1、Apache服務(wù)器配置及安全應(yīng)用指南技術(shù)創(chuàng)新 變革未來Apache服務(wù)安全加固一.賬號設(shè)置以專門的用戶帳號和組運(yùn)行 Apache。根據(jù)需要為 Apache 創(chuàng)建用戶、組參考配置操作 如果沒有設(shè)置用戶和組，則新建用戶，并在 Apache 配置文件中指定 (1) 創(chuàng)建 apache 組：groupadd apache(2) 創(chuàng)建 apache 用戶并加入 apache 組：useradd apache g apache(3) 將下面兩行加入 Apache 配置文件 httpd.conf 中檢查 httpd.conf 配置文件。 檢查是否使用非專用賬戶(如 root)運(yùn)行 apache默認(rèn)一般符合要

2、求，Linux下默認(rèn)apache或者nobody用戶，Unix默認(rèn)為daemon用戶Apache服務(wù)安全加固授權(quán)設(shè)置嚴(yán)格控制Apache主目錄的訪問權(quán)限，非超級用戶不能修改該目錄中的內(nèi)容Apache 的 主目錄對應(yīng)于 Apache Server配置文件 httpd.conf 的Server Root控制項(xiàng)中應(yīng)為：判定條件非超級用戶不能修改該目錄中的內(nèi)容檢測操作嘗試修改，看是否能修改一般為/etc/httpd目錄，默認(rèn)情況下屬主為root:root，其它用戶不能修改文件，默認(rèn)一般符合要求嚴(yán)格設(shè)置配置文件和日志文件的權(quán)限，防止未授權(quán)訪問。chmod 600 /etc/httpd/conf/http

3、d.conf”設(shè)置配置文件為屬主可讀寫，其他用戶無權(quán)限。使用命令”chmod 644 /var/log/httpd/*.log”設(shè)置日志文件為屬主可讀寫，其他用戶只讀權(quán)限。/etc/httpd/conf/httpd.conf默認(rèn)權(quán)限是644，可根據(jù)需要修改權(quán)限為600。/var/log/httpd/*.log默認(rèn)權(quán)限為644，默認(rèn)一般符合要求。Apache服務(wù)安全加固日志設(shè)置設(shè)備應(yīng)配置日志功能，對運(yùn)行錯(cuò)誤、用戶訪問等進(jìn)行記錄，記錄內(nèi)容包括時(shí)間，用戶使用的 IP 地址等內(nèi)容。編輯 httpd.conf 配置文件，設(shè)置日志記錄文件、記錄內(nèi)容、記錄 格式。其中，錯(cuò)誤日志：ErrorLog 指令設(shè)置錯(cuò)

4、誤日志文件名和位置。錯(cuò)誤日志是最重要的 日志文件，Apache httpd 將在這個(gè)文件中存放診斷信息和處理請 求中出現(xiàn)的錯(cuò)誤。若要將錯(cuò)誤日志送到 Syslog，則設(shè)置： ErrorLog syslog。CustomLog 指令指定了保存日志文件的具體位置以及日志的格式。訪問日志中會(huì)記錄服務(wù)器所處理的所有請求。LogFormat 設(shè)置日志格式，建議設(shè)置為 combined 格式。LogLevel 用于調(diào)整記錄在錯(cuò)誤日志中的信息的詳細(xì)程度，建議設(shè)置為notice。日志的級別，默認(rèn)是warn，notice級別比較詳細(xì)，在實(shí)際中由于日志會(huì)占用大量硬盤空間，一般沒有設(shè)置Apache服務(wù)安全加固禁止訪問

5、外部文件禁止 Apache 訪問 Web 目錄之外的任何文件。參考配置操作編輯 httpd.conf 配置文件：設(shè)置可訪問目錄其中/web 為網(wǎng)站根目錄默認(rèn)配置如下:一般可根據(jù)業(yè)務(wù)需要設(shè)置Apache服務(wù)安全加固禁止目錄列出目錄列出會(huì)導(dǎo)致明顯信息泄露或下載，禁止 Apache 列表顯示文件,編輯 httpd.conf 配置文件：將Options Indexes FollowSymLinks 中的 Indexes 去掉，就可以禁 止 Apache 顯示該目錄結(jié)構(gòu)。 Indexes 的作用就是當(dāng)該目錄下沒 有 index.html 文件時(shí)，就顯示目錄結(jié)構(gòu)。重新啟動(dòng) Apache 服務(wù)可以設(shè)置 /e

6、tc/httpd/httpd.conf 段中刪除Options的Indexes設(shè)置 一般可根據(jù)業(yè)務(wù)需要設(shè)置Apache服務(wù)安全加固錯(cuò)誤頁面重定向Apache 錯(cuò)誤頁面重定向功能防止敏感信息泄露修改 httpd.conf 配置文件：重新啟動(dòng) Apache 服務(wù)此項(xiàng)需要應(yīng)用系統(tǒng)設(shè)有錯(cuò)誤頁面，或者不在httpd中設(shè)置完全由業(yè)務(wù)邏輯實(shí)現(xiàn)，可根據(jù)業(yè)務(wù)需求加固。Apache服務(wù)安全加固拒絕服務(wù)防范根據(jù)業(yè)務(wù)需要，合理設(shè)置 session 時(shí)間，防止拒絕服務(wù)攻擊編輯 httpd.conf 配置文件:重新啟動(dòng) Apache 服務(wù)默認(rèn)Timeout 120 KeepAlive Off，KeepAliveTimeo

7、ut 15，該項(xiàng)設(shè)置涉及性能調(diào)整，一般不做。Apache服務(wù)安全加固隱藏 Apache 的版本號隱藏 Apache 的版本號及其它敏感信息。1.配置操作修改 httpd.conf 配置文件：網(wǎng)絡(luò)通信的分層模型Apache服務(wù)安全加固關(guān)閉 TRACE功能關(guān)閉 TRACE，防止 TRACE 方法被訪問者惡意利用。配置修改vim /etc/httpd/conf/httpd.conf網(wǎng)絡(luò)通信的分層模型Apache服務(wù)安全加固禁用 CGI如果服務(wù)器上不需要運(yùn)行 CGI 程序，建議禁用 CGI1.修改配置vim /etc/httpd/conf/httpd.conf，把 cgi-bin 目錄的配置和模塊都注

8、釋掉.根據(jù)需要設(shè)置，如果沒有CGI程序，可以關(guān)閉Apache服務(wù)安全加固監(jiān)聽地址綁定服務(wù)器有多個(gè) IP 地址時(shí)，只監(jiān)聽提供服務(wù)的 IP 地址1.使用命令查看是否綁定IP地址修改配置vim /etc/httpd/conf/httpd.conf 修改默認(rèn)設(shè)置是Listen 80監(jiān)聽所有地址，如果服務(wù)器只有一個(gè)IP地址可不做該項(xiàng)設(shè)置，如果有多個(gè)IP可以按照需要設(shè) 網(wǎng)絡(luò)通信的分層模型Apache服務(wù)安全加固刪除缺省安裝的無用文件刪除缺省安裝的無用文件.參考配置操作刪除缺省 HTML 文件刪除缺省的CGI腳本刪除 Apache 說明文件刪除源代碼文件刪除CGI 可根據(jù)實(shí)際情況刪除，一般是 /var/www/html /var/www/cgi-bin 默認(rèn)就是空的Apache服務(wù)安全加固禁用非法 HTTP 方法禁用P