Apache安全配置风险评估检查表

目 录

第1章 概述 ......................................................................................................................................... 1 1.1 1.2 1.3

目的 ......................................................................................................................................... 1 适用范围 ................................................................................................................................. 1 适用版本 ................................................................................................................................. 1

第2章 日志配置操作 ......................................................................................................................... 2 2.1

日志配置 ................................................................................................................................. 2

2.1.1 审核登录 ......................................................................................................................... 2

第3章 设备其他配置操作 ................................................................................................................. 3 3.1

访问权限 ................................................................................................................................. 3

禁止访问外部文件 ......................................................................................................... 3

3.2 防攻击管理 ............................................................................................................................. 4 3.2.1 限制请求消息长度 ......................................................................................................... 4 3.2.2 更改默认端口 ................................................................................................................. 4 3.2.3 错误页面处理 ................................................................................................................. 5 3.2.4 目录列表访问限制 ......................................................................................................... 5 3.2.5 拒绝服务防范 ................................................................................................................. 6 3.2.6 删除无用文件 ................................................................................................................. 7 3.2.7 隐藏敏感信息 ................................................................................................................. 7

3.1.1

第1章 概述

1.1 目的

本文档规定了Apache服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Apache服务器的安全配置。

1.2 适用范围

本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3 适用版本

2.0.x、2.2.x版本的Apache服务器。

第2章 日志配置操作

2.1 日志配置 2.1.1 审核登录

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 Apache审核登录策略安全基线要求项 SBL-Apache-02-01-01 设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP地址等内容。 1、参考配置操作 编辑httpd.conf配置文件，设置日志记录文件、记录内容、记录格式。 LogLevel notice ErrorLog logs/error_log LogFormat \"%h %l %u %t \\\"%r\\\" %>s %b \\\"%{Accept}i\\\" \\\"%{Referer}i\\\" \\\"%{User-Agent}i\\\"\" combined CustomLog logs/access_log combined ErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件，Apache httpd将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置：ErrorLog syslog。 CustomLog指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。 LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详细程度，建议设置为notice。 基线符合性判定依据 1、判定条件 查看logs目录中相关日志文件内容，记录完整。 2、检测操作 查看相关日志记录。 3、补充说明 备注

第3章 设备其他配置操作

3.1 访问权限 3.1.1 禁止访问外部文件

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 Apache目录访问权限安全基线要求项 SBL-Apache-03-01-01 禁止Apache访问Web目录之外的任何文件。 1、参考配置操作 编辑httpd.conf配置文件， Order Deny,Allow Deny from all 2、补充操作说明 设置可访问目录， Order Allow,Deny Allow from all 其中/web为网站根目录。 基线符合性判定依据 1、判定条件 无法访问Web目录之外的文件。 2、检测操作 访问服务器上不属于Web目录的一个文件，结果应无法显示。 3、补充说明 备注

3.2 防攻击管理 3.2.1 限制请求消息长度

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 Apache接收HTTP请求长度安全基线要求项 SBL-Apache-03-02-01 限制http请求的消息主体的大小。 1、参考配置操作 编辑httpd.conf配置文件，修改为102400Byte LimitRequestBody 102400 2、补充操作说明 1、判定条件 检查配置文件设置。 2、检测操作 上传文件超过100K将报错。 3、补充说明 基线符合性判定依据 备注

3.2.2 更改默认端口

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 Apache运行端口安全基线要求项 SBL-Apache-03-02-02 更改Apache服务器默认端口 1、参考配置操作 （1）修改httpd.conf配置文件，更改默认端口到8080 Listen x.x.x.x:8080 （2）重启Apache服务 2、补充操作说明 1、判定条件 使用8080端口登陆页面成功 2、检测操作 登陆http://ip:8080 3、补充说明 基线符合性判定依据

备注

3.2.3 错误页面处理

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 Apache错误页面安全基线要求项 SBL-Apache-03-02-03 Apache错误页面重定向 1、参考配置操作 (1) 修改httpd.conf配置文件： ErrorDocument 400 /custom400.html ErrorDocument 401 /custom401.html ErrorDocument 403 /custom403.html ErrorDocument 404 /custom404.html ErrorDocument 405 /custom405.html ErrorDocument 500 /custom500.html Customxxx.html为要设置的错误页面。 (2)重新启动Apache服务 1、判定条件 指向指定错误页面 2、检测操作 URL地址栏中输入http://ip/xxxxxxx~~~（一个不存在的页面） 基线符合性判定依据 备注

3.2.4 目录列表访问限制

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 Apache目录列表安全基线要求项 SBL-Apache-03-02-04 禁止Apache列表显示文件 1、参考配置操作 (1) 编辑httpd.conf配置文件， Options FollowSymLinks AllowOverride None

Order allow,deny Allow from all 将Options Indexes FollowSymLinks中的Indexes 去掉，就可以禁止 Apache 显示该目录结构。Indexes 的作用就是当该目录下没有 index.html文件时，就显示目录结构。 (2)设置Apache的默认页面，编辑%apache%\\conf\\httpd.conf配置文件， DirectoryIndex index.html 其中index.html即为默认页面，可根据情况改为其它文件。 (3)重新启动Apache服务 基线符合性判定依据 1、判定条件 当WEB目录中没有默认首页如index.html文件时，不会列出目录内容 2、检测操作 直接访问http://ip:8800/xxx（xxx为某一目录） 备注

3.2.5 拒绝服务防范

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 Apache拒绝服务防范安全基线要求项 SBL-Apache-03-02-05 拒绝服务防范。 1、参考配置操作 (1) 编辑httpd.conf配置文件， Timeout 10 KeepAlive On KeepAliveTimeout 15 AcceptFilter http data AcceptFilter https data (2)重新启动Apache服务 1、判定条件 2、检测操作 检查配置文件是否设置。 基线符合性判定依据 备注

3.2.6 删除无用文件

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 Apache无用文件安全基线要求项 SBL-Apache-03-02-06 删除缺省安装的无用文件。 1、参考配置操作 删除缺省HTML文件： # rm -rf /usr/local/apache2/htdocs/* 删除缺省的CGI脚本： # rm –rf /usr/local/apache2/cgi-bin/* 删除Apache说明文件： # rm –rf /usr/local/apache2/manual 删除源代码文件： # rm -rf /path/to/httpd-2.2.4* 根据安装步骤不同和版本不同，某些目录或文件可能不存在或位置不同。 1、判定条件 2、检测操作 检查对应目录。 基线符合性判定依据 备注

3.2.7 隐藏敏感信息

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 Apache隐藏敏感信息安全基线要求项 SBL-Apache-03-02-07 隐藏Apache的版本号及其它敏感信息。 1、参考配置操作 修改httpd.conf配置文件： ServerSignature Off ServerTokens Prod 1、判定条件 2、检测操作 检查配置文件。 基线符合性判定依据 备注