Apache 服务器的安全设置
Apache 简单介绍
Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展,将Perl/Python等解释器编译到服务器中。
1、主要特点:
- 开放源代码、跨平台应用
- 支持多种网页编程语言
- 模块化设计 、运行稳定、良好的安全性
2、主要目录和文件:
- 服务目录:/etc/httpd/
- 主配置文件:/etc/httpd/conf/httpd.conf
- 网页目录:/var/www/html/
- 服务脚本:/etc/init.d/httpd
- 执行程序:/usr/sbin/httpd
- 记录apache的所有的日志:/etc/httpd/log
- 访问日志:/var/log/httpd/access_log
- 错误日志:/var/log/httpd/error_log
3、常用的全局配置参数:
- ServerRoot:服务目录
- ServerAdmin:管理员邮箱
- User:运行服务的用户身份
- Group:运行服务的组身份
- ServerName:网站服务器的域名
- DocumentRoot:网页文档的根目录
- Listen:监听的IP地址、端口号
- PidFile:保存httpd进程PID号的文件
- DirectoryIndex:默认的索引页文件
- ErrorLog:错误日志文件的位置
- CustomLog:访问日志文件的位置
- LogLevel:记录日志的级别,默认为warn
- Timeout:网络连接超时,默认为300秒
- KeepAlive:是否保持连接,可选On或Off
- MaxKeepAliveRequests:每次连接最多请求文件数
- KeepAliveTimeout:保持连接状态时的超时时间
- Include:需要包含进来的其他配置文件
Apache 的安全设置与加固
1、账号设置
Apache是由Root 来安装和运行的。如果Apache Server进程具有Root用户特权,那么它将给系统的安全构成很大的威胁.
以专门的用户帐号和组运行Apache,根据需要为Apache 创建用户,组。
(1) 创建 apache组:groupadd apache
(2) 创建apache用户并加入 apache组:useradd apache-g apache
(3) 将下面两行加入Apache配置文件httpd.conf中
1.User apache
2.Group apache
2、授权设置
严格控制Apache主目录的访问权限,非超级用户不能修改该目录中的内容。
Apache的主目录对应于 Apache Server配文件 httpd.conf的Server Root控制项中应为:
“Server Root/usr/local/apache”
一般为/etc/httpd目录,默认情况下属主为root:root,其它用户不能修改文件,默认一般符合要求,严格设置配置文件和日志文件的权限,防止未授权访问。
1、使用命令"chmod 600/etc/httpd/conf/httpd.conf"设置配置文件为属主可读写,其他用户无权限。
2、使用命令"chmod 644/var/log/httpd/.log设置日志文件为属主可读写,其他用户只读权限。
/etc/httpd/conf/httpd.conf默认权限是644,可根据需要修改权限为600
/var/log/httpd/.log默认权限为644,默认一般符合要求。
3、日志设置
设备应配置日志功能,对运行错误、用户访问等进行记录,记录内容包括时间,用户使用的IP 地址等内容。
编辑 httpd.conf 配置文件,设置日志记录文件, 记录内容、记录格式。 其中,错误日志:
LogLevel notice#日志的级别
ErrorLog #错误日志
访问日志:
LogFormat "%h %l %u %t “%r” %>s %b “%{Referer}i” “%{User-Agent}i”
conbined
CustonLog //logs/access_log conbined(访问日志)
ErrorLog 指令设置错误日志文件名和位置。错误日志是最重要的 日志文件,Apache httpd 将在这个文件中存放诊断信息和处理请 求中出的错误。若要将错误日志送到 Syslog,则设:ErrorLog syslog.。
CustomLog指令指定了保存日志文件的具体位管以及日志的格式。访问日志中会记录服务器所处理的所有请求。
LogFormat 设置日志格式,建议设置为 combined格式
LogLevel 用于调整记录在诺误日志中的信息的详细程度,建议设置为notice。
日志的级别,默认是warn,notice级别比较详细,在实际中由于日志会占用大量硬盘空间,一般没有设置。
4、隐藏Apache 版本信息
默认的服务器HTTP响应头会包含apache 版本号。详细的版本号容易遭到黑客的攻击。
修改httpd.conf 文件的内容:
ServerSignature Off
ServerTokens Prod
新版本的apache2相关的配置文件为 security.conf
5、修改Apache默认首页
访问Apache服务器时,默认是直接访问htdocs目录下的index.html,根据实际情况修改默认文件
修改httpd.conf配置文件:
DirectoryIndex index.php index.html
6、禁止目录浏览
目录浏览会导致信息泄露或者文件下载,因此可以根据实际情况进行安全配置。
修改httpd.conf配置文件:
Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
将Options Indexes FollowSymLinks 中的Indexes 去掉,就可以禁止 Apache显示该目录结构。Indexes 的作用就是当该目录下没有index.html文件时,就显示目录结构。
7、限制目录执行权限
禁止 网站uploads 文件夹下的php ,asp 脚本的运行
修改httpd.conf配置文件:
8、禁止访问外部文件
禁止apache 访问 web 目录之外的任何文件
修改httpd.conf 配置文件:
Order Deny,Allow
Deny from all
设置可访问目录:
Order Allow,Deny
Allow from all
其中/web 为网站根目录
默认配置如下:
Options FollowSymLinks
AllowOverride None
9、删除缺省安装的无用文件
删除默认的HTML文件: # apache网页根目录htdocs下的html文件
删除默认的icons文件: # apache安装目录下的icons文件夹及里面的文件
删除默认的的CGI脚本: # apache安装目录下的cgi-bin文件夹及里面的文件
删除Apache说明文件: # apache安装目录下的manual文件夹及里面的文件以及安装目录下的其他介绍性文件
10、自定义错误页面
设置Apache 错误页面重定向功能防止敏感信息的泄露。
修改httpd.conf 配置文件:
ErrorDocument 400 /custom400.html
ErrorDocument 401 /custom401.html
ErrorDocument 403 /custom403.html
ErrorDocument 404 /custom404.html
ErrorDocument 405 /custom405.html
ErrorDocument 500 /custom500.html
其中Customxxx.html 为要设置的错误页面。
11、更改默认端口
根据实际需要,可更改默认端口,减少攻击
修改httpd.conf 配置文件:
更改默认端口为8980
Listen x.x.x.x 8980
重启 apache 服务
###11、 关闭 TRACE 功能
关闭TRACE 功能,防止TRACE 方法被访问者恶意利用
修改httpd.conf 配置文件:
TraceEnable Off
注:适用于Apache 2.0 以上版本
12、禁用 CGI
如果服务器不需要运行CGI 程序,建议禁用CGI。
修改httpd.conf 配置文件,把cgi-bin 目录的配置和模块都注释掉。
13、限制IP访问
修改httpd.conf 配置文件:
Options FollowSymLinks
AllowOverride None
Order Deny,Allow
Deny from all
Allow from 192.168.1.0/24
只允许从192.168.1.0/24 IP段内的用户访问,一般在限制后台访问时用到。
14、限制请求消息长度
修改httpd.conf 配置文件:
LimitRequestBody 102400
重启apache生效
上传文件的大小也会受到此参数限制。
15、CC攻击 的防御
根据实际需要,合理设置session 时间,防止拒绝服务攻击
修改httpd.conf 配置文件:
Timeout 10 #客户端和服务的建立连接的时间间隔
KeepAlive On
KeepAliveTimeout 15 #限制每个 sesseion 的保持时间是15秒
AcceptFilter http data
AcceptFilter https data
重新启动 Apache 服务生效
16、DDos攻击 的防御
在现实中,不可能完全阻止网站免受DdoS的攻击。 因此可以通过一些安全配置进行防御和强化。
- TimeOut:指令用于设置在特定事件失效之前,服务器等待事件完成的时间长度。其默认值是300秒。对于容易遭受DDoS攻击的网站,把这个值降低很有好处。这个值的大小取决于网站上的请求种类。注意,对于某些CGI脚本,这个设置可能会产生问题。
- MaxClients:此指令允许用户设置服务器可同时服务的连接限制。每一个新连接都要根据这个限制进行排队。它适用丁Prefork和Worker.其默认值为256.
- KeepAliveTimeout:在关闭连接之前,服务器随后的等待时间长度,默认值부5秒。
- LimitRequestFields:这个设置可以帮助我们限制可以接受的HTTP请求的头部字段数量。从默认值为100。有时,由于http的请求头部过多而导致发生DDoS攻击,用户不妨降低这个值。
- LimitRequestFieldSize:帮助我们设置HTTP请求头部的大小。
修改httpd.conf 配置文件:
StartServers 8
MinSpareServers 5
MaxSpareServers 20
ServerLimit 256
MaxClients 256
MaxRequestsPerChild 4000
17、禁用非法HTTP 方法
根据实际情况,如果没有用到put delete 等危险http方法,可配置文件来禁用它。
修改httpd.conf 配置文件:
18、使用mod_security和mod_evasive 来保障Apache的安全
"mod_security"和"mod_evasive"是Apache在安全方面非常流行的两个模块。mod_security作为防火墙而运行,它允许我们适时地监视通信,还可以有助于我们保护网站或Web服务器免受暴力破解攻击。借助默认的包安装程序,我们可以轻松地把mod_security安装在服务器上。
#yum inatall mod_security
#/etc/init.d/httpd restart
另一个模块mod_evasive的工作效率很高,它只采用一个请求就可以很好地工作,可以防止DDoS攻击造成巨大危害。mod_evasive可以应对http暴力破解攻击和DoS(或DDoS)攻击。 该模块可以在三种情况下检测攻击:
一 是在每秒钟内有太多请求到达同一个页面时
二 是在任何子进程试图发出超过50个并发请求时
三 是在任何地址已经被临时列入黑名单时它仍试图尝试新的请求
19、使用ssl 证书保障apache 的安全
使用SSL证书用加密的方式保障信息传输的安全
在创建并签署了证书后,你需要在apache 配置钟添加这个证书。用vim 编辑器打开主配置文件,并增加下面的内容,然后重启服务:
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
