httpd 服务apache 开启目录遍历漏洞防御

admin

httpd 服务apache 开启目录遍历漏洞防御
最近收到目录漏洞遍历防御
# i' B$ h6 U' f4 x3 m如何做
9 c5 x# }, @+ ^: \% s7 e# f: m4 W


找到对应的httpd.conf文件
修改配置：
<Directory "/var/www/html">
6 P: h2 j+ H% r4 a. c, c9 ^9 z1 L
/ K3 e4 t) S& z6 c0 {Options Indexes FollowSymLinks ExecCGI

</Directory>
: {" v' G: n5 o0 I
9 V! f- M5 `; n8 M: r, n, M/ F修改成下面的方式
<Directory "/var/www/html">
5 K8 h; p7 C0 }2 H3 tOptions -Indexes +FollowSymLinks +ExecCGI
: O+ ]% N; S( `3 m3 o) n+ H0 a</Directory>
  W/ u. c! }  r) I) I
/ B+ w: e) n, {* f重启apache服务即可。
# n" J; q  \  P& U+ W! V  S- b

admin

访问结果如下：
Forbidden
You don't have permission to access /app/ on this server.

admin

我们来看俩段通常对上传目录设置无权限的列子,配置如下:
: s2 ?( n0 t9 g/ ]* _6 Y
代码如下:

1
2
3
$ w9 w- _$ l% ^& a  J4
- R; c6 L8 t& C2 I% k# S5
& u; c8 Y: }# n8 _6
  X( n! b2 |  H. V+ Q' U<Directory "/var/www/upload">
<FilesMatch ".php">
+ N( z7 U  W* t/ A/ R7 }  |9 rOrder Allow,Deny
Deny from all
- s5 z7 |) O) b</FilesMatch>
</Directory>


& f' q( G5 B( ^! m" T4 \" Q这些配置表面上看起来是没什么问题的，确实在windows下可以这么说。
但是linux就不同了，大家都是知道的linux操作系统是区分大小写的，这里如果换成大写后缀名*.phP一类就pass了

8 M' ], Z# n& s- _% f3 c这里我说下我个人的解决方法，代码如下:
! E# n9 t/ i" [4 {3 `' E8 O
6 R# Q: @6 A$ j<Directory "要去掉PHP执行权限的目录路径，例如：D:/piaoyun.cc/upload">
ErrorDocument 404 /404/404.html
7 Z; p- `0 m/ a6 d5 |ErrorDocument 403 /404/403.html
! Y9 k. `4 ]5 }1 g0 i4 O<FilesMatch "\.(?i:php|php3|php4)$"> // ?是尽可能多的匹配.php的字符串,i是不区分大小写,然后冒号后面跟上正则表达式，也可以写成：<FilesMatch "\.(php|php3)$">
Order allow,deny
* }9 f9 g( y+ {% [# v. N! N6 d, n# CDeny from all
# M* A( b- j: `- Q</FilesMatch>
( S' \& Q6 U) ?# [! D" I- F! y</Directory>
- w$ E# D: {! h. G- D  P
, G- k+ t  s2 F8 e% i6 o上面的意思就是说，<Directory "要去掉PHP执行权限的目录路径，例如：D:/piaoyun.cc/upload"> 内目录路径下所有php文件不区分大小写，通过order,allow,deny原则判断拒绝执行php文件，对nginx同样也是可应用的
, L7 e  t! A  D' Z
另外一种方法，是设置在htaccess里面的，这个方法比较灵活一点，针对那些没有apapche安全操作权限的网站管理员：
' V+ z! m! {  a# @: I6 {Apache环境规则内容如下：Apache执行php脚本限制 把这些规则添加到.htaccess文件中
. n1 x6 e! k) \1 _$ c8 @代码如下:

1
2
  p/ K5 E4 \' Q7 r5 @- p. ~3 X3
. z) C, Y8 j" s4 l4
6 l5 G) Q0 C" i5 d7 V- p- U1 i; {+ WRewriteEngine on RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
1 _  \5 l0 k8 z6 a: ERewriteRule templets/(.*).(php)$ –[F]
$ U/ d' }0 A8 F, L' i8 a% Y& L: Q

另外一种方法，代码如下:

7 j( ?% I2 M$ z<Directory "/var/www/upload">
php_admin_flag engine off
( W- P* |' l0 C' x</Directory>

4 O3 ^8 X+ ?+ \此方法我在win系统下面测试失败了，重新启动apapche出现下面的错误信息：
The Apache service named reported the following error:
6 k. |4 f+ I4 g, \6 z# T>>> Invalid command 'php_flag', perhaps misspelled or defined by a module not included in the server configuration.

$ a3 R# D+ {/ u% x9 K& ]- ^  v这里我就不具体说明这个解决办法了，因为禁止php执行的方法，大家看自己的需求去设置就可以了！
! U2 u* t* j& t) M6 ]
【apache配置禁止访问】
1 f- U1 T* p! ?0 W1. 禁止访问某些文件/目录
增加Files选项来控制，比如要不允许访问 .inc 扩展名的文件，保护php类库：
# m( Q; `5 k7 e$ g& w& i1 Y<Files ~ "\.inc$">
   Order allow,deny
   Deny from all
</Files>
) p7 G; ?+ P3 r4 m" [
+ z7 N2 C9 h! U1 Y) i多个的话可以这样配置已验证过：

#不允许访问 .inc .txt .sql .conf扩展名的文件
% L/ ~8 }  z% U* r; g8 Z/ [<Files ~ "\.(inc|txt|sql|conf)$">
Order allow,deny
- w0 T  n' M/ K" n# g1 r8 R6 VDeny from all
+ I) o; W9 M* `9 t) Z% M4 e</Files>


2 B/ t! ~5 E( r6 k

1 f7 o  I8 z1 i) b4 |禁止访问某些指定的目录：（可以用 <DirectoryMatch>   来进行正则匹配）

<Directory ~ "^/var/www/(.+/)*[0-9]{3}">
* I0 E. w3 u+ M$ D* |   Order allow,deny
0 y1 X7 D7 `* x# s1 y' _- `   Deny from all
. O6 l. h; B, m</Directory>

通过文件匹配来进行禁止，比如禁止所有针对图片的访问：
( Z: h; Z* P0 F/ i5 _& r1 \<FilesMatch \.(?i:gif|jpe?g|png)$>
   Order allow,deny
9 y8 |; U& v! g3 u   Deny from all
. w: W) T* n3 g0 R. I  }8 M& |: ]</FilesMatch>
0 u: Y$ P" ~2 _( `
针对URL相对路径的禁止访问：
<Location /dir/>
   Order allow,deny
   Deny from all
. k3 z2 p; S$ A</Location>
2 u, Q4 W) L: ?3 k: P
" O- r; y3 H/ q7 Y# _针对代理方式禁止对某些目标的访问（<ProxyMatch> 可以用来正则匹配），比如拒绝通过代理访问cnn.com：
<Proxy http://cnn.com/*>
   Order allow,deny
   Deny from all
</Proxy>
9 Q7 \( I  L4 Y$ {5 ~, n& E
; S) R/ I; }4 H8 X  i4 w2. 禁止某些IP访问/只允许某些IP访问
如果要控制禁止某些非法IP访问，在Directory选项控制：
/ E) u1 D, X* Q+ D<Directory "/var/www/web/">
   Order allow,deny
9 f& P, P7 K! ]) G- r3 {   Allow from all
   Deny from 10.0.0.1 #阻止一个IP
* W/ P+ M; u- ~1 N! b   Deny from 192.168.0.0/24 #阻止一个IP段
7 J. _  _3 a- X6 G" T/ O, C1 ~' U3 N' p</Directory>
+ a% p  r$ c1 r
" r& |" p$ x" o) ~& D2 `只允许某些IP访问，适合比如就允许内部或者合作公司访问：
' d0 }3 ~8 E% w0 D<Directory "/var/www/web/">
   Order deny,allow
; _+ g8 \% Y3 L. j. [9 O   Deny from all
   All from example.com #允许某个域名
. }: O; V! b2 Z: C1 q   All from 10.0.0.1 #允许一个iP
   All from 10.0.0.1 10.0.0.2 #允许多个iP
   Allow from 10.1.0.0/255.255.0.0 #允许一个IP段，掩码对
   All from 10.0.1 192.168 #允许一个IP段，后面不填写
& _! N* A3 ~: ?! S8 N! C: U+ L& P9 ?   All from 192.168.0.0/24 #允许一个IP段，网络号
</Directory>


Apache：解决办法；
<Directory "/home/domain/public_html">
Options -Indexes FollowSymLinks
: c1 p! R; Y0 l1 C" }7 Y# SAllowOverride All
<Files ~ ".txt">
Order allow,deny
Deny from all
</Files>
</Directory>

admin

一、默认情况，如果apache指定的目录没有下面项配置的“index.php index.html index.htm”文件之一，则appache会显示目录及目录下的所有文件：
, Z5 C1 `; ?" e; W
<IfModule dir_module>
* s8 D- s  E' Q, D4 S+ i9 H    DirectoryIndex index.php index.html index.htm
0 A8 S$ E% P; ~3 B5 Q1 d: k0 r</IfModule>
二、在apache目录文件下找到httpd.conf文件找到如图所示Options Indexes FollowSymLinks将此句改成Options -Indexes或者去掉indexes即可
- M1 Q) |' x$ T# S+ A
/ t5 h  i0 q% [7 H2 X2 C+ X- B
: }# u2 y4 a+ E; m. y- p: u
三、其他访问配置（禁止访问某些文件/目录）

) N, z' l+ v( ^& ?增加Files选项来控制，比如要不允许访问 .inc 扩展名的文件，保护php类库：

- M" t6 o7 I& T% t. V; z<Files ~ “.inc$”>
     Order allow,deny
     Deny from all
</Files>
  s3 z3 v4 c6 ]+ @5 y7 X禁止访问某些指定的目录：（可以用 <DirectoryMatch>   来进行正则匹配）

<Directory ~ “^/var/www/(.+/)*[0-9]{3}”>
     Order allow,deny
     Deny from all
0 z) C3 D+ |6 ^" v& [# X8 [</Directory>
2 L% S% p: B* R& m6 [2 @通过文件匹配来进行禁止，比如禁止所有针对图片的访问：
  w: c- z+ J; q/ g$ e8 Y# O; j8 V1 t
<FilesMatch .(?i:gif|jpeg|png)$>
! ~1 f3 C" j2 r     Order allow,deny
; Z3 N5 _+ {* J" T0 `4 K7 {     Deny from all
7 j' k3 W) z' p) d1 n</FilesMatch>
6 b; T3 @4 {* E( @7 a& X针对URL相对路径的禁止访问：
3 X# D, z7 q8 J+ G- Q- O0 Y
<Location /dir/>
! T& y2 i+ g8 x% _9 N     Order allow,deny
     Deny from all
: c- k3 T4 z/ `7 w</Location>
4 x' T+ E/ q9 C- f( V1 D9 y5 m

admin

在Apache中配置禁止目录访问，即禁止游览列出的目录/文件列表的方法
. G  e" B0 l; b, f0 Y) V
　　访问网站目录时Apache默认配置为可列出目录/文件列表，即当你访问http://localhost时会列出相关的目录和文件列表，我们可以通过修改Apache配置文件httpd.conf来实现禁止列出目录/文件列表，方法如下：
/ B8 F& b3 O- D" g' T& Z9 D
; R# M4 @2 g1 N1、打开apache配置文件httpd.conf
2 A' a$ X0 S  U* r! I7 C
2、找到


  z1 W% W; ]/ C3 B
<Directory />
7 Z! ~; o! d" _+ zOptions Indexes
AllowOverride None
: ]/ O4 s4 C+ o, M8 p9 K) aOrder allow,deny
7 O5 \- }% \! W+ Z7 f) m3 t0 uAllow from all
</Directory>

只需要修改Options Indexes为Options None即可，注：根据PHP运行环境安装包的不同，Options Indexes也有可能是Options Indexes FollowSymLinks，一并改为Options None即可。

3、保存httpd.conf，并重启Apache即可，此时再访问http://localhost时， 报apache http 403 禁止访问错误信息
5 p. Y* V) D$ t: G: {! v5 O
0 {! T2 J) ~" g2 Y$ }2 i0 s1 T　　Forbidden
- n  Z* C+ s4 Q+ I* }! h2 [
　　You don’t have permission to access / on this server.

; A. a) J0 @7 W! a6 _6 B* p& R+ qApache单个或多个目录禁止访问方法
; ^2 Z! n7 d6 c4 N0 j5 P. D7 r: r& ]
　　这种方法通常用来禁止访问者访问后台管理目录或者程序目录，方法如下
. G8 U- s$ b! r( Q/ ^0 \4 I
1、打开apache配置文件httpd.conf
3 J, A4 X  T7 Q5 g6 \" i* s
2、创建Directory块，比如禁止访问某个类库目录，可以这样实现
/ o. T4 E' d: u) @+ ?

" J) q' a+ p& |! |" Z9 |4 T6 y5 o
<Directory /var/www/www.leapsoul.cn/inc>
    Order Deny,Allow
# m! f2 i1 M, i7 c) n" P    Deny from all
</Directory>
+ {& [, x7 |4 `4 U7 A* P
上述代码实现了禁止所有用户访问www.leapsoul.cn下inc目录的功能。如要实现禁止访问所有目录中inc目录的功能，只要将


/ q- L% p3 O% z7 r  S% K6 Q1 g
<Directory /var/www/www.leapsoul.cn/inc>

5 C' r# g3 Q5 a8 n! N更改为
# b) o! J2 q! U+ ]. ?  E

" G6 G2 k& {( n  ~% o  S$ B0 O
1 a) s8 ^6 X& o/ ?<Directory /var/www/www.leapsoul.cn/*/inc>
. i" z$ Z4 x6 [
即可。
* W; R/ l; b! t+ k5 N
3、重启Apache服务器。
4 @' q" z8 h! _: g/ M/ [
3 a0 N. Q+ |' F" p& h) \% |其他说明
. y/ i8 X) b5 d4 ^, |4 |* ~7 [
1、只允许或禁止某个域名进行目录访问

7 B* E0 ]- P+ ~3 x# x
& Y% ?+ e* Y4 E6 D& ?3 ?
. X. ?& K% s7 A6 j4 f% Z<Directory /var/www/www.leapsoul.cn/inc>
; l: |! Y' I& n    Order Deny,Allow
    Deny from abc.com
" p8 `$ }) x/ Y% s' o    Allow from apache.org
5 J) y% R/ R" ^* V</Directory>
9 ~$ b8 K3 N( ~' ?. O: B
上述代码实现禁止abc.com域中主机访问inc目录，允许apache.org域中主机访问inc目录的功能。
2 J9 F( q; b  A4 l6 U; r( n
* m) Z9 X" u7 A! B- i2、只允许或禁止某个IP进行目录访问
$ v  h: I0 q% v& q: k# F. R) c. `

, ^) L: @$ |6 h7 K9 p& O) b2 E
0 H$ i! f% Z- m<Directory /var/www/www.leapsoul.cn/inc>
    Order Deny,Allow
    Deny from 10.1.1.2
6 b" M5 M& |/ x  y    Allow from 192.168.1.0/255.255.255.0
</Directory>
2 `1 s0 W# m& }6 u% \$ g, C
上述代码实现禁止IP10.1.1.2访问www.leapsoul.cn/inc目录，允许IP192.168.1子网中的主机访问www.leapsoul.cn/inc目录的功能。

注意：Allow from 192.168.1.0/255.255.255.0等同于Allow from 192.168.1或Allow from 192.168.1.0/24