Apache安全和强化的十三个技巧
2014-03-13 22:51:13
Apache是一个很受欢迎的web服务器软件,其安全性对于网站的安全运营可谓生死攸关。下面介绍一些可帮助管理员在Linux上配置Apache确保其安全的方法和技巧。
  本文假设你知道这些基本知识:
  文档的根目录: /var/www/html or /var/www
  主配置文件: /etc/httpd/conf/httpd.conf (RHEL/CentOS/Fedora等系统) 或/etc/apache/apache2.conf (Debian/Ubuntu).
  默认HTTP 端口: 80 TCP
  默认 HTTPS 端口: 443 TCP
  测试配置文件设置及语法: httpd -t
  对Web服务器的日志文件的访问: /var/log/httpd/access_log
  Web服务器错误日志文件: /var/log/httpd/error_log
  1、避免在错误中显示Apache版本和操作系统的ID
  一般情况下,在用源代码安装或用yum等包安装程序安装Apache时,Apache服务器的版本号和服务器操作系统的名称都可以在错误消息中显示,而且还会显示安装在服务器上的Apache模块信息。
  
  在上图中,可以看出错误页面显示了Apache的版本以及服务器所安装的操作系统版本。这有可能成为Web服务器和Linux系统的一个重要威胁。为防止Apache把这些信息泄露出来,我们需要在Apache的主要配置文件中进行更改:
  用vim编辑器打开配置文件,查找“ServerSignature”,默认情况下它是打开状态。我们需要关闭服务器签名。ServerTokens Prod告诉Apache只在每一个请求网页的服务器响应的头部,仅返回Apache产品名称。
  # vim /etc/httpd/conf/httpd.conf (RHEL/CentOS/Fedora)
  # vim /etc/apache/apache2.conf (Debian/Ubuntu)
  ServerSignature Off
  ServerTokens Prod
  # service httpd restart (RHEL/CentOS/Fedora)
  # service apache2 restart (Debian/Ubuntu)
  
  2、禁用目录列表
  默认情况下,在缺少index文件时,Apache会列示root目录的所有内容。如下图所示:
  
  对于某个特定目录,我们可以在配置文件中用“Options directive”关闭目录列示。可以在httpd.conf或apache2.conf文件中加入如下项目:
  Options -Indexes
  其效果类似于下图:
  
  3、经常更新Apache
  Apache的开发社区一直在不断地改善安全问题,并经常发布带有新的安全特性的最新版本。所以我们建议你使用最新的Apache作为自己的web服务器。为检查Apache的版本,我们可以用httpd –v命令来检查最新的版本。
  # httpd -v
  Server version: Apache/2.2.15 (Unix)
  Server built: Aug 13 2013 17:29:28
  可以用下面的命令更新Apache版本。
  # yum update httpd
  # apt-get install apache2
  如果你并不是在特定操作系统或内核上运行某个特别的软件,建议你保持内核和Linux操作系统为最新版本。
  4、禁用不必要的模块
  为了尽量减少网站遭受Web攻击的机会,管理员最好禁用目前不用的所有模块。你可以使用下面的命令,列示Web服务器所有的已编译模块。
  # grep LoadModule /etc/httpd/conf/httpd.conf
  # have to place corresponding `LoadModule' lines at this location so the
  # LoadModule foo_module modules/mod_foo.so
  LoadModule auth_basic_module modules/mod_auth_basic.so
  LoadModule auth_digest_module modules/mod_auth_digest.so
  LoadModule authn_file_module modules/mod_authn_file.so
  LoadModule authn_alias_module modules/mod_authn_alias.so
  LoadModule authn_anon_module modules/mod_authn_anon.so
  LoadModule authn_dbm_module modules/mod_authn_dbm.so
  LoadModule authn_default_module modules/m
下一页
返回列表
返回首页
©2024 福州电脑维修/福州电脑上门维修/福州鼓楼星河办公 0591-83786605
Powered by iwms