Apache安全配置规范12-27

s＞_•账号设置＞以专门的用户帐号和组运行Apache。

＞根据需要为Apache创建用户、组参考配置操作如果没有设置用户和组，则新建用户，并在Apache配置文件中指定⑴创建apache 组：groupadd apache (2)创建apache 用户并加入apache 组：useradd apache -g apache⑶将下面两行加入Apache配置文件httpd.conf中1. User apache2. Group apache＞检查httpd.conf酉己置文件。

检查是否使用非专用账户（如root）运行apache ＞默认一般符合要求，Linux下默认apache或者nobody用户，Unix默认为daemon用户>>Apache的主目录对应于Apache Server配置文件httpd.conf的Server Root控制项中应为：1. ff Server Root /usr/local/apache^A判定条件A非超级用户不能修改该目录中的内容>检测操作>尝试修改，看是否能修改>一般为/etc/httpd目录，默认情况下属主为rootroot,其它用户不能修改文件，默认一般符合要求>严格设置配置文件和日志文件的权限，防止未授权访问。

>chmod 600 /etc/httpd/conf/httpd.conf"设置配置文件为属主可读写，其他用户无权限。

>使用命令〃chmod 644/var/log/httpd/tlog"设置日志文件为属主可读写，其他用户只读权限。

>>日志设置>设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP地址等内容。

>编辑httpd.conf酉己置文件，设置日志记录文件、记录内容、记录格式。

其中，错误日志：1. Log Level notice # 日志的级别2. ErrorLog f.J logs/error_log #日志的保存位置（错误日志）3. 访问日志：4. Log Format %h %1 %u %t \N%r\J, %>s %b Ac cep t }i Ref erer} i\w V*%{User-Agent }iV JM5. combined5. Custom Log /.../logs/ ac c es s_l og combined （访|可日志〉>ErrorLog指令设置错误日志文件名和位置。

Apache安全配置⽅法令Apache占领Web服务器半壁江⼭的⼀个重要原因就是它可以提供⼀个安全的Web操作环境。

Apache团体为保证其安全性做了⼤量的⼯作。

想当年，在此产品被发现存在⼀个安全缺陷时，Apache的开发⼈员就尽快地搞出了⼀个补丁。

然⽽，即管Apache已经堪称安全的产品，如果你在构建你的服务器时没有采取⼀些安全预防措施，这种Web服务器仍易于受到很多攻击。

在本⽂中，笔者将为你提供10个技巧，借此你可以保护⾃⼰的Apache Web服务器免于受到许多攻击。

不过，必须谨记，你需要仔细地评估每⼀个技巧，以确保其适合于你的组织。

只安装所需要的Apache的⼀个最⼤的特点是其灵活性和⼤量的可选择安装模块，这在涉及到安全问题时可成为⼀个极⼤的弱点。

你安装的越多，也就为潜在的攻击者创造了越⼤的攻击⾯。

⼀个标准的Apache安装包含20多个模块，包括CGI特性，以及⼀些⾝份验证机制。

如果你不打算采⽤CGI，并且你只想采⽤静态的Web 站点，不需要⽤户⾝份验证，你可能就不需要这些模块所提供的任何服务，因此在安装Apache时请禁⽤这些模块。

如果你沿⽤了⼀个正在运⾏的Apache服务器，并且不想重新安装它，就应当仔细检查httpd.conf配置⽂件，查找以LoadModule开头的⾏。

请检查Apache的⽂档（也可以⽤Google、Yahoo等搜索），查找每个模块的⽬的信息，找出那些你并不需要的模块。

然后，重新启动 Apache。

暴露程度最⼩化Apache易于安装并且相当容易管理。

不幸的是，许多Apache的安装由于为完全的陌⽣者提供了关于⾃⼰服务器的太多"有帮助”的信息，例如 Apache的版本号和与操作系统相关的信息。

通过这种信息，⼀个潜在的攻击者就可以追踪特定的可以影响你的系统的破坏性漏洞，特别是你没有能够保持所有补丁的更新的话情况更为严重。

如此⼀来，攻击者⽆需反复试验就可以确切地知道你在运⾏什么，从⽽可以调整其攻击⽅法。

Apache服务器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章日志配置操作 (5)2.1日志配置 (5)2.1.1审核登录 (5)第3章设备其他配置操作 (6)3.1访问权限 (6)3.1.1禁止访问外部文件 (6)3.2防攻击管理 (6)3.2.1错误页面处理 (7)3.2.2目录列表访问限制 (7)3.2.3拒绝服务防范 (8)3.2.4删除无用文件 (8)3.2.5隐藏敏感信息 (9)3.2.6Apache账户安全* (9)3.2.7限制请求消息长度 (10)第4章评审与修订 (11)第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Apache服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Apache服务器的安全配置。

1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Apache 服务器系统。

1.3适用版本2.0.x、2.2.x版本的Apache服务器。

1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章日志配置操作2.1日志配置2.1.1审核登录第3章设备其他配置操作3.1访问权限3.1.1禁止访问外部文件3.2防攻击管理3.2.1错误页面处理3.2.2目录列表访问限制3.2.3拒绝服务防范3.2.4删除无用文件3.2.5隐藏敏感信息3.2.6Apache账户安全*3.2.7限制请求消息长度范文范例指导参考第4章评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。

Apache服务器的安装与配置一、安装Apache双击可执行文件apache_1.3.33-win32-x86-no_src.exe，将Apache服务器软件安装至C:\Apache目录下。

二、设置C:\apache\conf\httpd.donf文件修改Apache的核心配置文件c:\apache\conf\httpd.conf（说明一点：“#”为Apache的注释符号）。

修改方法如下：1、寻找到ServerName。

这里定义你的域名。

这样，当Apache Server运行时，你可以在浏览器中访问自己的站点。

如果前面有#，记得删除它。

2、寻找到ServerAdmin。

这里输入你的E-Mail地址。

（以上两条在安装时应该已经配置好了，所以不必改动，这里介绍一下，主要是为了日后的修改）3、寻找到。

向下有一句Options，去掉后面所有的参数，加一个All（注意区分大小写！A 大写，两个l小写。

下同。

）；接着还有一句Allow Override，也同样去掉后面所有的参数，加一个All。

<Directory "C:/Program Files/Apache Group/Apache/cgi-bin">AllowOverride AllOptions AllOrder allow,denyAllow from all</Directory>4、寻找到DocumentRoot。

这个语句指定你的网站路径，也就是你主页放置的目录。

你可以使用默认的，也可以自己指定一个，但记住，这句末尾不要加“/”。

此外注意，路径的分隔符在Apache Server里写成“/”。

（将DocumentRoot "C:/apache/htdocs"改为DocumentRoot "C:/try"）5、寻找到DirectoryIndex。

这就是你站点第一个显示的主页，在index.html的后面加入index.htm index.php index.php3 index.cgi index.pl。

httpd.conf文件配置详解Apache的基本设置主要交由httpd.conf来设定管理，我们要修改Apache的相关设定，主要还是通过修改httpd.cong来实现。

下面让我们来看看httpd.conf的内容，它主要分成3大部分：Section 1:Global EnvironmentSection 2:'Main' server configurationSection 3:Virtual Hosts【第一部分】·ServerType standalone这表示Apache是以standalone启动，也可以是inetd。

所谓standalone是指启动一次来接听所有的连线；而inetd是接到http的连线要求才启动，随着连线的结束而结束，这样负担是不是很但呢？所以一般都是以standalone启动。

·ServerRoot "/usr/local/httpd"此为apache的目录·#LocdFile /use/local/httpd/logs/httpd.lock保留预设值，不更动·PidFile /usr/local/httpd/logs/httpd.pid此文件记录着apache的父处理程序id·ScoreBoardFile /usr/local/httpd/logs/httpd.scoreboard此文件存储处理程序的信息·#ResourceConfig conf/srm.conf·#AccessConfig conf/access.conf由于我们统筹由httpd.conf来管理，所以这两个文件预设是注解起来的，可以保留预设值不更动·Timeout 300设盯超时的时间。

如果用户端超过300秒还没连上server，或server超过300秒还没传送信息给用户端，即断线。

APACHE安装与配置编辑：刘旭、邓志龙日期：2011/06/11 版本：v2.0 一、A PACHE的安装软件：httpd-2.0.64.tar.bz2 系统：RHEL5.5apache现在分为两个版本1.x和2.x，下载地址：/解压：[root@localhost soft]# tar xvf httpd-2.0.64.tar.bz2配置：[root@localhost httpd-2.0.64]# ./configure --prefix=/opt/apache2/opt/apache2为安装目录安装：[root@localhost httpd-2.0.64]# make && make install启动：[root@localhost /]# /opt/apache2/bin/apachectl start停止：[root@localhost /]# /opt/apache2/bin/apachectl stop二、APACHE配置apche基本配置文件为httpd.conf，路径/opt/apache2/conf/httpd.conf。

1、端口监听Listen 8080为所要监听的端口，可配置多个Listen。

2、管理员邮箱ServerAdmin you@设置管理员邮箱。

3、域名设置ServerName :80servername为网站域名，也可直接写网站IP地址。

4、设置WEB主目录DocumentRoot "/opt/apache2/htdocs"/opt/apache2/htdocs为网站主目录，这里将其设为/opt/www特别注意：a、这里的路径要与httpd.conf下文<Directory "/opt/apache2/htdocs">中的路径保持一致。

即<Directory "/opt/www">b、目录后面不要跟”/”5、目录权限配置目录权限配置格式：<Directory /xx/xx……>…………</Directory>Options Indexes FollowSymLinks 禁止目录浏览，去掉Indexes即可在没有主页(如index.html)的情况下浏览目录。