Apache安全配置
任务环境说明:
- 服务器场景:A-Server
- 服务器场景操作系统: Linux
- 服务器用户名:root;密码:123456
- 打开服务器场景(A-Server),通过命令行清除防火墙规则。在服务器场景上查看apache版本,将查看到的服务版本字符串完整提交;
Flag=Apache/2.2.23 (Unix)
- 检测服务器场景中此版本apache是否存在显示banner信息漏洞,如果验证存在,修改配置文件将此漏洞进行加固,并重启Apache服务,将此加固项内容字符串(不包含状态)作为flag提交;
Flag=ServerSignature
- 检测服务器场景配置是否可以浏览系统目录,如果验证存在将此漏洞在Apache配置文件中进行加固,寻找系统根目录/var/www 的配置属性,对该属性的原内容进行权限删除的方式加固,并重启Apache服务,将此加固项删减字符串作为flag提交;
Flag=Indexes
- 合理配置服务器场景apache的运行账户,并在httpd.conf中寻找运行帐户,将本服务配置的账户名称作为flag提交;
Flag=nobody
- 配置服务器场景中httpd.conf,限制禁止访问的文件夹,验证是否可以访问 /var/www/data 目录下index.php,如存在在此漏洞需进行加固,将此加固后完整字符串作为flag提交;(提示:(<Directory /var/www/data>)***</Directory>*号为需要添加内容)
Flag=Deny from all
- 配置服务器场景中httpd.conf,限制一些特殊目录的特定ip访问,如内部接口等。修改对data 目录的配置,重新启动apache 服务。将加固项固定部分作为flag提交;
Flag=allow from
