Apache简介及安全配置方案
作者:hebedich 发布时间:2023-11-02 23:42:25
0×00 测试环境
centos6.5+apache2.2.15+php5.3.3
0×01 php的运行模式介绍
php的运行模式分四种:
1. CGI通用网关接口
2. fast-cgi常驻型的CGI
3. cli命令行运行
4. web模块模式
一般情况下,apache使用web模块模式运行php
0×02 Apache运行原理介绍
Apache是基于模块化设计的,各个模块在系统启动的时候按需载入。Apache对于php的解析,就是通过众多Module中的php Module来完成的。
所以,php加载成为了apache的一个模块,可以把apache和php当成一个整体看待。
当浏览器请求一个php文件时,我们可以理解为apache直接处理返回给浏览器结果,服务器上也只会有httpd进程,而不会有php进程。
apache的一些配置主要是通过httpd.conf来实现的,但是可以在httpd.conf中开启对.htaccess的支持,然后 在.htaccess中进行配置。不过一般情况下,不应该使用.htaccess文件,除非你对主配置文件没有访问权限。.htaccess文件应该被用 在内容提供者需要针对特定目录改变服务器的配置而又没有root权限的情况下。如果服务器管理员不愿意频繁修改配置,则可以允许用户通 过.htaccess文件自己修改配置。
0×03 Apache安全配置方案
1. 选择漏洞较少的apache版本,并打上安全补丁
查看apache版本号:httpd -v
然后在sebug上搜索该版本号有什么漏洞,可根据提示提升版本或者打上补丁
2. 关闭一些不使用的模块及功能
可在LoadModule前加#,来注释掉一些不使用的模块
3. 隐藏banner信息
ServerTokens OS 修改为:ServerTokens Prod (在出现错误页的时候不显示服务器操作系统的名称)
ServerSignature On 修改为:ServerSignature Off(不回显apache版本信息)
4. 删除默认网站及页面
删除默认的页面,防止泄露服务器信息
5. 可修改banner信息
6. 配置httpd.conf禁止目录浏览
将Options Indexes FollowSymLinks改为Options -Indexes FollowSymLinks
7. 配置httpd.conf设置默认文档
DirectoryIndex index.html
8. 合理配置apache的运行账户
为apache单独建立一个运行账户及账户组,并在httpd.conf配置
User apache
Group apache
9. 合理控制apache运行账户对磁盘的写入,执行权限
取消apache运行账户对网站目录的写入权限,上传目录除外,其他非网站目录尽量不给权限
10. 合理控制apache运行账户对sh等的执行权限
取消掉了运行账户对sh等的执行权限后能够防止webshell通过默认的sh执行命令
11. 配置httpd.conf取消对上传目录的php执行权限
<Directory "/var/www/html/aaa">
<FilesMatch ".(php|php5)$">
Deny from all
</FilesMatch>
</Directory>
12. 配置httpd.conf限制禁止访问的文件夹,例如后台目录
<Directory "/var/www/html/aaa">
Deny from all
</Directory>
13. 配置httpd.conf限制一些特殊目录的特定ip访问,如内部接口等。
<Directory "/var/www/html/aaa">
Order Deny,Allow
Deny from all
Allow from 192.168.1.111
</Directory>
14. 配置httpd.conf限制一些文件类型的访问,如txt的日志
<Files ~ ".txt$">
Order allow,deny
Deny from all
</Files>
15.配置httpd.conf修改修改监听端口来防止一些内部系统被扫描
这样可以防止一些直接扫描80端口的黑客
Listen 12345
16. 关闭对.htaccess的支持
AllowOverride All
改为
AllowOverride None
17. 配置httpd.conf记录访问日志
0×04 .htaccess常见配置方法参考
首先,不建议使用.htaccess,其次,使用.htaccess需要在httpd.conf中开启,最后,开始.htaccess支持后需要在 httpd.conf中配置防止.htaccess文件被下载,下面介绍几个基本配置方法不全,更多的可以参考其他网站专门针对.htaccess 的配置方法。
1. 定制目录的默认文档
DirectoryIndex index.html index.php index.htm
2. 定制错误页面
ErrorDocument 404 errors/404.html
3. 控制访问文件和目录的级别
order deny,allow
deny from all
allow from 192.168.0.0/24
4. 防止列目录
Options -Indexes
0×05 总结
其实一个web服务器的保护是分几个层次的(暂不考虑程序的漏洞):
1. 隐藏自己
要保护一个web服务器首先得学会隐藏自己,对于一些内部系统,如后台,内部接口等,我们可以通过改端口,限制ip等方式来不让黑客发现。
2. 隐藏身份
对于多数web系统来说,都是提供给外面的访问的,所以想隐藏自己其实是很难的。但是我们还是要学会隐藏身份,可以通过改banner,该返回信息来隐藏身份来加大黑客攻击的难度。
3. 选用安全的版本及修补一些已知的漏洞
其实前面两步都是很容易突破,然后获知一个web系统所使用的web服务器版本的,此时我们能做的就是选择一个少漏洞的版本,及打上安全补丁。
4. 做好安全配置
做好基础的安全配置,禁止目录浏览,设定默认文档,上传目录限制php执行等等,来阻挡黑客的入侵。
5. 合理配置web服务进程账户的权限
当黑客已经通过程序漏洞上传了一个webshell并且已经成功执行了,此时,就只能很好的配置服务进程的账户权限,包括磁盘的读取写入,特殊程序如sh的执行,等等,这样可以讲危害降到最低。
6. 记录日志
最后,当黑客已经光顾之后,我们也只能通过日志来分析,看问题出在哪里了。
猜你喜欢
- Apache,一种开放源码的HTTP服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性(注1)被广泛使用,是最流行的Web服务器
- 10月30日消息,登录Google(谷歌)现在已经有了新捷径,Google (谷歌)中国的博客网志昨日公布了其新上线的最简单的网址G.cn。
- 打开:mode/o/template/m_article.htm查找:<td colspan="3"&g
- Fedora Core 3 在安装时默认把SELinux的选项激活了。SELinux比普通的Linux内核提供了更高的安全性,理论上说,在系
- DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要手段是通过大于管道处理能力的流量淹没管道或通
- 下面是一个程序员用专业编程术语写的真情告白,常用的专业术语都用上了,强悍呀!是程序员的一定要看看啊!《程序员的真情告白》我能抽象出整个世界但
- UCenter Home是Comsenz公司发布的一款SNS建站系统,目前最新版本是1.5。UCenter Home是一个可以对用户的隐私信
- 一,nfs服务优缺点NFS服务简介NFS 是Network File System的缩写,即网络文件系统。一种使用于分散式文件系统的协定,由
- 为了增强用户体验,最近这一周都在给网站整改,在asp之家首页添加了RSS订阅功能,rss中列出了站点最新的前30篇文章,本来想在每个大分类下
- 问题一:双核的优势在哪里?主要的应用领域有哪些?彭震:由于双核处理器在性价比、功效和可扩展性方面具有极大的优势,双核处理器可以在不改变基础设
- 我们终于进入了这个社会。从此结束了被学校老师看管的生涯,结束了做父母乖宝贝的日子,也结束从父母兄长那里拿钱的幸福时光。我们从家里搬了出来,提
- 部署与维护FTP服务器是网络管理员的基本技能。虽然如此,但是笔者每次为企业部署完FTP服务器应用之后,总会有所收获。因为不同的企业需求不同,
- 这几条都是在管理中心学来的,可能有些朋友没有注意。1、杜绝内容复制,就是说多地址指向同一内容,收录太多重复内容,浪费存储资源,所以大多搜索引
- 最新消息,日前国内人气最高的非赢性互联网技术交流社区之一深度(http://bbs.deepin.org)成功升级。经过调整后的深度社区12
- 本文版权归学IT网(www.xueit.com)所有,任何单位与个人转载必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律
- 四步轻松搞定阿里妈妈广告购买流程!第一步:选择投放广告位在首页点击买广告,进入以下页面:在这里,你可以根据需求选择目标网站类目,在类目中进行
- 1、网页使用框架框架内的内容通常不在搜索引擎抓取的范围之内。2、图片太多,文本太少。3、提交页面转向另一网站搜索引擎可能完全跳过这个页面。4
- 这些天,中国版的谷歌图片搜索进行了重大的改版,最终图片的显示页面抛弃了原有的框架设计界面,而采用类似百度图片搜索的直接显示图片的界面。与百度
- 适当的搜索引擎优化(seo)能帮助我们的网站在搜索引擎排名中取得好的名次,但是seo要注意一下十点,可能平常您并不会在意的问题。1.确定了错
- 今天登录google adsense后台,发现Google的搜索广告多出了一项,从样式图片来看,很像百度以前推出的搜索框:文字描述中我们可以