ImageVerifierCode 换一换
格式:DOCX , 页数:20 ,大小:21.44KB ,
资源ID:30625655      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/30625655.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(Apache系统加固规范V01.docx)为本站会员(b****5)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

Apache系统加固规范V01.docx

1、Apache系统加固规范V01Apache系统加固规范2022年4月目录本文档适用于Apache服务器。本规范明确了Apache服务器安全配置方面的基本要求。1账号管理、认证授权1.1.1 SHG-Apache-01-01-01编号SHG-Apache-01-01-01名称以特定用户运行服务实施目的以特定用户运行服务,不要使用系统管理员账号启动APACHE问题影响越权使用造成非法攻击。系统当前状态# ps -aux | grep httpd | grep -v grep# ls -al which apachectl# apachectl V | grep SERVER_CONFIGSolar

2、is用ps -ef代替ps -aux查看当前进程实施步骤一般情况下,Apache是由Root 来安装和运行的。如果Apache Server进程具有Root用户特权,那么它将给系统的安全构成很大的威胁,应确保Apache Server进程以最可能低的权限用户来运行。通过修改httpd.conf文件中的下列选项,以Nobody用户运行Apache 达到相对安全的目的。备份httpd.conf文件修改:User nobodyGroup# -1重启APACHE./apachectl restart回退方案恢复httpd.conf文件,重启APACHE判断依据判断是否漏洞。实施风险中重要等级1.1.2

3、 SHG-Apache-01-01-02编号SHG-Apache-01-01-02名称ServerRoot目录的权限实施目的非超级用户不能修改该目录中的内容问题影响非法修改系统当前状态# ls al /usr/local/apache实施步骤为了确保所有的配置是适当的和安全的,需要严格控制Apache 主目录的访问权限,使非超级用户不能修改该目录中的内容。Apache 的主目录对应于Apache Server配置文件httpd.conf的Server Root控制项中,应为:Server Root /usr/local/apache回退方案恢复目录权限判断依据尝试修改,看是否能修改。实施风险中

4、重要等级备注1.1.3 SHG-Apache-01-01-03编号SHG-Apache-01-01-03名称控制哪些主机能够访问服务器的一个区域实施目的防止恶意攻击问题影响非法访问系统当前状态Cat httpd.conf实施步骤如果你只想让某个网段或者某个IP接入,你可以在apache配置文件中强制实行。 如:你想限制你的intranet,只能被176.16.网段接入: Order Deny,Allow Deny from all Allow from 176.16.0.0/16 Or by IP: Order Deny,Allow Deny from all Allow from 127.0

5、.0.1备注:详细请参考:回退方案恢复原始状态。判断依据尝试非法访问。实施风险高重要等级备注1.1.4 SHG-Apache-01-01-04编号SHG-Apache-01-01-04名称禁止访问外部文件实施目的禁止Apache访问Web目录之外的任何文件。的IP地址等内容。问题影响非法访问,恶意攻击。系统当前状态Cat httpd.conf实施步骤1、参考配置操作编辑httpd.conf配置文件, Order Deny,Allow Deny from all 2、补充操作说明设置可访问目录, Order Allow,Deny Allow from all 其中/web为网站根目录。回退方案恢

6、复原始状态。判断依据1、判定条件无法访问Web目录之外的文件。 2、检测操作访问服务器上不属于Web目录的一个文件,结果应无法显示。实施风险中重要等级备注1.1.5 SHG-Apache-01-01-05编号SHG-Apache-01-01-05名称目录列表访问限制实施目的禁止Apache列表显示文件。问题影响恶意攻击。系统当前状态查看 httpd.conf文件,查看Options FollowSymLinks是否与原来相同。 实施步骤1、参考配置操作(1) 编辑httpd.conf配置文件, Options FollowSymLinks AllowOverride None Order al

7、low,denyAllow from all将Options Indexes FollowSymLinks中的Indexes 去掉,就可以禁止 Apache 显示该目录结构。Indexes 的作用就是当该目录下没有 index.html文件时,就显示目录结构。 (2)设置Apache的默认页面,编辑%apache%confhttpd.conf配置文件, DirectoryIndex index.html其中index.html即为默认页面,可根据情况改为其它文件。(3)重新启动Apache服务回退方案恢复原始状态。判断依据1、判定条件当WEB目录中没有默认首页如index.html文件时,不会

8、列出目录内容2、检测操作直接访问http:/ip:8800/xxx(xxx为某一目录)实施风险高重要等级备注2日志配置2.1.1 SHG-Apache-02-01-01编号SHG-Apache-02-01-01名称审核登陆实施目的对运行错误、用户访问等进行记录,记录内容包括时间,用户使用的IP地址等内容。问题影响非法访问,恶意攻击。系统当前状态查看httpd.conf文件中的 ErrorLog 、LogFormat(cat httpd.conf | grep ErrorLog)查看ErrorLog 指定的日志文件如 logs/error_log中的内容是否完整(cat logs/error_l

9、og)实施步骤1、参考配置操作编辑httpd.conf配置文件,设置日志记录文件、记录内容、记录格式。LogLevel notice ErrorLog logs/error_log LogFormat %h %l %u %t %r %s %b %Accepti %Refereri %User-Agenti combined CustomLog logs/access_log combinedErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件,Apache httpd将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog,则设置:ErrorLog

10、syslog。CustomLog指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详细程度,建议设置为notice。回退方案恢复原始状态。判断依据查看logs目录中相关日志文件内容,记录完整。实施风险中重要等级备注3通信协议3.1.1 SHG-Apache-03-01-01编号SHG-Apache-03-01-01名称更改默认端口实施目的更改Apache服务器默认端口,防止非法访问。问题影响恶意攻击。系统当前状态查看 httpd.conf文件,查看端口是否与原来相同。 实施步骤1、参考配置操作

11、(1)修改httpd.conf配置文件,更改默认端口到8080 Listen x.x.x.x:8080(2)重启Apache服务回退方案恢复原始状态。判断依据1、判定条件使用8080端口登陆页面成功2、检测操作登陆http:/ip:8080 实施风险高重要等级备注4设备其他安全要求4.1.1 SHG-Apache-04-01-01编号SHG-Apache-04-01-01名称补丁修复实施目的升级APACHE修复漏洞问题影响容易引起恶意攻击。系统当前状态查看版本 Linux : apachectl -V实施步骤到 www.apache.org 下载新版本的APACHE公开的apache 漏洞20

12、08-08-11Apache Tomcat = 6.0.18 UTF8 Directory Traversal Vulnerability2008-07-18Apache mod_jk 1.2.19 Remote Buffer Overflow Exploit (win32)2008-07-17Bea Weblogic Apache Connector Code Exec / Denial of Service Exploit2008-04-06Apache Tomcat Connector jk2-2.0.2 (mod_jk2) Remote Overflow Exploit2008-03-

13、31mod_jk2 v2.0.2 for Apache 2.0 Remote Buffer Overflow Exploit (win32)2007-10-21Apache Tomcat (webdav) Remote File Disclosure Exploit (ssl support)2007-10-14Apache Tomcat (webdav) Remote File Disclosure Exploit2007-07-08Apache Tomcat Connector (mod_jk) Remote Exploit (exec-shield)2007-06-22Apache mo

14、d_jk 1.2.19/1.2.20 Remote Buffer Overflow Exploit2007-05-26Apache 2.0.58 mod_rewrite Remote Overflow Exploit (win2k3)2007-04-07Apache Mod_Rewrite Off-by-one Remote Overflow Exploit (win32)2007-02-28Ubuntu/Debian Apache 1.3.33/1.3.34 (CGI TTY) Local Root Exploit 2006-08-21Apache 1.3.37, 2.0.59, 2.2.3

15、 (mod_rewrite) Remote Overflow PoC2006-07-23Apache Tomcat 5.5.17 Remote Directory Listing Vulnerability2005-06-20Apache = 2.0.49 Arbitrary Long HTTP Headers Denial of Service2005-03-04Apache = 2.0.52 HTTP GET request Denial of Service Exploit2005-01-16Apache (mod_auth_radius) Remote Denial of Servic

16、e Exploit2004-11-18Apache 2.0.52 Multiple Space Header Denial of Service Exploit (v2)2004-11-02Apache 2.0.52 Multiple Space Header DoS (c code)2004-11-02Apache 2.0.52 Multiple Space Header DoS (Perl code)2004-10-21Apache = 1.3.31 mod_include Local Buffer Overflow Exploit 2004-09-16htpasswd Apache 1.

17、3.31 Local Exploit2004-08-02Apache HTTPd Arbitrary Long HTTP Headers DoS (c version)2004-07-22Apache HTTPd Arbitrary Long HTTP Headers DoS2004-01-21Apache OpenSSL ASN.1 parsing bugs =0.9.6j BruteForce Exploit 2003-12-06Apache 1.3.*-2.0.48 mod_userdir Remote Users Disclosure Exploit 2003-11-20Apache

18、mod_gzip (with debug_mode) = 1.2.26.1a Remote Exploit 2003-07-28Apache 1.3.x mod_mylo Remote Code Execution Exploit2003-06-08Apache = 2.0.45 APR Remote Exploit -Apache-Knacker.pl2003-05-29Webfroot Shoutbox 2.32 (Apache) Remote Exploit 2003-04-11Apache = 2.0.44 Linux Remote Denial of Service Exploit2

19、003-04-09Apache HTTP Server 2.x Memory Leak Exploit 2003-04-04Apache OpenSSL Remote Exploit (Multiple Targets) (OpenFuckV2.c)回退方案升级补丁的风险极高,必须在万无一失的条件下升级,如当前版本没有漏洞不建议升级判断依据判断是否漏洞。实施风险高重要等级备注4.1.2 SHG-Apache-04-01-02编号SHG-Apache-04-01-02名称禁用Apache Server 中的执行功能实施目的避免用户直接执行Apache 服务器中的执行程序,而造成服务器系统的公开化

20、。问题影响越权使用造成非法攻击。系统当前状态# ls -al which apachectl# apachectl V | grep SERVER_CONFIG实施步骤在配置文件access.conf 或httpd.conf中的Options指令处加入Includes NO EXEC选项,用以禁用Apache Server 中的执行功能。避免用户直接执行Apache 服务器中的执行程序,而造成服务器系统的公开化。备份access.conf 或httpd.conf文件修改:Options Includes Noexec回退方案恢复access.conf 和 httpd.conf文件,重启APAC

21、HE判断依据看是否禁用了 Apache Server实施风险中重要等级4.1.3 SHG-Apache-04-01-03编号SHG-Apache-04-01-03名称隐藏Apache的版本号及其它敏感信息实施目的隐藏Apache的版本号及其它敏感信息问题影响越权使用造成非法攻击。系统当前状态# ls -al which apachectl# apachectl V | grep SERVER_CONFIG实施步骤默认情况下,很多Apache安装时会显示版本号及操作系统版本,甚至会显示服务器上安装的是什么样的Apache模块。这些信息可以为黑客所用,并且黑客还可以从中得知你所配置的服务器上的很多

22、设置都是默认状态。 添加到你的httpd.conf文件中: ServerSignature Off ServerTokens Prod 补充说明:ServerSignature出现在Apache所产生的像404页面、目录列表等页面的底部。ServerTokens目录被用来判断Apache会在Server HTTP响应包的头部填充什么信息。如果把ServerTokens设为Prod,那么HTTP响应包头就会被设置成: Server:Apache 也可以通过源代码和安全模块进行修改回退方案将备份的httpd.conf文件恢复,重新启动APACHE判断依据访问看是否给隐藏了。实施风险低重要等级4.1

23、.4 SHG-Apache-04-01-04编号SHG-Apache-04-01-04名称Apache 413错误页面跨站脚本漏洞修复实施目的修复Apache HTTP Server处理畸形用户请求时存在漏洞问题影响远程攻击者可能利用此漏洞获取脚本源系统当前状态Cat httpd.conf实施步骤Apache HTTP Server处理畸形用户请求时存在漏洞,远程攻击者可能利用此漏洞获取脚本源码。向Apache配置文件httpd.conf添加ErrorDocument 413语句禁用默认的413错误页面。回退方案恢复原始状态。判断依据警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用

24、。使用者风险自负!请求:GET / HTTP/1.1Host: Connection: closeContent-length: -1LFLF实施风险中重要等级备注4.1.5 SHG-Apache-04-01-05编号SHG-Apache-04-01-05名称限制请求消息长度实施目的限制http请求的消息主体的大小。问题影响恶意攻击。系统当前状态Cat httpd.conf文件,看是否与原来相同。实施步骤1、参考配置操作编辑httpd.conf配置文件,修改为102400ByteLimitRequestBody 102400回退方案恢复原始状态。判断依据1、判定条件检查配置文件设置。2、检测操

25、作上传文件超过100K将报错。实施风险中重要等级备注4.1.6 SHG-Apache-04-01-06编号SHG-Apache-04-01-06名称错误页面处理实施目的Apache错误页面重定向。问题影响恶意攻击。系统当前状态查看 httpd.conf文件,查看ErrorDocument文件是否与修改前相同。 实施步骤1、参考配置操作(1) 修改httpd.conf配置文件:ErrorDocument 400 /custom400.htmlErrorDocument 401 /custom401.htmlErrorDocument 403 /custom403.htmlErrorDocumen

26、t 404 /custom404.htmlErrorDocument 405 /custom405.html ErrorDocument 500 /custom500.htmlCustomxxx.html为要设置的错误页面。(2)重新启动Apache服务回退方案恢复原始状态。判断依据1、判定条件指向指定错误页面2、检测操作URL地址栏中输入http:/ip/xxxxxxx(一个不存在的页面)实施风险高重要等级备注4.1.7 SHG-Apache-04-01-07编号SHG-Apache-04-01-07名称拒绝服务防范实施目的防止恶意攻击问题影响恶意攻击。系统当前状态查看 httpd.conf

27、文件,查看Timeout等文件是否与原来相同。 实施步骤1、参考配置操作(1) 编辑httpd.conf配置文件, Timeout 10 KeepAlive OnKeepAliveTimeout 15AcceptFilter http dataAcceptFilter https data (2)重新启动Apache服务回退方案恢复原始状态。判断依据1、判定条件2、检测操作检查配置文件是否设置。实施风险高重要等级备注4.1.8 SHG-Apache-04-01-08编号SHG-Apache-04-01-08名称删除缺省安装的无用文件实施目的防止恶意攻击问题影响恶意攻击。系统当前状态查看缺省的的HTML文件是否与原来相同。实施步骤1、参考配置操作删除缺省HTML文件:# rm -rf /usr/local/apache2/htdocs/* 删除缺省的CGI脚本:# rm rf /usr/local/apache2/cgi-bin/*删除Apache说明文件:# rm rf /usr/local/apache2/manual删除源代码文件:# rm -rf /path/to/httpd-2.2.4*根据安装步骤不同和版本不同,某些目录或文件可能不存在或位置不同。回退方案恢复原始状态。判断依据1、判定条件2、检测操作检查对应目录。实施风险高重要等级备注

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1