Apache安全配置_WooYun知识库

1、Apache安全配置zhangsan (/author/zhangsan) - 2014/08/04 12:440x00测试坏境centosS .5*apache2.2.15+php5.3.30x01 php的运行模式介绍php的运行模式分四种:1. CGlj贞用网关接口2. fast-cgiSt?的“工3. cli命令行运行4webtJJ块模式般悄况下，apache俺块按式运行php0x02 Apache运行原理介绍Apache足加J锲块化设il的，备个模块在系统口动的时候按需我入.Apache对于php的解忻，徹足通过众女Module中的 php Module來完说的APROperatin

2、g System所以，php加拔成为了apache的个樓块，可以把apache和php为成个整体看待.乂浏览SW；R 个php文件时，我们可以理解为apache宜接处理返冋洽浏览器站果，服务器上也只会有httpd进程,而不公 AphpMW.apadw的 空配置i点足通过httpd.con俅实现的，但足町以任httpd.snf中开心对"access的丈持，然Jn/i：.htaccess中 进行配服 不过般悄况下，不应该使用Waccess文件,除卜你对主配置文件没有访何权限 .htaccess丈件应该被/«在内 容捉供者需婪针对历定II录改变服务器的配賈而又没彳“oot权限的悄

3、况下.如果眾务器论理员不10恵箕務修改配賈，M'JnJ 以允许用八通过.htaccess文件|：1己修改配置0x03 Apache安全配置方案1. 选择漏洞较少的apache版本，并打上安全补丁金石apache坂木头httpd -v然Gisebug上捜索该版水号有什么漏涧，可根据泄示址升版木或杆打上补丁2. 关闭一些不使用的模块及功能可在LoadModule閒切“，來注释抻些不使用的模块3. 隐藏banner信息ServerTokensOS 修改为：ServerTokensProd （在出现昭決页的时候不显示服务器撵作系统的名称）Server&gnature On 修改为：Se

4、rverSignature Off «不回浪apache扳木佶息）4. 删除默认网站及页面捌除默认的页面，防止汛减服务器信息5. 可修改banner信息6 配置httpd. con噤止目录浏览Options Indexes FollovSyrnLinks改为Options -Indexes Follov6ymLinks7. 配置httpd.conf设置默认文档Directoryindex mdex.html8. 合理配置apache的运行账户为apache建立个运行憑户及恶户俎，井dhttpd.conf配因User apacheGroup apache9. 合理控制apache运行账

5、户对磁盘的写入，执行权限取消apache运行账户对网站目录的写入权限，上传目录除外，其他协网站目录尽墩不给权限10. 合理控制apache运行账户对sh等的执行权限取运行圾门对sh 7?的执行权限麻能够防止“bshell通过默认的sh快行命令11. 配置httpd.conf®消对上传目录的php执行权限<Directorjz '7var/uw/ht«l/aaa"><Fiesf4atch (php|php5)$M>Deny from all</FiJesMatch>“Directory12. 配置httpd.confP艮制

6、禁止访问的文件夹，例如后台目录<Directory '7var/kw/ht«l/aaa"> Deny from all /Directory13. 配置httpd.confP艮制一些特殊目录的特定ip访问，如内部接口等。<Directory "/varAw/ht«l/aaa">Order Deny，AHcwDeny from allAHcw fro« 11/Directory14. 配置httpd.conffi制一些文件类型的访问，如txt的日志<Files * M.txt$

7、-> Order allow,deny Deny from al </Files>15 配置httpd.conftt改修改监听端口来防止一些内部系统被扫描这样可以防止些宜妙I描80端口的黑客Listen 1234516. 关闭对.htaccess的支持All-Over ride All改为AllajOverride none17. 配置httpd.conf记录访问日志0x04 .htaccess常见配置方法参考占先，不建议使川Jitaccess,其次，他用.htaccess而妥"httpd.con仲开启,最后,开始Maccess文持府需要ithttpdanf 中配賈

8、防止.htaccess文件蔽卜找，下面介绍几个堤木配置方浓不金，更#的可以参考臭他网站专门针刘.htaccess的配賈 方法.1. 定制目录的默认文档Directoryindex indexhtl indexphp indexht2. 定制错误页面ErrorDocument 404 errors/4G4.html3 控制访问文件和目录的级别 order deny,low deny fro« allallow from /240x05总结其实个veb服务农的保护足分几个龙:汝的（暂不号虑程修的端何八1 .隐藏自己妥保护个、veb収务器首先得学金隐踐白匕 对于一些内

9、部系统,如后台，内揶按口軫,我们可以通过改潮m 限轴p豹 方式來不讣黑客发现2. 隐藏身份对于多数Mb系统来说，郁足提供洽外而的访问的，所以想隐«ncAH足很难的.但足我们还足爻学公隐减身份，可以 通过议banner,该返目佶息来隠戴分份來加大黑客攻由的难叽3. 选用安全的版本及修补一些已知的漏洞貝实耐面两步林足很客易灾破，然后谈如个Mb系统所使用的veb服务器版木的，此时我们能做的就足逸择个少漏洞 的版木及打上安全补丁4. 做好安全配置做好基RB的安全配賈，集止目录浏!设定默认文档，上传目录限制php执行等隼來饥档黑客的入侵.5. 合理配置web服务进程账户的权限当黒客已经通过程序

10、漏祠上传了一个vgbshell井且已经成功执行了,此时，就只能很好的配置展务选程的账户权限,包枯盘程的谀取写入，符殊程序如sh的执行等咎，这甘可以训危古降列加低6. 记录日志颅后，肖黑客己经光顾Z总，我们也只能通过日左來分析，看何腿山在W&T.©乌云知识库版权所有未经许可禁止转载收抵 分字为您推荐了适合您的技术文章：1 .MySQL filPostgreSQLftj«rt-« 金配艮(http:/drops.v>/%e8%b1%90%e7%bb%b4%e5%ae%89%e5%85%a8/16067)2. 关于下代安全防护的讨论(htt

11、p:/drops.v>/%e8%b1%90%e7%b b%b4 %e5%ae%89%e5%85%a8/12313)3. 分析“求SSNS"上的衣询，捉升DNS日占的质廉(http:/drops.w)ftips300)4. 掩I们 141% (http:/drops.vu>/tips/2830)昵称发表无人值守 2015-12-23 20:47:18朕已例叮咚叮 42014-11-18 21:44:56取消apame运行懺门対网站目录的写入权Kb上传目录除外，兀他“网站目录尽址不给权限我址root用八血住录的，这条命令题该怎么

12、9?谢谢 bivwangy3e 2014-08-24 22:22:33賂过，支持个 Mkceason 2014-08-15 09:38:11不错不错Hkzhangsan 2014-08-11 09:10:18?火我记得服务的名称不足这个，不过你启动不了，尺因为你那个账户对程序所在H录的权限不够.突试儿次就知道了 MkJumbo 2014-08-10 23:15:06我刚刚在服务里找到厂apachejrT这个服务,悠后我曲登里使用了我BI创建的用户然馳示我妄虫新启动 才能失效，可足直A2动不了口回复vf3ng 2014-08-1014:25:39good job!评论也很赞 Mk2014-08-

13、1011:53:35谢谢分*回复Jumbo 2014-08-10 07:27:35那这个呢“8.合迎配西apache的运行账八为apache单独建立个运行账户及咪户组，Mhttpd.con侃网User apacheGroup apache"足何样的效!R，还足两个祁摘？口回复zhangsan 2014-08-09 15:59:58将服务的J；l动帐户设図为个15通账八.itWndo皿眼务里而找口回复Jumbo 2014-08-0913:15:20如果/i03*apache,怎畀防止被get shell品就足system权礙 Hk小2014-08-06 14:31:08额步可不能右这样

14、的开发另外应该冇code review旳 Hkzhangsan 2014-08-06 09:04:33鞭似你没明白-个何趣，正市的上传部不会允许上传php,但是很参开发的水平有眼而很多黒客的水平无限，导敘伎TphpSt件上；fc回复小味淼 2014-08-05 21:28:05W那么我觉得委么不允许上传php,委么只足禁止执行但允许上传=应用太多的话，有时候貞的公遗漏史叫东曲，不过checklist谕实妃冋该有的回复zhangsan 2014-08-0518:02:23 这个就足笔沃了不用太纠納zhangsan 2014-08-0518:02:01 这个我不问怠你的说法做il移不做测试的叫？公

15、可国该有（checklist來则试或石说檢亦服务器配厘上线 前加好足能做这个工作口回复zhangsan 2014-08-05 17:59:48这个fi公司曲况吧，我迅说的足要及时关注我们用的软件有没有什么術危iS?HUUs 至于岛危漏洞ill來了你足打补丁，还足安新版木根据个人侑况來Senorsen 2014-08-0517:26:14另外跌认配程的文件名（CentOS E）应该足httpd.conf而不足http.conf吧Senorsen 2014-08-0517:24:43这个11.配Hthttp.con瞰浦对上传目录的php执行权限Deny from all这样的话不«t40

16、3 ForbiddenT叫？如果処让用户旋上代php.并IL侵卜php （01不执U ）,可以用php_admin_value engine off不过其实这叫方法可傥部很危碗，万 恢用在迁移解君时候总了这个H录，没有对IfiWS的地方配置，徹玩定了. MkSenorsen 2014-084)517:21:51对这一句比较販感：1逸择漏洞牧少的ap&che版本,并打上安全补丁査fiapache 坂木号：httpd -v然用n.sebug上搜索该版本弓有什么滿制，可根抵提示撻升版水或#打上补T如果足使用CentOS这样的知名发行饭的话，腋木号即使怒apache"方的致，patch和补丁悄况也不定样 吧或石说，CentOS团队公为httpd的代码打补丁后在液中更新打包而且不使用发行版捉供的牧件包曾理 SS.自行嵋讯 更新apache不一定足个好做法(或许足个很坏的做法).个人怠见，望多多揺教口回复Senorsen 2014-084)517:18:02般来说足的，/SifiUnux容審在中小网站上用的很多口回复scant 2014-08-05 17:11:06哦,看到了scant 20144)8-0517:10:36降权呢？zhangsan 2014-08-04 17:03:05这个怎么说了. 般生产环境