Apache安全加固--修复SSL/TLS弱密码漏洞（中危）和禁用TRACE/TRACK方法（高危）

23ewrw · 发表于 2016-3-17 09:17:01

先看看扫描到的漏洞截图

下面是详细的操作解决方案（以下的配置经过了多次的修改才将漏洞真正修复完毕）：
安全配置一：
[iyunv@liulingli html]# find / -name .htaccess
/var/www/html/wp-content/cache/autoptimize/.htaccess
vim /var/[url=]www/html/wp-content/cache/autoptimize/.htaccess[/url]
添加如下5行
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_METHOD}^(TRACE|TRACK)
RewriteRule .*-[F]
</ifModule>
重启httpd服务
[iyunv@liulingli html]# service httpd restart
Stopping httpd:                                           [  OK  ]
Starting httpd:                                           [  OK  ]
安全配置二：
echo "net.ipv4.tcp_timestamps = 0" >> /etc/sysctl.conf
sysctl -p
安全配置三：
vim /etc/httpd/conf.d/ssl.conf
原来的配置
# SSL Protocol support:
# List the enable protocol levels with which clients will be able to
# connect.  Disable SSLv2 access by default:
SSLProtocol all -SSLv2
# SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
修改成以下配置：
SSLProtocol all -SSLv2 -SSLv3
# SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS:!RC4
并且添加以下三行
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
</VirtualHost>
service httpd restart
注意}后面有空格，否则无法重启httpd服务

再次对网站进行扫描，发现高危和中危漏洞警报都已经消除。

经过了10次修改和扫描，才最终解决。

账号		自动登录	找回密码
密码			立即注册

VMware vcenter+vSphere 6.5 U2共享

【跟谁学】韩宇极简英语课-技术人员不得不

用Zabbix通过JMX方式监控weblogic

winhex数据恢复教程（非常巨大，内容丰富）

Symantec Backup Exec 2015 2016/2012 BE20

NetScaler VPX部署之：NetScaler Gateway调

zabbix3.4.1安装部署+微信推送信息+大屏显

[经验分享] Apache安全加固--修复SSL/TLS弱密码漏洞（中危）和禁用TRACE/TRACK方法（高危）

相关帖子

扫码加入运维网微信交流群