Linux Apache httpd服务安全加固
文章目录
通过管理Apache的配置文件来实现安全加固
通过yum源安装的httpd服务的配置文件存储在vim /etc/httpd/conf/httpd.conf
关于Directory Listing 目录浏览漏洞 的安全加固
漏洞场景
目录浏览是一个Web 服务的配置。当Web 服务某一个目录下没有主页的时候,会将目录下所有的内容列出来,类似于ls 命令。
如果某一个目录下没有设置默认首页,并且Web 用户能够看到目录中的所有文件和所以子目录
这种情况是非常不安全的,也是渗透测试工作中的漏洞检查项之一
风险等级
属于低危漏洞
安全配置
目录浏览是Web 服务最常见的配置风险之一,这个风险可以通过配置进行加固。
加固前
进行加固
在httpd的配置文件中关闭目录浏览 vim /etc/httpd/conf/httpd.conf
第144行
注释掉144行的内容 #Options Indexes FollowSymLinks
然后在这一行的下面加一条规则Options FollowSymLinks
完成后在末行模式输入wq进行保存
重新启动httpd服务systemctl restart httpd.service
加固后
显示IP拒绝访问
设置ip远程访问限制
规则
通过修改/etc/httpd/conf下的httpd.conf配置文件中131行<Directory “/var/www/html”> 里的内容进行添加访问规则
132行进行添加配置命令Order allow,deny allow是允许 deny是拒绝
在132行下面在加入一行就可以制定规则了
固定语句 allow/deny from 限定ip
注意在设定规则时 allow 和deny的书写顺序决定优先级
Order allow,deny
allow,deny谁在前谁最优先
! !!每次修改完成后要重启httpd服务
允许所有地址访问
<Directory "/var/www/html">
Order allow,deny
Allow from all
禁止所有地址访问
<Directory "/var/www/html">
Order deny,allow
Deny from all
</Directory>
只允许本机访问
<Directory "/var/www/html">
Order deny, allow,
Deny from all
Allow from 127.0.0.1
</Directory>
允许IP 访问
<Directory "/var/www/html">
Order deny,allow
Deny from all
Allow from 指定ip段
</Directory>
禁止IP 访问
<Directory "/var/www/html">
Order allow,deny
Allow from all
Deny from 本机下的ip网段
</Directory>
案例
允许所有地址访问Web 服务
禁止所有地址访问Web 服务
只允许本机访问Web 服务
只允许192.168.1.0/24 访问Web 服务
只禁止172.16.1.0/24 访问Web 服务