apache 加固配置

目录

• 账号口令和认证授权
• 日志配置
• 禁止apache列表显示文件
• 设置拒绝服务防范
• 删除安装的无用文件
• 检查apache服务器默认端口
• 禁止apache访问web目录之外的任何文件
• 设置apache错误页面重定向
• 限制HTTP请求的消息主体的大小

账号口令和认证授权

检查是否隐藏apache的版本号及其他敏感信息

检查内容

隐藏Apache的版本号及其它敏感信息

检查操作步骤

编辑配置文件httpd.conf

判定条件

ServerSignature Off
ServerTokens Prod

加固方案操作建议

参考配置操作
修改httpd.conf配置文件：
　　ServerSignature Off
　　ServerTokens Prod

加固方案补充说明

存在ServerTokens值为Prod，ServerSignature值为Off

检查是否专门的用户帐号和组运行Apache

检查内容

以专门的用户帐号和组运行Apache

检查操作步骤

根据需要为Apache创建用户、组
修改httpd.conf配置文件，添加如下语句：
User apache
Group apachegroup
其中apache、apachegroup分别是为Apache创建的用户和组。

判定条件

User apache
Group apachegroup

基准值

Group,User

加固方案操作建议

修改httpd.conf配置文件，添加如下语句：
User apache
Group apachegroup
其中apache、apachegroup分别是为Apache创建的用户和组。

加固方案补充说明

1、根据不同用户，取不同的名称。
2、为用户设置适当的家目录和shell。
存在Group和user组

日志配置

检查是否配备apache日志功能

检查项内容

设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP地址等内容

检查操作步骤

查看配置文件httpd.conf
编辑httpd.conf配置文件，设置日志记录文件、记录内容、记录格式。
LogLevel notice
ErrorLog logs/error_log
LogFormat “%h %l %u %t “%r” %>s %b “%{Accept}i” “%{Referer}i” “%{User-Agent}i”” combined
CustomLog logs/access_log combined

判定条件

查看logs目录中相关日志文件内容，记录完整。

基准值

CustomLog,LogFormat,ErrorLog,LogLevel

加固方案操作建议

编辑httpd.conf配置文件，设置日志记录文件、记录内容、记录格式。
LogLevel notice
ErrorLog logs/error_log
LogFormat “%h %l %u %t “%r” %>s %b “%{Accept}i” “%{Referer}i” “%{User-Agent}i”” combined
CustomLog logs/access_log combined
ErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件，Apache httpd将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置：ErrorLog syslog。
CustomLog指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。
LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详细程度，建议设置为notice。

加固方案补充说明

用户日志CustomLog,日志格式LogFormat,错误日志ErrorLog,日志等级LogLevel这四个字段后面有配置的日志信息

检查是否禁止Apache列表显示文件

检查项内容

禁止Apache列表显示文件

检查操作步骤

编辑httpd.conf配置文件,将Options Indexes FollowSymLinks中的Indexes 去掉，就可以禁止 Apache 显示该目录结构。Indexes 的作用就是当该目录下没有 index.html文件时，就显示目录结构

判定条件

当WEB目录中没有默认首页如index.html文件时，不会列出目录内容

基准值

Indexes

加固方案操作建议

编辑httpd.conf配置文件，
<Directory “/web”>
Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
< /Directory >
将Options Indexes FollowSymLinks中的Indexes 去掉，就可以禁止 Apache 显示该目录结构。Indexes 的作用就是当该目录下没有 index.html文件时，就显示目录结构。
其中index.html即为默认页面，可根据情况改为其它文件。

加固方案补充说明

存在Options Indexes FollowSymLinks

检查是否设置拒绝服务防范

检查项内容

拒绝服务防范

检查操作步骤

编辑配置文件httpd.conf

判定条件

Timeout 10 KeepAlive On
KeepAliveTimeout 15
AcceptFilter http data
AcceptFilter https data

基准值

AcceptFilter https data,AcceptFilter http data,KeepAliveTimeout 15,Timeout 10 KeepAlive On

加固方案操作建议

编辑httpd.conf配置文件，
Timeout 10 KeepAlive On
KeepAliveTimeout 15
AcceptFilter http data
AcceptFilter https data
(2)重新启动Apache服务

加固方案补充说明

同时存在AcceptFilter https data,AcceptFilter http data,KeepAliveTimeout 15,Timeout 10 KeepAlive On

是否删除安装的无用文件

检查项内容

删除缺省安装的无用文件

检查操作步骤

删除缺省安装的无用文件#rm %Apache_Home%/htdocs/* #rm %Apache_Home%/cgi-bin/#rm %Apache_Home%/manual#rm %Apache_Home%/httpd-2.2.4

判定条件

删除缺省安装的无用文件#rm %Apache_Home%/htdocs/* #rm %Apache_Home%/cgi-bin/#rm %Apache_Home%/manual#rm %Apache_Home%/httpd-2.2.4

加固方案操作建议

删除缺省HTML文件：
#rm -rf /usr/local/apache2/htdocs/*
删除缺省的CGI脚本：
#rm –rf /usr/local/apache2/cgi-bin/*
删除Apache说明文件：
#rm –rf /usr/local/apache2/manual
删除源代码文件：
#rm -rf /path/to/httpd-2.2.4*
根据安装步骤不同和版本不同，某些目录或文件可能不存在或位置不同。

加固方案补充说明

htdocs，cgi-bin，manual的文件数都等于0

检查Apache服务器默认端口

检查项内容

更改Apache服务器默认端口

检查操作步骤

修改httpd.conf配置文件，更改默认端口到8080

判定条件

Listen x.x.x.x:8080

基准值

8080

加固方案操作建议

（1）修改httpd.conf配置文件，更改默认端口到8080
Listen x.x.x.x:8080
（2）重启Apache服务

加固方案补充说明

存在Listen x.x.x.x:8080

检查是否禁止Apache访问Web目录之外的任何文件

检查项内容

禁止Apache访问Web目录之外的任何文件

检查操作步骤

查看httpd.conf配置文件
编辑httpd.conf配置文件，
<Directory / >
Order Deny,Allow
Deny from all
< /Directory>

判定条件

编辑httpd.conf配置文件，
<Directory / >
Order Deny,Allow
Deny from all
< /Directory>

基准值

Order Deny,Deny from all

加固方案操作建议

编辑httpd.conf配置文件，
<Directory / >
Order Deny,Allow
Deny from all
< /Directory>

加固方案补充说明

设置可访问目录，
<Directory /web>
Order Allow,Deny
Allow from all
< /Directory>
其中/web为网站根目录。
根目录下面，存在Deny from all和Order Deny

检查是否设置Apache错误页面重定向

检查项内容

Apache错误页面重定向

检查操作步骤

查看配置文件httpd.conf

判定条件

ErrorDocument 400 /custom400.html
ErrorDocument 401 /custom401.html
ErrorDocument 403 /custom403.html
ErrorDocument 404 /custom404.html
ErrorDocument 405 /custom405.html
ErrorDocument 500 /custom500.html
Customxxx.html为要设置的错误页面。

基准值

ErrorDocument

加固方案操作建议

(1) 修改httpd.conf配置文件：
ErrorDocument 400 /custom400.html
ErrorDocument 401 /custom401.html
ErrorDocument 403 /custom403.html
ErrorDocument 404 /custom404.html
ErrorDocument 405 /custom405.html
ErrorDocument 500 /custom500.html
Customxxx.html为要设置的错误页面。
(2)重新启动Apache服务

加固方案补充说明

存在ErrorDocument

限制http请求的消息主体的大小

检查项内容

限制http请求的消息主体的大小

检查操作步骤

查看配置文件httpd.conf
LimitRequestBody 102400

判定条件

LimitRequestBody 102400

加固方案操作建议

编辑httpd.conf配置文件，修改为102400Byte
LimitRequestBody 102400

加固方案补充说明

LimitRequestBody小于等于 102400