Apache防御与加固

最新推荐文章于 2024-07-11 08:48:24 发布
最新推荐文章于 2024-07-11 08:48:24 发布
阅读量785 收藏 3
点赞数
分类专栏: 中间件漏洞 文章标签: apache 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43665434/article/details/116664212
版权

Apache防御与加固


1、安全配置

Apache的不同版本和安装方式,配置文件名称不同,有的为apache2.conf,有的为httpd.conf,可以根据版本确认。在apache的配置文件中可能包含多个配置文件。

如若找不到某个配置,可以搜索,例如:grep -r "Server Tokens" /etc/apache2/(搜索该目录下所有文件中是否含有该字符串,加上-n可以显示行号)

cat /etc/apache2/apache2.conf

image-20210510204554431

2、目录权限

cat /etc/apache2/apache2.conf

image-20210510212746833

其中Directory主要配置目录的权限,规定了目录的特性、配置文件覆盖情况、目录访问权限。

----------- Options: 设置目录特性

ALL:所有特性有效(缺省状态)

None:所有目录特性无效

FollowSymLinks:允许浏览器访问文档根目录外的文档

ExecCGI:允许目录下执行CGI程序

Indexes:允许浏览器在没有index.html时显示目录

------------AllowOverride:设置配置文件覆盖

None:.htaccess文件完全忽略

ALL:使用.htaccess文件内的指令覆盖规则

------------Require:目录访问权限(2.4版本)

require all denied:拒绝所有

require all granted:允许所有

require host xxx 允许某个IP/HOST

—在2.2版本的目录访问权限使用Order,Allow,Deny

全部禁止:Order Allow, Deny

​ Deny from All

全部允许:Order Deny, Allow

​ Allow from All

.htaccess:负责目录下的网页配置,如改变扩展名,404。详细

Require介绍

image-20210510221734056

Require all granted    #允许所有
Require all denied     #拒绝所有
Require env env-var [env-var] ...    #当设置了某个环境变量允许访问
Require method http-method [http-method]...   #允许特定的HTTP方法(GET/POST/HEAD/OPTIONS)
Require expr expression    #表达式为true时允许
Require user userid [userid]...    #允许特定用户
Require group group-name [group-name]...   #允许特定用户组
Require valid-user    #所有有效用户都允许
Require ip 192.100 192.168.100 192.168.100.5   #允许特定IP或IP段,多个IP或IP段间使用空格分隔

Apache2.2以下:

Allow和Deny可以用于apache的conf文件或者.htaccess文件中(配合Directory,Location,Files等),用来控制目录和文件的访问授权。

Order deny,allow

allow from all

deny from 222.100.20.50

#全部都可以通行

Order deny, allow

deny from 222.100.20.50

allow from all

#全部都可以通行

Order allow, deny

deny from 222.100.20.50

allow from all

#只有222.100.20.50不能通行

Order allow, deny

allow from all

deny from 222.100.20.50

#只有222.100.20.50不能通行

总结:总是以Order后的后边那个策略为准,忽略另一个。

禁止目录浏览

作用:为防止一些重要文件,例如网站源码、sql文件等被黑客下载进行代码审计,所以要禁止目录浏览。

cat /etc/apache2/apache2.conf

image-20210511110357049

删除Indexes即可实现。(Indexes的含义就是当该目录下没有index.html时,显示目录结构)

配置目录权限

目标:根据具体的业务需求,以最小权限为原则,为网站目录设置一定的权限。

  • 假设网站的目录和文件的所有者和所有组为apache、www

    命令:chmod -R apache:www /home/apache/web (为网站目录设置用户和用户组)

  • 设置网站目录权限为750,apache对目录拥有读写执行的权限,其他用户没有任何权限

    find -type d -exec chmod 750 {} ;

  • 设置网站文件权限为640,apache用户对网站文件有读写的权限,www用户组有读取文件的权限,其他用户无任何权限

    find -not -type d -exec chmod 640 {} ;

  • 如果其他目录需要特定权限,针对性赋予即可。

实例:禁止上传目录执行PHP脚本

cat /etc/apache2/apache2.conf

<Directory /var/www/html/upload>
	<FilesMatch ".(php)$">
		Require all Denied
	</FilesMatch>
</Directory>

3、端口

对于内网的服务器而言,修改端口可以有效的增加黑客信息收集的成本

cat /etc/apache2/ports.conf

image-20210510212155325

apache运行权限设置(用户和组必须存在)

最小权限原则,为apache设置一个最小的权限的用户来运行

cat /etc/apache2/apache2.conf

image-20210510212522821

可以自定义一个较小权限的用户和组。


4、日志记录

日志作用:记录了所有web请求

可以分析出:1、正常业务(那些页面访问量比较大等) 2、分析流量大小 3、分析黑客攻击(来自哪个IP?等)

cat /etc/apache2/apache2.conf

image-20210510225422154

在Apache2.4中,编辑apache2.conf

**1、**将日志中的debined的值,修改为

LogFormat “%h %{X-FORWARDED-FOR}i %I %u %t \”%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" combined

(combined是别名)

**2、**添加:ErrorLogFormat “[%t] [%I] [pid %P] %F: %E: [client %a] %M”

**3、**将LogLevel修改为notice

备注:combined可能在其他配置文件中引用,可以使用grep -rn “combined” /etc/apache2/ 进行搜素

LogLevel:控制登录到error_log的消息的数量。可能的值包括:7-调试(DEBUG)、6-信息(INFO)、5-通知(NOTICE)、4-警告(WARNING)、3-错误(ERR)、2-临界失败(CRIT)、1-警戒【必须 处理】(ALERT)、0-致命(EMERG)。


5、隐藏版本信息

作用:隐藏回显时暴露的apache和操作系统版本信息,可以有效增加黑客攻击的时间成本。

ServerTokens Prod #隐藏HTTP头部回显的版本信息

ServerSignature off #屏蔽回显错误中的敏感信息

找不到:grep -rn “” /etc/apache2/

cat /etc/apache2/conf-available/security.conf

image-20210511105011418

ServerTokens Prod 显示“Server: Apache”

ServerTokens Major 显示“Server: Apache/2”

ServerTokens Minor 显示“Server: Apache/2.2”

ServerTokens Min 显示“Server: Apache/2.2.17”

ServerTokens OS 显示“Server: Apache/2.2.17(Unix)”

ServerTokens Full 显示“Server: Apache/2.2.17(Unix) PHP/5.3.5" (这是默认回显,也可自己指定)


6、限制消息的长度

LimitRequestBody 102400

#102400Bytes = 100KB

限制从客户端发送的HTTP请求正文的总大小

7、删除无用文件

  • 删除缺省(默认)HTML文件

    rm -rf /usr/local/apache2/htdocs/*

  • 删除缺省的CGI脚本

    rm -rf /usr/local/apache2/cgi-bin/*

  • 删除Apache说明文件

    rm -rf /usr/local/apache2/manual

  • 删除源代码文件

    rm -rf /path/to/httpd-2.2.4*

8、DDOS防御

Timeout 10

KeepAlive On

keepAliveTimeout 15

AcceptFilter https data

AcceptFilter http data

9、关闭Trace功能

TraceEnable Off

Trace是http请求中的一个方法,用此方法服务器会将客户端请求的消息原样返回给客户端,用作测试。

curl -i -X OPTIONS http://192.168.0.110

10、自定义错误页面,防止敏感信息泄露

ErrorDocument 400 /custom400.html

ErrorDocument 401 /custom401.html

ErrorDocument 403 /custom403.html

ErrorDocument 404 /custom404.html

ErrorDocument 405 /custom405.html

ErrorDocument 500 /custom500.html

11、关闭CGI(如果不用)

把cgi-bin目录的配置和模块注释掉

在apache2.4版本:

cat /etc/apache2/conf-available/serve-cgi-bin.conf

image-20210511132339684

老版本:

编辑httpd.conf配置文件:

#LoadModule cgi_module modules/mod_cgi.so
#ScriptAlias  /cgi-bin/  "/var/www/cgi-bin/"
#<Directory "/var/www/cgi-bin">
	# AllowOverride  None # Options None
	# Order allow, deny  #Allow from all
#</Directory>
0ak1ey
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
3. Apache httpd 安全加固之多后缀名解析漏洞
薛定谔嘚喵博客
03-31 589
Apache httpd 安全加固之多后缀名解析漏洞 漏洞原理:在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。
Apache基线加固
assnm的博客
07-08 761
查看Apache配置文件/etc/apache2/conf-available/localized-error-pages.conf,检查是否使用ErrorDocument自定义错误信息。编辑配置文件/etc/apache2/conf-available/serve-cgi-bin.conf,把cgi-bin目录的配置和模块注释掉。编辑apache2.conf配置文件,“vi /etc/apache2/apache2.conf”查看Apache配置文件/etc/apache2/apache2.conf。
Linux中Apache网站基于Http服务的访问限制(基于地址/用户)
博客之路,前途漫漫
06-06 2808
为了更好地控制对网站资源的访问,可以为特定的网站目录添加访问授权。本节将分别介绍客户机地址限制和用户授权限制,这两种访问方式都应用于httpd.conf 配置文件中的目录区域范围内。🫸1.客户机地址限制通过Require配置项,可以根据主机的主机名或IP地址来决定是否允许客户端访问,在httpd服务器的主配置文件的,,,配置段中均可以试用Reuire配置项来控制客户端的访问。
Apache Tomcat 加固教程
allway2的博客
07-26 347
配置良好的Web应用程序将覆盖CATALINA_HOME/webapps/APP_NAME/WEB-INF/web.xml中的此默认设置,因此不会导致问题。如果您还使用Tomcat与其他Web服务器(如Apache)一起处理servlet/JSP请求,则需要允许该服务器访问端口8009,但通常可以限制在同一台机器上或至少在您的子网上访问.如果您在独立版本中运行Tomcat,则在${tomcat_home}/conf/server.xml中禁用端口8009。......
Tomcat防御加固
qq_43665434的博客
05-15 369
Tomcat防御加固 一、权限管理 设置启动权限 添加tomcat用户组 groupadd tomcat 添加tomcat用户,并限制登录 useradd -s /bin/bash -g tomcat tomcat -s 指定运行的脚本 -g 指定用户组 useradd -L tomcat #锁定密码,是密码无效 修改目录所有者 chown -R tomcat:tomcat /usr/local/tomcat 启动tomcat su - tomcat -c ‘/home/too
android加固apache,中间件安全加固Apache
weixin_39980596的博客
06-02 122
本帖最后由 by天天 于 2018-4-9 11:39 编辑混安全圈这么久了,你依旧只会挖洞,不懂防御。时代进步这么快,你的脚步还赶得上么?1520996301(1).jpg (121.56 KB, 下载次数: 41)2018-3-14 10:56 上传1身份鉴别1.1Apache账号安全功能:以专门的用户账号和组运行Apache(1)配置操作修改httpd.conf配置文件,添加如下语句:Use...
apache配置防御风险增加安全
qq_40194668的博客
01-13 494
1、确保对OS根目录禁用覆盖 访问控制 描述 通过禁止访问OS根目录,限制直接访问服务器内部文件的行为 使得运行web的服务器更加安全 检查提示 配置文件路径::/www/server/apache/conf/httpd.conf 加固建议 找到配置文件路径。 通过vim path(path为主配置文件的绝对路径,如果您的主配置文件中包含include <path>,则<path>为您的子配置文件路径) 在配置文件中 找到以<Directory />开头的配置项,按.
了解Apache基线加固原理,及工作过程
最新发布
JMislight的博客
07-11 770
了解Apache基线加固原理,及工作过程
Apache漏洞利用与安全加固实例分析
xysoul的专栏
08-21 5626
Apache 作为Web应用的载体,一旦出现安全问题,那么运行在其上的Web应用的安全也无法得到保障,所以,研究Apache的漏洞与安全性非常有意义。本文将结合实例来谈谈针对Apache的漏洞利用和安全加固措施。 Apache HTTP Server(以下简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,是最流行的Web服务器软件之一。虽
网站渗透与加固
qq_40907977的博客
10-08 1171
实验1、 1、实验介绍 实验简介 实验所属系列:网站渗透与加固 实验对象:本科/专科信息安全专业;相关工作从业人员;应用安全爱好者 相关课程及专业:网站渗透加固 实验时数(学分):2学时 实验类别:实践实验类 实验附件:https://xpro-adl.91ctf.com/userdownload?filename=网站渗透和加固介绍.rar&type=attach 实验目标 网站渗透基本概念和过程 网站加固方案 WEBINSPECT渗透测试工具 预备知识 随着中国互联网越来越快的发展,互联
apache安装手册
11-27
Apache的安装和配置是基础运维任务,而加固Apache防御DDS(Distributed Denial of Service)攻击则涉及到更多安全策略,如限制并发连接数、使用防火墙规则、设置访问控制列表、启用ModSecurity模块等。这些措施...
E112-经典赛题-WEB渗透扫描与加固.pdf
12-02
此任务主要涉及的是WEB渗透扫描与加固的相关技术,主要分为以下几个步骤: 1. **WEB服务器指纹识别**: 使用`httprint`工具是进行WEB服务器指纹识别的一种方法。`httprint`是一个开源的HTTP服务器指纹识别工具,它...
30.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御(三)1
08-03
文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御(三)1 本文是作者的网络安全自学教程系列的一部分,主要关注的是如何理解和防范网络安全中的某些常见漏洞。作者强调反对利用这些知识进行非法活动,鼓励读者以保护...
Apache Tomcat 6高级编程 pdf
04-20
- **攻击防御措施**:针对常见的Web攻击(如SQL注入、XSS攻击等),介绍相应的防御策略。 #### 5. 实战案例分析 - **大型项目部署案例**:通过对实际项目的分析,展示在不同场景下如何高效利用Tomcat进行部署。 - ...
Java安全防御学习笔记V1.0.docx
06-10
首先,Web服务器加固防御的第一道防线。Apache和Nginx是最常用的两种Web服务器。对于Apache,强化配置可能涉及限制HTTP方法、禁用不必要的模块、设置强密码策略和定期更新补丁。Nginx的加固则需要关注访问控制、...
Apache安全漏洞
qq_43665434的博客
05-10 5799
Apache安全漏洞 1、Apache中间件介绍 Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中。 简单来说就是一个好用的,并且能支持基础的HTML、PHP、Perl、Python等语言。很强 常见目录: bin ------------- 存放常用的命令工具。例如httpd cgi-bin -------
Tomcat弱口令漏洞
qq_43665434的博客
05-16 1892
Tomcat弱口令漏洞 漏洞原理:传送门 实验环境 主机 角色 IP centos8 漏洞靶机 192.168.1.80 kali msf生成木马,接收shell 192.168.1.128 windows10 攻击机 192.168.1.120 实验流程 开启漏洞靶机centos8 # 开启docker服务 service docker start # 切换到vulhub目录 cd /usr/sbin/vulhub/tomcat/tomcat8 # 创建镜像 docker
Apache日志分析
qq_43665434的博客
05-11 1437
Apache日志分析 Apache日志格式 cat /etc/apache2/ 日志格式引用:apache2.conf/httpd.conf/其他配置文件,例如: ./sites-available/000-default.conf:21: CustomLog ${APACHE_LOG_DIR}/access.log combined access.log文件格式: %h 远端主机 %l 远端登录名 %u 远程用户名 %t 时间 %r 请求第一行 %>s 状态 %b 传送字
Apache服务器安全加固策略与步骤
"Apache安全加固指导手册" Apache服务器作为互联网上广泛应用的Web服务器,因其开源、稳定和高效的特点深受青睐。然而,如同任何软件一样,Apache也存在安全风险,包括拒绝服务攻击、缓冲区溢出和权限提升等威胁。...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值