu erkennen:

• Auf Fehlerprotokolle zugreifen:

tail -f /var/log/apache2/php_error.log

• Zugriffsprotokolle:

tail -f /var/log/apache2/php_access.log

Sie können auch ein Überwachungstool wie Fail2Ban verwenden, um IP-Adressen automatisch zu blockieren, die zu viele fehlgeschlagene Anmeldeversuche oder andere verdächtige Aktivitäten durchführen.

Regelmäßige Updates

Um sicherzustellen, dass Sie vor bekannten Schwachstellen geschützt sind, müssen Sie Ihr Betriebssystem, Apache und Certbot auf dem neuesten Stand halten.

sudo apt update && sudo apt upgrade

Wenn Sie diese Schritte befolgen, erhalten Sie eine sichere Reverse-Proxy-Umgebung mit HTTPS und grundlegendem Schutz gegen häufige Angriffe. Diese Einstellungen umfassen die Transportsicherheit (SSL/TLS), die Abwehr von Angriffen über HTTP-Header und den Schutz des Backends vor externen Zugriffen.

Das obige ist der detaillierte Inhalt vonApache Virtual Host: Sicherheit hinzufügen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!