概述
Apache服務器是一款開源的WEB服務器,是由非營利組織Apache軟件基金會的支持的,我們很多的虛擬主機、VPS等都會使用Apache服務器架構環境,但是任何的架構環境都會遭受各種可能的攻擊、安全漏洞的檢測、SQL注入、各種拒絕服務攻擊等。
作為我們VPS/服務器用戶來說,我們一來需要多做備份確保服務器上網站數據的安全,二來還需要隨時的觀察我們服務器的監控動向,三來需要關注各種最新漏洞安全的更新腳本,作為基礎的應用手段,我們需要確保基礎的Apache安全設置,從基礎上保證服務器的安全。
第一、定期更新系統
首先,我們需要確保是已經安裝了最新版本和Apache的安全補丁和附加如CGI,Perl和PHP腳本代碼。我們需要定期更新數據源依賴包操作。
根據自己的系統環境選擇更新升級命令。
第二、設置和保護我們的SSH安全
我們在拿到VPS之後,建議修改端口、ROOT密碼、以及授權單獨的非ROOT用戶權限管理,或者我們也可以採用密鑰的方式登錄SSH客戶端管理VPS。
第三、禁用未使用的服務
為了確保我們的Web服務器安全,建議你檢查服務器上所有正在運行的服務和開放的端口,禁用我們不需要在服務器上的所有服務。
#要顯示所有服務 service --status-all
#顯示所有的端口規則 iptables -L
#顯示所有的運行信息(redhat/centos/fedora)chkconfig --list
#檢查/etc/init.d是否有可疑腳本 ls /etc/init.d
第四、禁用不必要的Apache模塊
默認情況下,Apache很多模塊都開啟的,但是有些並不需要使用,我們可以關閉和精簡。比如以前有分享過的"6步驟實現CentOS系統環境精簡優化"和"4步驟實現Debian系統環境精簡優化"可以有效的提高執行效率降低佔用資源率。
A - Ubuntu/Debian
cat /etc/apache2/mods-enabled/* | grep -i loadmodule
開啟模塊
a2enmod module_name
關閉模塊
a2dismod module_name
B - Centos/Fedora/RedHat
cat /etc/httpd/conf/httpd.conf | grep -i LoadModule
編輯httpd.conf文件,搜索LoadModule關鍵字,需要關閉的在前面加上#備註保存就可以,相反啟動則去掉#
第五、讓Apache以指定的用戶和組來運行
大多數默認的Apache使用的是默認用戶和組為apache的,為了確保安全,我們可以使用不同的用戶/組。假設你運行的郵件服務器作為nobody用戶,你用相同的用戶運行的Apache。如果您的郵件服務器被攻破,你的Apache也將受到影響。比如,我們在以root身份運行,如果有安全風險,那整個系統將在很大的風險。要檢查/更改用戶/組,編輯httpd.conf文件。
我們可以使用默認的用戶組,也可以創建新的用戶/組。
User apache
Group apache
第六、防止信息洩露
默認的Apache安裝後會在默認頁面體現出端口、版本信息等,我們需要隱藏這些信息。
搜索ServerTokens和ServerSignature字符,然後對應修改
ServerTokens Prod
ServerSignature Off
然後重啟Apache
#Fedora/Centos/Redhat
service apache2 restart
#Ubuntu/Debian
service httpd restart
然後我們的404頁面就看不到版本信息。
第七、隱藏PHP版本信息
然後搜索expose_php,對應的參數on改成off
第八、禁用自動索引模塊
#Fedora/Centos/Redhat
/etc/httpd/conf/httpd.conf
把"LoadModule autoindex_module modules/mod_autoindex.so"一行前面加上#禁止掉
#Ubuntu/Debian
rm -rf /etc/apache2/mods-enabled/autoindex.conf
刪除自動索引模塊
總結
以上小編就整理到8點Apache的安全設置,還有一些設置我們可以查看.htaccess文件的安全設置,我們不容小視這個小文件,有些安全設置還是需要通過.htaccess文件的,以後有時間專門整理一篇。無論如何,不管我們使用的是虛擬主機,還是VPS/服務器,我們需要隨時監控和定時備份網站和項目數據。
後面小編會分享更多運維方面的乾貨,感興趣的朋友走一波關注哩~
閱讀更多 智能運維小講堂 的文章
