HSTS (HTTP Strict Transport Security) – это механизм веб-безопасности, который помогает защитить веб-сайты от атак типа «man-in-the-middle» (MITM). Он заставляет браузеры подключаться к сайту только через HTTPS, даже если пользователь ввел HTTP в адресной строке или перешел по HTTP-ссылке. В этой статье мы рассмотрим, как настроить HSTS для ваших веб-сайтов, размещенных на сервере Proxmox.

Что такое HSTS и зачем он нужен?

Представьте ситуацию: злоумышленник перехватывает ваш трафик и перенаправляет вас на поддельную версию сайта, выглядящую идентично оригиналу. Он может украсть ваши логины, пароли и другую конфиденциальную информацию. HSTS предотвращает это, сообщая браузеру, что он должен всегда использовать HTTPS для подключения к вашему сайту. Если браузер получил заголовок HSTS, он больше не будет устанавливать небезопасное HTTP-соединение, даже если пользователь попытается это сделать.

Преимущества использования HSTS:

• Повышенная безопасность: Защита от атак MITM и cookie hijacking.
• Улучшение производительности: Устранение необходимости перенаправления с HTTP на HTTPS, что экономит время.
• Соответствие стандартам безопасности: HSTS является рекомендуемой практикой для обеспечения безопасности веб-сайтов.

Настройка HSTS на Proxmox

Proxmox сам по себе не управляет HSTS напрямую. HSTS настраивается на уровне веб-сервера (например, Apache или Nginx), который работает внутри виртуальной машины (VM) или контейнера LXC, управляемого Proxmox. В этой статье мы рассмотрим настройку HSTS для Apache и Nginx.

Настройка HSTS для Apache

1. Подключитесь к вашей виртуальной машине (VM) или контейнеру LXC через SSH.
2. Отредактируйте файл конфигурации вашего виртуального хоста. Обычно он находится в каталоге /etc/apache2/sites-available/. Например, /etc/apache2/sites-available/yourdomain.com.conf.
3. Добавьте директиву Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" в блок . Разберем эту директиву:
   • max-age=31536000: Указывает, как долго браузер должен помнить о необходимости использовать HTTPS (в секундах). 31536000 секунд – это один год.
   • includeSubDomains: Применяет HSTS ко всем поддоменам вашего сайта.
   • preload: Позволяет добавить ваш сайт в список предварительной загрузки HSTS, который встроен в большинство современных браузеров. Это обеспечивает защиту даже при первом посещении сайта.
4. Сохраните файл конфигурации.
5. Перезапустите Apache: sudo systemctl restart apache2

Пример конфигурации Apache:

<VirtualHost *:443>
 ServerName yourdomain.com
 DocumentRoot /var/www/yourdomain.com

 # ... другие настройки ...

 Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

</VirtualHost>

Настройка HSTS для Nginx

1. Подключитесь к вашей виртуальной машине (VM) или контейнеру LXC через SSH.
2. Отредактируйте файл конфигурации вашего сайта. Обычно он находится в каталоге /etc/nginx/sites-available/. Например, /etc/nginx/sites-available/yourdomain.com.
3. Добавьте директиву add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" в блок server { ... }, который обрабатывает HTTPS-трафик.
4. Сохраните файл конфигурации.
5. Перезапустите Nginx: sudo systemctl restart nginx

Пример конфигурации Nginx:

server {
 listen 443 ssl;
 server_name yourdomain.com;

 # ... другие настройки ...

 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
}

Проверка настройки HSTS

После настройки HSTS важно убедиться, что она работает правильно. Вы можете использовать следующие инструменты:

• Онлайн-инструменты: Например, SecurityHeaders.com. Введите адрес вашего сайта и проверьте, отображается ли заголовок HSTS.
• Инструменты разработчика в браузере: Откройте инструменты разработчика (обычно нажатием клавиши F12) и перейдите на вкладку «Network». Обновите страницу и проверьте заголовки ответа. Вы должны увидеть заголовок Strict-Transport-Security.

Предварительная загрузка HSTS (HSTS Preload)

Добавление вашего сайта в список предварительной загрузки HSTS – это самый надежный способ защиты от атак MITM. Браузеры, поддерживающие предварительную загрузку HSTS, будут автоматически подключаться к вашему сайту через HTTPS, даже если пользователь введет HTTP в адресной строке или перейдет по HTTP-ссылке.

Чтобы добавить ваш сайт в список предварительной загрузки HSTS, вам необходимо:

1. Убедиться, что ваш сайт правильно настроен для HSTS (включая includeSubDomains и preload).
2. Зарегистрировать ваш сайт на сайте hstspreload.org.

Настройка HSTS – это важный шаг для повышения безопасности вашего веб-сайта. С помощью Proxmox и веб-сервера (Apache или Nginx) вы можете легко настроить HSTS и защитить своих пользователей от атак MITM. Не забудьте проверить настройку HSTS и рассмотреть возможность добавления вашего сайта в список предварительной загрузки HSTS для максимальной защиты.