From 0061a7d83e8201fb96fed7844df0a9f32b863595 Mon Sep 17 00:00:00 2001
From: Rocky Linux Automation
 <75949597+rockylinux-auto@users.noreply.github.com>
Date: Tue, 6 Jun 2023 11:05:16 -0400
Subject: [PATCH 1/5] New translations disa_stig_part2.md (Ukrainian)

---
 docs/books/disa_stig/disa_stig_part2.uk.md | 110 +++++++++++++++++++++
 1 file changed, 110 insertions(+)
 create mode 100644 docs/books/disa_stig/disa_stig_part2.uk.md

diff --git a/docs/books/disa_stig/disa_stig_part2.uk.md b/docs/books/disa_stig/disa_stig_part2.uk.md
new file mode 100644
index 0000000000..c09ab97c61
--- /dev/null
+++ b/docs/books/disa_stig/disa_stig_part2.uk.md
@@ -0,0 +1,110 @@
+---
+title: Перевірка сумісності DISA STIG із OpenSCAP – Частина 2
+author: Scott Shinn
+contributors: Steven Spencer
+tested with: 8.6
+tags:
+  - DISA
+  - STIG
+  - безпека
+  - enterprise
+---
+
+# Вступ
+
+У попередній статті ми налаштували нову систему Linux 8 із застосуванням DISA stig за допомогою [OpenSCAP](https://www.openscap.org). Тепер ми розглянемо, як перевірити систему за допомогою тих самих інструментів, і розглянемо, які типи звітів ми можемо створювати за допомогою інструментів oscap і аналога SCAP Workbench для інтерфейсу користувача.
+
+Rocky Linux 8 (і 9!) містить набір вмісту [SCAP](https://csrc.nist.gov/projects/security-content-automation-protocol) для тестування та виправлення відповідності проти різних стандартів. Якщо ви створили систему STIG’d у частині 1, ви вже бачили це в дії. Інсталятор anaconda використовував цей вміст, щоб змінити конфігурацію rocky 8 для впровадження різних елементів керування, встановлення/видалення пакетів і зміни способу роботи точок монтування рівня ОС.
+
+З часом ці речі можуть змінитися, і ви захочете стежити за цим. Часто я також використовую ці звіти, щоб показати доказ того, що певний контроль було реалізовано правильно. У будь-якому випадку, це запекло в Rocky. Ми почнемо з деяких основ.
+
+## Список профілів безпеки
+
+Щоб отримати список доступних профілів безпеки, нам потрібно використати команду `oscap info`, яку надає пакет `openscap-scanner`. Це має бути вже встановлено у вашій системі, якщо ви стежите за цим, починаючи з частини 1.  Щоб отримати доступні профілі безпеки:
+
+```
+oscap info /usr/share/xml/scap/ssg/content/ssg-rl8-ds.xml
+```
+
+!!! нотатка
+
+    Вміст Rocky Linux 8 використовуватиме тег «rl8» у назві файлу. У Rocky 9 це буде «rl9».
+
+Якщо все піде добре, ви повинні отримати екран, який виглядає приблизно так:
+
+![Профілі безпеки](images/disa_stig_pt2_img1.jpg)
+
+DISA — це лише один із багатьох профілів безпеки, які підтримуються визначеннями Rocky Linux SCAP. У нас також є профілі для:
+
+* [ANSSI](https://www.ssi.gouv.fr/en/)
+* [CIS](https://cisecurity.org)
+* [Australian Cyber Security Center](https://cyber.gov.au)
+* [NIST-800-171](https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final)
+* [HIPAA](https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html)
+* [PCI-DSS](https://www.pcisecuritystandards.org/)
+
+## Аудит відповідності DISA STIG
+
+Тут є два типи на вибір:
+
+* stig - без графічного інтерфейсу
+* stig_gui – з графічним інтерфейсом
+
+Запуск сканування та створення HTML-звіту для DISA STIG:
+
+```
+sudo oscap xccdf eval --report unit-test-disa-scan.html --profile stig /usr/share/xml/scap/ssg/content/ssg-rl8-ds.xml
+```
+
+Це призведе до такого звіту:
+
+![Результати сканування](images/disa_stig_pt2_img2.jpg)
+
+І виведе звіт HTML:
+
+![HTML звіт](images/disa_stig_pt2_img3.jpg)
+
+## Створення сценаріїв Bash для виправлення
+
+Далі ми згенеруємо сканування, а потім використаємо результати сканування для створення сценарію bash для відновлення системи на основі профілю stig DISA. Я не рекомендую використовувати автоматичне виправлення, вам слід завжди переглядати зміни перед їх фактичним запуском.
+
+1) Згенеруйте сканування системи:
+    ```
+    sudo oscap xccdf eval --results disa-stig-scan.xml --profile stig /usr/share/xml/scap/ssg/content/ssg-rl8-ds.xml
+    ```
+2) Використовуйте цей результат сканування, щоб створити сценарій:
+    ```
+    sudo oscap xccdf generate fix --output draft-disa-remediate.sh --profile stig disa-stig-scan.xml
+    ```
+
+Отриманий сценарій міститиме всі зміни, які він внесе в систему.
+
+!!! важливо
+
+    Перегляньте це, перш ніж запускати! Це внесе значні зміни в систему.
+
+![Зміст сценарію](images/disa_stig_pt2_img4.jpg)
+
+## Створення підручників щодо виправлення
+
+Ви також можете створити дії з виправлення у форматі ansible playbook. Давайте повторимо наведений вище розділ, але цього разу з виводом ansible:
+
+1) Згенеруйте сканування системи:
+    ```
+    sudo oscap xccdf eval --results disa-stig-scan.xml --profile stig /usr/share/xml/scap/ssg/content/ssg-rl8-ds.xml
+    ```
+2) Використовуйте цей результат сканування, щоб створити сценарій:
+    ```
+    sudo oscap xccdf generate fix --fix-type ansible --output draft-disa-remediate.yml --profile stig disa-stig-scan.xml
+    ```
+
+!!! важливо
+
+    Знову ж таки, перегляньте це перед запуском! Ви відчуваєте тут закономірність? Цей етап перевірки для всіх цих процедур дуже важливий!
+
+![Ansible Playbook](images/disa_stig_pt2_img5.jpg)
+
+## Про автора
+
+Скотт Шінн є технічним директором Atomicorp і є частиною команди Rocky Linux Security. Він брав участь у федеральних інформаційних системах Білий дім, Міністерство оборони та розвідки з 1995 року. Частково це було створення STIG і вимоги що ви використовуєте їх, і мені дуже шкода про це.
+

From 34ade21cf26042cd22b86ee82b02756f923c80fe Mon Sep 17 00:00:00 2001
From: Rocky Linux Automation
 <75949597+rockylinux-auto@users.noreply.github.com>
Date: Tue, 6 Jun 2023 13:10:40 -0400
Subject: [PATCH 2/5] New translations disa_stig_part1.md (Ukrainian)

---
 docs/books/disa_stig/disa_stig_part1.uk.md | 2 +-
 1 file changed, 1 insertion(+), 1 deletion(-)

diff --git a/docs/books/disa_stig/disa_stig_part1.uk.md b/docs/books/disa_stig/disa_stig_part1.uk.md
index 2d69bc002f..09816132c6 100644
--- a/docs/books/disa_stig/disa_stig_part1.uk.md
+++ b/docs/books/disa_stig/disa_stig_part1.uk.md
@@ -24,7 +24,7 @@ tags:
 
 У цьому посібнику ми розповімо, як застосувати [DISA STIG для RHEL8](https://www.stigviewer.com/stig/red_hat_enterprise_linux_8/) для нової інсталяції Rocky Linux 8. Оскільки серія складається з багатьох частин, ми також розповімо, як перевірити відповідність STIG, адаптувати параметри STIG і застосувати інший вміст STIG у цьому середовищі.
 
-Rocky Linux — це похідна від RHEL 8, і тому вміст, опублікований для DISA RHEL8 STIG, є однаковим для обох операційних систем.  Навіть краща новина: застосування параметрів STIG вбудовано в інсталятор Rocky Linux 8 anaconda в розділі «Профілі безпеки».  Під капотом усе це працює за допомогою інструменту під назвою [OpenSCAP](https://www.open-scap.org/), який дозволяє вам налаштувати систему на сумісність із DISA STIG (швидко!), а також перевірити відповідність системи після встановлення.
+Rocky Linux — це похідна від RHEL, і тому вміст, опублікований для DISA RHEL8 STIG, є однаковим для обох операційних систем.  Навіть краща новина: застосування параметрів STIG вбудовано в інсталятор Rocky Linux 8 anaconda в розділі «Профілі безпеки».  Під капотом усе це працює за допомогою інструменту під назвою [OpenSCAP](https://www.open-scap.org/), який дозволяє вам налаштувати систему на сумісність із DISA STIG (швидко!), а також перевірити відповідність системи після встановлення.
 
 Я буду робити це на віртуальній машині у своєму середовищі, але все тут буде застосовано точно так само на чистому залізі.
 

From 4969d3d20274b7322d57fa51fadb98b06838f78d Mon Sep 17 00:00:00 2001
From: Rocky Linux Automation
 <75949597+rockylinux-auto@users.noreply.github.com>
Date: Tue, 6 Jun 2023 13:11:15 -0400
Subject: [PATCH 3/5] New translations 14-special-authority.md (Ukrainian)

---
 docs/books/admin_guide/14-special-authority.uk.md | 2 +-
 1 file changed, 1 insertion(+), 1 deletion(-)

diff --git a/docs/books/admin_guide/14-special-authority.uk.md b/docs/books/admin_guide/14-special-authority.uk.md
index 3e824185b4..0d24c4f91e 100644
--- a/docs/books/admin_guide/14-special-authority.uk.md
+++ b/docs/books/admin_guide/14-special-authority.uk.md
@@ -142,7 +142,7 @@ Shell > setfacl <option> <FILE_NAME>
 | -k    | видалити ACL за замовчуванням                   |
 | -R    | повертатися до підкаталогів                     |
 
-Використовуйте вчительский приклад, згаданий на початку статті, щоб проілюструвати використання ACL.
+Використовуйте приклад вчителя, згаданий на початку статті, щоб проілюструвати використання ACL.
 
 ```bash
 # The teacher is the root user

From 45969ff06aa8aeefff2150c15a0bd825a37077fc Mon Sep 17 00:00:00 2001
From: Rocky Linux Automation
 <75949597+rockylinux-auto@users.noreply.github.com>
Date: Wed, 7 Jun 2023 07:04:36 -0400
Subject: [PATCH 4/5] New translations 00-toc.md (Ukrainian)

---
 docs/books/learning_ansible/00-toc.uk.md | 7 +++++++
 1 file changed, 7 insertions(+)
 create mode 100644 docs/books/learning_ansible/00-toc.uk.md

diff --git a/docs/books/learning_ansible/00-toc.uk.md b/docs/books/learning_ansible/00-toc.uk.md
new file mode 100644
index 0000000000..d8389afafc
--- /dev/null
+++ b/docs/books/learning_ansible/00-toc.uk.md
@@ -0,0 +1,7 @@
+---
+title: Вивчаючи Ansible з Rocky
+---
+
+# Вивчаючи Ansible з Rocky
+
+Ansible — це простий, але потужний механізм автоматизації для Linux. Цей підручник проведе вас через концепції використання Ansible для автоматизації ваших ІТ-завдань у (сподіваємось) цікавий та пізнавальний спосіб. Використання вправ у цих розділах допоможе вам отримати рівень комфорту з Ansible у реальних програмах.

From 6b11d87839672eb1e33bd30668d8ac4028c2d53f Mon Sep 17 00:00:00 2001
From: Rocky Linux Automation
 <75949597+rockylinux-auto@users.noreply.github.com>
Date: Wed, 7 Jun 2023 07:06:28 -0400
Subject: [PATCH 5/5] New translations disa_stig_part3.md (Ukrainian)

---
 docs/books/disa_stig/disa_stig_part3.uk.md | 443 +++++++++++++++++++++
 1 file changed, 443 insertions(+)
 create mode 100644 docs/books/disa_stig/disa_stig_part3.uk.md

diff --git a/docs/books/disa_stig/disa_stig_part3.uk.md b/docs/books/disa_stig/disa_stig_part3.uk.md
new file mode 100644
index 0000000000..f3ebf5d0fa
--- /dev/null
+++ b/docs/books/disa_stig/disa_stig_part3.uk.md
@@ -0,0 +1,443 @@
+---
+title: Веб-сервер DISA Apache STIG
+author: Scott Shinn
+contributors: Steven Spencer
+tested with: 8.6
+tags:
+  - DISA
+  - STIG
+  - безпека
+  - enterprise
+---
+
+# Вступ
+
+У частині 1 цієї серії ми розглянули, як створити наш веб-сервер із застосуванням базового RHEL8 DISA STIG, а в частині 2 ми дізналися, як перевірити відповідність STIG за допомогою інструменту OpenSCAP. Тепер ми збираємося зробити щось із системою, створити просту веб-програму та застосувати веб-сервер DISA STIG: https://www.stigviewer.com/stig/web_server/
+
+Спочатку давайте порівняємо, у що ми тут втягуємося, RHEL 8 DISA STIG призначений для дуже специфічної платформи, тому елементи керування досить легко зрозуміти в цьому контексті, протестувати та застосувати.  Додатки STIG мають бути переносними на кілька платформ, тому вміст тут є загальним, щоб працювати з різними дистрибутивами Linux (RHEL, Ubuntu, SuSE тощо)**. Це означає, що такі інструменти, як OpenSCAP, не допоможуть нам перевірити/виправити конфігурацію, нам доведеться робити це вручну. Ці STIG наступні:
+
+* Apache 2.4 V2R5 - сервер; що стосується самого веб-сервера
+* Apache 2.4 V2R5 - сайт; що стосується веб-програми/веб-сайту
+
+Для нашого посібника ми створимо простий веб-сервер, який лише обслуговує статичний вміст. Ми можемо використати зміни, які ми вносимо тут, щоб створити базове зображення, а потім використати це базове зображення, коли пізніше створюватимемо більш складні веб-сервери.
+
+## Apache 2.4 V2R5 Server Quickstart
+
+Перш ніж почати, вам потрібно повернутися до частини 1 і застосувати профіль безпеки DISA STIG. Вважайте це як крок 0.
+
+1.) Встановіть `apache` та `mod_ssl`
+
+```
+    dnf install httpd mod_ssl
+```
+
+2.) Зміни конфігурації
+
+```
+    sed -i 's/^\([^#].*\)**/# \1/g' /etc/httpd/conf.d/welcome.conf
+    dnf -y remove httpd-manual
+    dnf -y install mod_session
+
+    echo “MaxKeepAliveRequests 100” > /etc/httpd/conf.d/disa-apache-stig.conf
+    echo “SessionCookieName session path=/; HttpOnly; Secure;” >>  /etc/httpd/conf.d/disa-apache-stig.conf
+    echo “Session On” >>  /etc/httpd/conf.d/disa-apache-stig.conf
+    echo “SessionMaxAge 600” >>  /etc/httpd/conf.d/disa-apache-stig.conf
+    echo “SessionCryptoCipher aes256” >>  /etc/httpd/conf.d/disa-apache-stig.conf
+    echo “Timeout 10” >>  /etc/httpd/conf.d/disa-apache-stig.conf
+    echo “TraceEnable Off” >>  /etc/httpd/conf.d/disa-apache-stig.conf
+    echo “RequestReadTimeout 120” >> /etc/httpd/conf.d/disa-apache-stig.conf
+
+    sed -i “s/^#LoadModule usertrack_module/LoadModule usertrack_module/g” /etc/httpd/conf.modules.d/00-optional.conf
+    sed -i "s/proxy_module/#proxy_module/g" /etc/httpd/conf.modules.d/00-proxy.conf
+    sed -i "s/proxy_ajp_module/#proxy_ajp_module/g" /etc/httpd/conf.modules.d/00-proxy.conf
+    sed -i "s/proxy_balancer_module/#proxy_balancer_module/g" /etc/httpd/conf.modules.d/00-proxy.conf
+    sed -i "s/proxy_ftp_module/#proxy_ftp_module/g" /etc/httpd/conf.modules.d/00-proxy.conf
+    sed -i "s/proxy_http_module/#proxy_http_module/g" /etc/httpd/conf.modules.d/00-proxy.conf
+    sed -i "s/proxy_connect_module/#proxy_connect_module/g" /etc/httpd/conf.modules.d/00-proxy.conf
+```
+
+  3.) Оновіть політику брандмауера та запустіть `httpd`
+
+```
+    firewall-cmd --zone=public --add-service=https --permanent
+    firewall-cmd --zone=public --add-service=https
+    firewall-cmd --reload
+    systemctl enable httpd
+    systemctl start httpd
+```
+
+## Детальний огляд елементів керування
+
+Якщо ви зайшли так далеко, то, ймовірно, вам буде цікаво дізнатися більше про те, чого хоче від нас STIG. Це допомагає зрозуміти важливість елемента керування, а потім, як він застосовується до програми. Іноді елемент керування є технічним (змініть налаштування X на Y), а іноді – операційним (як ви його використовуєте).  Взагалі кажучи, технічний контроль — це те, що можна змінити за допомогою коду, а оперативний контроль, ймовірно, ні.
+
+### Рівні
+
+* Cat I - (HIGH) - 5 Controls
+* Cat II - (MEDIUM) - 41 Controls
+* Cat III - (LOW) - 1 Controls
+
+### Типи
+
+* Technical - 24  controls
+* Operational  - 23 controls
+
+У цій статті ми не будемо розглядати «чому» ці зміни, а лише те, що має статися, якщо це технічний контроль.  Якщо ми нічого не можемо змінити, як у випадку з оперативним контролем, поле **Fix:** буде відсутнім. Хороша новина в багатьох із цих випадків, це вже за замовчуванням у Rocky Linux 8, тому вам взагалі нічого не потрібно змінювати.
+
+## Apache 2.4 V2R5 – Інформація про сервер
+
+**(V-214248)** Каталоги програм веб-сервера Apache, бібліотеки та файли конфігурації мають бути доступні лише для привілейованих користувачів.
+
+**Severity:** Cat I High  
+**Type:** Операційний  
+**Fix:** немає, перевірте, щоб лише привілейовані користувачі мали доступ до файлів веб-сервера
+
+**(V-214242)** Веб-сервер Apache має надавати параметри встановлення, щоб виключити встановлення документації, зразків коду, прикладів програм і навчальних посібників.
+
+**Severity:** Cat I High  
+**Type:** Technical  
+**Fix:**
+
+```
+sed -i 's/^\([^#].*\)/# \1/g' /etc/httpd/conf.d/welcome.conf
+```
+
+**(V-214253)** Веб-сервер Apache має генерувати ідентифікатор сеансу, використовуючи якомога більше набору символів, щоб зменшити ризик застосування грубої сили.
+
+**Severity:** Cat I High  
+**Type:** технічний  
+**Fix:** немає, виправлено за умовчанням у Rocky Linux 8
+
+**(V-214273)** Версія програмного забезпечення веб-сервера Apache має підтримуватися постачальником.
+
+**Severity:** Cat I High  
+**Type:** Technical  
+**Fix:** Немає, виправлено за замовчуванням у Rocky Linux 8
+
+**(V-214271)** Обліковий запис, який використовується для запуску веб-сервера Apache, не повинен мати дійсну оболонку входу та визначений пароль.
+
+**Severity:** Cat I High  
+**Type:** Technical  
+**Fix:** Немає, виправлено за замовчуванням у Rocky Linux 8
+
+**(V-214245)** На веб-сервері Apache має бути вимкнено Web Distributed Authoring (WebDAV). **Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:**
+
+```
+sed -i 's/^\([^#].*\)/# \1/g' /etc/httpd/conf.d/welcome.conf
+```
+
+**(V-214264)** Веб-сервер Apache має бути налаштований для інтеграції з інфраструктурою безпеки організації.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Немає, пересилати журнали веб-сервера до SIEM
+
+
+**(V-214243)** Веб-сервер Apache має мати налаштовані зіставлення ресурсів, щоб вимкнути обслуговування певних типів файлів.
+
+**Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:** немає, виправлено за умовчанням у Rocky Linux 8
+
+
+**(V-214240)** Веб-сервер Apache має містити лише служби та функції, необхідні для роботи.
+
+**Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:**
+
+
+```
+dnf remove httpd-manual
+```
+
+**(V-214238)** Модулі розширення мають бути повністю перевірені, протестовані та підписані, перш ніж вони зможуть існувати на робочому веб-сервері Apache.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Жодного, вимкнути всі непотрібні для програми модулі
+
+
+**(V-214268)** Файли cookie, якими обмінюються веб-сервер Apache і клієнт, наприклад файли cookie сеансу, повинні мати властивості файлів cookie, налаштовані на заборону клієнтським сценаріям читати файли cookie даних.
+
+**Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:**
+
+```
+dnf install mod_session 
+echo “SessionCookieName session path=/; HttpOnly; Secure;” >>  /etc/httpd/conf.d/disa-apache-stig.conf
+```
+
+**(V-214269)** Веб-сервер Apache має видалити всі шифри експорту, щоб захистити конфіденційність і цілісність переданої інформації.
+
+**Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:** Немає, виправлено за замовчуванням у профілі безпеки Rocky Linux 8 DISA STIG
+
+**(V-214260)** Веб-сервер Apache має бути налаштований на миттєве відключення або вимкнення віддаленого доступу до розміщених програм.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Ні, це процедура зупинки веб-сервера
+
+**(V-214249)** Веб-сервер Apache має відокремити розміщені програми від функцій керування веб-сервером Apache.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Жодного, це стосується веб-програм, а не сервера
+
+**(V-214246)** Веб-сервер Apache має бути налаштований на використання вказаної IP-адреси та порту.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Немає, веб-сервер має бути налаштований на прослуховування лише певної IP-адреси/порту
+
+**(V-214247)** Облікові записи веб-сервера Apache, які мають доступ до дерева каталогів, оболонки чи інших функцій і утиліт операційної системи, мають бути лише адміністративними обліковими записами.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Нічого, усі файли та каталоги, які обслуговує веб-сервер, мають належати адміністраторам, а не користувачу веб-сервера.
+
+**(V-214244)** Веб-сервер Apache має дозволяти видаляти зіставлення з невикористаними та вразливими сценаріями.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Жодного, будь-які зіставлення cgi-bin або інші зіставлення Script/ScriptAlias, які не використовуються, потрібно видалити
+
+**(V-214263)** Веб-сервер Apache не повинен перешкоджати запису вказаного вмісту запису журналу на сервер журналу аудиту.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Ні, співпрацюйте з адміністратором SIEM, щоб надати можливість записувати вказаний вміст запису журналу на сервер журналу аудиту.
+
+**(V-214228)** Веб-сервер Apache має обмежити кількість дозволених одночасних запитів на сеанс.
+
+**Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:**
+
+```
+echo “MaxKeepAliveRequests 100” > /etc/httpd/conf.d/disa-apache-stig.conf
+```
+
+**(V-214229)** Веб-сервер Apache має керувати сеансом на стороні сервера.
+
+**Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:**
+
+```
+sed -i “s/^#LoadModule usertrack_module/LoadModule usertrack_module/g” /etc/httpd/conf.modules.d/00-optional.conf
+```
+
+**(V-214266)** Веб-сервер Apache повинен забороняти або обмежувати використання незахищених або непотрібних портів, протоколів, модулів і/або служб.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Ні, переконайтеся, що на веб-сайті використовуються добре відомі порти IANA для HTTP та HTTPS.
+
+**(V-214241)** Веб-сервер Apache не має бути проксі-сервером.
+
+**Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:**
+
+```
+sed -i "s/proxy_module/#proxy_module/g" /etc/httpd/conf.modules.d/00-proxy.conf
+sed -i "s/proxy_ajp_module/#proxy_ajp_module/g" /etc/httpd/conf.modules.d/00-proxy.conf
+sed -i "s/proxy_balancer_module/#proxy_balancer_module/g" /etc/httpd/conf.modules.d/00-proxy.conf
+sed -i "s/proxy_ftp_module/#proxy_ftp_module/g" /etc/httpd/conf.modules.d/00-proxy.conf
+sed -i "s/proxy_http_module/#proxy_http_module/g" /etc/httpd/conf.modules.d/00-proxy.conf
+sed -i "s/proxy_connect_module/#proxy_connect_module/g" /etc/httpd/conf.modules.d/00-proxy.conf
+```
+
+**(V-214265)** Веб-сервер Apache має генерувати записи журналу, які можна зіставляти з універсальним координованим часом (UTC)** або середнім часом за Гринвічем (GMT), які мають відмітку з мінімальною ступінчастістю в одну секунду.
+
+**Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:** Немає, виправлено за замовчуванням у Rocky Linux 8
+
+**(V-214256)** Попередження та повідомлення про помилки, які відображаються клієнтам, необхідно змінити, щоб мінімізувати ідентифікацію веб-сервера Apache, виправлень, завантажених модулів і шляхів до каталогу.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Використовуйте директиву "ErrorDocument", щоб увімкнути спеціальні сторінки помилок для кодів статусу HTTP 4xx або 5xx.
+
+**(V-214237)** Для даних журналу та записів із веб-сервера Apache необхідно створити резервну копію на іншій системі чи носії.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Ні, задокументуйте процедури резервного копіювання веб-сервера
+
+**(V-214236)** Інформація журналу з веб-сервера Apache повинна бути захищена від несанкціонованої зміни або видалення.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Ні, задокументуйте процедури резервного копіювання веб-сервера
+
+**(V-214261)** Непривілейовані облікові записи в системі хостингу мають отримувати доступ до інформації та функцій веб-сервера Apache лише через окремий обліковий запис адміністратора.<br x-id ="6" /> **Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Немає, обмежити доступ до інструменту веб-адміністрування лише для системного адміністратора, веб-менеджера або призначених веб-менеджером осіб.
+
+**(V-214235)** Файли журналу веб-сервера Apache мають бути доступні лише для привілейованих користувачів.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Немає. Щоб захистити цілісність даних, які зберігаються у файлах журналу, переконайтеся, що дозволи на читання файлів журналу мають лише члени групи аудиторів, адміністратори та користувач, призначений для запуску програмного забезпечення веб-сервера.
+
+**(V-214234)** Веб-сервер Apache має використовувати механізм журналювання, налаштований на сповіщення спеціаліста з безпеки інформаційної системи (ISSO) і системного адміністратора (SA) у випадку збій обробки.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Ні, працюйте з адміністратором SIEM, щоб налаштувати сповіщення, коли дані аудиту не надходять від Apache на основі визначеного розкладу підключень.
+
+**(V-214233)** Веб-сервер Apache за балансувальником навантаження або проксі-сервером має створювати записи журналу, що містять інформацію про IP-адресу клієнта як джерела та призначення, а не завантаження інформацію про IP балансера або проксі з кожною подією.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Ні, отримати доступ до проксі-сервера, через який передається вхідний веб-трафік, і налаштувати параметри для прозорої передачі веб-трафіку на веб-сервер Apache.
+
+Зверніться до https://httpd.apache.org/docs/2.4/mod/mod_remoteip.html, щоб отримати додаткову інформацію про параметри журналювання на основі налаштувань проксі/навантаження.
+
+**(V-214231)** На веб-сервері Apache має бути ввімкнено системне журналювання.
+
+**Severity:** Cat II Medium   
+**Type:** Technical    
+**Fix:** Немає, виправлено за замовчуванням у Rocky Linux 8
+
+**(V-214232)** Веб-сервер Apache має створювати принаймні записи журналу для запуску та завершення роботи системи, доступу до системи та подій автентифікації системи.
+
+**Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:**    Немає, виправлено за замовчуванням у Rocky Linux 8
+
+V-214251 Файли cookie, якими обмінюються веб-сервер Apache і клієнт, наприклад файли cookie сеансу, повинні мати параметри безпеки, які забороняють доступ до файлів cookie за межами вихідного веб-сервера Apache і розміщеної програми.
+
+**Severity:** Cat II Medium   
+**Type:** Technical    
+**Fix:**
+
+```
+echo “Session On” >>  /etc/httpd/conf.d/disa-apache-stig.conf
+```
+
+**(V-214250)** Веб-сервер Apache має робити ідентифікатори сеансу недійсними після виходу користувача розміщеної програми або іншого завершення сеансу.
+
+**Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:**
+
+```
+echo “SessionMaxAge 600” >>  /etc/httpd/conf.d/disa-apache-stig.conf
+```
+
+**(V-214252)** Веб-сервер Apache має генерувати ідентифікатор сеансу достатньо довгий, щоб його неможливо було вгадати за допомогою грубої сили.
+
+**Severity:** Cat II Medium   
+**Type:** Technical    
+**Fix:**
+
+```
+echo “SessionCryptoCipher aes256” >>  /etc/httpd/conf.d/disa-apache-stig.conf
+```
+
+**(V-214255)** Веб-сервер Apache має бути налаштований відповідно до робочих вимог розміщеної програми.
+
+**Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:**
+
+```
+echo “Timeout 10” >>  /etc/httpd/conf.d/disa-apache-stig.conf
+```
+
+**(V-214254)** Веб-сервер Apache має бути створений таким чином, щоб перевести його у відомий безпечний стан, якщо не вдається ініціалізувати систему, завершити роботу чи завершити роботу.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Ні, підготуйте документацію щодо методів аварійного відновлення для веб-сервера Apache 2.4 у разі необхідності відкоту.
+
+**(V-214257)** Інформація про налагодження та трасування, яка використовується для діагностики веб-сервера Apache, має бути вимкнена.
+
+**Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:**
+
+```
+echo “TraceEnable Off” >>  /etc/httpd/conf.d/disa-apache-stig.conf
+```
+
+**(V-214230)** Веб-сервер Apache має використовувати криптографію для захисту цілісності віддалених сеансів.
+
+**Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:**
+
+```
+sed -i "s/^#SSLProtocol.*/SSLProtocol -ALL +TLSv1.2/g" /etc/httpd/conf.d/ssl.conf
+```
+
+**(V-214258)** Веб-сервер Apache має встановити час очікування неактивності для сеансів.
+
+**Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:**
+
+```
+echo “RequestReadTimeout 120” >> /etc/httpd/conf.d/disa-stig-apache.conf
+```
+
+**(V-214270)** Веб-сервер Apache має інсталювати оновлення програмного забезпечення, пов’язані з безпекою, протягом налаштованого періоду часу, указаного авторитетним джерелом (наприклад, IAVM, CTO, DTM та STIG).
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Ні, інсталюйте поточну версію програмного забезпечення веб-сервера та підтримуйте відповідні пакети оновлень і виправлень.
+
+**(V-214239)** Веб-сервер Apache не повинен виконувати керування користувачами для розміщених програм.
+
+**Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:**  Немає, виправлено за замовчуванням у Rocky Linux 8
+
+**(V-214274)** Файли htpasswd веб-сервера Apache (за наявності) мають відображати належне право власності та дозволи.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Ні, переконайтеся, що обліковий запис SA або Web Manager володіє файлом "htpasswd".  Переконайтеся, що для дозволів встановлено значення «550».
+
+**(V-214259)** Веб-сервер Apache має обмежувати вхідні з’єднання з незахищених зон.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** Ні, налаштуйте файл "http.conf", щоб включити обмеження.   
+Приклад:
+
+```
+Require not ip 192.168.205
+Require not host phishers.example.com
+```
+
+**(V-214267)** Веб-сервер Apache має бути захищений від зупинки непривілейованим користувачем.
+
+**Severity:** Cat II Medium   
+**Type:** Technical   
+**Fix:** Немає, виправлено Rocky Linux 8 за замовчуванням
+
+**(V-214262)** Веб-сервер Apache повинен використовувати механізм журналювання, налаштований на виділення достатньо великої ємності для зберігання записів журналу, щоб задовольнити вимоги веб-сервера Apache до журналювання.
+
+**Severity:** Cat II Medium   
+**Type:** Operational   
+**Fix:** немає, попрацюйте з адміністратором SIEM, щоб визначити, чи налаштовано SIEM на виділення достатньо великої ємності для зберігання записів журналу, щоб відповідати вимогам веб-сервера Apache до журналювання.
+
+**(V-214272)** Веб-сервер Apache має бути налаштований відповідно до параметрів конфігурації безпеки на основі конфігурації безпеки Міністерства оборони або вказівок із впровадження, включаючи STIG, посібники з конфігурації NSA, CTO та DTM.
+
+**Severity:** Cat III Low   
+**Type:** Operational   
+**Fix:**  Немає
+
+## Про автора
+
+Скотт Шінн є технічним директором Atomicorp і є частиною команди Rocky Linux Security. Він працював із федеральними інформаційними системами Білого дому, Міністерства оборони та розвідувального співтовариства з 1995 року. Частиною цього було створення STIG і вимога th Ви використовуєте їх, і я дуже шкодую про це.
+