本文規定了維護工程師所維護管理的apache伺服器應當遵循的安全性設定標準,本文件旨在指導系統管理人員進行apache伺服器的安全配置。本文件適用的版本2.0.x、2.2.x版本的apache伺服器。
第1章日誌
配置操作
1.1日誌配置
1.1.1
審核登入
安全基線專案名稱
apache審核登入策略安全基線要求項
安全基線編號
sbl-apache-02-01-01
安全基線項說明
裝置應配置日誌功能,對執行錯誤、使用者訪問等進行記錄,記錄內容包括時間,使用者使用的ip位址等內容。
檢測操作步驟
1、參考配置操作
編輯httpd.conf配置檔案,設定日誌記錄檔案、記錄內容、記錄格式。
loglevel notice
errorlog logs/error_log
logformat "%h %l %u %t \"%r\" %>s %b \"%i\" \"%i\" \"%i\"" combined
customlog logs/access_log combined
errorlog指令設定錯誤日誌檔名和位置。錯誤日誌是最重要的日誌檔案,apache httpd將在這個檔案中存放診斷資訊和處理請求中出現的錯誤。若要將錯誤日誌送到syslog,則設定:errorlog syslog。
customlog指令設定訪問日誌的檔名和位置。訪問日誌中會記錄伺服器所處理的所有請求。
logformat設定日誌格式。loglevel用於調整記錄在錯誤日誌中的資訊的詳細程度,建議設定為notice。
基線符合性判定依據
1、判定條件
檢視logs目錄中相關日誌檔案內容,記錄完整。
2、檢測操作
檢視相關日誌記錄。
3、補充說明備註
第2章裝置其他
配置操作
2.1訪問許可權
2.1.1
禁止訪問外部檔案
安全基線專案名稱
apache目錄訪問許可權安全基線要求項
安全基線編號
sbl-apache-03-01-01
安全基線項說明
禁止apache訪問web目錄之外的任何檔案。
檢測操作步驟
1、參考配置操作
編輯httpd.conf配置檔案,
order deny,allow
deny from all
2、補充操作說明
設定可訪問目錄,
order allow,deny
allow from all
其中/web為**根目錄。
基線符合性判定依據
1、判定條件
無法訪問web目錄之外的檔案。
2、檢測操作
訪問伺服器上不屬於web目錄的乙個檔案,結果應無法顯示。
3、補充說明備註
2.2防攻擊管理
2.2.1
錯誤頁面處理
安全基線專案名稱
apache錯誤頁面安全基線要求項
安全基線編號
sbl-apache-03-02-01
安全基線項說明
apache錯誤頁面重定向
檢測操作步驟
1、參考配置操作
(1) 修改httpd.conf配置檔案:
errordocument 400 /custom400.html
errordocument 401 /custom401.html
errordocument 403 /custom403.html
errordocument 404 /custom404.html
errordocument 405 /custom405.html
errordocument 500 /custom500.html
custom***.html為要設定的錯誤頁面。
(2)重新啟動apache服務
基線符合性判定依據
1、判定條件
指向指定錯誤頁面
2、檢測操作
url位址列中輸入http://ip/******x~~~
(乙個不存在的頁面)備註
2.2.2
目錄列表訪問限制
安全基線專案名稱
apache目錄列表安全基線要求項
安全基線編號
sbl-apache-03-02-02
安全基線項說明
禁止apache列表顯示檔案
檢測操作步驟
1、參考配置操作
(1) 編輯httpd.conf配置檔案,
options followsymlinks
allowoverride none
order allow,deny
allow from all
將options indexes followsymlinks中的indexes 去掉,就可以禁止 apache 顯示該目錄結構。indexes 的作用就是當該目錄下沒有 index.html檔案時,就顯示目錄結構。
(2)設定apache的預設頁面,編輯%apache%\conf\httpd.conf配置檔案,
directoryindex index.html
其中index.html即為預設頁面,可根據情況改為其它檔案。
(3)重新啟動apache服務
基線符合性判定依據
1、判定條件
當web目錄中沒有預設首頁如index.html檔案時,不會列出目錄內容
2、檢測操作
直接訪問http://ip:8800/***
(***為某一目錄)備註
2.2.3
拒絕服務防範
安全基線專案名稱
apache拒絕服務防範安全基線要求項
安全基線編號
sbl-apache-03-02-03
安全基線項說明
拒絕服務防範。
檢測操作步驟
1、參考配置操作
(1) 編輯httpd.conf配置檔案,
(2)重新啟動apache服務
基線符合性判定依據
1、判定條件
2、檢測操作
檢查配置檔案是否設定。備註
2.2.4
刪除無用檔案
安全基線專案名稱
apache無用檔案安全基線要求項
安全基線編號
sbl-apache-03-02-04
安全基線項說明
刪除預設安裝的無用檔案。
檢測操作步驟
1、參考配置操作
刪除預設html檔案:
# rm -rf /usr/local/apache2/htdocs/*
刪除預設的cgi指令碼:
# rm –rf /usr/local/apache2/cgi-bin/*
刪除apache說明檔案:
# rm –rf /usr/local/apache2/manual
刪除源**檔案:
根據安裝步驟不同和版本不同,某些目錄或檔案可能不存在或位置不同。
基線符合性判定依據
1、判定條件
2、檢測操作
檢查對應目錄。備註
2.2.5
隱藏敏感資訊
安全基線專案名稱
apache隱藏敏感資訊保安基線要求項
安全基線編號
sbl-apache-03-02-05
安全基線項說明
隱藏apache的版本號及其它敏感資訊。
檢測操作步驟
1、參考配置操作
修改httpd.conf配置檔案:
serversignature off
servertokens prod
基線符合性判定依據
1、判定條件
2、檢測操作
檢查配置檔案。備註
apache安全配置
安全起見,盡量少顯示資訊 1 servertokens prod 該引數設定http 頭部返回的apache 版本資訊。可用的值和含義如下 顯示的資訊逐漸增加 prod 僅軟體名稱,例如 apache major 包括主版本號,例如 apache 2 minor 包括次版本號,例如 apache 2...
linux安全基線
安全基線 是保持資訊系統安全的機密性 完整性 可用性的最小安全控制,是系統的最小安全保證,最基本的安全要求。安全基線包含配置核查,是人員 技術 組織 標準的綜合的最低標準要求。同時也涵蓋管理類 技術類兩個層面 配置核查是業務系統及所需裝置在特定時期內,根據自身需求 部署環境和承載業務要求應滿足的基本...
LANMP安全配置之Apache安全配置
0x00 前言 0x01 遮蔽版本資訊 關閉步驟 1 開啟apache配置檔案httpd.conf a.找到serverroot os,修改為serverroot productonly b.找到serversignature on,修改為serversignature off 2 重啟apache...