如何优化Ubuntu Apache的安全设置_运维文库_资讯中心

发布时间:2026-04-27 10:30:22

阅读量:2

优化Ubuntu Apache安全设置的关键步骤

1. 系统与Apache基础更新

定期更新系统和Apache及其依赖模块，是修补已知安全漏洞的首要措施。执行以下命令更新所有软件包：

sudo apt update && sudo apt upgrade -y

2. 防火墙配置（UFW）

使用ufw（Uncomplicated Firewall）限制服务器访问，仅开放必要的HTTP（80）和HTTPS（443）端口：

sudo ufw allow 'Apache Full'  # 允许HTTP和HTTPS
sudo ufw enable                # 启用防火墙
sudo ufw status                # 验证规则（应显示ALLOW 80/tcp, ALLOW 443/tcp）

3. 隐藏敏感信息

修改Apache配置文件，隐藏服务器版本、操作系统及模块信息，降低攻击者针对性探测风险：

sudo nano /etc/apache2/conf-enabled/security.conf

添加/修改以下指令：

ServerTokens Prod      # 仅显示"Apache"，隐藏版本号
ServerSignature Off    # 禁止在错误页面显示服务器信息
TraceEnable Off        # 禁用TRACE/TRACK方法（防止跨站追踪）

重启Apache使配置生效：

sudo systemctl restart apache2

4. 禁用未使用的模块

通过a2dismod命令禁用不必要的Apache模块（如mod_php若使用PHP-FPM、mod_status若无需状态监控），减少攻击面：

# 查看已启用模块
apache2ctl -M  
# 禁用不需要的模块（示例：mod_php）
sudo a2dismod php7.4  # 根据实际模块名调整
sudo systemctl restart apache2

5. 强制HTTPS（SSL/TLS加密）

使用Let’s Encrypt免费证书启用HTTPS，加密客户端与服务器间的数据传输：

sudo apt install certbot python3-certbot-apache -y
sudo certbot --apache -d yourdomain.com -d www.yourdomain.com  # 替换为你的域名

证书自动续期（Let’s Encrypt有效期90天），可通过以下命令测试续期：

sudo certbot renew --dry-run

6. 限制目录访问

禁用目录自动列表（防止敏感文件泄露），并通过Require指令限制访问权限：

sudo nano /etc/apache2/apache2.conf

修改块（以/var/www/html为例）：


    Options -Indexes        # 禁用目录列表
    AllowOverride None      # 禁止.htaccess覆盖（增强安全性）
    Require all granted     # 仅允许授权用户访问（可根据需求调整）

7. 防范DDoS/暴力攻击

安装mod_evasive模块，检测并限制高频恶意请求（如DoS、暴力破解）：

sudo apt install libapache2-mod-evasive -y
sudo a2enmod evasive       # 启用模块
sudo systemctl restart apache2

配置/etc/apache2/mods-enabled/evasive.conf（示例规则）：


    DOSHashTableSize 3097
    DOSPageCount 2         # 1秒内同一IP访问同一页面超过2次触发
    DOSSiteCount 50        # 1秒内同一IP访问整个站点超过50次触发
    DOSPageInterval 1      # 检测间隔（秒）
    DOSBlockingPeriod 10   # 触发后封锁IP 10秒

8. 日志监控与分析

启用详细日志记录，定期检查访问日志（access.log）和错误日志（error.log），及时发现异常行为：

# 查看实时访问日志
tail -f /var/log/apache2/access.log
# 查看实时错误日志
tail -f /var/log/apache2/error.log
# 使用logwatch生成每日报告（可选）
sudo apt install logwatch -y
sudo logwatch --service apache2 --output mail  # 发送邮件报告（需配置邮件服务）

9. 强化SSH访问（间接提升Apache安全性）

若通过SSH管理服务器，需强化SSH配置，避免因SSH漏洞导致服务器被入侵：

sudo nano /etc/ssh/sshd_config

修改以下指令：

Port 2222                # 修改默认SSH端口（避免扫描攻击）
PermitRootLogin no       # 禁止root直接登录
PasswordAuthentication no # 禁用密码认证（仅允许密钥认证）

重启SSH服务：

sudo systemctl restart sshd

10. 定期备份与补丁管理

定期备份网站数据和配置文件（如/var/www/html、/etc/apache2），并订阅Ubuntu安全公告（如ubuntu-security-announce邮件列表），及时应用Apache及系统补丁。

通过以上步骤，可显著提升Ubuntu上Apache服务器的安全性，降低被攻击的风险。需定期复查配置（如每月检查模块状态、每季度更新防火墙规则），适应新的安全威胁。

以上就是关于“如何优化Ubuntu Apache的安全设置”的相关介绍，筋斗云是国内较早的云主机应用的服务商，拥有10余年行业经验，提供丰富的云服务器、租用服务器等相关产品服务。云服务器资源弹性伸缩，主机vCPU、内存性能强悍、超高I/O速度、故障秒级恢复；电子化备案，提交快速，专业团队7×24小时服务支持！

简单好用、高性价比云服务器租用链接：https://www.jindouyun.cn/product/cvm