Apache服务器安全配置基线.docx

1、Apache服务器安全配置基线Apache服务器安全配置基线版本版本控制信息更新日期更新人审批人V1.0创建2009年4月V2.0更新2012年4月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目 录第1章 概述 41.1 目的 41.2 适用范围 41.3 适用版本 41.4 实施 41.5 例外条款 4第2章 日志配置操作 52.1 日志配置 52.1.1 审核登录 5第3章 设备其他配置操作 63.1 访问权限 63.1.1 禁止访问外部文件 63.2 防攻击管理 63.2.1 错误页面处理 73.2.2 目录列表访问限制 73.2.3 拒绝服务防范

2、83.2.4 删除无用文件 83.2.5 隐藏敏感信息 93.2.6 Apache账户安全* 93.2.7 限制请求消息长度 10第4章 评审与修订 11第1章 概述1.1 目的本文档旨在指导系统管理人员进行Apache服务器的安全配置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。1.3 适用版本2.0.x、2.2.x版本的Apache服务器。1.4 实施1.5 例外条款第2章 日志配置操作2.1 日志配置2.1.1 审核登录安全基线项目名称Apache审核登录策略安全基线要求项安全基线编号SBL-Apache-02-01-01安全基线项说明 设备应配

3、置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP地址等内容。检测操作步骤1、参考配置操作编辑httpd.conf配置文件，设置日志记录文件、记录内容、记录格式。LogLevel notice ErrorLog logs/error_log LogFormat %h %l %u %t %r %s %b %Accepti %Refereri %User-Agenti combined CustomLog logs/access_log combinedErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件，Apache httpd将在这个文件中存放诊断

4、信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置：ErrorLog syslog。CustomLog指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详细程度，建议设置为notice。基线符合性判定依据1、判定条件查看logs目录中相关日志文件内容，记录完整。2、检测操作查看相关日志记录。3、补充说明备注第3章 设备其他配置操作3.1 访问权限3.1.1 禁止访问外部文件安全基线项目名称Apache目录访问权限安全基线要求项安全基线编号SBL-Apache-03-01-01安

5、全基线项说明 禁止Apache访问Web目录之外的任何文件。检测操作步骤1、参考配置操作编辑httpd.conf配置文件， Order Deny,Allow Deny from all 2、补充操作说明设置可访问目录， Order Allow,Deny Allow from all 其中/web为网站根目录。基线符合性判定依据1、判定条件无法访问Web目录之外的文件。 2、检测操作访问服务器上不属于Web目录的一个文件，结果应无法显示。3、补充说明备注3.2 防攻击管理3.2.1 错误页面处理安全基线项目名称Apache错误页面安全基线要求项安全基线编号SBL-Apache-03-02-01安

6、全基线项说明 Apache错误页面重定向检测操作步骤1、参考配置操作(1) 修改httpd.conf配置文件：ErrorDocument 400 /custom400.htmlErrorDocument 401 /custom401.htmlErrorDocument 403 /custom403.htmlErrorDocument 404 /custom404.htmlErrorDocument 405 /custom405.html ErrorDocument 500 /custom500.htmlCustomxxx.html为要设置的错误页面。(2)重新启动Apache服务基线符合性判定

7、依据1、判定条件指向指定错误页面2、检测操作URL地址栏中输入http:/ip/xxxxxxx（一个不存在的页面）备注3.2.2 目录列表访问限制安全基线项目名称Apache目录列表安全基线要求项安全基线编号SBL-Apache-03-02-02安全基线项说明 禁止Apache列表显示文件检测操作步骤1、参考配置操作(1) 编辑httpd.conf配置文件， Options FollowSymLinks AllowOverride None Order allow,denyAllow from all将Options Indexes FollowSymLinks中的Indexes 去掉，就可以

8、禁止 Apache 显示该目录结构。Indexes 的作用就是当该目录下没有 index.html文件时，就显示目录结构。 (2)设置Apache的默认页面，编辑%apache%confhttpd.conf配置文件， DirectoryIndex index.html其中index.html即为默认页面，可根据情况改为其它文件。(3)重新启动Apache服务基线符合性判定依据1、判定条件当WEB目录中没有默认首页如index.html文件时，不会列出目录内容2、检测操作直接访问http:/ip:8800/xxx（xxx为某一目录）备注3.2.3 拒绝服务防范安全基线项目名称Apache拒绝服务

9、防范安全基线要求项安全基线编号SBL-Apache-03-02-03安全基线项说明 拒绝服务防范。检测操作步骤1、参考配置操作(1) 编辑httpd.conf配置文件， Timeout 10 KeepAlive OnKeepAliveTimeout 15AcceptFilter http dataAcceptFilter https data (2)重新启动Apache服务基线符合性判定依据1、判定条件2、检测操作检查配置文件是否设置。备注3.2.4 删除无用文件安全基线项目名称Apache无用文件安全基线要求项安全基线编号SBL-Apache-03-02-04安全基线项说明 删除缺省安装的无

10、用文件。检测操作步骤1、参考配置操作删除缺省HTML文件：# rm -rf /usr/local/apache2/htdocs/* 删除缺省的CGI脚本：# rm rf /usr/local/apache2/cgi-bin/*删除Apache说明文件：# rm rf /usr/local/apache2/manual删除源代码文件：# rm -rf /path/to/httpd-2.2.4*根据安装步骤不同和版本不同，某些目录或文件可能不存在或位置不同。 基线符合性判定依据1、判定条件2、检测操作检查对应目录。备注3.2.5 隐藏敏感信息安全基线项目名称Apache隐藏敏感信息安全基线要求项安

11、全基线编号SBL-Apache-03-02-05安全基线项说明 隐藏Apache的版本号及其它敏感信息。检测操作步骤1、参考配置操作修改httpd.conf配置文件：ServerSignature Off ServerTokens Prod 基线符合性判定依据1、判定条件2、检测操作检查配置文件。备注3.2.6 Apache账户安全*安全基线项目名称Apache账户安全配置项安全基线编号SBL-Apache-03-02-06安全基线项说明以专门的用户帐号和组运行Apache。检测操作步骤1、根据需要为Apache创建用户、组2、参考配置操作修改httpd.conf配置文件，添加如下语句：Use

12、r apache Group apachegroup其中apache、apachegroup分别是为Apache创建的用户和组。 2、补充操作说明1、根据不同用户，取不同的名称。2、为用户设置适当的家目录和shell。基线符合性判定依据1、判定条件2、检测操作检查httpd.conf配置文件，检查用户配置文件。备注手工判断3.2.7 限制请求消息长度安全基线项目名称Apache接收HTTP请求长度安全基线要求项安全基线编号SBL-Apache-03-02-07安全基线项说明 限制http请求的消息主体的大小。检测操作步骤1、参考配置操作编辑httpd.conf配置文件，修改为5120000ByteLimitRequestBody 5120000 2、补充操作说明基线符合性判定依据1、判定条件检查配置文件设置。2、检测操作上传文件超过5M将报错。3、补充说明备注第4章 评审与修订