CN107480534A - 一种针对Apache配置安全性的自动化检测方法 - Google Patents
一种针对Apache配置安全性的自动化检测方法 Download PDFInfo
- Publication number
- CN107480534A CN107480534A CN201710706617.9A CN201710706617A CN107480534A CN 107480534 A CN107480534 A CN 107480534A CN 201710706617 A CN201710706617 A CN 201710706617A CN 107480534 A CN107480534 A CN 107480534A
- Authority
- CN
- China
- Prior art keywords
- apache
- security risk
- httpd
- conf
- check
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开一种针对Apache配置安全性的自动化检测方法,涉及网页服务器检测领域;针对Apache配置中存在的安全问题,对Apache的配置文件、系统命令执行和数据进行自动化分析,其中重点对Apache的运行用户及配置文件的服务器签名、符号连接追踪、目录浏览、目录权限设置、日志记录的情况进行检测,同时输出检测结果及安全风险提示,利用本发明方法不仅实现自动化检测,使检测效率和全面性得到提高,解决了人工检测效率低和检测不全面的问题,而且节省了人力资源,减低了成本。
Description
技术领域
本发明公开一种自动化检测方法,涉及网页服务器检测领域,具体的说是一种针对Apache配置安全性的自动化检测方法。
背景技术
目前网络安全问题越来越多的引起大家的关注,而众多的 Web Server 产品中,Apache 是应用最为广泛的产品之一,同其它产品一样,Apache也存在安全缺陷,除了平时及时进行安全补丁/版本更新外,还需要进行自身配置安全性的检测,确保Apache服务器的配置安全,但现有的方式一般为人工检测,不仅检测效率低,而且容易检测不全面。针对Apache http server配置安全性问题,本发明提出了一种针对Apache配置安全性的自动化检测方法,针对Apache http server配置中存在的安全问题,实现了对Apache httpserver配置文件分析、系统命令执行和数据分析的自动化过程,该检测方法适用于Windows平台和Linux平台,通过对Apache http server配置项的一键式自动化检测,改善了人工检测效率低和检测不全面的情况。
Apache HTTP Server,简称Apache,是软件基金会的一个开放源代码的网页服务器,可以在大多数电脑操作系统中运行,由于其具有的跨平台性和安全性,被广泛使用,是最流行的Web服务器端软件之一。
发明内容
本发明针对Apache http server配置安全性问题,提供一种针对Apache配置安全性的自动化检测方法,改善人工检测效率低和检测不全面的问题。
本发明的技术方案如下:
一种针对Apache配置安全性的自动化检测方法,对Apache的配置文件、系统命令执行和数据进行自动化分析,具体过程为:
获取自动化检测程序运行的操作系统类型及Apache服务器的版本,
通过执行本地命令检测Apache运行时的用户,查看是否有安全风险,
分析Apache安装目录下conf目录中的配置文件:检测是否开启服务器签名,若开启则提示安全风险;检测是否启用符号连接追踪,若启用则提示安全风险;检测是否开启目录浏览,若开启且未注释则提示安全风险;检测应用程序的目录权限设置情况,若存在权限设置异常则提示安全风险;检测Apache日志记录情况,若存在日志记录被注释或日志格式存在缺少项的情况则提示安全风险;
将上述结果输出到结果文件中。
根据自动化检测程序运行的操作系统类型,使用相应的本地命令检测Apache运行用户,查看是否有安全风险。
自动化检测程序运行的操作系统为Windows系统,使用tasklist /V | findstr“httpd”命令检测Apache运行用户,查看本地组成员是否存在administrators,若存在则提示安全风险;
或者自动化检测程序运行的操作系统为Linux系统,使用ps -ef|grep httpd命令,检测Apache运行用户,若为root则提示安全风险,否则查看/etc/passwd中对应用户行的第4个参数是否为0,若为0则提示安全风险。
根据自动化检测程序运行的操作系统类型:使用相应的命令检查是否开启服务器签名,使用相应的命令检查配置文件是否启用符号连接追踪,使用相应的命令检查配置文件的目录浏览是否开启且未注释。
自动化检测程序运行的操作系统为windows/RHEL/CentOS/Fedora中的一种,则Apache安装目录下conf目录中的配置文件为httpd.conf。
检查httpd.conf配置文件的ServerSignature指令和ServerTokens指令是否均为开启状态,以便检查Apache是否开启服务器签名,如果开启则提示安全风险。
检查httpd.conf配置文件的每一个Directory指令下的options选项是否包含FollowSymlinks,以便检测Apache是否启用符号连接追踪,若包含则提示安全风险。
检查httpd.conf配置文件的每一个Directory指令下的options选项是否包含Indexes,以便检测Apache是否开启目录浏览,若包含且未注释则提示安全风险。
检测应用程序的目录权限设置情况:先检查主目录对应于配置文件httpd.conf的Server Root控制项是否允许非超级用户修改该目录中的内容,再检查httpd.conf配置文件的其他目录项是否存在写入或执行权限,若存在上述权限设置情况则提示安全风险。
检测Apache日志记录情况:先查看httpd.conf配置文件的ErrorLog项是否被注释,若被注释则提示安全风险;再查看httpd.conf配置文件的LogFormat项或CustomLog项是否被注释,若被注释则提示安全风险;否则查看日志格式的内容,若日志格式存在缺少项则提示安全风险。
本发明与现有技术相比具有的有益效果是:
本发明提供一种针对Apache配置安全性的自动化检测方法,针对Apache配置中存在的安全问题,对Apache的配置文件、系统命令执行和数据的进行自动化分析,其中重点对Apache的运行用户及配置文件的服务器签名、符号连接追踪、目录浏览、目录权限设置、日志记录的情况进行检测,同时输出检测结果及安全风险提示,利用本发明方法不仅实现自动化检测,使检测效率和全面性得到提高,解决了人工检测效率低和检测不全面的问题,而且节省了人力资源,减低了成本。
附图说明
图1 本发明方法的流程示意图。
具体实施方式
本发明提供一种针对Apache配置安全性的自动化检测方法,对Apache的配置文件、系统命令执行和数据进行自动化分析,具体过程为:
获取自动化检测程序运行的操作系统类型及Apache服务器的版本,
通过执行本地命令检测Apache运行时的用户,查看是否有安全风险,
分析Apache安装目录下conf目录中的配置文件:检测是否开启服务器签名,若开启则提示安全风险;检测是否启用符号连接追踪,若启用则提示安全风险;检测是否开启目录浏览,若开启且未注释则提示安全风险;检测应用程序的目录权限设置情况,若存在权限设置异常则提示安全风险;检测Apache日志记录情况,若存在日志记录被注释或日志格式存在缺少项的情况则提示安全风险;
将上述结果输出到结果文件中。
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,对本发明进一步详细说明。
以Windows系统为自动化检测程序运行的操作系统类型,使用Python语言实现对Apache的配置文件、系统命令执行和数据的进行自动化分析,
具体过程为:
用户输入Apache http server的安装路径参数,如使用 platform模块中的platform.platform()方法获取自动化检测程序运行的操作系统类型;
执行命令httpd –v,通过Apache服务器安装目录下bin目录中的version脚本获取Apache服务器的版本,本地命令执行可使用subprocess模块的 subprocess.Popen方法将结果输出到结果文件中;
通过执行本地命令检测Apache运行时的用户,使用 tasklist /V | findstr “httpd”命令或其他命令检测Apache运行用户,使用net user命令查看本地组成员是否存在administrators,若存在则可在结果文件中提示安全风险;
分析Apache安装目录下conf目录中的配置文件httpd.conf:
检测是否启用符号连接追踪,检查httpd.conf配置文件的每一个“Directory”指令下的options选项是否包含“FollowSymlinks”,若包含则可输出到结果文件中并提示安全风险;
检测是否开启目录浏览,检查httpd.conf配置文件的每一个“Directory”指令下的options选项是否包含“Indexes”,若包含且未注释则可输出到结果文件中并提示安全风险;
检测应用程序的目录权限设置情况,首先检查主目录对应于配置文件httpd.conf的Server Root控制项是否允许非超级用户修改该目录中的内容,然后检查httpd.conf配置文件的其他目录项是否存在写入或执行权限,若存在,如对网站目录的写入权限,对sh等的执行权限,对上传目录的php执行权限等可视为权限设置异常情况,则可输出到结果文件中并提示安全风险;
检测Apache日志记录情况,首先查看httpd.conf配置文件的“ErrorLog”项是否被注释,若被注释,即未记录错误日志则可在结果文件中提示安全风险;然后查看httpd.conf配置文件的“LogFormat”项或“CustomLog”项是否被注释,若被注释即未记录访问日志则可在结果文件中提示安全风险;若未被注释,则查看日志格式的内容,如不存在%h、%t、%r、%s项则可将缺少项输出在结果文件中并提示安全风险;其中%h表示记录请求源IP/hostname,%t表示请求时间,%r表示请求报文首行:请求方法+URL+HTTP协议,%s表示原始请求的状态,%>s指的是最后请求的状态。
上述过程如果Linux系统为自动化检测程序运行的操作系统类型,使用Python语言实现对Apache的配置文件、系统命令执行和数据的进行自动化分析,则相应地进行命令的替换:
如执行命令apachectl -v,通过Apache服务器安装目录下bin目录中的version脚本获取Apache服务器的版本,
在检测Apache运行的用户时,使用ps -ef|grep httpd命令或其他命令检测Apache运行用户,如果为root则在结果文件中提示安全风险,否则通过查看/etc/passwd中对应用户行的第4个参数是否为0,如为0,即为root用户组,则在结果文件中提示安全风险等。
Claims (10)
1.一种针对Apache配置安全性的自动化检测方法,其特征在于对Apache的配置文件、系统命令执行和数据进行自动化分析,具体过程为:
获取自动化检测程序运行的操作系统类型及Apache服务器的版本,
通过执行本地命令检测Apache运行时的用户,查看是否有安全风险,
分析Apache安装目录下conf目录中的配置文件:检测是否开启服务器签名,若开启则提示安全风险;检测是否启用符号连接追踪,若启用则提示安全风险;检测是否开启目录浏览,若开启且未注释则提示安全风险;检测应用程序的目录权限设置情况,若存在权限设置异常则提示安全风险;检测Apache日志记录情况,若存在日志记录被注释或日志格式存在缺少项的情况则提示安全风险;
将上述结果输出到结果文件中。
2.根据权利要求1所述的方法,其特征在于根据自动化检测程序运行的操作系统类型,使用相应的本地命令检测Apache运行用户,查看是否有安全风险。
3.根据权利要求2所述的方法,其特征在于自动化检测程序运行的操作系统为Windows系统,使用tasklist /V | findstr “httpd”命令检测Apache运行用户,查看本地组成员是否存在administrators,若存在则提示安全风险;
或者自动化检测程序运行的操作系统为Linux系统,使用ps -ef|grep httpd命令,检测Apache运行用户,若为root则提示安全风险,否则查看/etc/passwd中对应用户行的第4个参数是否为0,若为0则提示安全风险。
4.根据权利要求1-3任一所述的方法,其特征在于根据自动化检测程序运行的操作系统类型:使用相应的命令检查是否开启服务器签名,使用相应的命令检查配置文件是否启用符号连接追踪,使用相应的命令检查配置文件的目录浏览是否开启且未注释。
5.根据权利要求4所述的方法,其特征在于自动化检测程序运行的操作系统为windows/RHEL/CentOS/Fedora中的一种,则Apache安装目录下conf目录中的配置文件为httpd.conf。
6.根据权利要求5所述的方法,其特征在于检查httpd.conf配置文件的ServerSignature指令和ServerTokens指令是否均为开启状态,以便检查Apache是否开启服务器签名,如果开启则提示安全风险。
7.根据权利要求5或6所述的方法,其特征在于检查httpd.conf配置文件的每一个Directory指令下的options选项是否包含FollowSymlinks,以便检测Apache是否启用符号连接追踪,若包含则提示安全风险。
8.根据权利要求7所述的方法,其特征在于检查httpd.conf配置文件的每一个Directory指令下的options选项是否包含Indexes,以便检测Apache是否开启目录浏览,若包含且未注释则提示安全风险。
9.根据权利要求5或8所述的方法,其特征在于检测应用程序的目录权限设置情况:先检查主目录对应于配置文件httpd.conf的Server Root控制项是否允许非超级用户修改该目录中的内容,再检查httpd.conf配置文件的其他目录项是否存在写入或执行权限,若存在上述权限设置情况则提示安全风险。
10.根据权利要求9所述的方法,其特征在于检测Apache日志记录情况:先查看httpd.conf配置文件的ErrorLog项是否被注释,若被注释则提示安全风险;再查看httpd.conf配置文件的LogFormat项或CustomLog项是否被注释,若被注释则提示安全风险;否则查看日志格式的内容,若日志格式存在缺少项则提示安全风险。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710706617.9A CN107480534A (zh) | 2017-08-17 | 2017-08-17 | 一种针对Apache配置安全性的自动化检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710706617.9A CN107480534A (zh) | 2017-08-17 | 2017-08-17 | 一种针对Apache配置安全性的自动化检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107480534A true CN107480534A (zh) | 2017-12-15 |
Family
ID=60600729
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710706617.9A Pending CN107480534A (zh) | 2017-08-17 | 2017-08-17 | 一种针对Apache配置安全性的自动化检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107480534A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109492401A (zh) * | 2018-09-30 | 2019-03-19 | 阿里巴巴集团控股有限公司 | 一种内容载体风险检测方法、装置、设备及介质 |
| CN110058862A (zh) * | 2018-09-04 | 2019-07-26 | 中国平安人寿保险股份有限公司 | 用于Jar文件的安全部署方法、装置、设备和存储介质 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102340429A (zh) * | 2011-10-12 | 2012-02-01 | 北京锐安科技有限公司 | 一种互联网协议还原自动化检测方法 |
| US20120191660A1 (en) * | 2011-01-26 | 2012-07-26 | Viaforensics | Systems, methods, apparatuses, and computer program products for forensic monitoring |
| CN102945337A (zh) * | 2012-11-27 | 2013-02-27 | 国电南瑞科技股份有限公司 | Subversion用户密码在线自助管理方法和系统 |
| CN103116544A (zh) * | 2013-01-25 | 2013-05-22 | 浪潮电子信息产业股份有限公司 | 一种自动化的跨平台多服务器多应用测试方法 |
| US20140032595A1 (en) * | 2012-07-25 | 2014-01-30 | Netapp, Inc. | Contention-free multi-path data access in distributed compute systems |
| CN103685290A (zh) * | 2013-12-19 | 2014-03-26 | 南京理工大学连云港研究院 | 基于ghdb的漏洞扫描系统 |
| US20150032743A1 (en) * | 2013-07-18 | 2015-01-29 | CIMCON Software, Inc. | Analyzing files using big data tools |
| CN104363236A (zh) * | 2014-11-21 | 2015-02-18 | 西安邮电大学 | 一种自动化漏洞验证的方法 |
| CN104778048A (zh) * | 2014-01-09 | 2015-07-15 | 北大方正集团有限公司 | 基于Linux系统的安装搭建服务器web环境的方法和装置 |
| CN106202323A (zh) * | 2016-06-30 | 2016-12-07 | 北京奇虎科技有限公司 | 一种日志的处理方法和装置 |
| CN106302337A (zh) * | 2015-05-22 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 漏洞检测方法和装置 |
| CN106548090A (zh) * | 2016-10-31 | 2017-03-29 | 努比亚技术有限公司 | 一种网络文件保护方法及web服务器 |
-
2017
- 2017-08-17 CN CN201710706617.9A patent/CN107480534A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120191660A1 (en) * | 2011-01-26 | 2012-07-26 | Viaforensics | Systems, methods, apparatuses, and computer program products for forensic monitoring |
| CN102340429A (zh) * | 2011-10-12 | 2012-02-01 | 北京锐安科技有限公司 | 一种互联网协议还原自动化检测方法 |
| US20140032595A1 (en) * | 2012-07-25 | 2014-01-30 | Netapp, Inc. | Contention-free multi-path data access in distributed compute systems |
| CN102945337A (zh) * | 2012-11-27 | 2013-02-27 | 国电南瑞科技股份有限公司 | Subversion用户密码在线自助管理方法和系统 |
| CN103116544A (zh) * | 2013-01-25 | 2013-05-22 | 浪潮电子信息产业股份有限公司 | 一种自动化的跨平台多服务器多应用测试方法 |
| US20150032743A1 (en) * | 2013-07-18 | 2015-01-29 | CIMCON Software, Inc. | Analyzing files using big data tools |
| CN103685290A (zh) * | 2013-12-19 | 2014-03-26 | 南京理工大学连云港研究院 | 基于ghdb的漏洞扫描系统 |
| CN104778048A (zh) * | 2014-01-09 | 2015-07-15 | 北大方正集团有限公司 | 基于Linux系统的安装搭建服务器web环境的方法和装置 |
| CN104363236A (zh) * | 2014-11-21 | 2015-02-18 | 西安邮电大学 | 一种自动化漏洞验证的方法 |
| CN106302337A (zh) * | 2015-05-22 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 漏洞检测方法和装置 |
| CN106202323A (zh) * | 2016-06-30 | 2016-12-07 | 北京奇虎科技有限公司 | 一种日志的处理方法和装置 |
| CN106548090A (zh) * | 2016-10-31 | 2017-03-29 | 努比亚技术有限公司 | 一种网络文件保护方法及web服务器 |
Non-Patent Citations (2)
| Title |
|---|
| 车琳: ""基于windows平台的Apache web服务器漏洞自动检测系统"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 顾润龙 等: "《Linux操作系统及应用技术》", 31 August 2016, 航空工业出版社 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110058862A (zh) * | 2018-09-04 | 2019-07-26 | 中国平安人寿保险股份有限公司 | 用于Jar文件的安全部署方法、装置、设备和存储介质 |
| CN109492401A (zh) * | 2018-09-30 | 2019-03-19 | 阿里巴巴集团控股有限公司 | 一种内容载体风险检测方法、装置、设备及介质 |
| CN109492401B (zh) * | 2018-09-30 | 2022-04-08 | 创新先进技术有限公司 | 一种内容载体风险检测方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8311800B1 (en) | Systems and methods for detecting incorrect translations of terms in a computing string | |
| Chyrun et al. | Web Resource Changes Monitoring System Development. | |
| WO2016082575A1 (zh) | 信息挖掘方法、装置和存储介质 | |
| WO2004061619A2 (en) | Knowledge-management systems for law firms | |
| CN106874207A (zh) | 一种web页面的自动化测试方法及装置 | |
| CN103109295B (zh) | 创建在恶意软件检测中使用的定制化置信带的系统和方法 | |
| CN107480534A (zh) | 一种针对Apache配置安全性的自动化检测方法 | |
| US20140310560A1 (en) | Method and apparatus for module repair in software | |
| CN107590253A (zh) | 一种针对MySQL数据库配置安全性的自动化检测方法 | |
| CN111191246A (zh) | 一种基于Spring注解的安全开发校验方法 | |
| WO2021135497A1 (zh) | 基于Android的同份源代码兼容各客户需求的方法和装置 | |
| CN104135483A (zh) | 一种网络安全自动配置管理系统 | |
| CN102546296A (zh) | 用于电力行业信息系统入网安评的自动检测方法及装置 | |
| CN107392033B (zh) | 一种安卓设备渗透测试系统及其自动化渗透测试方法 | |
| CN110196915A (zh) | 一种设备全维度电子图档信息管理系统 | |
| CN109344141A (zh) | 一种目标文件的处理系统及方法 | |
| CN105069357A (zh) | 扫描漏洞的方法、云端服务器及系统 | |
| US20170041319A1 (en) | Sharing regulated content stored on non-regulated storage platforms | |
| CN108063675A (zh) | 集群配置的检测方法、检测装置及集群配置检测系统 | |
| CN106293775A (zh) | 一种脚本的自动生成方法及装置 | |
| WO2015120756A1 (zh) | 一种应用程序安全性的鉴定方法和装置 | |
| Waltermire et al. | Guidelines for the creation of interoperable software identification (SWID) tags | |
| US20170295205A1 (en) | Apparatus and method for security policy management | |
| Cisco | Installing TrafficDirector on AIX Systems | |
| Achdian et al. | Analysis of CI/CD Application Based on Cloud Computing Services on Fintech Company |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171215 |
|
| RJ01 | Rejection of invention patent application after publication |