淺談Linux系統(tǒng)Apache安全配置

Apache世界使用排名第一Web服務(wù)器軟件。它可以運(yùn)行在幾乎所有廣泛使用的計(jì)算機(jī)平臺(tái)上，由于其跨平臺(tái)和安全性被廣泛使用，是最流行的Web服務(wù)器端軟件之一。它快速、可靠、簡(jiǎn)單API擴(kuò)充，將Perl/Python將解釋器編譯到服務(wù)器中。

我們之前討論過(guò)數(shù)據(jù)庫(kù)的安全配置，web由于安全配置不當(dāng)，中間件也存在安全問(wèn)題。Apache默認(rèn)配置存在版本號(hào)信息泄露、未配置等安全問(wèn)題SSL協(xié)議等。因此，安全配置Apache以下服務(wù)器可以有效地減少安全威脅Apache討論了安全配置。

1.Apache用戶賬號(hào)Shell無(wú)效

apache賬戶不能用作常規(guī)登錄賬戶，應(yīng)分配無(wú)效或無(wú)效nologinshell確保帳戶不能用于登錄。apache賬號(hào)shell應(yīng)為：/sbin/nologin或/dev/null。

加固方法：修改apache賬號(hào)使用nologinshell或例如/dev/null的無(wú)效shell，

#chsh-s/sbin/nologinapache

2.鎖定Apache用戶賬號(hào)

Apache運(yùn)行的用戶賬號(hào)不應(yīng)有效密碼，而應(yīng)鎖定。

加固方法：使用passwd命令鎖定apache賬號(hào)

#passwd-lapache

3.配置錯(cuò)誤的日志

LogLevel設(shè)置錯(cuò)誤日志的嚴(yán)重程度。ErrorLog指令設(shè)置錯(cuò)誤的日志文件名稱。日志級(jí)別值為emerg，alert，crit，error，warn，notice，info和debug的標(biāo)準(zhǔn)syslog級(jí)別。推薦級(jí)別為notice，以便記錄從emerg到notice所有級(jí)別錯(cuò)誤。core建議將模塊設(shè)置為info，以便任何"notfound"請(qǐng)求包含在錯(cuò)誤的日志中。

加固方法：

a.在Apache添加或修改配置LogLevel的值，core模塊設(shè)置為info或更低，所有其他模塊設(shè)置為notice或者更低。如果需要更詳細(xì)的日志，并且存儲(chǔ)和監(jiān)控過(guò)程可以處理額外的負(fù)載，也可以設(shè)置為info或debug。建議值是noticecore:info。

LogLevelnoticecore:info

b.若未配置，則添加ErrorLog指令。文件路徑可以是相對(duì)或絕對(duì)的，或者日志可以配置為發(fā)送到系統(tǒng)日志服務(wù)器。

ErrorLog"logs/error_log"

c.如果虛擬主機(jī)有不同的人負(fù)責(zé)網(wǎng)站，為每個(gè)配置的虛擬主機(jī)添加類似的ErrorLog指令。每個(gè)負(fù)責(zé)任的個(gè)人或組織都需要訪問(wèn)自己的網(wǎng)絡(luò)日志，并需要技能/培訓(xùn)/工具來(lái)監(jiān)控日志。

4.禁用弱SSL協(xié)議

ApacheSSLProtocol指令允許SSL和TLS協(xié)議。由于SSLv2和SSLv3協(xié)議已經(jīng)過(guò)時(shí)，容易受到信息泄露的攻擊，因此應(yīng)禁止使用。應(yīng)該只啟用TLS協(xié)議。

加固方法：在Apache在配置文件中搜索SSLProtocol指令；如果沒(méi)有，則添加該指令或修改該值以匹配以下值之一。如果也可以禁TLSv1.0協(xié)議，首選設(shè)置"TLSv1.1TLS1.2"。

SSLProtocolTLSv1.1TLSv1.2

SSLProtocolTLSv1

5.不安全的SSLRenegotiation應(yīng)被限制

為了Web服務(wù)器與OpenSSL0.9.8m或更高版本的連接，在Apache2.2.15中添加了SSLInsecureRenegotiation指令允許不安全的重新協(xié)商使用早期未修復(fù)的指令SSL為客戶提供向后兼容性。在提供向后兼容性的同時(shí)，啟用SSLInsecureRenegotiation指令使服務(wù)器容易受到中間人的重新協(xié)商攻擊（CVE-2009-3555）。因此，不應(yīng)使用SSLInsecureRenegotiation指令。

加固方法：在Apache在配置文件中搜索SSLInsecureRenegotiation指令。如果存在，將該值修改為off。

SSLInsecureRenegotiationoff

6.TimeOut應(yīng)設(shè)置為小于等于10

TimeOut指令控制ApacheHTTP服務(wù)器等待輸入/輸出調(diào)用的最長(zhǎng)時(shí)間(以秒為單位)。TimeOut指令設(shè)置為10或更小。

加固方法：修改Apache配置文件，將TimeOut設(shè)置為10秒或更小。

Timeout10

7.KeepAlive應(yīng)設(shè)置為On

KeepAlive處理用戶發(fā)起的指令決定HTTP請(qǐng)求后是否立即關(guān)閉TCP連接。

加固方法：修改Apache配置文件，將KeepAlive設(shè)置為On，以啟用KeepAlive連接。

KeepAliveOn

8.MaxKeepAliveRequests應(yīng)設(shè)置為大于或等于1000

當(dāng)KeepAlive啟用時(shí)，MaxKeepAliveRequests指令限制每個(gè)連接允許的請(qǐng)求數(shù)量。如果設(shè)置為0，則允許無(wú)限請(qǐng)求。MaxKeepAliveRequests設(shè)置為100或更大。

加固方法：修改Apache配置文件，將MaxKeepAliveRequests設(shè)置為100或更大。

MaxKeepAliveRequests100

9.KeepAliveTimeout應(yīng)設(shè)置為小于等于15

KeepAliveTimeout在關(guān)閉持久連接之前，指令指定等待下一個(gè)請(qǐng)求的秒數(shù)。

加固方法：修改Apache配置文件，將KeepAliveTimeout設(shè)置為15或更小。

KeepAliveTimeout15

10.禁用WebDAV模塊

Apachemod_dav和mod_dav_fs模塊支持Apache的WebDAV(網(wǎng)絡(luò)分布式創(chuàng)作與版本管理)功能。WebDAV是HTTP協(xié)議的擴(kuò)展允許客戶創(chuàng)建、移動(dòng)和刪除Web服務(wù)器上的文件和資源。

加固方法：

a.對(duì)于靜態(tài)模塊的源碼版本Apache./configure腳本時(shí)在--enable-modules=configure不包括選項(xiàng)mod_dav和mod_dav_fs。

$cd$DOWNLOAD/httpd
$./configure