beberapa trik web server hardening
#1
cuma mau share beberapa trik oldschool dari buku catetan ane. tentang hardening web server apache.

yang ternyata apache web server bisa di amankan dari berbagai serangan seperti DoS(Denial of Service) walaupun tidak secara full, akan tetapi trik pertahanan ini cukup ampuh untuk mengantisipasi serangan "low bandwidth http DoS" dimana DoS dilancarkan dengan bandwidth yang tidak banyak namun mampu mematikan service apache.

dan juga mampu mengamankan dari beberapa teknik penyerangan pada web applikasi seperti SQLi, XSS (cross site scripting). trik ini menggunakan cara yang cukup praktis dengan menggunakan mod_security. yang bertujuan sebagai modul tambahan bagi apache untuk meningkatkan keamanan tentunya dan melindungi dari beberapa serangan.

coba deh klik thanks dulu :v
[hide]
mod security bisa di download di http://modsecurity.org/ ,alangkah baiknya bila anda sudah menggunakan modul ini gunakan lah secara up-to date.

cara install & konfigurasinya pun cukup mudah.
disini ane menggunakan linux distro redhat, fedora & centos juga bisa.

Code:
# yum install mod_security

bila di munculkan dengan beberapa konfirmasi tekan saja 'y'

selanjut nya yaitu melakukan sedikit konfigurasi pada file mod_security.conf yg ada di direktori '/etc/httpd/conf.d/mod_security.conf' gunakan editor kesayangan anda. ane menggunakan vi.
Code:
# vi /etc/httpd/conf.d/mod_security.conf

konfigurasi default tanpa di ubah juga sudah mantap sih, tapi kalo mau di ubah tinggal ketikkan seperti diatas dengan menggunakan vi lalu bisa dengan mematikan atau juga mengaktifkan dengan memberi atau menghapus tanda '#'. oiya bila mau mengaktifkan atau mematikan harus yg ada di dalam baris antara
Quote:<IfModule mod_security.c> </IfModule>.

disini yg ane rubah hanya penempatan log nya saja. penempatan log ane letakkan di /var/log/httpd/ biar nge log ke direktori default nya saja.

untuk mengaktifkannya

Code:
# /etc/init.d/httpd restart

setelah itu, hardening lagi apache nya pada file konfigurasi httpd.conf . yg berada pada direktori '/etc/httpd/conf/httpd.conf' . jika tidak ditemukan file httpd.conf bisa anda cari dengan menggunakan locate. dan beberapa yg harus di hardening adalah.

Code:
Indexing          no
berguna agar tidak tampil daftar direktori di server.

Quote:User & Group apache
jangan gunakan root sebagai yang menjalankan apache. alangkah baiknya anda membuat user husus.

Quote:ServerAdmin [email protected]

gunakan alamat email yg asli milik anda/milik sysadmin

Quote:ServerType standalone

gunakan server standalone di webserver anda

kemudian batasi aja permintaan tiap proses nya. insyaALLAH bakal mencegah dari DoS(Denial of Service) akibat request yg terus terusan. batasi client yg di proses untuk satu waktu

Code:
MinSpareServers          5
Max SpareServers        10
StartServers                 5
MaxClients                  150
MaxRequestsPerChild  30

lalu waktu time out, sebetulnya harus sesuai sama kemampuan hardware.

Code:
Timeout                        300

jangan pernah pamerin versi apache

Code:
ServerSignature              off

keep alive penentu waktu koneksi yg terhubung ke server

Code:
Keepalive (http 1.1)        on
MaxKeepAliveRequests  100
KeepAliveTimeout            15
lalu pake .htaccess

Code:
AllowOverride                none
[/hide]
thanks buat semua yg selalu support gw depan belakang.
there isn't life always above
thanks buat juni yg ngasih tau kode hide nya =))
visit http://koecroet.wordpress.com
[shcode=This_site_xss-ed]

#2
=)) gua baca via edit post aja ah Big Grin =))

#3
kampret hha
[shcode=This_site_xss-ed]

#4
mantep bro, izin belajar ya << ngikutin reply nya om koecroet Tongue

#5
nice share om koecroet ... Big Grin

#6
mod_security ya, nanti ane sambung lagi ni threads, penambah biar mod_security lebih powerfull

#7
izin menikmati om Big Grin , asyik kayaknya nih
saya tunggu om juni Big Grin
Calon manusia sukses tidak akan pernah mengeluh, tapi akan sibuk memperbaiki diri dari semua kesalahan yang pernah dibuatnya
My Facebook
My Twitter

#8
:v ,, okeh siap main haderning, wkwkwkw nice share si kuncrut ,,, :v
Nothing Impossible | Learn, Understand, Share | We Are Staff of Expert Zone Technology

#9
sedikit ane kasih tag code sama quote bro, klo ga berkenan bisa dihapus lagi Big Grin
btw +1 dari ane Smile

dari website modsecurity sendiri sebenarnya ga ada binary file utk instalasi tetapi hampir semua distro linux/unix besar punya masing2, lebih jelasnya lihat disini:
https://modsecurity.org/download/

sama seperti IPS/IDS untuk network, modsecurity juga ada bbrp false positive (salah tebak serangan) atau kurang konfigurasi. dari OWASP (The Open Web Application Security Project) sendiri ada salah satu project mereka yang memberikan konfigurasi rule standar yang cukup bagus, bisa dilihat disini:
http://spiderlabs.github.io/owasp-modsecurity-crs/
tinggal download saja trus masukkan ke tempat folder modsecurity diinstall.

ada satu lagi yg cukup menarik bagi para malware researcher, menggunakan salah satu fitur modsecurity untuk mengirimkan hasil log serangan kepada Project Honeypot. tinggal masukkan code berikut ke dalam index.php
Code:
SecContentInjection On
SecStreamOutBodyInspection On

SecRule RESPONSE_CONTENT_TYPE "@contains text/html" "chain,id:'999001',phase:4,t:none,nolog,pass"
  SecRule STREAM_OUTPUT_BODY "@rsub s/<\/html>/<a href=\"http:\/\/www.yoursite.org\/cgi-bin\/somefile.cgi\"><\/a><\/html>/"
untuk lebih jelasnya bisa dilihat disini:
http://blog.spiderlabs.com/2012/12/setti...ation.html

semoga bermanfaat,
iKONs






Users browsing this thread: 1 Guest(s)