搜索
Apache系统加固规范2010年9月tds.antiy.com目录1账号管理、认证授权......................................................................................................11.1.1SHG-Apache-01-01-01........................................................................................11.1.2SHG-Apache-01-01-02........................................................................................21.1.3SHG-Apache-01-01-03........................................................................................31.1.4SHG-Apache-01-01-04........................................................................................41.1.5SHG-Apache-01-01-05........................................................................................52日志配置...........................................................................................................................62.1.1SHG-Apache-02-01-01........................................................................................63通信协议...........................................................................................................................73.1.1SHG-Apache-03-01-01........................................................................................74设备其他安全要求..........................................................................................................84.1.1SHG-Apache-04-01-01........................................................................................84.1.2SHG-Apache-04-01-02......................................................................................104.1.3SHG-Apache-04-01-03.......................................................................................114.1.4SHG-Apache-04-01-04......................................................................................124.1.5SHG-Apache-04-01-05......................................................................................134.1.6SHG-Apache-04-01-06......................................................................................144.1.7SHG-Apache-04-01-07......................................................................................154.1.8SHG-Apache-04-01-08......................................................................................16本文档适用于Apache服务器。本规范明确了Apache服务器安全配置方面的基本要求。11账账号号管管理理、、认认证证授授权权11..11..11SSHHGG--AAppaacchhee--0011--0011--0011编号SHG-Apache-01-01-01名称以特定用户运行服务实施目的以特定用户运行服务,不要使用系统管理员账号启动APACHE问题影响越权使用造成非法攻击。系统当前状态#ps-aux|grephttpd|grep-vgrep#ls-al`whichapachectl`#apachectl–V|grepSERVER_CONFIGSolaris用ps-ef代替ps-aux查看当前进程实施步骤一般情况下,Apache是由Root来安装和运行的。如果ApacheServer进程具有Root用户特权,那么它将给系统的安全构成很大的威胁,应确保ApacheServer进程以最可能低的权限用户来运行。通过修改httpd.conf文件中的下列选项,以Nobody用户运行Apache达到相对安全的目的。备份httpd.conf文件修改:UsernobodyGroup#-1重启APACHE./apachectlrestart回退方案恢复httpd.conf文件,重启APACHE判断依据判断是否漏洞。实施风险中重要等级★★★11..11..22SSHHGG--AAppaacchhee--0011--0011--0022编号SHG-Apache-01-01-02名称ServerRoot目录的权限实施目的非超级用户不能修改该目录中的内容问题影响非法修改系统当前状态#ls–al/usr/local/apache实施步骤为了确保所有的配置是适当的和安全的,需要严格控制Apache主目录的访问权限,使非超级用户不能修改该目录中的内容。Apache的主目录对应于ApacheServer配置文件httpd.conf的ServerRoot控制项中,应为:ServerRoot/usr/local/apache回退方案恢复目录权限判断依据尝试修改,看是否能修改。实施风险中重要等级★★备注11..11..33SSHHGG--AAppaacchhee--0011--0011--0033编号SHG-Apache-01-01-03名称控制哪些主机能够访问服务器的一个区域实施目的防止恶意攻击问题影响非法访问系统当前状态实施步骤如果你只想让某个网段或者某个IP接入,你可以在apache配置文件中强制实行。如:你想限制你的intranet,只能被176.16.网段接入:OrderDeny,AllowDenyfromallAllowfrom176.16.0.0/16OrbyIP:OrderDeny,AllowDenyfromallAllowfrom127.0.0.1备注:详细请参考:回退方案恢复原始状态。判断依据尝试非法访问。实施风险高重要等级★★备注11..11..44SSHHGG--AAppaacchhee--0011--0011--0044编号SHG-Apache-01-01-04名称禁止访问外部文件实施目的禁止Apache访问Web目录之外的任何文件。的IP地址等内容。问题影响非法访问,恶意攻击。系统当前状态Cathttpd.conf实施步骤1、参考配置操作编辑httpd.conf配置文件,Directory/OrderDeny,AllowDenyfromall/Directory2、补充操作说明设置可访问目录,Directory/webOrderAllow,DenyAllowfromall/Directory其中/web为网站根目录。回退方案恢复原始状态。判断依据1、判定条件无法访问Web目录之外的文件。2、检测操作访问服务器上不属于Web目录的一个文件,结果应无法显示。实施风险中重要等级★★★备注11..11..55SSHHGG--AAppaacchhee--0011--0011--0055编号SHG-Apache-01-01-05名称目录列表访问限制实施目的禁止Apache列表显示文件。问题影响恶意攻击。系统当前状态查看httpd.conf文件,查看OptionsFollowSymLinks是否与原来相同。实施步骤1、参考配置操作(1)编辑httpd.conf配置文件,Directory/webOptionsFollowSymLinksAllowOverrideNoneOrderallow,denyAllowfromall/Directory将OptionsIndexesFollowSymLinks中的Indexes去掉,就可以禁止Apache显示该目录结构。Indexes的作用就是当该目录下没有index.html文件时,就显示目录结构。(2)设置Apache的默认页面,编辑%apache%\conf\httpd.conf配置文件,IfModuledir_moduleDirectoryIndexindex.html/IfModule其中index.html即为默认页面,可根据情况改为其它文件。(3)重新启动Apache服务回退方案恢复原始状态。判断依据1、判定条件当WEB目录中没有默认首页如index.html文件时,不会列出目录内容2、检测操作直接访问(xxx为某一目录)实施风险高重要等级★备注22日日志志配配置置22..11..11SSHHGG--AAppaacchhee--0022--0011--0011编号SHG-Apache-02-01-01名称审核登陆实施目的对运行错误、用户访问等进行记录,记录内容包括时间,用户使用的IP地址等内容。问题影响非法访问,恶意攻击。系统当前状态查看httpd.conf文件中的ErrorLog、LogFormat(cathttpd.conf|grepErrorLog)查看ErrorLog指定的日志文件如logs/error_log中的内容是否完整(catlogs/error_log)实施步骤1、参考配置操作编辑httpd.conf配置文件,设置日志记录文件、记录内容、记录格式。LogLevelnoticeErrorLoglogs/error_logLogFormat%h%l%u%t\%r\%s%b\%{Accept}i\\%{Referer}i\\%{User-Agent}i\combinedCustomLoglogs/access_logcombinedErrorLo