確保默認情況下拒絕訪問OS根目錄 | 訪問控制
描述
當AllowOverride設置為None時,.htaccess文件不具有訪問上下文權限。當此指令設置為All時,任何具有.htaccess .htaccess文件中允許使用上下文。開啟時增加了更改或查看配置的風險
意外或惡意的.htaccess文件不當使用
檢查提示
配置文件路徑::/etc/httpd/conf/httpd.conf
加固建議
找到配置文件路徑。 通過vim path(path為主配置文件的絕對路徑,如果您的主配置文件中包含include
確保錯誤日志文件名和嚴重性級別配置正確 | 配置日志
描述
服務器錯誤日志非常寶貴,因為它們可用於發現潛在問題
在他們變得認真之前。 最重要的是,它們可以用來監視異常
行為,例如許多“未找到”或“未經授權”的錯誤,可能表明
攻擊即將發生或已經發生。
檢查提示
配置文件路徑::/etc/httpd/conf/httpd.conf
加固建議
1.使用vim編輯器對配置文件進行編輯 vim path (path為主配置文件的絕對路徑,如果您的主配置文件中包含include
2.找到LogLevel 將其設置為LogLevel notice
3.找到ErrorLog 建議設置為ErrorLog "logs/error_log"`或自定義路徑 如沒有,請增加
確保超時設置正確 | 入侵防范
描述
DoS的一種常用技術,常見的是發起與服務器的連接。 通過減少
舊連接超時后,服務器可以更快,更多地釋放資源反應靈敏。 通過提高服務器效率,它將對DoS攻擊的抵御性更好
檢查提示
配置文件路徑::/etc/httpd/conf/httpd.conf
加固建議
1.使用vim編輯器對配置文件進行編輯 vim path(path為apache配置文件路徑例/usr/local/apache2/etc/httpd.conf或/etc/httpd/conf/httpd.conf或查找include文件或自定義安裝請自行查找)
2.找到Timeout將其設置為Timeout 10 如沒有,請增加
確保keepAlive已啟用 | 服務配置
描述
允許每個客戶端重用TCP套接字,減少了系統和網絡的數量
服務請求所需的資源。 這種效率提高可以提高服務器對DoS攻擊的抵御性
檢查提示
配置文件路徑::/etc/httpd/conf/httpd.conf
加固建議
1.使用vim編輯器對配置文件進行編輯 vim path(path為主配置文件的絕對路徑,如果您的主配置文件中包含include
2.找到KeepAlive將其設置為 KeepAlive On 如沒有,請增加該項
確保MaxKeepAliveRequests設置為適當值 | 入侵防范
描述
MaxKeepAliveRequests指令限制每個連接允許的請求數打開KeepAlive時。 如果將其設置為0,則將允許無限制的請求。 推薦
將MaxKeepAliveRequests指令設置為100,以防患DoS攻擊
檢查提示
配置文件路徑::/etc/httpd/conf/httpd.conf
加固建議
1.使用vim編輯器對配置文件進行編輯 vim path (path為主配置文件的絕對路徑,如果您的主配置文件中包含include
2.找到MaxKeepAliveRequests將其設置為 MaxKeepAliveRequests 100 如沒有,請增加
確保正確設置KeepAliveTimeout | 入侵防范
描述
KeepAliveTimeout指令指定Apache等待等待的秒數在關閉保持活動的連接之前的后續請求。減少Apache HTTP服務器保留未使用資源的秒數分配的資源將增加服務其他請求的資源的可用性。 這個效率收益可能會提高服務器抵御DoS攻擊的能力。
檢查提示
--
加固建議
1.使用vim編輯器對配置文件進行編輯 vim path(path為主配置文件的絕對路徑,如果您的主配置文件中包含include
2.找到KeepAliveTimeout將其設置為 KeepAliveTimeout 15 如沒有,請增加
確保限制對apache目錄和文件的其他寫訪問 | 文件權限
描述
Apache目錄上的權限應為rwxr-xr-x(755)和文件
權限應相似,除非適當,否則不可執行。 這適用於所有
已安裝的Apache軟件目錄和文件
檢查提示
--
加固建議
執行以下操作刪除$ APACHE_PREFIX($ APACHE_PREFIX是apache的安裝目錄默認例/usr/local/apache2或/var/www/html如自定義請自行查找)目錄上的其他寫訪問權限: chmod -R o-w $ APACHE_PREFIX
確保禁用http跟蹤方法 | 服務配置
描述
TRACE方法不需要,並且很容易受到濫用,因此應該將其禁用。
檢查提示
配置文件路徑::/etc/httpd/conf/httpd.conf
加固建議
1.vim path(path為主配置文件的絕對路徑,如果您的主配置文件中包含include
隱藏 Apache 的版本號及其它敏感信息確保未啟用服務器簽名不存在或者off | 個人信息保護
描述
服務器簽名在服務器充當代理時很有用,因為它們有助於
用戶將錯誤與代理而非目標服務器區分開。 但是,在這個
在上下文中,顯得很雞肋,而且存在被識別的可能
檢查提示
配置文件路徑::/etc/httpd/conf/httpd.conf
加固建議
1.使用vim編輯器對配置文件進行編輯 vim pathpath為主配置文件的絕對路徑,如果您的主配置文件中包含include
2.找到ServerSignature將其設置為ServerSignature Off 如沒有,請增加
確保Web根目錄的選項受到限制 禁止 Apache 列表顯示文件 | 數據保密性
描述
Web根目錄或文檔根目錄級別的Options指令應限於所需的最少選項。 強烈建議設置為“無”。 但是,在這個水平上如果支持多種語言,則可能出現問題。 如沒有此類需要,需啟動
檢查提示
配置文件路徑::/etc/httpd/conf/httpd.conf
加固建議
1.使用 vim path (path為主配置文件的絕對路徑,如果您的主配置文件中包含include
<Directory "apache存放網頁路徑"> Options Indexes FollowSymLinks
將其設置為 Options None 如配置虛擬主機,請確保虛擬主機配置項中含有Options None 如沒有,請增加 <Directory "apache存放網頁路徑"> Options None
確保apache用戶帳戶具有無效的shell | 身份鑒別
描述
apache帳戶不得用作常規登錄帳戶,因此應為其分配一個
無效或nologin Shell,以確保無法用於登錄。如果可以使用服務帳戶(例如apache帳戶)進行登錄外殼到系統將會產生安全隱患。
檢查提示
--
加固建議
為確保apache用戶帳戶具有無效的shell,使用命令chsh -s /sbin/nologin <apache_username>修改apache賬戶的shell(可以使用命令ps -ef | egrep "apache2|httpd"查看<apache_username>)
確保已鎖定apache用戶帳戶 | 身份鑒別
描述
Apache運行下的用戶帳戶不應該有一個有效的密碼,而應該被鎖住。作為深度防御措施,應該鎖定Apache用戶帳戶以防止登錄並防止用戶使用該密碼訴諸於Apache。 一般而言,su不能當作apache賬戶,在必要時應使用sudo。這樣將不需要apache的帳戶密碼。
檢查提示
--
加固建議
使用如下passwd命令鎖定apache帳戶: passwd -l <apache_username>或者usermod -L <apache_username> <apache_username>為apache的啟動賬戶(可以使用命令ps -ef | egrep "apache2|httpd"查看<apache_username>)
配置專門用戶賬號和組用於運行 Apache | 身份鑒別
描述
為服務器應用程序創建一個唯一的,沒有特權的用戶和組.有效的減少了運行web服務時遭受攻擊的可能性
檢查提示
--
加固建議
確保apache帳戶是唯一的,並且Apache組在apache的配置文件中配置。 請確認 User apache Group apache 出現一次,且沒有被注釋。(如果沒有,請添加)
確保對OS根目錄禁用覆蓋 | 訪問控制
描述
通過禁止訪問OS根目錄,限制直接訪問服務器內部文件的行為
使得運行web的服務器更加安全
檢查提示
--
加固建議
找到配置文件路徑。 通過vim path(path為主配置文件的絕對路徑,如果您的主配置文件中包含include