WEB安全手册.pdfVIP

WEB安全手册 一、APACHE安全配置 1 Apache 1 Apache 11、隐藏AAppaacchhee的版本号及其它敏感信息 默认情况下，很多Apache安装时会显示版本号及操作系统 版本，甚至会显示服务器上安装的是什么样的Apache模块。这 些信息可以为黑客所用，并且黑客还可以从中得知你所配置的服 务器上的很多设置都是默认状态。 这里有两条语句，你需要添加到你的httpd.conf文件中： ServerSignature Off ServerTokens Prod ServerSignature出现在Apache所产生的像404页面、 目录列表等页面的底部。ServerTokens 目录被用来判断 Apache会在Server HTTP响应包的头部填充什么信息。如果 把ServerTokens设为Prod，那么HTTP响应包头就会被设置 成： Server：Apache 如果你非常想尝试其它事物，你可以通过编辑源代码改成不 是Apache的其它东西，或者你可以通过mod_security实现。 通过更改php.ini里的expose_php = Off关闭显示php 的版本号 2 2 22、关闭目录浏览和符号连接 目录浏览默认地是被启用的。要禁用这个特性，应编辑http.conf 文件，而且对每一个“Directory”指令，应清除“Indexs”引用。 例如： Directory /data/www/ Options Indexes FollowSymLinks /Directory 更改为： Directory /data/www/ Options -Indexes -FollowSymLinks /Directory 3 Listen 3 Listen 33、LLiisstteenn指令 在你第一次安装Apache时，httpd.conf包含一个“Listen 80”指令。应将其改变为“Listen mn.xx.yy.zz:80”，在这里 “mn.xx.yy.zz”是你想让Apache监听其请求的IP地址。如果 你的Apache运行在一个拥有多个IP地址的服务器上时，这一 点尤其重要。如果你不采取预防措施，默认的“Listen 80”指令 告诉Apache监听每一个IP地址的80端口。 4 Apache 4 Apache 44、确保AAppaacchhee以其自身的用户账号和组运行 有的Apache安装过程使得服务器以nobody的用户运 行，所以，假定Apache和你的邮件服务器都是以nobody的 账号运行的，那么通过Apache发起的攻击就可能同时攻击到邮 件服务器，反之亦然。 daemon用户的主目录为/sbin，而apache的主进程是以 root的权限启动的，因此，很容易带来安全方面的问题。 User apache Group apache 5 .htaccess 5 .htaccess 55、关闭对..hhttaacccceessss文件的支持 在一个目录标签中实现： AllowOverride None 如果需要重载，则保证这些文件不能够被下载，或者把文件 名改成非.htaccess文件。比如，我们可以改成.httpdoverride 文件，然后像下面这样阻止所有以.ht打头的文件： AccessFileName .httpdoverride 6、关闭任何不必要的模块 /Apache/ApacheMenu/mod/ index.html Apache通常会安装几个模块，浏览Apache的module documentation，了解已安装的各个模块是做什么用的。很多 情况下，你会发现并不需要激活那些模块。 找到httpd.conf中包含LoadModule的代码。要关闭这些 模块，只需要在代码行前添加一个#号。要找到正在运行的模块， 可以用以下语句： grep LoadModule httpd.conf 以下模块通常被激活而并无大用