CentOS Apache配置中的安全漏洞有哪些

CentOS上Apache常见安全漏洞与风险点

维护一个安全的Apache服务器，就像守护一座城堡的大门。门上的每一处锈蚀、每一道裂缝，都可能成为攻击者潜入的通道。在CentOS环境下，一些常见的配置疏忽和已知漏洞，往往就是那扇“虚掩的门”。

一 版本与组件相关的高危漏洞

• 路径穿越与RCE（CVE-2021-41773、CVE-2021-42013）：这两个漏洞曾让不少管理员惊出一身冷汗。它们影响Apache HTTP Server 2.4.49和2.4.50版本。问题出在哪里呢？当服务器同时开启了mod_cgi模块，并且目录配置被误设为Require all granted时，攻击者就能通过精心构造的URL路径，实现目录穿越。后果很严重——不仅能读取服务器上的敏感文件，甚至可能远程执行命令。修复之道很明确：首要任务是升级到已修复的版本。如果升级有困难，临时方案是立即禁用CGI功能，并对访问路径和权限进行最严格的限制。
• 换行解析漏洞（CVE-2017-15715）：这个漏洞听起来有点“钻空子”的意思。在某些特定配置下，如果上传的文件名末尾隐藏了一个换行符（0x0A），Apache在解析文件后缀时就会出错，导致本应被阻止的恶意文件被当作脚本执行。这在依赖黑名单机制过滤上传文件的场景下尤其危险。解决办法是升级版本，或者在处理上传文件时，对文件名进行规范化处理，坚决拒绝任何包含控制字符的文件名。
• 多后缀解析问题（配置相关）：这与其说是漏洞，不如说是一个经典的配置陷阱。如果使用了类似AddHandler application/x-httpd-php .php这样的全局规则，Apache在解析像shell.php.jpg这样的文件名时，会从左到右尝试。当遇到不认识的.jpg时，它会继续向左找，一旦发现.php，就会将其作为PHP脚本执行。这就让攻击者轻松绕过了基于后缀的白名单检查。如何堵住这个缺口？避免使用全局的AddHandler，改为在特定的目标目录中使用SetHandler进行显式限定。同时，务必在上传目录中禁用脚本执行，并对文件后缀和MIME类型进行双重校验与清理。
• 目录遍历/信息泄露（CVE-2016-2161）：在Apache的早期版本中，存在路径处理上的缺陷，可能被利用来进行目录遍历攻击，导致敏感信息泄露。修复方案是升级到包含该补丁的版本（例如2.4.57及以上），并辅以严格的访问控制和最小权限原则。

二 配置不当导致的常见安全问题

• 目录浏览（Directory Listing）：想象一下，如果仓库大门敞开，里面的货物一览无余，会是什么景象？当某个目录下没有默认首页（如index.html），同时又启用了Options Indexes选项时，就会出现这种情况。攻击者可以直接浏览目录结构，快速定位备份文件、配置文件等敏感资源。修复方法很简单：在对应的配置段中，将Indexes选项移除或直接禁用，只保留真正必要的选项（如按需开启FollowSymLinks）。
• 上传目录可执行与脚本映射：这是导致Webshell植入的最常见原因之一。如果用户上传文件的目录被允许执行脚本，或者被映射为脚本处理器（例如能解析.php），那么上传一个恶意脚本就等于拿到了服务器的一把钥匙。必须严防死守：为上传目录设置Options -ExecCGI -Indexes，彻底禁止脚本执行。在条件允许的情况下，最好将上传存储目录与Web业务代码目录进行物理隔离。
• HTTP方法未限制：Apache默认可能支持多种HTTP方法，但其中如PUT、DELETE、TRACE等方法，在普通的Web应用中往往是不必要的，反而可能被攻击者滥用以上传文件、删除资源或进行跨站跟踪攻击。最佳实践是，在配置中，显式拒绝所有不必要的方法。对于TRACE方法，通常建议在全局配置中直接禁用。
• 版本与Banner泄露：“知己知彼，百战不殆”，但绝不能让对手“知己”。默认配置可能会在HTTP响应头中泄露详细的Apache版本和模块信息，这等于给攻击者提供了精准的“攻击指纹”。加固方法是：在配置中设置ServerTokens Prod（仅显示“Apache”）和ServerSignature Off，最大限度地减少信息泄露。

三 传输层与加密配置风险

• SSL/TLS 弱加密与协议问题：安全传输层是数据在网络上流动的加密隧道，如果隧道本身千疮百孔，数据安全就无从谈起。继续使用已过时且不安全的SSLv3、TLS 1.0或1.1协议，以及弱密码套件（如RC4、基于MD5的套件），会使服务器暴露在POODLE（CVE-2014-3566）、RC4相关（CVE-2015-2808）等多种攻击之下。修复需要在ssl.conf中下功夫：使用强密码套件组合，例如SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4，并明确禁用不安全的协议。同时，注意禁用TLS压缩以避免CRIME等侧信道攻击。
• TLS 重协商漏洞（CVE-2011-1473）：这是一个存在于早期TLS实现中的协议层缺陷。修复方案是，在支持的模块和版本上，禁用不安全的TLS重协商，或者升级到已修复的版本并启用安全的重协商机制。

四 快速自查与修复要点

• 版本与补丁：安全加固的第一步永远是“摸清家底”。执行httpd -v命令，确认当前运行的Apache版本。如果版本是存在前述高危CVE的2.4.49或2.4.50，应优先通过系统仓库或可信渠道升级到最新的httpd包。如果因故无法立即升级，必须立即实施临时缓解措施：关闭mod_cgi模块，严格限制相关路径的访问权限，并启用Web应用防火墙（WAF）规则来拦截可疑的路径穿越请求。
• 关键配置核查清单：对照以下清单，对全局配置和每个虚拟主机配置进行逐项检查与整改：是否已禁用Indexes目录浏览？是否为上传目录设置了禁止脚本执行？是否限制了不必要的HTTP方法？是否已隐藏ServerTokens和ServerSignature？是否为CGI目录、袋里目录和上传目录设置了最小的文件系统权限和网络访问控制（如Require指令）？是否已将静态资源目录与业务代码、上传目录进行分离？把这些点都做到位，服务器的安全基线就有了坚实的保障。