阅读量:2
一、更新系统与软件包
确保系统和Apache相关软件包为最新版本,修复已知安全漏洞。
- CentOS:运行
sudo yum update -y更新所有软件包。 - Ubuntu/Debian:运行
sudo apt update && sudo apt upgrade -y更新系统及软件包。
二、配置防火墙限制访问
使用防火墙仅允许可信端口(如HTTP 80、HTTPS 443)的流量,阻断非法访问。
- CentOS(firewalld):
sudo firewall-cmd --permanent --zone=public --add-service=http sudo firewall-cmd --permanent --zone=public --add-service=https sudo firewall-cmd --reload - Ubuntu(UFW):
sudo ufw allow 80/tcp # HTTP sudo ufw allow 443/tcp # HTTPS sudo ufw enable # 启用防火墙
三、禁用不必要的Apache模块
减少攻击面,移除不使用的模块(如userdir、autoindex、status等)。
- 查看已加载模块:
apachectl -M(或httpd -M)。 - 禁用模块:编辑
/etc/httpd/conf.modules.d/00-base.conf(CentOS)或/etc/apache2/mods-enabled/下的符号链接(Ubuntu),注释或删除不需要的模块行(如LoadModule userdir_module modules/mod_userdir.so),然后重启Apache。
四、配置SSL/TLS加密(强制HTTPS)
使用SSL/TLS加密客户端与服务器通信,防止数据泄露。
- 安装mod_ssl模块:
- CentOS:
sudo yum install mod_ssl -y - Ubuntu:
sudo apt install mod_ssl -y
- CentOS:
- 获取SSL证书:使用Let’s Encrypt免费获取证书:
sudo yum install certbot python3-certbot-apache -y # CentOS sudo apt install certbot python3-certbot-apache -y # Ubuntu sudo certbot --apache -d yourdomain.com -d www.yourdomain.com - 强制HTTP转HTTPS:在HTTP虚拟主机配置(如
/etc/apache2/sites-available/000-default.conf)中添加重定向规则::80 > ServerName yourdomain.com Redirect permanent / https://yourdomain.com/ - 优化SSL配置:编辑SSL虚拟主机配置(如
/etc/apache2/sites-available/default-ssl.conf),禁用不安全协议(SSLv2/3、TLSv1/1.1),设置强加密套件:SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite HIGH:!aNULL:!MD5:!RC4:!3DES SSLHonorCipherOrder on SSLCompression off SSLSessionTickets off
五、设置安全HTTP头
通过HTTP头增强客户端安全性,防范XSS、Clickjacking等攻击。
在SSL虚拟主机配置中添加以下指令(需启用mod_headers模块):
六、配置访问控制
限制对敏感目录、文件的访问,仅允许授权用户或IP访问。
- 基于IP的访问控制:使用
"/var/www/html/admin" > Require ip 192.168.1.100 # 仅允许该IP访问 # Require all denied # 拒绝所有其他IP - 基于身份验证的访问控制:对敏感目录启用基本认证(需创建密码文件):
- 创建密码文件(如
/etc/apache2/.htpasswd):sudo htpasswd -c /etc/apache2/.htpasswd username # 第一次创建需加-c,后续添加用户无需-c - 配置认证规则:
"/var/www/html/protected" > AuthType Basic AuthName "Restricted Area" AuthUserFile /etc/apache2/.htpasswd Require valid-user # 允许所有有效用户 # Require user admin # 仅允许特定用户
- 创建密码文件(如
- 禁止目录列表:禁用目录自动列表,防止泄露文件结构:
"/var/www/html" > Options -Indexes # 关闭目录列表
七、安装并配置ModSecurity(Web应用防火墙)
使用ModSecurity拦截SQL注入、XSS、恶意爬虫等攻击。
- 安装ModSecurity:
- CentOS:
sudo yum install mod_security mod_security_crs -y - Ubuntu:
sudo apt install libapache2-mod-security2
- CentOS:
- 启用ModSecurity:编辑
/etc/httpd/conf.d/mod_security.conf(CentOS)或/etc/apache2/mods-enabled/security2.conf(Ubuntu),开启规则引擎:SecRuleEngine On # 开启规则引擎(On为拦截,DetectionOnly为仅检测) SecRequestBodyAccess On # 允许检查请求体 SecResponseBodyAccess On # 允许检查响应体 SecAuditLog /var/log/httpd/modsec_audit.log # 审计日志路径 - 自定义规则:可根据需求添加自定义规则(如拦截特定User-Agent):
SecRule REQUEST_HEADERS:User-Agent "badbot" "id:1001,deny,status:403,msg:'Bad Bot Detected'"
八、调整文件与目录权限
遵循最小权限原则,限制Apache进程对文件系统的访问。
- 设置Apache运行用户(通常为
www-data或apache):sudo chown -R apache:apache /var/www/html # CentOS(用户为apache) sudo chown -R www-data:www-data /var/www/html # Ubuntu(用户为www-data) - 设置目录权限:Web根目录设置为
755(所有者可读写执行,其他用户可读执行),文件设置为644(所有者可读写,其他用户可读):sudo find /var/www/html -type d -exec chmod 755 {} \; sudo find /var/www/html -type f -exec chmod 644 {} \;
九、禁用危险功能与隐藏敏感信息
- 禁用符号链接追踪:防止恶意用户通过符号链接访问系统文件:
"/var/www/html" > Options -FollowSymLinks # 禁止符号链接 # 或使用SymLinksIfOwnerMatch(仅允许所有者匹配的符号链接) Options +SymLinksIfOwnerMatch - 隐藏Apache版本信息:避免暴露服务器版本,减少针对性攻击:
ServerSignature Off # 关闭错误页面中的服务器版本信息 ServerTokens Prod # 仅显示“Apache”(而非版本号)
十、定期更新与监控
- 定期更新:保持Apache、模块及系统软件包为最新版本,及时修复安全漏洞。
- 监控日志:定期检查Apache访问日志(
/var/log/httpd/access_log或/var/log/apache2/access.log)和错误日志(/var/log/httpd/error_log或/var/log/apache2/error.log),识别异常访问(如大量404请求、暴力破解尝试)。 - 备份配置:定期备份Apache配置文件(如
/etc/httpd/或/etc/apache2/)和网站数据,防止配置丢失。
以上就是关于“怎样在Apache中配置安全策略”的相关介绍,筋斗云是国内较早的云主机应用的服务商,拥有10余年行业经验,提供丰富的云服务器、租用服务器等相关产品服务。云服务器资源弹性伸缩,主机vCPU、内存性能强悍、超高I/O速度、故障秒级恢复;电子化备案,提交快速,专业团队7×24小时服务支持!
简单好用、高性价比云服务器租用链接:https://www.jindouyun.cn/product/cvm