关闭

Apache 安全配置方法

标签: apache安全服务器
2322人阅读 评论(0) 收藏 举报
分类:

Apache易于安装并且相当容易管理。不幸的是,许多Apache的安装由于为完全的陌生者提供了关于自己服务器的太多”有帮助”的信息,例如 Apache的版本号和与操作系统相关的信息。通过这种信息,一个潜在的攻击者就可以追踪特定的可以影响你的系统的破坏性漏洞,特别是你没有能够保持所有补丁的更新的话情况更为严重。如此一来,攻击者无需反复试验就可以确切地知道你在运行什么,从而可以调整其攻击方法。

要防止服务器广播敏感信息,一定要保证将httpd.conf中的”ServerSignature”指令设置为”off”。一次默认的Apache安装会将此指令设置为”off”,不过许多管理员却启用了它。

同样地,禁用目录浏览也是一个不错的注意。在目录浏览被启用时,访问一个并不包含其所需要文档的目录的用户,会看到此目录中完整的内容列表。无疑,你不应当将敏感材料以纯文本的形式存储到一个Web服务器上,除非你必须这样做,你也不应该允许人们看到超过其需要的内容。

目录浏览默认地是被启用的。要禁用这个特性,应编辑http.conf文件,而且对每一个”Directory”指令,应清除”Indexs”。

例如,在笔者的做实验用的Apache 2.2.4服务器上,这是默认的目录命令:
代码如下:

<Directory "/usr/local/apache/htdocs"> 
Options Indexes FollowSymLinks 
AllowOverrride None 
Order allow,deny 
Allow from all 
</Directory> 

清除Indexes后的样子:
代码如下:

<Directory "/usr/local/apache/htdocs"> 
Options Indexes FollowSymLinks 
AllowOverrride None 
Order allow,deny 
Allow from all 
</Directory> 

在清除了FollowSymLinks后,就成为如下的样子:

复制代码 代码如下:

<Directory "/usr/local/apache/htdocs"> 
Options Indexes 
AllowOverrride None 
Order allow,deny 
Allow from all 
</Directory> 

如果一些用户需要跟踪符号连接的能力,可以考虑使用SymLinksIfOwnerMatch代替。

Listen指令具体化

在你第一次安装Apache时,httpd.conf包含一个”Listen 80”指令。应将其改变为 “Listen mn.xx.yy.zz:80”,在这里”mn.xx.yy.zz”是你想让Apache监听其请求的IP地址。如果你的Apache运行在一个拥有多个IP地址的服务器上时,这一点尤其重要。如果你不采取预防措施,默认的”Listen 80”指令告诉Apache监听每一个IP地址的 80端口。

不过,这项措施有可能不适用于你的环境,应根据需要而定。

从httpd.conf中清除默认的注释

Apache 2.2.4中默认的httpd.conf文件有400多行。在这400行中,只有一小部分是实际的Apache指令,其余的仅是帮助用户如何恰当地在httpd.conf中放置指令的注释。根据笔者的经验,这些注释有时起负面作用,甚至将危险的指令留存于文件中。笔者在所管理的许多 Apache服务器上将httpd.conf文件复制为其它的文件,如httpd.conf.orig等,然后完全清除多余的注释。文件变得更加容易阅读,从而更好地解决了潜在的安全问题或者错误地配置文件。

没作任何设置前,查看web服务器请求文件头

HTTP/1.1 200 OK 
Date: Sun, 27 Apr 2008 11:56:46 GMT 
Server: Apache/2.2.8 (Unix) DAV/2 PHP/5.2.5 with Suhosin-Patch 
Last-Modified: Sat, 20 Nov 2004 20:16:24 GMT 
ETag: "387a5-2c-3e9564c23b600" 
Accept-Ranges: bytes 
Content-Length: 44 
Content-Type: text/html 

几乎把web服务器详细信息都暴出来了,如果没个版本的apache和php爆出严重漏洞,会给攻击者提供最有攻击价值的安全信息,这是非常危险的

将apache的配置文件加上两行

ServerTokens ProductOnly
ServerSignature Off
重启apache让设置生效
再次发出apache头信息请求

HTTP/1.1 200 OK 
Date: Sun, 27 Apr 2008 11:57:40 GMT 
Server: Apache 
Last-Modified: Sat, 20 Nov 2004 20:16:24 GMT 
ETag: "387a5-2c-3e9564c23b600" 
Accept-Ranges: bytes 
Content-Length: 44 
Content-Type: text/html 

可以看到apache版本号于已经没有了

做到这点,我们还可以改变apache的版本,这就要修改apache的源代码了,在apache的源码包中找到ap_release.h 将#defiAP_SERVER_BASEPRODUCT “Apache” 修改为#define AP_SERVER_BASEPRODUCT “Microsoft-IIS/5.0”
或者#define AP_SERVER_BASEPRODUCT “Microsoft-IIS/6.0” 到os/unix下的os.h文件,将其#define PLATFORM “Unix”修改为#define PLATFORM “Win32”

然后重新编译,安装apache。
最后修改httpd.conf配置文件,添加两行ServerTokens Prod
ServerSignature Off
在发送头请求,会有什么,就不用我说了吧,嘿嘿,这叫偷天换日,从这点来说,php也是一样,同样可以通过这种方式改变一些系统信息,不过根据GPL开源的精神,这样做貌似不太好,还是保留apache和php版权信息吧。

附:
ServerSignature 三个选项
On|Off|EMai 主要起开关作用

ServerTokens 四个选项
Minimal|ProductOnly|OS|Full 四个选项隐藏信息依次增加

下面对php的配置文件php.ini进行配置

默认情况下expose_php = On
将其改为 expose_php = Off

为什么,可以看这段解释

; Decides whether PHP may expose the fact that it is installed on the server 
; (e.g. by adding its signature to the Web server header). It is no security 
; threat in any way, but it makes it possible to determine whether you use PHP 
; on your server or not. 

然后禁止一些涉及php安全的函数

disable_functions = phpinfo, get_cfg_var //禁止phpinfo和get_cfg_var等函数 
display_errors = Off //禁止爆出错误 
allow_url_fopen = Off //这个关闭,就没有办法取远程内容了,但是可以用变通,用curl远程读取的方法做到 
safe_mode = On //开启安全模式,这个开了,可能会有些php功能没办法使用了 

无论如何,还是要我们的程序设计的完美,一般来说,单纯更具对系统攻击很难,如果是程序有漏洞,那攻击就简单了。

1
0
查看评论

Apache Web服务器安全配置全攻略

作为最流行的Web服务器,Apache Server提供了较好的安全特性,使其能够应对可能的安全威胁和信息泄漏。    Apache 服务器的安全特性   1、 采用选择性访问控制和强制性访问控制的安全策略   从Apache 或Web的角度来讲,选择性访问控制DAC(Discret...
  • CareChere
  • CareChere
  • 2016-08-28 17:34
  • 3460

Apache服务的安全配置

<!--google_ad_client = "pub-5169656809800079";/* 728x90, 创建于 09-2-10 */google_ad_slot = "3972675419";google_ad_width = 728;goog...
  • 1satellite1
  • 1satellite1
  • 2006-04-26 15:45
  • 3180

Apache web服务器安全加固

作为最流行的Web服务器,Apache Server提供了较好的安全特性,使其能够应对可能的安全威胁和信息泄漏。 1、 采用选择性访问控制和强制性访问控制的安全策略 从Apache 或Web的角度来讲,选择性访问控制DAC(Discretionary Access Control)仍是基于用户名...
  • my98800
  • my98800
  • 2016-06-23 08:15
  • 996

Apache服务以及httpd.conf配置详解

Apache服务架设   一、Apache服务总览:   1、所需要的软件包:httpd   httpd-devel   httpd-manual   2、端口:80(http)  443(https)   3、主配置文件:/etc/http...
  • xyw591238
  • xyw591238
  • 2016-06-08 13:38
  • 3688

apache安全配置

apache默认的配置安装后,会在主目录下生成下面两个
  • tenfyguo
  • tenfyguo
  • 2014-06-09 11:08
  • 1254

Apache2.4配置(全)

--用户认证 --日志切割 --差异记录 --访问控制 --域名跳转 --配置静态文件缓存 --防盗链
  • u012291157
  • u012291157
  • 2015-06-14 16:47
  • 17133

Apache安全配置

Apache安全配置 zhangsan · 2014/08/04 12:44 0x00 测试环境 centos6.5+apache2.2.15+php5.3.3 0x01 php的运行模式介绍 php的运行模式分四种: 1. CGI通用网关接口 2. f...
  • qooer_tech
  • qooer_tech
  • 2015-10-09 16:37
  • 345

配置Apache

1.安装完成Apache后如何配置呢,如下图步骤 2.Apache安装成功 Apache的配置主要集中在httpd.conf文件,它位于你的安装目录,比如:我安装在 3.用编辑器打开httpd.conf文件, 先来查找到如下这一行: #ServerName 我们可以得到如下这一...
  • function__
  • function__
  • 2017-01-12 14:32
  • 10058

linux下apache的安装配置

下载安装从http://httpd.apache.org/上下载httpd-2.2.6.tar.gz,上传到linux主机,然后开始安装。解压tar -zxvf httpd-2.2.6.tar.gz,完成之后,会在当前目录出现一个httpd-2.2.6目录,然后顺序执行如下命令mv httpd-2....
  • chenxiaohua
  • chenxiaohua
  • 2008-01-17 00:59
  • 38035

apache的配置

一、配置文件 语法 * 主配置文件httpd.conf,更改只有重启服务才会生效 * 配置中一行一个命令,如果要多行一个命令,则最后以\结束,且与该行最后个字符无其它字符或者空白 * 每行注释以#开头,会被忽略,一行命令符后不能再接注释 * 空行空白字符在配置文件中被忽略 ...
  • mzt823682492
  • mzt823682492
  • 2016-08-14 17:14
  • 2006
    个人资料
    • 访问:191244次
    • 积分:2288
    • 等级:
    • 排名:第19400名
    • 原创:47篇
    • 转载:64篇
    • 译文:1篇
    • 评论:32条
    最新评论
    搜索