带来一篇包管Centos Apache Web办事器宁静的10个倡议服务器安全,web服务器,系统管理员,version,include

爱飞发表于 2015-1-14 20:30:09

带来一篇包管Centos Apache Web办事器宁静的10个倡议

如果您觉得本篇CentOSLinux教程讲得好，请记得点击右边漂浮的分享程序，把好文章分享给你的小伙伴们！假如你是一个体系***，你应当依照以下的10点倡议来包管Apacheweb办事器的宁静。
1、禁用不用要的模块

假如你盘算源码编译装置apache，你应当禁用以下的模块。假如你运转./configure-help，你将会看到一切可用的你能够禁用/开启的模块。

[*]userdirC用户特定用户的哀求映照。比方：带用户名的URL会转化成办事器的一个目次。
[*]autoindexC当没有默许首页（如index.html）时显现目次列表。
[*]statusC显现办事器统计
[*]envC扫除或修正情况变量
[*]setenvifC依据客户端哀求头字段设置情况变量
[*]cgiCCGI剧本
[*]actionsC依据特定的媒体范例或哀求***，激活特定的CGI剧本
[*]negotiationC供应内容协商撑持
[*]aliasC供应从文件体系的分歧局部到文档树的映照和URL重定向
[*]includeC完成办事端包括文档(SSI)处置
[*]filterC依据高低文实践情形对输入过滤器举行静态设置
[*]versionC供应基于版本的设置段撑持
[*]asisC发送本人包括HTTP头内容的文件
当你实行./configure依照上面禁用以上的一切模块。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
./configure
--enable-ssl
--enable-so
--disable-userdir
--disable-autoindex
--disable-status
--disable-env
--disable-setenvif
--disable-cgi
--disable-actions
--disable-negotiation
--disable-alias
--disable-include
--disable-filter
--disable-version
--disable-asis

假如激活ssl且禁用mod_setenv，你将会失掉以下毛病。
毛病:Syntaxerroronline223of/usr/local/apache2/conf/extra/httpd-ssl.conf:Invalidcommand‘BrowserMatch’,perhapsmisspelledordefinedbyamodulenotincludedintheserverconfiguration
办理计划：假如你利用ssl，不要禁用setenvif模块。大概你禁用setenvif模块，能够在httpd-ssl.conf正文BrowserMatch。
装置完玉成，实行httpd-l,会列出一切已装置的模块。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
#/usr/local/apache2/bin/httpd-l
Compiledinmodules:
core.c
mod_authn_file.c
mod_authn_default.c
mod_authz_host.c
mod_authz_groupfile.c
mod_authz_user.c
mod_authz_default.c
mod_auth_basic.c
mod_log_config.c
mod_ssl.c
prefork.c
http_core.c
mod_mime.c
mod_dir.c
mod_so.c

在这个例子里，我们装置了以下apache模块：

[*]core.cCApache中心模块
[*]mod_auth*C各类身份考证模块
[*]mod_log_config.cC同意纪录日记和定制日记文件格局
[*]mod_ssl.c-SSL
[*]prefork.cC一个非线程型的、预派生的MPM
[*]httpd_core.cCApache中心模块
[*]mod_mime.cC依据文件扩大名决意应对的举动(处置器/过滤器)和内容(MIME范例/言语/字符集/编码)
[*]mod_dir.cC指定目次索引文件和为目次供应"尾斜杠"重定向
[*]mod_so.cC同意运转时加载DSO模块
2、以独自的用户和用户组运转Apache

Apache大概默许地以nobody或daemon运转。让Apache运转在本人没有特权的帐户对照好。比方：用户apache。
创立apache用户组和用户。
1
2
groupaddapache
useradd-d/usr/local/apache2/htdocs-gapache-s/bin/falseapache

变动httpd.conf，准确地设置User和Group。
1
2
3
#vihttpd.conf
Userapache
Groupapache

以后重启apache，实行ps-ef下令你会看到apache以“apache”用户运转（除第一个都是以root运转以外）。
1
2
3
4
5
6
7
#ps-ef|grep-ihttp|awk{print$1}
root
apache
apache
apache
apache
apache

3、限定会见根目次（利用Allow和Deny）

在httpd.conf文件按以下设置来加强根目次的宁静。
1
2
3
4
5
<Directory/>
OptionsNone
Orderdeny,allow
Denyfromall
</Directory>

在下面的：

[*]OptionsNoneC设置这个为None，是指不激活别的无关紧要的功效。
[*]Orderdeny,allowC这个是指定处置Deny和Allow的按次。
[*]DenyfromallC制止一切哀求。Deny的前面没有Allow指令，以是没人能同意会见。
4、为conf和bin目次设置得当的权限

bin和conf目次应当只同意受权用户检察。创立一个组和把一切同意检察/修正apache设置文件的用户增添到这个组是一个不错的受权***。
上面我们设置这个组为：apacheadmin
创立组：
1
groupaddapacheadmin

同意这个组会见bin目次。
1
2
chown-Rroot:apacheadmin/usr/local/apache2/bin
chmod-R770/usr/local/apache2/bin

同意这个组会见conf目次。
1
2
chown-Rroot:apacheadmin/usr/local/apache2/conf
chmod-R770/usr/local/apache2/conf

增添符合的用户到这个组。
1
2
#vi/etc/group
apacheadmin:x:1121:user1,user2

5、克制目次扫瞄

假如你不封闭目次扫瞄，用户就可以看到你的根目次（或任何子目次）一切的文件（目次）。
好比，当他们扫瞄http://{your-ip}/images/而images下没有默许首页，那末他们就会在扫瞄器中看到一切的images文件（就像ls-l输入）。从这里他们经由过程点击就可以看到公家的图片文件，或点点击子目次看到内里的内容。
为了克制目次扫瞄，你能够设置Opitons指令为“None“大概是“-Indexes”。在选项名前加“-”会强迫性地在该目次删除这个特征。
Indexes选项会在扫瞄器显现可用文件的列表和子目次（当没有默许首页在这个目次）。以是Indexes应当禁用。
1
2
3
4
5
6
7
8
9
10
11
12
13
<Directory/>
OptionsNone
Orderallow,deny
Allowfromall
</Directory>

(or)

<Directory/>
Options-Indexes
Orderallow,deny
Allowfromall
</Directory>

6、禁用.htaccess

在htdocs目次下的特定子目次下利用.htaccess文件，用户能掩盖默许apache指令。在一些情形下，如许欠好，应当禁用这个功效。
我们能够在设置文件中按以下设置禁用.htaccess文件来不同意掩盖apache默许设置。
1
2
3
4
5
6
<Directory/>
OptionsNone
AllowOverrideNone
Orderallow,deny
Allowfromall
</Directory>

7、禁用别的选项

上面是一些Options指令的可用值。

[*]OptionsAllC一切的选项被激活（除MultiViews）。假如你不指定Options指令，这个是默许值。
[*]OptionsExecCGIC实行CGI剧本（利用mod_cgi）。
[*]OptionsFollowSymLinksC假如在以后目次有标记链接，它将会被跟从。
[*]OptionsIncludesC同意办事器端包括文件（利用mod_include）。
[*]OptionsIncludesNOEXECC同意办事器端包括文件但不实行下令或cgi。
[*]OptionsIndexesC同意目次列表。
[*]OptionsMultiViews-同意内容协商多器重图（利用mod_negotiation）
[*]OptionsSymLinksIfOwnerMatchC跟FollowSymLinks相似。可是要当标记毗连和被毗连的原始目次是统一一切者是才被同意。
毫不要指定“OptionsAll”，一般指定下面的一个或多个的选项。你能够按上面代码把多个选项毗连。
OptionsIncludesFollowSymLinks
当你要嵌进多个Directory指令时，“+”和“-”是有效处的。也有大概会掩盖下面的Directory指令。
以下面，/site目次，同意Includes和Indexes。
1
2
3
4
5
6
<Directory/site>
OptionsIncludesIndexes
AllowOverrideNone
Orderallow,deny
Allowfromall
</Directory>

关于/site/en目次，假如你必要承继/site目次的Indexes（不同意Includes），并且只在这个目次同意FollowSymLinks，以下：
1
2
3
4
5
6
<Directory/site/en>
Options-Includes+FollowSymLink
AllowOverrideNone
Orderallow,deny
Allowfromall
</Directory>

[*]/site目次同意IncludesIndexes
[*]/site/en目次同意Indexes和FollowSymLink
8、删除不必要的DSO模块

假如你加载了静态同享工具模块到apache，他们应当在httpd.conf文件在“LoadModule”指令下。
请注重静态编译的Apache模块是不在“LoadModule”指令里的。
在httpd.conf正文任何不必要的“LoadModules”指令。
1
grepLoadModule/usr/local/apache2/conf/httpd.conf

9、限定会见特定收集（或IP地点）

假如你必要只同意特定IP地点或收集会见你的网站，按以下操纵：
只同意特定收集会见你的网站，在Allow指令下给出收集地点。
1
2
3
4
5
6
7
<Directory/site>
OptionsNone
AllowOverrideNone
Orderdeny,allow
Denyfromall
Allowfrom10.10.0.0/24
</Directory>

只同意特定IP地点会见你的网站，在Allow指令下给出IP地点。
1
2
3
4
5
6
7
<Directory/site>
OptionsNone
AllowOverrideNone
Orderdeny,allow
Denyfromall
Allowfrom10.10.1.21
</Directory>

10、克制显现或发送Apache版本号（设置ServerTokens）

默许地，办事器HTTP呼应头会包括apache和php版本号。像上面的，这是有伤害的，由于这会让黑客经由过程晓得具体的版本号而倡议已知该版本的毛病打击。
1
Server:Apache/2.2.17(Unix)PHP/5.3.5

为了制止这个，必要在httpd.conf设置ServerTokens为Prod，这会在呼应头中显现“Server:Apache”而不包括任何的版本信息。
<divstyle="background-color:#FFFFFF;border:none;margin:0px;padding:0px;font-family:微软雅黑;color:#222222;font-size:13px;"><divid="highlighter_843487"class="syntaxhighlighterbash"style="border:none;padding:0px;margin:1em0px!important;font-size:1em!important;">1
2
<divclass="container"style="border:0px!important;margin:0px!important;padding:0px!important;vertical-align:baseline!important;font-size:1em!important;">

分手快乐 发表于 2015-1-16 18:55:10