Apache安全配置风险评估检查表

Apache安全配置基线目录第1章 概述.........................................................................................................................................1 1.1 目的.........................................................................................................................................1 1.2 适用范围.................................................................................................................................1 1.3 适用版本.................................................................................................................................1 第2章 日志配置操作.........................................................................................................................2 2.1 日志配置.................................................................................................................................2 2.1.1 审核登录.........................................................................................................................2 第3章 设备其他配置操作.................................................................................................................3 3.1 访问权限.................................................................................................................................3 3.1.1 禁止访问外部文件.........................................................................................................3 3.2 防攻击管理.............................................................................................................................4 3.2.1 限制请求消息长度.........................................................................................................4 3.2.2 更改默认端口.................................................................................................................4 3.2.3 错误页面处理.................................................................................................................5 3.2.4 目录列表访问限制.........................................................................................................5 3.2.5 拒绝服务防范.................................................................................................................6 3.2.6 删除无用文件.................................................................................................................7 3.2.7 隐藏敏感信息.................................................................................................................7 第1章概述1.1目的本文档规定了Apache服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Apache服务器的安全配置。1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。1.3适用版本2.0.x、2.2.x版本的Apache服务器。第2章日志配置操作2.1日志配置2.1.1审核登录安全基线项目名称Apache审核登录策略安全基线要求项安全基线编号SBL-Apache-02-01-01安全基线项说明设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP地址等内容。检测操作步骤1、参考配置操作编辑httpd.conf配置文件，设置日志记录文件、记录内容、记录格式。LogLevelnoticeErrorLoglogs/error_logLogFormat%h%l%u%t\%r\%s%b\%{Accept}i\\%{Referer}i\\%{User-Agent}i\combinedCustomLoglogs/access_logcombinedErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件，Apachehttpd将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置：ErrorLogsyslog。CustomLog指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详细程度，建议设置为notice。基线符合性判定依据1、判定条件查看logs目录中相关日志文件内容，记录完整。2、检测操作查看相关日志记录。3、补充说明备注第3章设备其他配置操作3.1访问权限3.1.1禁止访问外部文件安全基线项目名称Apache目录访问权限安全基线要求项安全基线编号SBL-Apache-03-01-01安全基线项说明禁止Apache访问Web目录之外的任何文件。检测操作步骤1、参考配置操作编辑httpd.conf配置文件，Directory/OrderDeny,AllowDenyfromall/Directory2、补充操作说明设置可访问目录，Directory/webOrderAllow,DenyAllowfromall/Directory其中/web为网站根目录。基线符合性判定依据1、判定条件无法访问Web目录之外的文件。2、检测操作访问服务器上不属于Web目录的一个文件，结果应无法显示。3、补充说明备注3.2防攻击管理3.2.1限制请求消息长度安全基线项目名称Apache接收HTTP请求长度安全基线要求项安全基线编号SBL-Apache-03-02-01安全基线项说明限制http请求的消息主体的大小。检测操作步骤1、参考配置操作编辑httpd.conf配置文件，修改为102400ByteLimitRequestBody1024002、补充操作说明基线符合性判定依据1、判定条件检查配置文件设置。2、检测操作上传文件超过100K将报错。3、补充说明备注3.2.2更改默认端口安全基线项目名称Apache运行端口安全基线要求项安全基线编号SBL-Apache-03-02-02安全基线项说明更改Apache服务器默认端口检测操作步骤1、参考配置操作（1）修改httpd.conf配置文件，更改默认端口到8080Listenx.x.x.x:8080（2）重启Apache服务2、补充操作说明基线符合性判定依据1、判定条件使用8080端口登陆页面成功2、检测操作登陆、补充说明备注3.2.3错误页面处理安全基线项目名称Apache错误页面安全基线要求项安全基线编号SBL-Apache-03-02-03安全基线项说明Apache错误页面重定向检测操作步骤1、参考配置操作(1)修改httpd.conf配置文件：ErrorDocument400/custom400.htmlErrorDocument401/custom401.htmlErrorDocument403/custom403.htmlErrorDocument404/custom404.htmlErrorDocument405/custom405.htmlErrorDocument500/custom500.htmlCustomxxx.html为要设置的错误页面。(2)重新启动Apache服务基线符合性判定依据1、判定条件指向指定错误页面2、检测操作URL地址栏中输入~~~（一个不存在的页面）备注3.2.4目录列表访问限制安全基线项目名称Apache目录列表安全基线要求项安全基线编号SBL-Apache-03-02-04安全基线项说明禁止Apache列表显示文件检测操作步骤1、参考配置操作(1)编辑httpd.conf配置文件，Directory/webOptionsFollowSymLinksAllowOverrideNoneOrderallow,denyAllowfromall/Directory将OptionsIndexesFollowSymLinks中的Indexes去掉，就可以禁止Apache显示该目录结构。Indexes的作用就是当该目录下没有index.html文件时，就显示目录结构。(2)设置Apache的默认页面，编辑%apache%\conf\httpd.conf配置文件，IfModuledir_moduleDirectoryIndexindex.html/IfModule其中index.html即为默认页面，可根据情况改为其它文件。(3)重新启动Apache服务基线符合性判定依据1、判定条件当WEB目录中没有默认首页如index.html文件时，不会列出目录内容2、检测操作直接访问（xxx为某一目录）备注3.2.5拒绝服务防范安全基线项目名称Apache拒绝服务防范安全基线要求项安全基线编号SBL-Apache-03-02-05安全基线项说明拒绝服务防范。检测操作步骤1、参考配置操作(1)编辑httpd.conf配置文件，Ti