Apache中间件安全基线配置规范 中间件api

1.用户账号与口令安全

优化WEB服务账号，建立新的用户、组作为Apache的服务帐号，为WEB服务提供唯一、最小权限的用户与组

根据需要为Apache创建用户、组

参考配置操作

修改httpd.conf配置文件，添加如下语句：

User apache

Group apachegroup

其中apache、apachegroup分别是为Apache创建的用户和组。

补充操作说明

根据不同用户，取不同的名称。

为用户设置适当的家目录和shell。

判定条件

检查httpd.conf配置文件，检查用户配置文件。

2.日志与审计

设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP地址等内容。

参考配置操作

编辑httpd.conf配置文件，设置日志记录文件、记录内容、记录格式。

LogLevel notice

ErrorLog logs/error_log

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Accept}i\" \"%{Referer}i\" \"%{User-Agent}i\"" combined

CustomLog logs/access_log combined

ErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件，Apache httpd将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则

设置：ErrorLog syslog。

CustomLog指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。

LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详细程度，设置为notice，采用notice日志级别

判定条件

查看logs目录中相关日志文件内容，记录完整。

检测操作

查看相关日志记录。

补充说明

3.服务优化

精简系统模块，禁用不需要的模块。

参考配置操作

修改配置文件httpd.conf，注释不需要的模块，如：

#LoadModule ldap_module modules/mod_ldap.so

判定条件

查看httpd.conf配置文件

4.安全防护

(1)禁止目录遍历

禁止目录遍历，禁止Apache访问Web目录之外的任何文件。

参考配置操作

编辑httpd.conf配置文件，

<Directory />

Order Deny,Allow

Deny from all

</Directory>

补充操作说明

设置可访问目录，

<Directory /web>

Order Allow,Deny

Allow from all

</Directory>

其中/web为网站根目录。

判定条件

无法访问Web目录之外的文件。

检测操作

访问服务器上不属于Web目录的一个文件，结果应无法显示。

(2)隐藏版本信息

隐藏Apache的版本号及其它敏感信息。

参考配置操作

修改httpd.conf配置文件：

ServerSignature Off

ServerTokens Prod

(3)连接超时优化

拒绝服务防护

参考配置操作

编辑httpd.conf配置文件，

Timeout 10 KeepAlive On

KeepAliveTimeout 15

AcceptFilter http data

AcceptFilter https data

重新启动Apache服务

(4)错误信息自定义

修改错误文件信息,防止信息泄漏

参考配置操作

修改httpd.conf配置文件：

ErrorDocument 400 /custom400.html

ErrorDocument 401 /custom401.html

ErrorDocument 403 /custom403.html

ErrorDocument 404 /custom404.html

ErrorDocument 405 /custom405.html

ErrorDocument 500 /custom500.html

Customxxx.html为要设置的错误页面。

重新启动Apache服务

判定条件

指向指定错误页面

检测操作

URL地址栏中输入http://ip/xxxxxxx~~~（一个不存在的页面）

(5)删除缺省安装的无用文件

删除缺省安装的无用文件。

参考配置操作

删除缺省HTML文件：

# rm -rf /usr/local/apache2/htdocs/*

删除缺省的CGI脚本：

# rm –rf /usr/local/apache2/cgi-bin/*

删除Apache说明文件：

# rm –rf /usr/local/apache2/manual

删除源代码文件：

# rm -rf /path/to/httpd-2.2.4*

根据安装步骤不同和版本不同，某些目录或文件可能不存在或位置不同。

(6)限制http请求的消息主体的大小

限制http请求的消息主体的大小。

参考配置操作

编辑httpd.conf配置文件，修改为102400Byte

LimitRequestBody 102400

(7)禁止Apache列表显示文件

禁止Apache列表显示文件

参考配置操作

编辑httpd.conf配置文件，

<Directory "/web">

Options FollowSymLinks

AllowOverride None

Order allow,deny

Allow from all

</Directory>

将Options Indexes FollowSymLinks中的Indexes 去掉，就可以禁止 Apache 显示该目录结构。Indexes 的作用就是当该目录下没有 index.html文件时，就显示目录结构。

设置Apache的默认页面，编辑%apache%\conf\httpd.conf配置文件，

<IfModule dir_module>

DirectoryIndex index.html

</IfModule>

其中index.html即为默认页面，可根据情况改为其它文件。

重新启动Apache服务

判定条件

当WEB目录中没有默认首页如index.html文件时，不会列出目录内容

检测操作

直接访问http://ip:8800/xxx（xxx为某一目录）

5.权限增强

严格设置配置文件和日志文件的权限，防止未授权访问

参考配置操作

chmod 600 /etc/httpd/conf/httpd.conf

设置配置文件为属主可读写，其他用户无权限

chmod 644 /var/log/httpd/*.log

设置日志文件为属主可读写，其他用户只读权限

判定条件

执行ls –l /etc/httpd/conf/httpd.conf查看文件权限是否为600

执行ls –l /var/log/httpd/*.log查看文件权限是否为644