Apache服務器是一款開源的WEB服務器,是由非營利組織Apache軟件基金會的支持的,我們很多的虛擬主機�、VPS等都會使用Apache服務器架構環境��,但是任何的架構環境都會遭受各種可能的攻擊、安全漏洞的檢測��、SQL注入�����、各種拒絕服務攻擊等。
作為我們VPS/服務器用戶來說,我們一來需要多做備份確保服務器上網站數據的安全����,二來還需要隨時的觀察我們服務器的監控動向���,三來需要關注各種最新漏洞安全的更新腳本��,作為基礎的應用手段,我們需要確保基礎的Apache安全設置�,從基礎上保證服務器的安全�����。
第一、定期更新系統
首先���,我們需要確保是已經安裝了最新版本和Apache的安全補丁和附加如CGI,Perl和PHP腳本代碼���。我們需要定期更新數據源依賴包操作。
# Ubuntu/Debianapt-get update; apt-get dist-upgrade# Fedora/Centos/RedHatyum update
根據自己的系統環境選擇更新升級命令��。
第二���、設置和保護我們的SSH安全
我們在拿到VPS之后��,建議修改端口����、ROOT密碼�����、以及授權單獨的非ROOT用戶權限管理,或者我們也可以采用密鑰的方式登錄SSH客戶端管理VPS����。比如可以參考"設置Putty SSH使用密鑰登錄Linux VPS主機"和"Xshell設置密鑰登錄確保Linux VPS及服務器更加安全"文章設置密鑰登陸�。
第三���、禁用未使用的服務
為了確保我們的Web服務器安全���,建議你檢查服務器上所有正在運行的服務和開放的端口,禁用我們不需要在服務器上的所有服務��。
#要顯示所有服務 service --status-all
#顯示所有的端口規則 iptables -L
#顯示所有的運行信息(redhat/centos/fedora)chkconfig --list
#檢查/etc/init.d是否有可疑腳本 ls /etc/init.d
第四�����、禁用不必要的Apache模塊
默認情況下���,Apache很多模塊都開啟的����,但是有些并不需要使用����,我們可以關閉和精簡。比如以前有分享過的"6步驟實現CentOS系統環境精簡優化"和"4步驟實現Debian系統環境精簡優化"可以有效的提高執行效率降低占用資源率。
A - Ubuntu/Debian
cat /etc/apache2/mods-enabled/* | grep -i loadmodule
開啟模塊
a2enmod module_name
關閉模塊
a2dismod module_name
B - Centos/Fedora/RedHat
cat /etc/httpd/conf/httpd.conf | grep -i LoadModule
編輯httpd.conf文件�����,搜索LoadModule關鍵字��,需要關閉的在前面加上#備注保存就可以,相反啟動則去掉#
第五�、讓Apache以指定的用戶和組來運行
大多數默認的Apache使用的是默認用戶和組為apache的��,為了確保安全,我們可以使用不同的用戶/組����。假設你運行的郵件服務器作為nobody用戶���,你用相同的用戶運行的Apache���。如果您的郵件服務器被攻破��,你的Apache也將受到影響。比如�,我們在以root身份運行���,如果有安全風險���,那整個系統將在很大的風險����。要檢查/更改用戶/組�����,編輯httpd.conf文件��。
#Fedora/Centos/Redhatvi /etc/httpd/conf/httpd.conf#Ubuntu/Debianvi /etc/apache2/httpd.conf
我們可以使用默認的用戶組,也可以創建新的用戶/組����。
復制代碼 代碼如下:
User apache
Group apache
第六�、防止信息泄露
默認的Apache安裝后會在默認頁面體現出端口�����、版本信息等,我們需要隱藏這些信息。
#Fedora/Centos/Redhatvi /etc/httpd/conf/httpd.conf#Ubuntu/Debianvi /etc/apache2/conf-enabled/security.conf
搜索ServerTokens和ServerSignature字符���,然后對應修改
ServerTokens Prod
ServerSignature Off
然后重啟Apache
#Fedora/Centos/Redhat
service apache2 restart
#Ubuntu/Debian
service httpd restart
然后我們的404頁面就看不到版本信息。
第七、隱藏PHP版本信息
#Fedora/Centos/Redhatvi /etc/php.ini#Ubuntu/Debianvi /etc/php5/apache2/php.ini
然后搜索expose_php���,對應的參數on改成off
第八、禁用自動索引模塊
#Fedora/Centos/Redhat
/etc/httpd/conf/httpd.conf
把"LoadModule autoindex_module modules/mod_autoindex.so"一行前面加上#禁止掉
#Ubuntu/Debian
rm -rf /etc/apache2/mods-enabled/autoindex.conf
刪除自動索引模塊
總結,以上老左就整理到8點Apache的安全設置���,還有一些設置我們可以查看.htaccess文件的安全設置,我們不容小視這個小文件,有些安全設置還是需要通過.htaccess文件的���,以后有時間專門整理一篇。無論如何,不管我們使用的是虛擬主機���,還是VPS/服務器,我們需要隨時監控和定時備份網站和項目數據�。
