apache 加固配置

原創 xxx0028 2020-07-03 20:19

目錄

  • 賬號口令和認證授權
  • 日誌配置
  • 禁止apache列表顯示文件
  • 設置拒絕服務防範
  • 刪除安裝的無用文件
  • 檢查apache服務器默認端口
  • 禁止apache訪問web目錄之外的任何文件
  • 設置apache錯誤頁面重定向
  • 限制HTTP請求的消息主體的大小

賬號口令和認證授權

檢查是否隱藏apache的版本號及其他敏感信息

檢查內容

隱藏Apache的版本號及其它敏感信息

檢查操作步驟

編輯配置文件httpd.conf

判定條件

ServerSignature Off
ServerTokens Prod

加固方案操作建議

參考配置操作
修改httpd.conf配置文件:
  ServerSignature Off
  ServerTokens Prod

加固方案補充說明

存在ServerTokens值爲Prod,ServerSignature值爲Off

檢查是否專門的用戶帳號和組運行Apache

檢查內容

以專門的用戶帳號和組運行Apache

檢查操作步驟

根據需要爲Apache創建用戶、組
修改httpd.conf配置文件,添加如下語句:
User apache
Group apachegroup
其中apache、apachegroup分別是爲Apache創建的用戶和組。

判定條件

User apache
Group apachegroup

基準值

Group,User

加固方案操作建議

修改httpd.conf配置文件,添加如下語句:
User apache
Group apachegroup
其中apache、apachegroup分別是爲Apache創建的用戶和組。

加固方案補充說明

1、根據不同用戶,取不同的名稱。
2、爲用戶設置適當的家目錄和shell。
存在Group和user組

日誌配置

檢查是否配備apache日誌功能

檢查項內容

設備應配置日誌功能,對運行錯誤、用戶訪問等進行記錄,記錄內容包括時間,用戶使用的IP地址等內容

檢查操作步驟

查看配置文件httpd.conf
編輯httpd.conf配置文件,設置日誌記錄文件、記錄內容、記錄格式。
LogLevel notice
ErrorLog logs/error_log
LogFormat “%h %l %u %t “%r” %>s %b “%{Accept}i” “%{Referer}i” “%{User-Agent}i”” combined
CustomLog logs/access_log combined

判定條件

查看logs目錄中相關日誌文件內容,記錄完整。

基準值

CustomLog,LogFormat,ErrorLog,LogLevel

加固方案操作建議

編輯httpd.conf配置文件,設置日誌記錄文件、記錄內容、記錄格式。
LogLevel notice
ErrorLog logs/error_log
LogFormat “%h %l %u %t “%r” %>s %b “%{Accept}i” “%{Referer}i” “%{User-Agent}i”” combined
CustomLog logs/access_log combined
ErrorLog指令設置錯誤日誌文件名和位置。錯誤日誌是最重要的日誌文件,Apache httpd將在這個文件中存放診斷信息和處理請求中出現的錯誤。若要將錯誤日誌送到Syslog,則設置:ErrorLog syslog。
CustomLog指令設置訪問日誌的文件名和位置。訪問日誌中會記錄服務器所處理的所有請求。
LogFormat設置日誌格式。LogLevel用於調整記錄在錯誤日誌中的信息的詳細程度,建議設置爲notice。

加固方案補充說明

用戶日誌CustomLog,日誌格式LogFormat,錯誤日誌ErrorLog,日誌等級LogLevel這四個字段後面有配置的日誌信息

檢查是否禁止Apache列表顯示文件

檢查項內容

禁止Apache列表顯示文件

檢查操作步驟

編輯httpd.conf配置文件,將Options Indexes FollowSymLinks中的Indexes 去掉,就可以禁止 Apache 顯示該目錄結構。Indexes 的作用就是當該目錄下沒有 index.html文件時,就顯示目錄結構

判定條件

當WEB目錄中沒有默認首頁如index.html文件時,不會列出目錄內容

基準值

Indexes

加固方案操作建議

編輯httpd.conf配置文件,
<Directory “/web”>
Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
< /Directory >
將Options Indexes FollowSymLinks中的Indexes 去掉,就可以禁止 Apache 顯示該目錄結構。Indexes 的作用就是當該目錄下沒有 index.html文件時,就顯示目錄結構。
其中index.html即爲默認頁面,可根據情況改爲其它文件。

加固方案補充說明

存在Options Indexes FollowSymLinks

檢查是否設置拒絕服務防範

檢查項內容

拒絕服務防範

檢查操作步驟

編輯配置文件httpd.conf

判定條件

Timeout 10 KeepAlive On
KeepAliveTimeout 15
AcceptFilter http data
AcceptFilter https data

基準值

AcceptFilter https data,AcceptFilter http data,KeepAliveTimeout 15,Timeout 10 KeepAlive On

加固方案操作建議

編輯httpd.conf配置文件,
Timeout 10 KeepAlive On
KeepAliveTimeout 15
AcceptFilter http data
AcceptFilter https data
(2)重新啓動Apache服務

加固方案補充說明

同時存在AcceptFilter https data,AcceptFilter http data,KeepAliveTimeout 15,Timeout 10 KeepAlive On

是否刪除安裝的無用文件

檢查項內容

刪除缺省安裝的無用文件

檢查操作步驟

刪除缺省安裝的無用文件#rm %Apache_Home%/htdocs/* #rm %Apache_Home%/cgi-bin/#rm %Apache_Home%/manual#rm %Apache_Home%/httpd-2.2.4

判定條件

刪除缺省安裝的無用文件#rm %Apache_Home%/htdocs/* #rm %Apache_Home%/cgi-bin/#rm %Apache_Home%/manual#rm %Apache_Home%/httpd-2.2.4

加固方案操作建議

刪除缺省HTML文件:
#rm -rf /usr/local/apache2/htdocs/*
刪除缺省的CGI腳本:
#rm –rf /usr/local/apache2/cgi-bin/*
刪除Apache說明文件:
#rm –rf /usr/local/apache2/manual
刪除源代碼文件:
#rm -rf /path/to/httpd-2.2.4*
根據安裝步驟不同和版本不同,某些目錄或文件可能不存在或位置不同。

加固方案補充說明

htdocs,cgi-bin,manual的文件數都等於0

檢查Apache服務器默認端口

檢查項內容

更改Apache服務器默認端口

檢查操作步驟

修改httpd.conf配置文件,更改默認端口到8080

判定條件

Listen x.x.x.x:8080

基準值

8080

加固方案操作建議

(1)修改httpd.conf配置文件,更改默認端口到8080
Listen x.x.x.x:8080
(2)重啓Apache服務

加固方案補充說明

存在Listen x.x.x.x:8080

檢查是否禁止Apache訪問Web目錄之外的任何文件

檢查項內容

禁止Apache訪問Web目錄之外的任何文件

檢查操作步驟

查看httpd.conf配置文件
編輯httpd.conf配置文件,
<Directory / >
Order Deny,Allow
Deny from all
< /Directory>

判定條件

編輯httpd.conf配置文件,
<Directory / >
Order Deny,Allow
Deny from all
< /Directory>

基準值

Order Deny,Deny from all

加固方案操作建議

編輯httpd.conf配置文件,
<Directory / >
Order Deny,Allow
Deny from all
< /Directory>

加固方案補充說明

設置可訪問目錄,
<Directory /web>
Order Allow,Deny
Allow from all
< /Directory>
其中/web爲網站根目錄。
根目錄下面,存在Deny from all和Order Deny

檢查是否設置Apache錯誤頁面重定向

檢查項內容

Apache錯誤頁面重定向

檢查操作步驟

查看配置文件httpd.conf

判定條件

ErrorDocument 400 /custom400.html
ErrorDocument 401 /custom401.html
ErrorDocument 403 /custom403.html
ErrorDocument 404 /custom404.html
ErrorDocument 405 /custom405.html
ErrorDocument 500 /custom500.html
Customxxx.html爲要設置的錯誤頁面。

基準值

ErrorDocument

加固方案操作建議

(1) 修改httpd.conf配置文件:
ErrorDocument 400 /custom400.html
ErrorDocument 401 /custom401.html
ErrorDocument 403 /custom403.html
ErrorDocument 404 /custom404.html
ErrorDocument 405 /custom405.html
ErrorDocument 500 /custom500.html
Customxxx.html爲要設置的錯誤頁面。
(2)重新啓動Apache服務

加固方案補充說明

存在ErrorDocument

限制http請求的消息主體的大小

檢查項內容

限制http請求的消息主體的大小

檢查操作步驟

查看配置文件httpd.conf
LimitRequestBody 102400

判定條件

LimitRequestBody 102400

加固方案操作建議

編輯httpd.conf配置文件,修改爲102400Byte
LimitRequestBody 102400

加固方案補充說明

LimitRequestBody小於等於 102400

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

阿里雲原生十年磨劍:讓企業在數字經濟時代煥發生命力

日前,國際知名諮詢機構 Gartner 發佈了最新雲廠商產品評估報告,作爲亞洲唯一入選的雲廠商,阿里雲在計算大類中,以 92.3% 的高得分率拿下全球第一,並且刷新了該項目的歷史最佳成績。本次報告,Gartner 更多關注雲原生領域,比

雲棲號資訊小編 2020-08-31 11:19:52

從雲計算產業看國家“新基建”

雲棲號資訊:【點擊查看更多行業資訊】在這裏您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來! 全國“兩會”剛結束,作爲一個IT從業者,對本次提出的“新基建”感到興奮。 “新基建”不僅有利於擴大內需,更能通過其二次影響力,爆發出更大

雲棲號資訊小編 2020-07-31 11:19:54

多角度分析平臺即服務?PaaS的類型和用例

雲棲號資訊:【點擊查看更多行業資訊】在這裏您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來! 沒有適合所有人的單一PaaS。即使雲計算已經發展了10多年,但對雲計算服務模型的定義仍然相當模糊。通常,PaaS是指具有一系列部署和擴展自動

雲棲號資訊小編 2020-07-19 19:07:49

火了 2 年的服務網格究竟給微服務帶來了什麼?

雲棲號資訊:【點擊查看更多行業資訊】在這裏您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來! 在過去幾年中,微服務成爲了業界技術熱點,大量的互聯網公司都在使用微服務架構,也有很多傳統企業開始實踐互聯網技術轉型,基本上也是以微服務和容

雲棲號資訊小哥 2020-07-15 14:34:54

問題解決:啓動tomcat,日誌輸出:java.lang.ClassNotFoundException: com.tingyun.api.agent.TingYunApiImpl

文章目錄問題場景問題環境問題原因解決方案結果總結隨緣求贊 問題場景 有一個老項目,其中的tomcat有引入聽雲的插件。之後,因爲項目不需要了,所以需要移除相關的插件。之前是直接在啓動命令裏面加上javaagent參數。現在移除了這

ldx2 2020-07-08 09:08:50

使用Redis中間件設計商品秒殺活動(使用Java多線程模擬高併發環境)

一、引入相關依賴 可以新建Spring或Maven工程,在pom文件中引入Jedis依賴: <dependencies> <dependency> <groupId>redis.cl

计科11231 2020-07-08 07:48:00

Netty 與 RPC(貳)

Netty RPC 實現 概念 RPC,即 Remote Procedure Call(遠程過程調用),調用遠程計算機上的服務,就像調用本地服務一樣。RPC 可以很好的解耦系統,如 WebService 就是一種基於 Http 協議的

權先森和香香 2020-07-08 05:33:08

Mac下 nginx安裝使用

一、安裝Nginx使用brew命令簡單方便: 常用指令如下: brew 搜索軟件 brew search nginx brew 安裝軟件 brew install nginx brew 卸載軟件 brew uninstall ng

Benett-Chen 2020-07-08 02:30:38

laravel跨域中間件

創建中間件 DOS php artisan make:middleware Cross 在 app\Http\MiddleWare 創建 Cross.php 文件 <?php namespace App\Http\Midd

iuRzz. 2020-07-08 02:22:00

一文搞懂WebService基於CXF框架【jax-ws】

什麼是服務中間件WebService 中間件是一種獨立的系統軟件或服務程序,分佈式應用軟件藉助這種軟件在不同的技術之間共享資源。中間件位於客戶機/ 服務器的操作系統之上,管理計算機資源和網絡通訊。是連接兩個獨立應用程序或獨立系統的

丰丰丰的csdn 2020-07-07 22:38:08

修改WebLogic控制檯密碼

首先在console控制檯myrealm菜單中選中要修改密碼的用戶[img]http://dl.iteye.com/upload/attachment

iteye_10692 2020-07-07 21:22:08

基於Dubbo/SSM/Elasticsearch/Redis/MySQL搭建分佈式電商購物商城源碼分享

  關注點贊文章之後私信回覆(源碼)即可免費獲取到項目全部源碼文檔等! 基於SOA架構的分佈式購物電商商城 後臺管理系統:管理商品、訂單、類目、商品規格屬性、用戶、權限、系統統計、系統日誌以及前臺內容等功能 前臺系統:用戶可以在前臺系統

Java架构狮狮 2020-07-07 20:00:47

gradle系列--build.gradle

其他網址 gradle的build.gradle詳解_霓虹深處-CSDN博客_build.gradle Gradle 教程_w3cschool(不帶子目錄) Gradle User Guide 中文版(帶子目錄)   (英文版:Grad

feiying0canglang 2020-07-07 16:09:32

RabbitMQ系列--使用

使用綜述 其他網址 官方教程:Getting started with RabbitMQ — RabbitMQ 【RabbitMQ】基本概念及安裝_大數據_wudiyong22的專欄-CSDN博客 管理MQ(WEB頁面) 給新增的用戶

feiying0canglang 2020-07-07 15:29:24

gradle系列--綜述

其他網址 Gradle 教程_w3cschool(不帶子目錄) Gradle User Guide 中文版(帶子目錄)   (英文版:Gradle User Manual) Gradle DSL Version 6.5(Gradle英文

feiying0canglang 2020-07-07 15:29:22