Apache 安全配置方法

转载 2016年08月29日 10:25:35

Apache易于安装并且相当容易管理。不幸的是,许多Apache的安装由于为完全的陌生者提供了关于自己服务器的太多”有帮助”的信息,例如 Apache的版本号和与操作系统相关的信息。通过这种信息,一个潜在的攻击者就可以追踪特定的可以影响你的系统的破坏性漏洞,特别是你没有能够保持所有补丁的更新的话情况更为严重。如此一来,攻击者无需反复试验就可以确切地知道你在运行什么,从而可以调整其攻击方法。

要防止服务器广播敏感信息,一定要保证将httpd.conf中的”ServerSignature”指令设置为”off”。一次默认的Apache安装会将此指令设置为”off”,不过许多管理员却启用了它。

同样地,禁用目录浏览也是一个不错的注意。在目录浏览被启用时,访问一个并不包含其所需要文档的目录的用户,会看到此目录中完整的内容列表。无疑,你不应当将敏感材料以纯文本的形式存储到一个Web服务器上,除非你必须这样做,你也不应该允许人们看到超过其需要的内容。

目录浏览默认地是被启用的。要禁用这个特性,应编辑http.conf文件,而且对每一个”Directory”指令,应清除”Indexs”。

例如,在笔者的做实验用的Apache 2.2.4服务器上,这是默认的目录命令:
代码如下:

<Directory "/usr/local/apache/htdocs"> 
Options Indexes FollowSymLinks 
AllowOverrride None 
Order allow,deny 
Allow from all 
</Directory> 

清除Indexes后的样子:
代码如下:

<Directory "/usr/local/apache/htdocs"> 
Options Indexes FollowSymLinks 
AllowOverrride None 
Order allow,deny 
Allow from all 
</Directory> 

在清除了FollowSymLinks后,就成为如下的样子:

复制代码 代码如下:

<Directory "/usr/local/apache/htdocs"> 
Options Indexes 
AllowOverrride None 
Order allow,deny 
Allow from all 
</Directory> 

如果一些用户需要跟踪符号连接的能力,可以考虑使用SymLinksIfOwnerMatch代替。

Listen指令具体化

在你第一次安装Apache时,httpd.conf包含一个”Listen 80”指令。应将其改变为 “Listen mn.xx.yy.zz:80”,在这里”mn.xx.yy.zz”是你想让Apache监听其请求的IP地址。如果你的Apache运行在一个拥有多个IP地址的服务器上时,这一点尤其重要。如果你不采取预防措施,默认的”Listen 80”指令告诉Apache监听每一个IP地址的 80端口。

不过,这项措施有可能不适用于你的环境,应根据需要而定。

从httpd.conf中清除默认的注释

Apache 2.2.4中默认的httpd.conf文件有400多行。在这400行中,只有一小部分是实际的Apache指令,其余的仅是帮助用户如何恰当地在httpd.conf中放置指令的注释。根据笔者的经验,这些注释有时起负面作用,甚至将危险的指令留存于文件中。笔者在所管理的许多 Apache服务器上将httpd.conf文件复制为其它的文件,如httpd.conf.orig等,然后完全清除多余的注释。文件变得更加容易阅读,从而更好地解决了潜在的安全问题或者错误地配置文件。

没作任何设置前,查看web服务器请求文件头

HTTP/1.1 200 OK 
Date: Sun, 27 Apr 2008 11:56:46 GMT 
Server: Apache/2.2.8 (Unix) DAV/2 PHP/5.2.5 with Suhosin-Patch 
Last-Modified: Sat, 20 Nov 2004 20:16:24 GMT 
ETag: "387a5-2c-3e9564c23b600" 
Accept-Ranges: bytes 
Content-Length: 44 
Content-Type: text/html 

几乎把web服务器详细信息都暴出来了,如果没个版本的apache和php爆出严重漏洞,会给攻击者提供最有攻击价值的安全信息,这是非常危险的

将apache的配置文件加上两行

ServerTokens ProductOnly
ServerSignature Off
重启apache让设置生效
再次发出apache头信息请求

HTTP/1.1 200 OK 
Date: Sun, 27 Apr 2008 11:57:40 GMT 
Server: Apache 
Last-Modified: Sat, 20 Nov 2004 20:16:24 GMT 
ETag: "387a5-2c-3e9564c23b600" 
Accept-Ranges: bytes 
Content-Length: 44 
Content-Type: text/html 

可以看到apache版本号于已经没有了

做到这点,我们还可以改变apache的版本,这就要修改apache的源代码了,在apache的源码包中找到ap_release.h 将#defiAP_SERVER_BASEPRODUCT “Apache” 修改为#define AP_SERVER_BASEPRODUCT “Microsoft-IIS/5.0”
或者#define AP_SERVER_BASEPRODUCT “Microsoft-IIS/6.0” 到os/unix下的os.h文件,将其#define PLATFORM “Unix”修改为#define PLATFORM “Win32”

然后重新编译,安装apache。
最后修改httpd.conf配置文件,添加两行ServerTokens Prod
ServerSignature Off
在发送头请求,会有什么,就不用我说了吧,嘿嘿,这叫偷天换日,从这点来说,php也是一样,同样可以通过这种方式改变一些系统信息,不过根据GPL开源的精神,这样做貌似不太好,还是保留apache和php版权信息吧。

附:
ServerSignature 三个选项
On|Off|EMai 主要起开关作用

ServerTokens 四个选项
Minimal|ProductOnly|OS|Full 四个选项隐藏信息依次增加

下面对php的配置文件php.ini进行配置

默认情况下expose_php = On
将其改为 expose_php = Off

为什么,可以看这段解释

; Decides whether PHP may expose the fact that it is installed on the server 
; (e.g. by adding its signature to the Web server header). It is no security 
; threat in any way, but it makes it possible to determine whether you use PHP 
; on your server or not. 

然后禁止一些涉及php安全的函数

disable_functions = phpinfo, get_cfg_var //禁止phpinfo和get_cfg_var等函数 
display_errors = Off //禁止爆出错误 
allow_url_fopen = Off //这个关闭,就没有办法取远程内容了,但是可以用变通,用curl远程读取的方法做到 
safe_mode = On //开启安全模式,这个开了,可能会有些php功能没办法使用了 

无论如何,还是要我们的程序设计的完美,一般来说,单纯更具对系统攻击很难,如果是程序有漏洞,那攻击就简单了。

Apache Web服务器安全配置全攻略

作为最流行的Web服务器,Apache Server提供了较好的安全特性,使其能够应对可能的安全威胁和信息泄漏。    Apache 服务器的安全特性   1、 采用选择性访问控制和强制性访问控制...

Apache web服务器安全加固

作为最流行的Web服务器,Apache Server提供了较好的安全特性,使其能够应对可能的安全威胁和信息泄漏。 1、 采用选择性访问控制和强制性访问控制的安全策略 从Apache 或Web的角度...
  • my98800
  • my98800
  • 2016年06月23日 08:15
  • 714

windows下apache/php安全配置

继上篇《PHP网站被挂马防御战》   Php本身也有一些安全机制,如下: 1、 禁用shell函数和com组件;(上篇已提到) 2、 限制php作用域;(上篇已提到) 3、 启动php安全模式; 4、...
  • cwqcwk1
  • cwqcwk1
  • 2013年06月17日 15:11
  • 2798

Apache2.4配置(全)

--用户认证 --日志切割 --差异记录 --访问控制 --域名跳转 --配置静态文件缓存 --防盗链...

apache主要配置详解

1. # Deny access to the entirety of your server's filesystem. You must # explicitly permit acc...

apache httpd.conf配置详解

apache httpd.conf配置详解 转自:http://linux-down.kmip.net/ # # 基于 NCSA 服务的配置文件。 # #这是Apache服务器主要配置文...

在apache禁止 http OPTIONS方法. apache disable http OPTIONS method

Deny from all 或者用rewrite RewriteCond %{REQUEST_METHOD} ^(OPTIONS) RewriteRule .* - [F]...
  • kimsung
  • kimsung
  • 2013年04月17日 09:27
  • 7198

php的正则表达式完全手册

前言    正则表达式是烦琐的,但是强大的,学会之后的应用会让你除了提高效率外,会给你带来绝对的成就感。只要认真去阅读这些资料,加上应用的时候进行一定的参考,掌握正则表达式不是问题。 索引    1...

使用arpspoof获取同事爱奇异账户

之前没事的时候,使用nmap检测到路由器存在弱口令admin 今天没事登录路由器看看哪台机器流量比较多,刷新了几次流量统计,发现10.0.0.81的机器一直排的首位,流量蛮大,于是想看看这台机器在干...

apache安全配置

  • 2009年08月27日 10:38
  • 231KB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Apache 安全配置方法
举报原因:
原因补充:

(最多只允许输入30个字)