1、Apache系統(tǒng)加固規(guī)范O2010 年 9 月目 錄1賬 號管 理、認(rèn)證授權(quán) . ” ” ” . . . . . . . . . . . . . . . . . . . . . ” ” ” ” ” ” . . . . . . . . . . ” ” . . ...41.1.5SHG-Apache-01-01-01 . 1SHG-Apache-01-01-02 . 2SHG-Ap che-01-01-03 . 3SHG-Ap che-01-01-04 . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2、 . . . 4SHG-Ap che-01-01-05 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52日 志配置 ” ” “ ” ” ” ” ” ” ” ” ” ” ” ” . . . . . . . . . . . . ” ” ” ” ” ” ” ” ” ” . .62.1.1SHG-Ap che-02-01-01 . . . . . . . . 二 . . . . . . . . . . . . . . . . . . . . . . . . . 63通 信 協(xié) 議 “ ” ” ” . . .

3、. . . . . . . . ” ” ” ” ” ” ” ” ” ” ” ” ” ” . . . . . . . . . . . . . . . . . . . ” ” . . . . . . . . . . . . . 73.1.1SHG-Ap che-03-01-01 . . . ： . : . . . . . . . . : . . . . . 74設(shè) 備 其 他 安全要 求“ “ ” “ “ “ ” ” ” “ “ “ ” ” “ ” ” “ ” ” ” ” ” “ . . . .....8SHG-Ap che-

4、04-01-01 . c.: 8SHG-Apche-04-01-02. . . . . . . . 二 . . . . . . . . . . . . .10SHG-Ap che-04-01-03 . . . . . . . i . . . 二. . . . . . . . . . . . . . . . . . . . . . . . . . .11SHG-Ap che-04-01-04 . . . . .：飛 ？ 千 ： SHG-Ap che-04-01-05 . 一 斗 ： . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5、 . . . .13SHG-Apache- 04-01-06 . ： ： . . . . . . . . . . . . . . . . .14SHG-Ap che-04-01-07 .:.;. 15SHG-Ap che-04-01-08 . .本文檔適用于Apache 服務(wù)器。本規(guī)范明確了 Apache 服務(wù)器安全配置方面的基本要求 。賬號管理 飛認(rèn)iIE授權(quán)L L 1SHG- Apache- O l- 01- 01編號名稱I SHG-Apache- 01- 01- 01 以特定用戶運(yùn)行服務(wù)實(shí)施目的問題影響以特定用戶運(yùn)行服務(wù)， 不要使用系統(tǒng)管理員賬號啟動 APACHE越權(quán)使用造成非法攻擊。#

6、 ps -aux I grep httpd I grep -v grep# I s -al 、which apachectl 、# apachectl -V I grep SERVER_CONFIGSolaris 用 ps -ef 代替 ps -aux 查看當(dāng)前進(jìn)程系統(tǒng)當(dāng)前狀態(tài)II一般情況下， Apache 是由 Root 來安裝和運(yùn)行的 。如果 Apache Server 進(jìn)程具 有 Root 用戶特權(quán) ，那么它將給系統(tǒng)的安全構(gòu)成很大的威脅 ，應(yīng)確保 Apache Server 進(jìn)程以最可能低的權(quán)限用戶來運(yùn)行。通過修改 httpd.conf 文件中的下列 選項(xiàng)， 以Nobody 用戶運(yùn)行 A

7、pache 達(dá)到相對安全的目的 。實(shí)施步驟備份 bttpd.conf 文件修改 ：User nobodyGroup# -1重啟 APACHE./apachectl restart1. 1. 2SHG- A pac he- 01- 01- 02編號SHG-Apache- 01- 01- 02電、 ，鳴氣 氣名稱ServerRoot 目錄的權(quán)限. 唱 唱、實(shí)施目的非超級用戶不能修改該目錄中的內(nèi)容r、問題影響非法修改系統(tǒng)當(dāng)前狀態(tài)# ls -al /usr/local/apache、 ，為了確保所有的配置是適當(dāng)?shù)暮桶踩模枰獓?yán)格控制 Apache 主目錄的訪 問權(quán)限，使非超級用戶不能修改該目錄中的內(nèi)

8、容 。Apache 的主目錄對應(yīng)于 Apache S巳rver 配置文件 httpd.conf 的 Server Root 控制項(xiàng)中，應(yīng)為：實(shí)施步驟Server Root / usr/ local/apache回退方案恢復(fù) 目錄權(quán)限判斷依據(jù)嘗試修改 ，看是否能修改 。實(shí)施風(fēng)險(xiǎn)中重要等級 民備注回退方案恢復(fù) httpd.conf 文件， 重啟 APACH E判斷依據(jù)判斷是否漏洞 。實(shí)施風(fēng)險(xiǎn)中重要等級，艙，嶺，傳1. 1. 3SH G-A pache-Ol -OI- 03編號SHG-Apache-01-01-03名稱控制哪些主機(jī)能夠訪問服務(wù)器的一個(gè)區(qū)域?qū)嵤┠康姆乐箰阂夤魡栴}影響非法訪問系統(tǒng)當(dāng)前狀

9、 態(tài)實(shí)施步驟如果你只想讓某個(gè)網(wǎng)段或者某個(gè) E 接入，你可以在 apache 配置文件中強(qiáng)制實(shí)行。如： 你想限制你的 intranet，只能被1 76.16.網(wǎng)段接入： Order Deny,AllowrDeny from all、,Allow from 1 /16、，,、rOr by IP:、,飛，,、Order Deny,AllowtDeny from allrAllow from 備注： 詳細(xì)請參考 ：http: /ffi附 online/ApacheManual /mod/mod_access.html回退方案恢復(fù)原始狀態(tài)。判斷依據(jù)嘗試非法訪問。實(shí)施風(fēng)

10、險(xiǎn)世同.重要等級食，使備注、1. 1. 4SH G-A pache-Ol -OI- 04編號SHG-Apache-01-01-04名稱禁止訪問外部文件實(shí)施目的禁止 Apache 訪問 Web 目錄之外的任何文件。的 E 地址等內(nèi)容。問題影響非法訪問，惡意攻擊。系統(tǒng)當(dāng)前狀態(tài)Cat httpd . conf實(shí)施步驟1、參考配置操作r編輯 httpd.conf 配置文件，、 電、，、 J、Order Deny,Allow、. 唱 唱Deny 企om allr、， ，2、補(bǔ)充操作說明設(shè)置可訪問目錄 ， ,、r,Order Allow,Deny、Allow from all.rt其中 web 為網(wǎng)站根目

11、錄。回退方案恢復(fù)原始狀態(tài) 。判斷依據(jù)1、判定條件無法訪問 Web 目錄之外的文件。2、 檢測操作訪問服務(wù)器上不 屬于 Web 目錄的一個(gè)文件，結(jié)果應(yīng)無法顯示。實(shí)施風(fēng)險(xiǎn)中重要等級食，歧，傳，r飛忡一L L 5SHG-A pache-01- 01- 05編號I SHG-Apach刊1- 01- 05 目錄列表訪問限制名稱實(shí)施目的問題影響系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟回退方案禁止 Apache 列表顯示文件。惡意攻擊 。查看 httpd. conf 文件，查看 Options FollowSymLink s 是否與原來相同。1、參考配置操作(1） 編輯 ht甲d.conf 配置文件 ，Directory ”

12、web” Options FollowSymLinks AllowOverride None Order allow,denyAllow from all將 Options Indexes FollowSymLinks 中的 Indexes 去掉，就可以禁止 Apache 顯示該目錄結(jié)構(gòu)。 Indexes 的作用就是當(dāng)該目錄下沒有 index.html 文件時(shí)，就顯示目錄結(jié)構(gòu)。(2）設(shè)置 Apache 的默認(rèn)頁面，編輯 %apache% confhttpd .conf 配置文 件 ，Directrylnd ex index.html其中 index.html 即為默認(rèn)頁面， 可 根據(jù)情況改為其

13、它文件。(3）重新啟動 Apach e 服務(wù)恢復(fù)原始狀態(tài)。1、判定條件當(dāng) WEB 目錄中沒有默認(rèn)首頁如 index.html 文件時(shí)，不會列出目錄 內(nèi)容判斷依據(jù)2、檢測操作直接訪問 htto:/iQ:8800/x口 （ xxx 為某一目錄實(shí)施風(fēng)險(xiǎn)高重要等級K，r飛備注、電、，、2日志配置 ；2. 1. 1SH G-A pache-02- 01- 01編號SHG-Apache-02-01-01名稱審核登陸，實(shí)施目的對運(yùn)行錯誤、用戶訪問等進(jìn)行記錄，記錄內(nèi)容 包括時(shí)間， 用戶使用 的 IP 地址等內(nèi)容 。問題影響非法訪問 ， 惡意攻擊。系統(tǒng)當(dāng)前狀態(tài)查看 httpd.conf 文件中的 ErrorLo

14、g 、LogFormat (cat httpd.conf I grepErrorLog)查看 ErrorLog 指定的 日志文件如 logs/error_log 中的內(nèi)容是否完整(cat logs/error_log)實(shí)施步驟1、參考配 置操作編輯 httpd .conf 配置文件，設(shè)置日志記錄文件、記錄內(nèi)容、記錄格 式。LogLevel noticeErrorLog logs/error_logLogFormat”%h%1 %u飛 ” % Referer i %t ”%r%s%b ” % Accept iCustomLog logs/access_log combinedErrorLog 指

15、令設(shè)置錯誤 日志文件名和位置。錯誤日 志是最重要 的日 志文件 ， Apache httpd 將在這個(gè)文件中存放診斷信息和處理請求中 出現(xiàn)的錯誤。若要將錯誤日志送到 Sysl og， 則 設(shè) 置 ：Er r or Log sys log。CustomLog 指令設(shè)置訪問 日志的文件名和位置。訪問 日志中會記錄 服務(wù)器所處理的所有請求。LogFormat 設(shè)置日志格式。 LogLevel 用于調(diào)整記錄在錯誤日 志中的信息的詳細(xì)程度，建議設(shè)置為 notice。、回退方案恢復(fù)原始狀態(tài)。一判斷依據(jù)查看 logs 目錄中相關(guān)日志文件內(nèi)容，記錄完整。實(shí)施風(fēng)險(xiǎn)中d儼r,r、重要等級,t民飛,，, 、備注rt

16、 r3 逗信協(xié)議3, L 1SH G-A pache-03- 01- 01編號SHG-Apache-03-01-01名稱更改默認(rèn)端口實(shí)施目的更改 Apache 服務(wù)器默認(rèn)端口 ， 防止非法訪問。問題影響惡意攻擊。系統(tǒng)當(dāng)前狀態(tài)查看 httpd . conf 文件 ， 查看端口是否與原來相同。1、 參 考 配 置操作( 1）修改 httpd.conf 配置文件 ，Listen x.x.x.x:8080(2 ）重啟 Apache 服務(wù)實(shí)施步驟更改默認(rèn)端口 到 8080回退方案恢復(fù)原始狀態(tài) 。1、判定條件使用 8080 端口登陸頁面成功判斷依據(jù)2、檢測操作登陸 http:/ip:8080r，r飛、電、

17、 J、實(shí)施風(fēng)險(xiǎn) I可主r. 唱 唱、r重要等級食1、 ， ，備注d儼r,r 、d飛設(shè)備其他安全要穿4:. ). . 1SH G-A pache-04-01 .-01編號SHG-Apache-04-01-01名稱補(bǔ)丁修復(fù)實(shí)施目的升級 APACHE 修復(fù)漏洞問題影響容易引起惡意攻擊。系統(tǒng)當(dāng)前狀態(tài)查看版本Linu x: apachectl -V4587川 口7斗4 0 7 1z斗斗斗1 2斗叫1 - 16 11 才斗1 2斗川 6311斗18囚 04-07 斗刊 04-011叫實(shí)施步驟瞌酣翩 翩翩翩翩8 11112008-07-1817 171叫日11川 。 斗囚079 161-212003-12E

18、噩 噩噩 噩圄升級補(bǔ)丁的風(fēng)險(xiǎn)極高 ，必須在萬無一失的條件下升級 ，如當(dāng)前版本 回退方案沒有漏洞不建議升級圈噩噩.E. .判斷是否漏洞。判斷依據(jù)實(shí)施風(fēng)險(xiǎn)唁 量rf司重要等級食 ， 歧 ， 傳備注4:. l. 2SH G-Apache -04:-01-02編號名稱I SHG-Apach刊4-0 1- 02 禁用 Apache Serv町中的執(zhí)行功能問題影響避免用戶直接執(zhí)行 Apache 服務(wù)器中的執(zhí)行程序 ，而造成服務(wù)器系統(tǒng)的公開化。越權(quán)使用造成非法攻擊。實(shí)施目的系統(tǒng)當(dāng)前狀態(tài)在配置文件 ac餌 ”.conf 或 ht申d.conf 中的 Options 指令處加入 Includes NO EXEC

19、 選項(xiàng)，用以禁用 Apache Server 中的執(zhí)行功能。 避免用戶直接執(zhí)行 Apache 服務(wù)器中的執(zhí)行程序 ，而造成服務(wù)器系 統(tǒng)的公開化。實(shí)施步驟備份 access.con 或 httpd.conf 文件修改 ：rOptions Inclu des Noexec、回退方案恢復(fù) access.con和 httpd.conf 文件，重啟 APACHE判斷依據(jù)看是否禁用了 Apache Serverr實(shí)施風(fēng)險(xiǎn)中、,、， ，r,r重要等級、K、飛,4, 1. 3SH G-A pache-04:-0I- 03編號I SHG-Apache- 04- 01- 03名稱實(shí)施目的問題影響隱藏 Apache

20、 的版本號及其它敏感信息 隱藏 Apache 的版本號及其它敏感信息 越權(quán)使用造成非法攻擊。系統(tǒng)當(dāng)前狀態(tài)# I s -al 、 which apachectl 、# apachectl - V I grep SERVER_CONFIGI實(shí)施步驟默認(rèn)情況下 ，很多 Apache 安裝時(shí)會顯示版本號及操作系統(tǒng)版本 ， 甚至?xí)@示服務(wù)器上安裝的是什么樣的 Apache 模塊。這些信息可 以為黑客所用，并且黑客還可以從中得知你所配置的服務(wù)器上的很 多設(shè)置都是默認(rèn)狀態(tài)。添加到你的 httpd.conf 文件中：，r飛實(shí)施風(fēng)險(xiǎn)低ServerSignature OffServerTokens Prod補(bǔ)充說

21、明 ：ServerSignature 出現(xiàn)在 Apache 所產(chǎn)生的像 404 頁面、目錄列 表等頁面的底部。 ServerTokens目錄被用來判斷 Apache 會在Server HTTP 響應(yīng)包的頭部填充什么信息。如果把 ServerTokens 設(shè)為 Prod ， 那 么HTTP 響應(yīng)包頭就會被設(shè)置成 ：Server: Apache也可以通過源代碼和安全模塊進(jìn)行修改回退方案判斷依據(jù)將備份的 httpd.conf 文件恢復(fù) ，重新啟動 APACHE訪問看是否給隱藏 了。、重要等級 食 4:. l. 4,SH G-A pache-04:-01- 04:編號SHG-Apache-04-01-

22、04名稱Apache413 錯誤頁面跨站腳本漏洞修復(fù)實(shí)施目的修復(fù) Apache HTTP Server 處理畸形用戶請求時(shí)存在漏洞問題影響遠(yuǎn)程攻擊者可能利用此漏洞獲取腳本 源系統(tǒng)當(dāng)前狀態(tài)Cat h即d.confApache 盯TP Server 處理畸形用戶請求時(shí)存在漏洞，遠(yuǎn)程攻 擊者可 能利用此漏洞獲取腳本源碼。實(shí)施步驟向 Apache 配置文件 httpd.conf 添加 ErrorDocument 413 語句禁用默認(rèn)的 413 錯誤頁面。回退方案恢復(fù)原始狀態(tài)。警 告以下程序（方法）可能帶有攻擊性，僅供安全研究與教學(xué)之用。使用者風(fēng)險(xiǎn)自負(fù) ！請求 ：GET /HTTP/1.1 Host:

23、Connection: close Content-length: -1 E町L町判斷依據(jù)實(shí)施風(fēng)險(xiǎn) 中重要等級 食 ， 傳 食一備注4, 1. 5SH G - A pache-04:-0I- 05編號SHG-Apache-04-01-05名稱限制請求消息長度實(shí)施目的限制 http 請求的消息主體的大小。問題影響惡意攻擊 。系統(tǒng)當(dāng)前狀態(tài)Cat httpd. conf 文件， 看是否與原來相同。實(shí)施步驟回退方案恢復(fù)原始狀態(tài) 。1、判定條件 檢查配置文件設(shè)置 。判斷依據(jù)2、檢測操作上傳文件超過 lOOK 將報(bào)錯。r，r飛、電、 J、實(shí)施風(fēng)險(xiǎn)中. 唱 唱、r重要等級食1、 ， ，備注d儼r,r1、參考

24、配置操作編輯 httpd.conf 配置文件，修改為 102400Byte LimitRequestBody 102400 、4. 1. 6SH G-A pache-04:- Ql- 06編號SHG-Apache-04-01-06名稱錯誤頁面處理實(shí)施目的Apache 錯誤頁面重定向。問題影響惡意攻擊。系統(tǒng)當(dāng)前狀態(tài)查看 httpd. conf 文件， 查看 ErrorDocument 文件是否與修改前相 同。實(shí)施步驟1、參考配置操作(1）修改 httpd.conf 配置文件：ErrorDocument 400 /cu stom400.html ErrorDocument 401 /custom401.htmlErrorDocument 403 /cu stom403.htmlErrorDocument 404 /cu stom404.html ErrorDocument 405 /custom405.html1、 判 定 條 件 指向指定錯誤頁 面 2、檢測操作判斷依據(jù)rURL 地址欄中輸入 htt12:/iQLxxxxxxx （一個(gè)不存在的頁面）實(shí)施風(fēng)險(xiǎn) f 主r. 唱 唱、r重要等級K1、 ， ，備注d儼r,r