1 检查是否禁用CGI
1.在httpd.conf中,在LoadModule cgi_module modules/mod_cgi.so行前加#
2.在httpd.conf中,在ScriptAlias /cgi-bin/ '/var/www/cgi-bin/'行前加#
2 检查是否隐藏 Apache 的版本号
1.在httpd.conf(httpd-default.conf)中,修改或配置 ServerSignature Off
2.在httpd.conf(httpd-default.conf)中,修改或配置 ServerTokens Prod,其中OS的值为自行设计
3 检查是否禁用非法 HTTP 方法
在httpd.conf中,将中修改或配置为Deny from all
注:Deny from all 必须放在第一个节点;
![15d849c2d528d6c5b7ef3a352a421d7b.png](https://i-blog.csdnimg.cn/blog_migrate/4096d063a3467eb34675118e31004a7f.jpeg)
4 检查是否正确配置日志
1.在httpd.conf中,修改或配置LogLevel notice
2.在httpd.conf中,修改或配置ErrorLog logs/error_log
3.在httpd.conf中,修改或配置LogFormat "%{Referer}i -> %U" referer
4.在httpd.conf中,修改或配置CustomLog logs/access_log combined
5 检查是否控制Apache主目录的访问权限
在httpd.conf中,修改或配置ServerRoot /usr/local/apache
6 检查是否拒绝服务防范
1.在httpd.conf(httpd-default.conf)中,修改或配置Timeout 60
2.在httpd.con(httpd-default.conf)f中,修改或配置KeepAlive Off (大写的O)
3.在httpd.conf(httpd-default.conf)中,修改或配置KeepAliveTimeout 15
7 检查是否使用专门的用户帐号
在httpd.conf中,修改或配置User/Group apache,其中apache为专门运行apache服务的用户组和用户信息
8 检查是否设置配置文件和日志文件的权限
权限低于等于600
1.chmod 600 /etc/httpd/conf/httpd.conf
权限低于等于644
2.chmod 644 /var/log/httpd
9 检查是否安装补丁
执行apachectl –v,该检查项只是采集版本信息,不作为合规判断
10 检查是否更改默认端口
在httpd.conf中,将Listen 80修改为Listen 81,将默认端口80配置为其他端口
11 检查是否重定向错误页面
1.在httpd.conf中,配置ErrorDocument 400 /custom400.html
2.在httpd.conf中,配置ErrorDocument 401 /custom401.html
3.在httpd.conf中,配置ErrorDocument 403 /custom403.html
4.在httpd.conf中,配置ErrorDocument 404 /custom404.html
5.在httpd.conf中,配置ErrorDocument 405 /custom405.html
6.在httpd.conf中,配置ErrorDocument 500 /custom500.html
12 检查是否禁止访问外部文件
注:尽量把内容配置在第一个节点上
在httpd.conf中,节点修改或配置 Order allow,deny
在httpd.conf中,节点修改或配置 Deny from all
13 检查是否设置连接数
在httpd.conf中,节点中配置或修改 MaxClients 1500
在httpd.conf中,节点中配置或修改 ServerLimit 1500
14 检查是否绑定监听地址
在httpd.conf中,修改或配置Listen x.x.x.x:81
15 检查是否删除缺省安装的无用文件
删除{apache_home}/htdocs目录下html文件,apache_home为apache安装目录
删除{apache_home}/cgi-bin目录下cgi文件,apache_home为apache安装目录
删除{apache_home}目录下manual文件,apache_home为apache安装目录
删除papche源码,文件名为httpd-*
16 检测是否使用HTTP 加密协议
进入{apache_home}/modules目录,执行{apache_home}/bin/apxs -a -i -c mod_ssl.c,{apache_home}为apache源码目录
在httpd.conf中,将LoadModule ssl_module modules/mod_ssl.so前面的#去掉
17 检查是否禁止列出目录
在httpd.conf中,将节点中的Options Indexes FollowSymLinks中的 Indexes 去掉
18 检查是否关闭 TRACE
在httpd.conf中,修改或配置 TraceEnable Off