任务二十:Apache安全配置
任务环境说明;
服务器场景:A-Server
服务器场景操作系统:Linux
服务器用户名:root 密码:123456
1.打开服务器场景,通过命令行清除防火墙规则。在服务器场景上查看apache版本,将查看到的服务版本字符串完整提交;
Flag:Apache/2.2.17 (Unix)
2.检测服务器场景中此版本apache是否存在显示banner信息漏洞,如果验证存在,修改配置文件将此漏洞进行加固,并重启Apache服务,将此加固项内容字符串(不包含状态)作为Flag提交;
发现有banner信息显示
我们使用find查找命令搜索httpd.conf(apache配置文件)的所在路径,然后使用vi编辑器打开这个配置文件
搜索ServerSignature,将该值修改为off关闭就可以了
使用命令service httpd restart,重启httpd服务
然后查看404是否还有banner信息漏洞
没有banner漏洞了
Flag:ServerSignature
4.检测服务器场景配置是否可以浏览系统⽬录,如果验证存在将此漏洞在Apache配置⽂件中 进⾏加固,寻找系统根⽬录/var/www 的配置属性,对该属性的原内容进⾏权限删除的⽅式加 固,并重启Apache服务,将此加固项删减字符串作为Flag提交;
很明显存在目录浏览。
继续编辑apache的配置文件,/usr/local/apache2/conf/httpd.conf,使用vi编辑器搜索Indexes,将原有的Options Indexes FollowSymLinks修改成Options FollowSymLinks.
Service httpd restart重启httpd服务,查看是否还有目录浏览。
没有目录浏览了。
Flag:Indexes
5.合理配置服务器场景apache的运⾏账户,并在httpd.conf中寻找运⾏帐户,将本服务配置 的账户名称作为Flag提交;
编辑apache的配置文件,使用vi编辑器搜索User,查看本地服务配置的账户名称
Flag:nobody
6.配置服务器场景中httpd.conf,限制禁止访问的文件夹,验证是否可以访问 /var/www/data 目录下index.php,如存在在此漏洞需进行加固,将此加固后完整字符串作为Flag提交;(提示:(<Directory /var/www/data>)***</Directory>*号为需要添加内容)
发现可以直接访问,我们继续编辑apache配置文件,然后再apache配置文件中加入一下内容
<Directory “/var/www/data”>
Deny from all
</Directory>
Server httpd restart重启httpd服务
然后再查看一下发现无权访问
Flag:Deny from all
7.配置服务器场景中httpd.conf,限制一些特殊目录的特定ip访问,如内部接口等。修改对data 目录的配置,重新启动apache 服务。将加固项固定部分作为Flag提交;
继续编辑apache配置文件,在上一题的下面添加Allow from 192.168.206.0/24(本地地址网段)
重启httpd服务,service httpd restart
再次访问,发现可以访问了
Flag:Allow from
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
