Apache系统安全加固规范.docx

1、Apache系统安全加固规范Apache系统安全基线规范2019年10月目录本文档适用于Apache服务器。本规范明确了Apache服务器安全配置方面的基本要求。1 账号管理、认证授权1.1.1 ELK-Apache-01-01-01编号ELK-Apache-01-01-01名称以特定用户运行服务实施目的以特定用户运行服务,不要使用系统管理员账号启动APACHE问题影响越权使用造成非法攻击。系统当前状态# ps -aux | grep httpd | grep -v grep# ls -al which apachectl# apachectl V | grep SERVER_CONFIGSo

2、laris用ps -ef代替ps -aux查看当前进程实施步骤一般情况下，Apache是由Root 来安装和运行的。如果Apache Server进程具有Root用户特权，那么它将给系统的安全构成很大的威胁，应确保Apache Server进程以最可能低的权限用户来运行。通过修改httpd.conf文件中的下列选项，以Nobody用户运行Apache 达到相对安全的目的。备份httpd.conf文件修改：User nobodyGroup# -1重启APACHE./apachectl restart回退方案恢复httpd.conf文件，重启APACHE判断依据判断是否漏洞。实施风险中重要等级1.

3、1.2 ELK-Apache-01-01-02编号ELK-Apache-01-01-02名称ServerRoot目录的权限实施目的非超级用户不能修改该目录中的内容问题影响非法修改系统当前状态# ls al /usr/local/apache实施步骤为了确保所有的配置是适当的和安全的，需要严格控制Apache 主目录的访问权限，使非超级用户不能修改该目录中的内容。Apache 的主目录对应于Apache Server配置文件httpd.conf的Server Root控制项中，应为：Server Root /usr/local/apache回退方案恢复目录权限判断依据尝试修改，看是否能修改。实施

4、风险中重要等级备注1.1.3 ELK-Apache-01-01-03编号ELK-Apache-01-01-03名称控制哪些主机能够访问服务器的一个区域实施目的防止恶意攻击问题影响非法访问系统当前状态Cat httpd.conf实施步骤如果你只想让某个网段或者某个IP接入，你可以在apache配置文件中强制实行。 如：你想限制你的intranet，只能被176.16.网段接入： Order Deny,Allow Deny from all Allow from 176.16.0.0/16 Or by IP: Order Deny,Allow Deny from all Allow from 12

5、7.0.0.1备注：详细请参考：回退方案恢复原始状态。判断依据尝试非法访问。实施风险高重要等级备注1.1.4 ELK-Apache-01-01-04编号ELK-Apache-01-01-04名称禁止访问外部文件实施目的禁止Apache访问Web目录之外的任何文件。的IP地址等内容。问题影响非法访问，恶意攻击。系统当前状态Cat httpd.conf实施步骤1、参考配置操作编辑httpd.conf配置文件， Order Deny,Allow Deny from all 2、补充操作说明设置可访问目录， Order Allow,Deny Allow from all 其中/web为网站根目录。回退

6、方案恢复原始状态。判断依据1、判定条件无法访问Web目录之外的文件。 2、检测操作访问服务器上不属于Web目录的一个文件，结果应无法显示。实施风险中重要等级备注1.1.5 ELK-Apache-01-01-05编号ELK-Apache-01-01-05名称目录列表访问限制实施目的禁止Apache列表显示文件。问题影响恶意攻击。系统当前状态查看 httpd.conf文件，查看Options FollowSymLinks是否与原来相同。 实施步骤1、参考配置操作(1) 编辑httpd.conf配置文件， Options FollowSymLinks AllowOverride None Order

7、 allow,denyAllow from all将Options Indexes FollowSymLinks中的Indexes 去掉，就可以禁止 Apache 显示该目录结构。Indexes 的作用就是当该目录下没有 index.html文件时，就显示目录结构。 (2)设置Apache的默认页面，编辑%apache%confhttpd.conf配置文件， DirectoryIndex index.html其中index.html即为默认页面，可根据情况改为其它文件。(3)重新启动Apache服务回退方案恢复原始状态。判断依据1、判定条件当WEB目录中没有默认首页如index.html文件时

8、，不会列出目录内容2、检测操作直接访问http:/ip:8800/xxx（xxx为某一目录）实施风险高重要等级备注2 日志配置2.1.1 ELK-Apache-02-01-01编号ELK-Apache-02-01-01名称审核登陆实施目的对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP地址等内容。问题影响非法访问，恶意攻击。系统当前状态查看httpd.conf文件中的 ErrorLog 、LogFormat（cat httpd.conf | grep ErrorLog）查看ErrorLog 指定的日志文件如 logs/error_log中的内容是否完整(cat logs/err

9、or_log)实施步骤1、参考配置操作编辑httpd.conf配置文件，设置日志记录文件、记录内容、记录格式。LogLevel notice ErrorLog logs/error_log LogFormat %h %l %u %t %r %s %b %Accepti %Refereri %User-Agenti combined CustomLog logs/access_log combinedErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件，Apache httpd将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置：Error

10、Log syslog。CustomLog指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详细程度，建议设置为notice。回退方案恢复原始状态。判断依据查看logs目录中相关日志文件内容，记录完整。实施风险中重要等级备注3 通信协议3.1.1 ELK-Apache-03-01-01编号ELK-Apache-03-01-01名称更改默认端口实施目的更改Apache服务器默认端口，防止非法访问。问题影响恶意攻击。系统当前状态查看 httpd.conf文件，查看端口是否与原来相同。 实施步骤1、参

11、考配置操作（1）修改httpd.conf配置文件，更改默认端口到8080 Listen x.x.x.x:8080（2）重启Apache服务回退方案恢复原始状态。判断依据1、判定条件使用8080端口登陆页面成功2、检测操作登陆http:/ip:8080 实施风险高重要等级备注4 设备其他安全要求4.1.1 ELK-Apache-04-01-01编号ELK-Apache-04-01-01名称补丁修复实施目的升级APACHE修复漏洞问题影响容易引起恶意攻击。系统当前状态查看版本 Linux : apachectl -V实施步骤到 www.apache.org 下载新版本的APACHE公开的apach

12、e 漏洞2008-08-11Apache Tomcat = 6.0.18 UTF8 Directory Traversal Vulnerability2008-07-18Apache mod_jk 1.2.19 Remote Buffer Overflow Exploit (win32)2008-07-17Bea Weblogic Apache Connector Code Exec / Denial of Service Exploit2008-04-06Apache Tomcat Connector jk2-2.0.2 (mod_jk2) Remote Overflow Exploit20

13、08-03-31mod_jk2 v2.0.2 for Apache 2.0 Remote Buffer Overflow Exploit (win32)2007-10-21Apache Tomcat (webdav) Remote File Disclosure Exploit (ssl support)2007-10-14Apache Tomcat (webdav) Remote File Disclosure Exploit2007-07-08Apache Tomcat Connector (mod_jk) Remote Exploit (exec-shield)2007-06-22Apache mod_jk 1.2.19/1.2.20 Remote Buffer Overflow Exploit2007-05-26Apache 2.0.58 mod_rewrite Remote Overflow Exploit (win2k3)2007-04-07Apache Mod_Rewrite Off-by-one Remote Overflow Exploit (win32)2007-02-28Ubuntu/Debian Apache 1.3.33/1.3.34 (CGI TTY) Local Root Exploit 2006-08-21