2022年Apache安全配置风险评估检查表[借 .pdf

《2022年Apache安全配置风险评估检查表[借 .pdf》由会员分享，可在线阅读，更多相关《2022年Apache安全配置风险评估检查表[借 .pdf（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Apache 安全配置基线目录第 1 章概述 . 11.1目的 . 11.2适用范围 . 11.3适用版本 . 1第 2 章日志配置操作 . 22.1日志配置 . 22.1.1审核登录. 2第 3 章设备其他配置操作 . 33.1访问权限 . 33.1.1禁止访问外部文件 . 33.2防攻击管理 . 43.2.1限制请求消息长度 . 43.2.2更改默认端口. 43.2.3错误页面处理. 53.2.4目录列表访问限制 . 53.2.5拒绝服务防范. 63.2.6删除无用文件. 73.2.7隐藏敏感信息. 7名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - -

2、 - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 8 页 - - - - - - - - - 第1章 概述1.1 目的本文档规定了Apache 服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行 Apache 服务器的安全配置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。1.3 适用版本2.0.x、2.2.x 版本的 Apache 服务器。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共

3、 8 页 - - - - - - - - - 第2章 日志配置操作2.1 日志配置2.1.1 审核登录安全基线项目名称Apache 审核登录策略安全基线要求项安全基线编号SBL-Apache-02-01-01 安全基线项说明设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP 地址等内容。检测操作步骤1、参考配置操作编辑 httpd.conf 配置文件，设置日志记录文件、记录内容、记录格式。LogLevel notice ErrorLog logs/error_log LogFormat %h %l %u %t %r %s %b %Accepti %Refere

4、ri %User-Agenti combined CustomLog logs/access_log combined ErrorLog 指令设置错误日志文件名和位置。错误日志是最重要的日志文件，Apache httpd 将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置： ErrorLog syslog。CustomLog 指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。LogFormat 设置日志格式。LogLevel 用于调整记录在错误日志中的信息的详细程度，建议设置为notice。基线符合性判定依据1、判定条件查看 logs

5、 目录中相关日志文件内容，记录完整。2、检测操作查看相关日志记录。3、补充说明备注名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 8 页 - - - - - - - - - 第3章 设备其他配置操作3.1 访问权限3.1.1 禁止访问外部文件安全基线项目名称Apache 目录访问权限安全基线要求项安全基线编号SBL-Apache-03-01-01 安全基线项说明禁止 Apache 访问 Web 目录之外的任何文件。检测操作步骤1、参考配置操作编辑 httpd.conf 配

6、置文件， Order Deny,Allow Deny from all 2、补充操作说明设置可访问目录， Order Allow,Deny Allow from all 其中 /web 为网站根目录。基线符合性判定依据1、判定条件无法访问 Web 目录之外的文件。2、检测操作访问服务器上不属于Web 目录的一个文件，结果应无法显示。3、补充说明备注名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 8 页 - - - - - - - - - 3.2 防攻击管理3.2.1 限制

7、请求消息长度安全基线项目名称Apache 接收 HTTP 请求长度安全基线要求项安全基线编号SBL-Apache-03-02-01 安全基线项说明限制 http 请求的消息主体的大小。检测操作步骤1、参考配置操作编辑 httpd.conf 配置文件，修改为102400Byte LimitRequestBody 102400 2、补充操作说明基线符合性判定依据1、判定条件检查配置文件设置。2、检测操作上传文件超过100K 将报错。3、补充说明备注3.2.2 更改默认端口安全基线项目名称Apache 运行端口安全基线要求项安全基线编号SBL-Apache-03-02-02 安全基线项说明更改 Ap

8、ache 服务器默认端口检测操作步骤1、参考配置操作（1）修改 httpd.conf 配置文件，更改默认端口到8080 Listen x.x.x.x:8080 （2）重启 Apache 服务2、补充操作说明基线符合性判定依据1、判定条件使用 8080 端口登陆页面成功2、检测操作登陆 http:/ip:8080 3、补充说明名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 8 页 - - - - - - - - - 备注3.2.3 错误页面处理安全基线项目名称Apache

9、错误页面安全基线要求项安全基线编号SBL-Apache-03-02-03 安全基线项说明Apache 错误页面重定向检测操作步骤1、参考配置操作(1) 修改 httpd.conf 配置文件：ErrorDocument 400 /custom400.html ErrorDocument 401 /custom401.html ErrorDocument 403 /custom403.html ErrorDocument 404 /custom404.html ErrorDocument 405 /custom405.html ErrorDocument 500 /custom500.html C

10、ustomxxx.html 为要设置的错误页面。(2)重新启动 Apache 服务基线符合性判定依据1、判定条件指向指定错误页面2、检测操作URL 地址栏中输入http:/ip/xxxxxxx （一个不存在的页面）备注3.2.4 目录列表访问限制安全基线项目名称Apache 目录列表安全基线要求项安全基线编号SBL-Apache-03-02-04 安全基线项说明禁止 Apache 列表显示文件检测操作步骤1、参考配置操作(1) 编辑 httpd.conf 配置文件， Options FollowSymLinks AllowOverride None 名师资料总结 - - -精品资料欢迎下载 -

11、 - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 8 页 - - - - - - - - - Order allow,deny Allow from all 将 Options Indexes FollowSymLinks中的 Indexes 去掉，就可以禁止Apache 显示该目录结构。Indexes 的作用就是当该目录下没有index.html 文件时，就显示目录结构。(2)设置 Apache 的默认页面，编辑%apache%confhttpd.conf 配置文件， DirectoryIndex index.ht

12、ml 其中 index.html 即为默认页面，可根据情况改为其它文件。(3)重新启动 Apache 服务基线符合性判定依据1、判定条件当 WEB 目录中没有默认首页如index.html 文件时，不会列出目录内容2、检测操作直接访问 http:/ip:8800/xxx （xxx 为某一目录）备注3.2.5 拒绝服务防范安全基线项目名称Apache 拒绝服务防范安全基线要求项安全基线编号SBL-Apache-03-02-05 安全基线项说明拒绝服务防范。检测操作步骤1、参考配置操作(1) 编辑 httpd.conf 配置文件，Timeout 10 KeepAlive On KeepAliveT

13、imeout 15 AcceptFilter http data AcceptFilter https data (2)重新启动 Apache 服务基线符合性判定依据1、判定条件2、检测操作检查配置文件是否设置。备注名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 8 页 - - - - - - - - - 3.2.6 删除无用文件安全基线项目名称Apache 无用文件安全基线要求项安全基线编号SBL-Apache-03-02-06 安全基线项说明删除缺省安装的无用文件。检

14、测操作步骤1、参考配置操作删除缺省 HTML 文件：# rm -rf /usr/local/apache2/htdocs/* 删除缺省的CGI 脚本：# rm rf /usr/local/apache2/cgi-bin/* 删除 Apache 说明文件：# rm rf /usr/local/apache2/manual 删除源代码文件：# rm -rf /path/to/httpd-2.2.4* 根据安装步骤不同和版本不同，某些目录或文件可能不存在或位置不同。基线符合性判定依据1、判定条件2、检测操作检查对应目录。备注3.2.7 隐藏敏感信息安全基线项目名称Apache 隐藏敏感信息安全基线要求项安全基线编号SBL-Apache-03-02-07 安全基线项说明隐藏 Apache 的版本号及其它敏感信息。检测操作步骤1、参考配置操作修改 httpd.conf 配置文件：ServerSignature Off ServerTokens Prod 基线符合性判定依据1、判定条件2、检测操作检查配置文件。备注名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 8 页 - - - - - - - - -