apache安全设置

apache安全设置

      以apache2.0.54为例：

第一种方法安装最新的apache版本，可能会遇到与其它桥接软件不兼容情况，比如apache2.2.11 与 weblogic 8.x不兼容

第二种方法是安装补丁或者手工修改漏洞

 

漏洞手工修改
1     Apache HTTP Server畸形HTTP方式413错误页面跨站脚本漏洞
查看httpd.conf配置文件，会在里面发现下列注释语句，将前面的注释符号#删掉即可，后面跟的一串是一个链接，当然也可以自己想在页面上显示的文字：
# ErrorDocument 413 /error/HTTP_REQUEST_ENTITY_TOO_LARGE.html.var

 

可以改为：
ErrorDocument 413 "Sorry,Error Page"

 

2       远端WWW服务支持TRACE请求
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

 

3       修改httpd.conf配置文件
将“ServerTokens Full”改为“ServerTokens Prod”；
将“ServerSignature On”改为“ServerSignature Off”，
然后存盘退出

 

APACHE防范DOS攻击。
   其防范软件主要为apache dos evasive maneuvers module来实现，替代 mod_access.
   自动统计TCP连接的数量：
   netstat -an  | grep -i "服务器IP:80" |awk '{print $6}' | sort | uniq -c | sort -n
   echo 1 > /proc/sys/net/ipv4/tcp_syncookies
   echo "1" > /proc/sys/net/ipv4/tcp_syn_retries
   echo "1" >/proc/sys/net/ipv4/tcp_synack_retries
   增大syn_backlog数量：
   ech0 "2048" >/proc/sys/net/ipv4/tcp_max_syn_backlog 

 

apache 补丁安装如下
补丁下载地址：
http://www.apache.org/dist/httpd/patches/
对应同版本的apache的补丁
我这里以apache 2.0.63 的proxy 漏洞处理
下载补丁文件 CVE-2008-2364-patch
解压apache 2.0.63,然后将补丁复制到软件根目录下，
执行 patch -p0 < CVE-2008-2364-patch
如果你想确定补丁是否打了，可以查看打补丁前proxy_http.c大小和补丁后大小对比（httpd-2.0.63/modules/proxy）
然后重新编译，安装。