现在的位置: 首页 > 综合 > 正文

apache简单安全设置

2012年09月23日 综合 ⁄ 共 1117字 ⁄ 字号 暂无评论

以apache2.0.54为例:
第一种方法安装最新的apache版本,可能会遇到与其它桥接软件不兼容情况,比如apache2.2.11 与 weblogic 8.x不兼容
第二种方法是安装补丁或者手工修改漏洞

漏洞手工修改
1 Apache HTTP Server畸形HTTP方式413错误页面跨站脚本漏洞
查看httpd.conf配置文件,会在里面发现下列注释语句,将前面的注释符号#删掉即可,后面跟的一串是一个链接,当然也可以自己想在页面上显示的文字:
# ErrorDocument 413 /error/HTTP_REQUEST_ENTITY_TOO_LARGE.html.var

可以改为:
ErrorDocument 413 "Sorry,Error Page"

2 远端WWW服务支持TRACE请求
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

3 修改httpd.conf配置文件
将“ServerTokens Full”改为“ServerTokens Prod”;
将“ServerSignature On”改为“ServerSignature Off”,
然后存盘退出

APACHE防范DOS攻击。
其防范软件主要为apache dos evasive maneuvers module来实现,替代 mod_access.
自动统计TCP连接的数量:
netstat -an | grep -i "服务器IP:80" |awk '{print $6}' | sort | uniq -c | sort -n
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/tcp_syn_retries
echo "1" >/proc/sys/net/ipv4/tcp_synack_retries
增大syn_backlog数量:
ech0 "2048" >/proc/sys/net/ipv4/tcp_max_syn_backlog

apache 补丁安装如下
补丁下载地址:

http://www.apache.org/dist/httpd/patches/

对应同版本的apache的补丁
我这里以apache 2.0.63 的proxy 漏洞处理
下载补丁文件 CVE-2008-2364-patch
解压apache 2.0.63,然后将补丁复制到软件根目录下,
执行 patch -p0 < CVE-2008-2364-patch
如果你想确定补丁是否打了,可以查看打补丁前proxy_http.c大小和补丁后大小对比(httpd-2.0.63/modules/proxy)
然后重新编译,安装。

给我留言

留言无头像?