Настройка Apache (GET, POST, PUT, CONNECT, OPTIONS)

Многие организации размещают свои представительства в сети Интернет. Часть использует виртуальные сервера, т.е. компьютеры, расположенные на каком-то удалении от самой организации, и все взаимодействие с сайтом происходит посредством сети Интернет, или физическими поездками с болванками к провайдеру. Физические сервера могут находиться непосредственно в помещении самой организации. Такие сервера имеют свой фиксированный ip-адрес.

Если сайт имеет динамически изменяющийся интерфейс, то на такой компьютер устанавливают веб-сервер. Например, Microsoft Internet Information Server, или Apache, или Jakarta Tomcat. Каждый из них имеет право на существование.

Остановлюсь на веб-сервере Apache. Его настройка не очень сложна, что способствует появлению многих дыр в безопасности тех веб-приложений, которые работают на этом веб-сервере.

Многие спаммеры сканируют сеть в поиске серверов, на которых не закрыты лишние возможности. Если сайт работает только со страницами и с формами, используя методы GET и POST, то НЕ НАДО разрешать на веб-сервере и другие методы, например PUT, CONNECT, SEARCH, OPTIONS, PROPFIND.

А запретить всё, кроме GET и PUT не сложно. В файле конфигурации

    Apache Group\Apache\conf\httpd.conf  

    DocumentRoot "путь к корневому каталогу вашего сайта"  

<Directory />   
Options -Indexes   
AllowOverride All   
Allow from all   
<Limit GET POST>    
Order allow,deny    
Allow from all   
</Limit>   
<LimitExcept GET POST>    
Order deny,allow    
Deny from all   
</LimitExcept>  
</Directory>  

Теперь, если через сутки посмотреть логи веб-сервера, то можно увидитеть различные вариации запретов, например CONNECT ip-адрес:25 - 403 - Forbidden.

Итак, в статье был рассмотрен простой способ повышения защиты веб-сервера Apache от несанкционированного использования.

Автор Шаров Евгений

По материалам сайта: http://www.gcmsite.ru/