web应用服务器安全加固.pdfVIP

主讲 ：高天 第1页 8/6/2018 1:20 PM © 2015谷安天下版权所有 ØApache服务器安全加固 Ø Nginx 服务器安全加固 ØTomcat安全加固 ØWeb应用服务器加固思路 第2页 8/6/2018 1:20 PM © 2015谷安天下版权所有 Ø一.账号设置 Ø 以专门的用户帐号和组运行 Apache。 Ø 根据需要为 Apache 创建用户、组 Ø 参考配置操作 如果没有设置用户和组 ，则新建用户 ，并在 Apache 配置文件中指定 Ø (1) 创建 apache 组 ：groupadd apache Ø (2) 创建 apache 用户并加入 apache 组 ：useradd apache –g apache Ø (3) 将下面两行加入 Apache 配置文件 httpd.conf 中 Ø 检查 httpd.conf 配置文件。 检查是否使用非专用账户(如 root)运行 apache Ø 默认一般符合要求 ，Linux下默认apache或者nobody用户 ，Unix默认为daemon用户 第3页 8/6/2018 1:20 PM © 2015谷安天下版权所有 授权设置 Ø 严格控制Apache主 目录的访问权限，非超级用户不能修改该 目录中的内容 Ø Apache 的 主 目录对应于 Apache Server配置文件 httpd.conf 的Server Root控制项中应为 ： Ø 判定条件 Ø 非超级用户不能修改该 目录中的内容 Ø 检测操作 Ø 尝试修改 ，看是否能修改 Ø 一般为/etc/ httpd目录 ，默认情况下属主为root root ，其它用户不能修改文件 ，默认一般符合要求 Ø 严格设置配置文件和 日志文件的权限，防止未授权访问。 Ø chmod 600 /etc/ httpd/conf/ httpd.conf”设置配置文件为属主可读写 ，其他用户无权限。 Ø 使用命令”chmod 644 /var/ log/ httpd/*.log”设置 日志文件为属主可读写 ，其他用户只读权限。 Ø /etc/ httpd/conf/ httpd.conf默认权限是644 ，可根据需要修改权限为600。 Ø /var/ log/ httpd/*.log默认权限为644 ，默认一般符合要求。 第4页 8/6/2018 1:20 PM © 2015谷安天下版权所有 日志设置 Ø 设备应配置 日志功能 ，对运行错误、用户访问等进行记录 ，记录内容包括时间，用户使用的 IP 地址等内 容。 Ø 编辑 httpd.conf 配置文件 ，设置 日志记录文件、记录内容、记录 格式。　　其中，错误 日志 ： Ø ErrorLog 指令设置错误 日志文件名和位置。错误 日志是最重要的 日志文件 ， Ø Apache httpd 将在这个文件中存放诊断信息和处理请 求中出现的错误。 Ø 若要将错误 日志送到 Syslog ，则设置 ： ErrorLog syslog。 Ø CustomLog 指令指定了保存 日志文件的具体位置以及 日志的格式。访问日志中会记录服务器所处理的所有请求。 Ø LogFormat 设置 日志格式 ，建议设置为 combined 格式。 Ø LogLevel 用于调整记录在错误 日志中的信息的详细程度 ，建议设置为notice。 Ø 日志的级别 ，默认是warn，notice级别比较详细 ，在实际中由于 日志会 占用大量硬盘空间，一般没有设置 第5页 8/6/2018 1:20 PM © 2015谷安天下版权所有 Ø禁止访问外部文件 Ø 禁止 Apache 访问 Web 目录之外的任何文件。 Ø 参考配置操作 Ø 　　编辑 httpd.conf 配置文件 ： Ø 设置可访问目录 Ø 其中/web 为网