【Apache】HTTPD 2.4.37 + OpenSSL 1.1.1 企业级安全配置(含TLS修复)

最新推荐文章于 2022-05-07 10:22:10 发布
最新推荐文章于 2022-05-07 10:22:10 发布
阅读量600 收藏
点赞数
文章标签: 运维 xhtml 操作系统
原文链接:http://www.cnblogs.com/legiorange/p/10063561.html
版权

我为什么要写这一篇稿子?

为了避免更多的运维、开发者没能实现企业的信息安全,我将共享出我个人的HTTPD的安全修复(2.2和2.4差不太多就看2.4就好)  

起因:我为某M工作,但因某M和testin合作,结果他们跑个脚本在安全上检测到

SlowHTTPDenialofServiceAttack(解决方案是reqtimeout_module)

不安全的http
poodle
sweet32
中间件漏洞:
响应包版本泄露

【顺便一提,这些问题我早知道了,他们的修复建议并没什么用,依然是CV大法】

 

首先我们来看看2.2有哪些风险

 Fixed in Apache httpd 2.2.23
low: XSS in mod_negotiation when untrusted uploads are supported (CVE-2012-2687)
low: insecure LD_LIBRARY_PATH handling (CVE-2012-0883)
Fixed in Apache httpd 2.2.24
low: XSS due to unescaped hostnames (CVE-2012-3499)
--moderate: XSS in mod_proxy_balancer (CVE-2012-4558)
Fixed in Apache httpd 2.2.25                
low: mod_rewrite log escape filtering (CVE-2013-1862)
--moderate: mod_dav crash (CVE-2013-1896)
Fixed in Apache httpd 2.2.27
low: mod_log_config crash (CVE-2014-0098)
--moderate: mod_dav crash (CVE-2013-6438)
Fixed in Apache httpd 2.2.29
important: mod_cgid denial of service (CVE-2014-0231)
low: HTTP Trailers processing bypass (CVE-2013-5704)
--moderate: mod_deflate denial of service (CVE-2014-0118)
--moderate: mod_status buffer overflow (CVE-2014-0226)
Fixed in Apache httpd 2.2.31
low: HTTP request smuggling attack against chunked request parser (CVE-2015-3183)
Fixed in Apache httpd 2.2.32
important: Apache HTTP Request Parsing Whitespace Defects (CVE-2016-8743)
--moderate: mod_userdir CRLF injection (CVE-2016-4975)
n/a: HTTP_PROXY environment variable "httpoxy" mitigation (CVE-2016-5387)
Fixed in Apache httpd 2.2.34    
important: Uninitialized memory reflection in mod_auth_digest (CVE-2017-9788)
important: ap_get_basic_auth_pw() Authentication Bypass (CVE-2017-3167)
important: mod_ssl Null Pointer Dereference (CVE-2017-3169)
important: ap_find_token() Buffer Overread (CVE-2017-7668)
important: mod_mime Buffer Overread (CVE-2017-7679)

Not fixed in Apache httpd 2.2  
*apache httpd 2.2已停止更新
其中个别漏洞是可以造成源码泄露的。
最新版本:
apache ver.2.4.37
openssl ver.1.1.1

以上就是HTTPD2.2版本的风险,我个人也有基于低版本的修复,但是它并不安全,为防止某些人重蹈覆辙,强烈建议升级到2.4.37,版本于2018年10月23日发布,更新的版本请参照我新的博客,我将会持续跟踪,分享。

Apache HTTPD 2.4.37 安全配置

#去掉对SSL2&3,Tls1&1.1版本的支持,提供对Tls1.2的支持(tls1.3默认关闭),极大地增加了安全性
#增加了httpd对Trace的限制
#增加了重定向的解决方案(需设置,未启动)
#增加了安全头,提升了对XSS,CSRF,点击劫持,嗅探等攻击的防御,将lucky13攻击成功率(采用对称加密会有)降到个人能达到的最低限度,但考虑实际需求并未增加CSP。
#如需开启HTTP2(1.1的升级)请在安装apache 时./config后增加 --enable-http2 
载入 http2_module modules/mod_http2.so
<IfModule http2_module>
LogLevel http2:info
</IfModule>
并使用 protocols启动 Protocols h2 http/1.1 
#修复了 POODLE,SWEET32以及testin并未测试到的 LOGJAM,BEAST攻击同时更改大量不安全协议。
 
#*使用前需要修改配置文件*,配置也适用于其他httpd项目

 

——涉及文件:httpd.conf,httpd-ssl.conf

  如何安装(基于Centos7)

  前置依赖:

<

 都2个人这么问我了,为什么不用with-included-apr,1在build的时候会提示APR not found,和with-apr差不多。直接用with-apr就行了。

>

./configure --prefix=/opt/apache/apr-1.6.5
make 
make install

./configure --prefix=/opt/apache/apr-iconv-1.2.2 --with-apr=/opt/apache/apr-1.6.5
make 
make install


./configure --prefix=/opt/apache/apr-util-1.6.1 --with-apr=/opt/apache/apr-1.6.5  --with-apr-iconv=/opt/apache/apr-iconv-1.2.2/bin/apriconv
make 
make install
 

 
*// apr-util-1.6.1 报错
*// xml/apr_xml.c:35:19: fatal error: expat.h: No such file or directory
解决方法
  yum install expat-devel     
*//ps:expat-devel-2.1.0-10.el7_3.x86_64  最新版是2.4.4
 
 
 

./configure --prefix=/opt/apache/pcre-8.42 --with-apr=/opt/apache/apr-1.6.5/bin/apr-1-config
make && make install

./configure --prefix=/opt/apache/httpd-2.4.37 --with-pcre=/opt/apache/pcre-8.42 --with-apr=/opt/apache/apr-1.6.5/bin/apr-1-config --with-apr-util=/opt/apache/apr-util-1.6.1  --with-apr-iconv=/opt/apache/apr-iconv-1.2.2/bin/apriconv --enable-so   --enable-ssl --enable-mods-shared=all --enable-cache --enable-disk-cache --enable-file-cache --enable-mem-cache
make && make install

*//OpenSSL v1.1.1升级详见
*//https://blog.csdn.net/evkj2013/article/details/82933079

 

我增加/修改了哪些配置

#conf/httpd.conf

#配置插件
<IfModule reqtimeout_module>
  RequestReadTimeout header=5-40,MinRate=500 body=20,MinRate=500 
#用来解决 SlowHTTPDenialofServiceAttack 即超时慢DOS攻击
</IfModule>
<IfModule mod_headers.c> 
#HSTS只能通过https请求访问
  Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
#配置只有同一个域才能访问资源,用来解决点击劫持
  Header always set X-Frame-Options SAMEORIGIN
#script 和 styleSheet 元素会拒绝包含错误的 MIME 类型的响应
  Header always set X-Content-Type-Options nosniffs
#XSS注入防范的安全头
  Header always set X-XSS-Protection "1; mode=block" 
</IfModule>
# Configure mod_proxy_html to understand HTML4/XHTML1
<IfModule proxy_html_module>
Include conf/extra/proxy-html.conf
</IfModule>

# Secure (SSL/TLS) connections
include conf/extra/httpd-ssl.conf<IfModule ssl_module>
#增加的SSL配置
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
</IfModule>
#禁用 Trace 跟踪
TraceEnable off
#配置服务器生成页面的页脚
 ServerSignature Off 
#隐藏版本号
 ServerTokens Prod
#启动重定向
#RewriteEngine on
#RewriteCond %{SERVER_PORT} !^443$
#RewriteRule ^/?(.*)$ https://%{SERVER_NAME}/$1 [L,R]

这些安全头有什么作用,将挖一个坑。会增加在将来准备写的CSP之前发布

Trace是一定要禁用的,因为这个并不安全,为什么不安全将在后续的补全章节展出。

 

#conf/extra/httpd-ssl.conf   

 SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256!SSLv3:!kRSA:!EXPORT:!ADH
 SSLProxyCipherSuite HIGH:MEDIUM:!SSLv3:!kRSA
 
//在这里我禁用了!EXPORT(很少人注意这里,要加的)还有!ADH(就是DH)等套件因为过时了,我在这里采用了ECDHE套件,牢固,十分安全。

SSLHonorCipherOrder on 
#禁止SSL2&3,TLS1&1.1
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLProxyProtocol all -SSLv3
#SSL 的session设置
SSLSessionTickets       off
SSLSessionCache        "shmcb:/opt/apache/httpd-2.4.37/logs/ssl_scache(512000)"
SSLSessionCacheTimeout  300
#OSCP
SSLUseStapling On
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off
SSLStaplingCache "shmcb:/opt/apache/httpd-2.4.37/logs/ssl_stapling(32768)"
SSLStaplingStandardCacheTimeout 3600
SSLStaplingErrorCacheTimeout 600
SSLEngine on
//下面是密钥的配置,每个人都不一样,不粘了

我的套件依然存在CBC(就是对称密码),所以有几率被lucky 13(几率有多高不知道,大家可以试试),除非你不用CBC,追求最佳的安全,否则这些就够了。其他的配置一切安全。

1024和2048会导致响应慢

本HTTPD采用了TLS1.2(1.3没开)。

 如何去测试配置现在是否安全?

https://testssl.sh/

我不知道怎么使用

testssl.sh <hostname>/<URI>

我需要一份报告

testssl.sh <options> <URI> | aha >output.html

 啥是URI

 你暂时,在这里完全可以理解成URL

 

转载于:https://www.cnblogs.com/legiorange/p/10063561.html

weixin_30299539
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache 2.4.37-o111a-x86
01-18
ApacheHTTPD 2.4.37 + OpenSSL 1.1.1 企业安全配置TLS修复
Windows系统下,OpenSSL升级为1.1.1t
smailPHPer的博客
03-10 8875
我参考的文章是将libeay32.dll,ssleay32.dll,openssl.exe这三个文件拷贝到apache安装目录的bin目录下,我安装的这个没有前两个文件,所以我是把全部dll文件和openssl.exe都复制过去了,其中libcrypto-1_1-x64.dll和libssl-1_1-x64.dll这两个文件是重复的。客户网站在做等保,OpenSSL高危漏洞,需要进行升级。网上搜了很多教程,基本上都是Linux的系统,要不就是需要编译,找了个简单的办法,并测试成功了,在此记录一下。
关于Apache HTTPD 2.2.15的部分漏洞修复建议
龙云尧的博客
12-21 1万+
龙云尧个人博客,转载请注明出处。Apache httpd版本为2.2.15。修复Apache HTTP Server畸形Range和Range-Request选项处理远程拒绝服务漏洞,修复目录遍历漏洞,修复HTTP慢连接拒绝服务攻击漏洞。
httpd服务器常见漏洞修复,apache漏洞修复
weixin_39895881的博客
08-05 1059
1.SSL/TLS存在Bar Mitzvah Attack漏洞由于apache服务器未安装SSL模块,所以需要在不重新编译apahe的情况下安装mod_ssl模块。1.0 安装apxs,yum install httpd_devel;1.1 进入apache源码目录,进入module文件夹下的ssl目录;1.2 找到oepnssl 的include路径;1.3 运行/usr/local/apach...
httpd服务器常见漏洞修复,Apache漏洞修复记录
weixin_35559171的博客
08-05 761
一、慢http攻击漏洞1、在Apache配置reqtimeout_module设置header和body的最大响应时间。Apache配置保存后重启Apache。再进行测试可以看到,受到攻击后,服务中断时间大幅减少,服务器正常服务的时间保持在80%左右,可维持正常的服务状态。2、由于缓慢http攻击的攻击性质,攻击者一般操作单台计算机就可以进行攻击,所以假设在生产环境下,受到攻击后,可以通过req...
linux服务器漏洞修复工具,Apache漏洞修复
weixin_34368102的博客
05-01 959
今天受同事的委托,修复一台服务器的Apache漏洞,主要集中在以下几点:1.Apache httpd remote denial of service(中危)修复建议:将Apache HTTP Sever升级到2.2.20或更高版本。解决方法:升级HTTP。现Apache官网提供的都是源码包。2.点劫持(Clickjacking: X-Frame-Options header missing)(低...
centos8使用Apache httpd2.4.37安装web服务器的步骤详解
09-14
主要介绍了centos8使用Apache httpd2.4.37安装web服务器的步骤详解,本文分步骤给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
apache/httpd安全配置方法总结
08-08
搜集总结了关于搭建局域网apache服务器的网络安全配置,也总结了一些安全配置和维护的建议,希望可以给服务器搭建者一点帮助。
httpd2.4.37版本的rpm包
01-01
通过Apache2.4.37的源码包制作的rpm包,官方源码包发布日期 为:2018-10-23;
怎么修复apache HTTP严格传输安全保障漏洞
u013930899的博客
05-07 1179
公司在做漏洞扫描时,检测到网站存在“HTTP严格传输安全保障”漏洞,怎么修复呢? 1. 漏洞描述 HTTP协议本身是明文,这意味着可以捕获通过HTTP传输的任何数据并查看内容。 为了保护数据的私密性并防止数据被截获,HTTP通常通过安全套接字层(SSL)或传输层安全性(TLS)连接进行隧道传输。 当使用这些加密标准中的任何一个时,它被称为HTTPS。 HTTP严格传输安全性(HSTS)是可选的响应头,可以在服务器上配置,以指示浏览器仅通过HTTPS进行通...
apache 2.4.2 win64安装包 openssl
12-08
apache2.4.2 win64 安装包
mod-wsgi-3.5-for-windows32/64-apache2.2/2.4-python2.6-3.4各版本组合都有
10-19
apache作为python服务器的插件。0分免费,欢迎下载。 mod_wsgi-3.5-for-windows32/64-apache2.2/2.4-python2.6-3.4各版本组合都有。总有一款适合你。 详见列表: mod_wsgi-3.5.ap22.win32-py2.6.zip mod_wsgi-3.5.ap22.win32-py2.7.zip mod_wsgi-3.5.ap22.win32-py3.2.zip mod_wsgi-3.5.ap22.win32-py3.3.zip mod_wsgi-3.5.ap22.win32-py3.4.zip mod_wsgi-3.5.ap22.win-amd64-py2.6.zip mod_wsgi-3.5.ap22.win-amd64-py2.7.zip mod_wsgi-3.5.ap22.win-amd64-py3.2.zip mod_wsgi-3.5.ap22.win-amd64-py3.3.zip mod_wsgi-3.5.ap22.win-amd64-py3.4.zip mod_wsgi-3.5.ap24.win32-py2.6.zip mod_wsgi-3.5.ap24.win32-py2.7.zip mod_wsgi-3.5.ap24.win32-py3.2.zip mod_wsgi-3.5.ap24.win32-py3.3.zip mod_wsgi-3.5.ap24.win32-py3.4.zip mod_wsgi-3.5.ap24.win-amd64-py2.6.zip mod_wsgi-3.5.ap24.win-amd64-py2.7.zip mod_wsgi-3.5.ap24.win-amd64-py3.2.zip mod_wsgi-3.5.ap24.win-amd64-py3.3.zip mod_wsgi-3.5.ap24.win-amd64-py3.4.zip
Apache + openssl-1.1.1g 支持TLS1.3 协议
ONE PIECE
09-17 1186
当前环境 Apache-2.4.46 + openssl-1.1.1g 即可; 相关的插件建议在编译安装的时候都加上 如下: yum install -y gcc yum install -y gcc-c++ 安装apr:http://mirror.bit.edu.cn/apache//apr/apr-1.7.0.tar.gz,下载并上传apr-1.7.0.tar.gz至/usr/local目录下: 解压:tar -zvxf apr-1.7.0.ta...
Apache2.4.39 HTTPS SSL证书配置
wocao2dai的博客
04-07 1057
首先,在腾讯云或者阿里云控制台,搜索ssl,会有免费的版本,我们选择该版本即可。 接着选择如下: 我们申请好之后,会有一件配置的按钮,点这个是没用的,我们需要下载证书,自己配置。 控制台会分析我们的服务器是哪个版本,会推荐对应的ssl版本让我们下载。我们下载后,解压上传至我们的服务器,我们可以通过远程访问服务器,将解压的ssl文件放置到服务器上。 文件内容都大同小异,基本上都一样的: 接下来的都是重中之重了!!(配置) 1-打开Apache,在里面找到--http...
内网渗透思路10之SPN拿下域控
划水的小白白
10-31 1621
站库分离、外网打点 、过杀软、多层网络渗透、横向渗透、jwt token密钥破解、 phpmyadmin写shell、sqlserver 提权、SPN服务的利用、权限提升、域渗透
Yii2项目Apache/2.4.34 (Win32) OpenSSL/1.0.2o PHP/7.1.20 Server at localhost Port 80
benben0729的专栏
08-18 4288
配置完站点之后,访问如下: 这是因为yii2需要先执行一下yii 再次访问站点:
apache2.4.37无法解析php,apache 2.4.37 with openssl 1.1.1:无法执行握手后身份验证
weixin_39583162的博客
03-18 286
我将Apache更新到了最新版本2.4.37,并将openssl更新到了1.1.1,现在,当客户端进行身份验证时,我只在firefox 63中看到这个错误,但在chrome中没有:[ssl:error] AH: verify client post handshake, referer: https://******/login[ssl:error] AH10158: cannot perform...
如何解决Apache服务配置问题
Coding Corner
01-17 4257
为了使得Apache2服务器能够为Python应用提供服务,也是绞尽了脑子。首先在error.log中查看Apache现在启动的模块。AH00163: Apache/2.4.18 (Ubuntu) mod_jk/1.2.41 mod_wsgi/4.3.0 Python/3.5.2 configured -- resuming normal operations 这个时候可以看到Python版本以及w
Apache无法启动问题解决方法报错 configured — resuming normal operations
热门推荐
萧逸闲侃
09-23 2万+
今天自己尝试这学习PHP环境搭建。 没想到安装apche server 2.2启动后报出错误,错误log如下: Starting the Apache2.2 service The Apache2.2 service is running. ] Apache/2.2.21
apache-2.4.37下载
最新发布
07-13
要下载Apache 2.4.37,您可以遵循以下步骤: 1. 打开Apache官方网站(https://httpd.apache.org/)。 2. 在网站的导航栏中找到"Downloads"(下载)部分,并点击它。 3. 在下载页面上,您会看到各种可下载的Apache...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值