Apache 安全配置

冰镇可乐

 一、确保你安装的是最新的补丁 　　如果门是敞开的话，在窗户上加锁就毫无意义。同样道理，如果你没有打补丁，继续下面的操作就没有什么必要。 　　二、隐藏Apache的版本号及其它敏感信息 　　默认情况下，很多Apache安装时会显示版本号及操作系统版本，甚至会显示服务器上安装的是什么样的Apache模块。这些信息可以为黑客所用，并且黑客还可以从中得知你所配置的服务器上的很多设置都是默认状态。 　　这里有两条语句，你需要添加到你的httpd.conf文件中： 　　ServerSignature Off 　　ServerTokens Prod 　　ServerSignature出现在Apache所产生的像404页面、目录列表等页面的底部。ServerTokens目录被用来判断Apache会在Server HTTP响应包的头部填充什么信息。如果把ServerTokens设为Prod，那么HTTP响应包头就会被设置成： 　　Server：Apache 　　如果你非常想尝试其它事物，你可以通过编辑源代码改成不是Apache的其它东西，或者你可以通过下面将要介绍的mod_security实现。 没有关闭看到信息是：Apache/2.2.9 (Ubuntu) PHP/5.2.6-2ubuntu4.1 with Suhosin-Patch Server at 203.86.2.51 Port 80　　三、确保Apache以其自身的用户账号和组运行 　　有的Apache安装过程使得服务器以nobody的用户运行，所以，假定Apache和你的邮件服务器都是以nobody的账号运行的，那么通过Apache发起的攻击就可能同时攻击到邮件服务器，反之亦然。 　　User apache 　　Group apache 　　四、确保web根目录之外的文件没有提供服务 　　我们不让Apache访问web根目录之外的任何文件。假设你的所以web站点文件都放在一个目录下（例如/web），你可以如下设置： 　　Order Deny,Allow 　　Deny from all 　　Options None 　　AllowOverride None 　　Order Allow,Deny 　　Allow from all 　　注意，因为我们设置Opitins None 和AllowOverride [...]