Apache系统加固规范2024年9月目录1账号管理、认证授权............................................................................................11.1.1SHG-Apache-01-01-01....................................................................................11.1.2SHG-Apache-01-01-02....................................................................................21.1.3SHG-Apache-01-01-03....................................................................................31.1.4SHG-Apache-01-01-04....................................................................................41.1.5SHG-Apache-01-01-05....................................................................................52日志配置................................................................................................................62.1.1SHG-Apache-02-01-01....................................................................................63通信协议................................................................................................................73.1.1SHG-Apache-03-01-01....................................................................................74设备其他安全要求................................................................................................84.1.1SHG-Apache-04-01-01....................................................................................84.1.2SHG-Apache-04-01-02................................................................................104.1.3SHG-Apache-04-01-03................................................................................114.1.4SHG-Apache-04-01-04................................................................................124.1.5SHG-Apache-04-01-05................................................................................134.1.6SHG-Apache-04-01-06................................................................................144.1.7SHG-Apache-04-01-07................................................................................154.1.8SHG-Apache-04-01-08................................................................................16本文档适用于Apache服务器。本规范明确了Apache服务器安全配置方面的基本要求。11账号管理、认证授权账号管理、认证授权1.1.11.1.1SHG-Apache-01-01-01SHG-Apache-01-01-01编号SHG-Apache-01-01-01名称以特定用户运行服务实施目的以特定用户运行服务,不要使用系统管理员账号启动APACHE问题影响越权使用造成非法攻击。系统当前状态#ps-aux|grephttpd|grep-vgrep#ls-al`whichapachectl`#apachectl–V|grepSERVER_CONFIGSolaris用ps-ef代替ps-aux查看当前进程实施步骤一般情况下,Apache是由Root来安装和运行的。如果ApacheServer进程具有Root用户特权,那么它将给系统的安全构成很大的威胁,应确保ApacheServer进程以最可能低的权限用户来运行。通过修改httpd.conf文件中的下列选项,以Nobody用户运行Apache达到相对安全的目的。备份httpd.conf文件修改:UsernobodyGroup#-1重启APACHE./apachectlrestart回退方案恢复httpd.conf文件,重启APACHE判断依据判断是否漏洞。实施风险中重要等级★★★1.1.21.1.2SHG-Apache-01-01-02SHG-Apache-01-01-02编号SHG-Apache-01-01-02名称ServerRoot目录的权限实施目的非超级用户不能修改该目录中的内容问题影响非法修改系统当前状态#ls–al/usr/local/apache实施步骤为了确保所有的配置是适当的和安全的,需要严格控制Apache主目录的访问权限,使非超级用户不能修改该目录中的内容。Apache的主目录对应于ApacheServer配置文件httpd.conf的ServerRoot控制项中,应为:ServerRoot/usr/local/apache回退方案恢复目录权限判断依据尝试修改,看是否能修改。实施风险中重要等级★★备注1.1.31.1.3SHG-Apache-01-01-03SHG-Apache-01-01-03编号SHG-Apache-01-01-03名称控制哪些主机能够访问服务器的一个区域实施目的防止恶意攻击问题影响非法访问系统当前状态Cathttpd.conf实施步骤如果你只想让某个网段或者某个IP接入,你可以在apache配置文件中强制实行。如:你想限制你的intranet,只能被176.16.网段接入:OrderDeny,AllowDenyfromallAllowfrom176.16.0.0/16OrbyIP:OrderDeny,AllowDenyfromallAllowfrom127.0.0.1备注:详细请参考:http://www.souzz.net/online/ApacheManual/mod/mod_access.html回退方案恢复原始状态。判断依据尝试非法访问。实施风险高重要等级★★备注1.1.41.1.4SHG-Apache-01-01-04SHG-Apache-01-01-04编号SHG-Apache-01-01-04名称禁止访问外部文件实施目的禁止Apache访问Web目录之外的任何文件。的IP地址等内容。问题影响非法访问,恶意攻击。系统当前状态Cathttpd.conf实施步骤1、参考配置操作编辑httpd.conf配置文件,OrderDeny,AllowDenyfromall2、补充操作说明设置可访问目录,OrderAllow,DenyAllowfromall其中/web为网站根目录。回退方案恢复原始状态。判断依据1、判定条件无法访问Web目录之外的文件。2、检测操作访问服务器上不属于Web目录的一个文件,结果应无法显示。实施风险中重要等级★★★备注1.1.51.1.5SHG-Apache-01-01-05SHG-Apache-01-01-05编号SHG-Apache-01-01-05名称目录列表访问限制实施目的禁止Apache列表显示文件。问题影响恶意攻击。系统当前状态查看httpd.conf文件,查看OptionsFollowSymLinks是否与原来相同。实施步骤1、参考配置操作(1)编辑httpd.conf配置文件,OptionsFollowSymLinksAllowOverrideNoneOrderallow,denyAllowfromall将OptionsIndexesFollowSymLinks中的Indexes去掉,就可以禁止Apache显示该目录结构。Indexes的作用就是当该目录下没有index.html文件时,就显示目录结构。(2)设置Apache的默认页面,编辑%apache%\conf\httpd.conf配置文件,DirectoryIndexindex.html其中index.html即为默认页面,可根据情况改为其它文件。(3)重新启动Apache服务回退方案恢复原始状态。判断依据1、判定条件当WEB目录中没有默认首页如index.html文件时,不会列出目录内容2、检测操作直接访问http://ip:8800/xxx(xxx为某一目录)实施风险高重要等级★备注22日志配置日志配置2.1.12.1.1SHG-Apache-02-01-01SHG-Apache-02-01-01编号SHG-Apache-02-01-01名称审核登陆实施目的对运行错误、用户访问等进行记录,记录内容包括时间,用户使用的IP地址等内容。问题影响非法访问,恶意攻击。系统当前状态查看httpd.conf文件中的ErrorLog、LogFormat(cathttpd.conf|grepErrorLog)查看ErrorLog指定的日志文件如logs/error_log中的内容是否完整(catlogs/error_log)实施步骤1、参考配置操作编辑httpd.conf配置文件,设置日志记录文件、记录内容、记录格式。LogLevelnoticeErrorLoglogs/error_logLogFormat"%h%l%u%t\"%r\"%>s%b\"%{Accept}i\"\"%{Referer}i\"\"%{User-Agent}i\""combinedCustomLoglogs/access_logcombinedErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件,Apachehttpd将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog,则设置:ErrorLogsyslog。CustomLog指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详细程度,建议设置为notice。回退方案恢复原始状态。判断依据查看logs目录中相关日志文件内容,记录完整。实施风险中重要等级★★备注33通信协议通信协议3.1.13.1.1SHG-Apache-03-01-01SHG-Apache-03-01-01编号SHG-Apache-03-01-01名称更改默认端口实施目的更改Apache服务器默认端口,防止非法访问。问题影响恶意攻击。系统当前状态查看httpd.conf文件,查看端口是否与原来相同。实施步骤1、参考配置操作(1)修改httpd.conf配置文件,更改默认端口到8080Listenx.x.x.x:8080(2)重启Apache服务回退方案恢复原始状态。判断依据1、判定条件使用8080端口登陆页面成功2、检测操作登陆http://ip:8080实施风险高重要等级★备注44设备其他安全要求设备其他安全要求4.1.14.1.1SHG-Apache-04-01-01SHG-Apache-04-01-01编号SHG-Apache-04-01-01名称补丁修复实施目的升级APACHE修复漏洞问题影响容易引起恶意攻击。系统当前状态查看版本Linux:apachectl-V实施步骤到www.apache.org下载新版本的APACHE公开的apache漏洞2008-08-11ApacheTomcat<=6.0.18UTF8DirectoryTraversalVulnerability2008-07-18Apachemod_jk1.2.19RemoteBufferOverflowExploit(win32)2008-07-17BeaWeblogicApacheConnectorCodeExec/DenialofServiceExploit2008-04-06ApacheTomcatConnectorjk2-2.0.2(mod_jk2)RemoteOverflowExploit2008-03-31mod_jk2v2.0.2forApache2.0RemoteBufferOverflowExploit(win32)2007-10-21ApacheTomcat(webdav)RemoteFileDisclosureExploit(sslsupport)2007-10-14ApacheTomcat(webdav)RemoteFileDisclosureExploit2007-07-08ApacheTomcatConnector(mod_jk)RemoteExploit(exec-shield)2007-06-22Apachemod_jk1.2.19/1.2.20RemoteBufferOverflowExploit2007-05-26Apache2.0.58mod_rewriteRemoteOverflowExploit(win2k3)2007-04-07ApacheMod_RewriteOff-by-oneRemoteOverflowExploit(win32)2007-02-28Ubuntu/DebianApache1.3.33/1.3.34(CGITTY)LocalRootExploit2006-08-21Apache<1.3.37,2.0.59,2.2.3(mod_rewrite)RemoteOverflowPoC2006-07-23ApacheTomcat<5.5.17RemoteDirectoryListingVulnerability2005-06-20Apache<=2.0.49ArbitraryLongHTTPHeadersDenialofService2005-03-04Apache<=2.0.52HTTPGETrequestDenialofServiceExploit2005-01-16Apache(mod_auth_radius)RemoteDenialofServiceExploit2004-11-18Apache2.0.52MultipleSpaceHeaderDenialofServiceExploit(v2)2004-11-02Apache2.0.52MultipleSpaceHeaderDoS(ccode)2004-11-02Apache2.0.52MultipleSpaceHeaderDoS(Perlcode)2004-10-21Apache<=1.3.31mod_includeLocalBufferOverflowExploit2004-09-16htpasswdApache1.3.31LocalExploit2004-08-02ApacheHTTPdArbitraryLongHTTPHeadersDoS(cversion)2004-07-22ApacheHTTPdArbitraryLongHTTPHeadersDoS2004-01-21ApacheOpenSSLASN.1parsingbugs<=0.9.6jBruteForceExploit2003-12-06Apache1.3.*-2.0.48mod_userdirRemoteUsersDisclosureExploit2003-11-20Apachemod_gzip(withdebug_mode)<=1.2.26.1aRemoteExploit2003-07-28Apache1.3.xmod_myloRemoteCodeExecutionExploit2003-06-08Apache<=2.0.45APRRemoteExploit-Apache-Knacker.pl2003-05-29WebfrootShoutbox<2.32(Apache)RemoteExploit2003-04-11Apache<=2.0.44LinuxRemoteDenialofServiceExploit2003-04-09ApacheHTTPServer2.xMemoryLeakExploit2003-04-04ApacheOpenSSLRemoteExploit(MultipleTargets)(OpenFuckV2.c)回退方案升级补丁的风险极高,必须在万无一失的条件下升级,如当前版本没有漏洞不建议升级判断依据判断是否漏洞。实施风险高重要等级★★★备注4.1.24.1.2SHG-Apache-04-01-02SHG-Apache-04-01-02编号SHG-Apache-04-01-02名称禁用ApacheServer中的执行功能实施目的避免用户直接执行Apache服务器中的执行程序,而造成服务器系统的公开化。问题影响越权使用造成非法攻击。系统当前状态#ls-al`whichapachectl`#apachectl–V|grepSERVER_CONFIG实施步骤在配置文件access.conf或httpd.conf中的Options指令处加入IncludesNOEXEC选项,用以禁用ApacheServer中的执行功能。避免用户直接执行Apache服务器中的执行程序,而造成服务器系统的公开化。备份access.conf或httpd.conf文件修改:OptionsIncludesNoexec回退方案恢复access.conf和httpd.conf文件,重启APACHE判断依据看是否禁用了ApacheServer实施风险中重要等级★4.1.34.1.3SHG-Apache-04-01-03SHG-Apache-04-01-03编号SHG-Apache-04-01-03名称隐藏Apache的版本号及其它敏感信息实施目的隐藏Apache的版本号及其它敏感信息问题影响越权使用造成非法攻击。系统当前状态#ls-al`whichapachectl`#apachectl–V|grepSERVER_CONFIG实施步骤默认情况下,很多Apache安装时会显示版本号及操作系统版本,甚至会显示服务器上安装的是什么样的Apache模块。这些信息可以为黑客所用,并且黑客还可以从中得知你所配置的服务器上的很多设置都是默认状态。添加到你的httpd.conf文件中:ServerSignatureOffServerTokensProd补充说明:ServerSignature出现在Apache所产生的像404页面、目录列表等页面的底部。ServerTokens目录被用来判断Apache会在ServerHTTP响应包的头部填充什么信息。如果把ServerTokens设为Prod,那么HTTP响应包头就会被设置成:Server:Apache也可以通过源代码和安全模块进行修改回退方案将备份的httpd.conf文件恢复,重新启动APACHE判断依据访问看是否给隐藏了。实施风险低重要等级★4.1.44.1.4SHG-Apache-04-01-04SHG-Apache-04-01-04编号SHG-Apache-04-01-04名称Apache413错误页面跨站脚本漏洞修复实施目的修复ApacheHTTPServer处理畸形用户请求时存在漏洞问题影响远程攻击者可能利用此漏洞获取脚本源系统当前状态Cathttpd.conf实施步骤ApacheHTTPServer处理畸形用户请求时存在漏洞,远程攻击者可能利用此漏洞获取脚本源码。向Apache配置文件httpd.conf添加ErrorDocument413语句禁用默认的413错误页面。回退方案恢复原始状态。判断依据警告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!请求:GET/HTTP/1.1Host:Connection:closeContent-length:-1[LF][LF]实施风险中重要等级★★★备注4.1.54.1.5SHG-Apache-04-01-05SHG-Apache-04-01-05编号SHG-Apache-04-01-05名称限制请求消息长度实施目的限制http请求的消息主体的大小。问题影响恶意攻击。系统当前状态Cathttpd.conf文件,看是否与原来相同。实施步骤1、参考配置操作编辑httpd.conf配置文件,修改为102400ByteLimitRequestBody102400回退方案恢复原始状态。判断依据1、判定条件检查配置文件设置。2、检测操作上传文件超过100K将报错。实施风险中重要等级★备注4.1.64.1.6SHG-Apache-04-01-06SHG-Apache-04-01-06编号SHG-Apache-04-01-06名称错误页面处理实施目的Apache错误页面重定向。问题影响恶意攻击。系统当前状态查看httpd.conf文件,查看ErrorDocument文件是否与修改前相同。实施步骤1、参考配置操作(1)修改httpd.conf配置文件:ErrorDocument400/custom400.htmlErrorDocument401/custom401.htmlErrorDocument403/custom403.htmlErrorDocument404/custom404.htmlErrorDocument405/custom405.htmlErrorDocument500/custom500.htmlCustomxxx.html为要设置的错误页面。(2)重新启动Apache服务回退方案恢复原始状态。判断依据1、判定条件指向指定错误页面2、检测操作URL地址栏中输入http://ip/xxxxxxx~~~(一个不存在的页面)实施风险高重要等级★备注4.1.74.1.7SHG-Apache-04-01-07SHG-Apache-04-01-07编号SHG-Apache-04-01-07名称拒绝服务防范实施目的防止恶意攻击问题影响恶意攻击。系统当前状态查看httpd.conf文件,查看Timeout等文件是否与原来相同。实施步骤1、参考配置操作(1)编辑httpd.conf配置文件,Timeout10KeepAliveOnKeepAliveTimeout15AcceptFilterhttpdataAcceptFilterhttpsdata(2)重新启动Apache服务回退方案恢复原始状态。判断依据1、判定条件2、检测操作检查配置文件是否设置。实施风险高重要等级★备注4.1.84.1.8SHG-Apache-04-01-08SHG-Apache-04-01-08编号SHG-Apache-04-01-08名称删除缺省安装的无用文件实施目的防止恶意攻击问题影响恶意攻击。系统当前状态查看缺省的的HTML文件是否与原来相同。实施步骤1、参考配置操作删除缺省HTML文件:#rm-rf/usr/local/apache2/htdocs/*删除缺省的CGI脚本:#rm–rf/usr/local/apache2/cgi-bin/*删除Apache说明文件:#rm–rf/usr/local/apache2/manual删除源代码文件:#rm-rf/path/to/httpd-2.2.4*根据安装步骤不同和版本不同,某些目录或文件可能不存在或位置不同。回退方案恢复原始状态。判断依据1、判定条件2、检测操作检查对应目录。实施风险高重要等级★备注
