Apache中间件安全配置

        这是我参考别人的过程,又自己亲身实践做的,中间出现了一些问题,不过幸好 已经解决啦,所以把这个写下来,方便大家来学习。

1. 隐藏错误详情页banner

在访问站点时,随便访问一个不存在的页面,如果站点没做404重定向的话,就会泄露一些敏感信息。
访问http://192.168.10.128/root/aaa(192.168.10.128是我的centos的IP)

泄露了服务器操作系统:centos 中间件:apache 版本号:2.2.15

查看响应头信息

修改配置文件/etc/httpd/conf/httpd.conf隐藏中间件信息

修改配置文件/etc/php.ini,将expose_php=On改为Off

重启Apache服务,再次访问http://192.168.10.128/root/aaa

可以看到已经没有banner信息了

2. 重定向404页面

为什么要自定义404页面
1)通过上图可以看出,默认的404页面是非常不友好的。当一个用户访问到一些不存在的页面或者错误的链接时,如果我们没有制作一个页面去引导用户访问该站点的其它页面时,会损失大量的用户。
2)自定义404页面会告诉百度、谷歌、bing等搜索引擎的爬虫,这条记录本站已经删除,请搜索放弃收录,利于seo优化。

在网站根目录下新建404.html

404.html文件内容:

打开文件/etc/httpd/conf/httpd.conf,将ErrorDocument 404前的#去掉,再在后面加上重定向的文件名字

重启Apache服务,再次访问http://192.168.10.128/root/aaa

注意事项:
1、不要将404错误直接转向到网站首页,这将导致首页不被收录;
2、/404.html 前面不要带主域名,否则返回的状态码是302或200状态码;
3、自定义的404页面必须是大于512B,如果小于这个大小,浏览器就不会执行;

3. 修复列目录漏洞

当Web服务器配置不当的时候,如果当前目录不存在默认文件(比如index.html),Apache会列出当前目录下所有文件,造成敏感信息泄露。

目录浏览可以直接访问网站web目录下的文件夹,访问192.168.10.128

修改配置文件/etc/httpd/conf/httpd.conf,删除中间的Indexes

重启Apache服务,再次访问192.168.10.128,出现403Forbidden页面

阅读更多

没有更多推荐了,返回首页