apache 加固方法有哪些
Apache安全加固的措施有以下这些:
根据需要为Apache创建用户、组。参考配置操作如果没有设置用户和组,则新建用户,并在Apache配置文件中指定。
检查httpd.conf配置文件。检查是否使用非专用账户(如root)运行apache,默认一般符合要求,Linux下默认apache或者nobody用户,Unix默认为daemon用户。
严格控制Apache主目录的访问权限,非超级用户不能修改该目录中的内容。
设备应配置日志功能,对运行错误、用户访问等进行记录,记录内容包括时间,用户使用的IP地址等内容。
禁止访问外部文件,禁止Apache访问Web目录之外的任何文件。
根据业务需要,合理设置session时间,防止拒绝服务攻击
隐藏Apache的版本号及其它敏感信息。
如果服务器上不需要运行CGI程序,建议禁用CGI。
1,Apache低权限客户启动
vi /etc/httpd/conf/httpd.conf
Apache
2,目录遍历漏洞
vi /etc/httpd/conf/httpd.conf
Apache
3,关闭版本号显示
vi /etc/httpd/conf/httpd.conf
Apache
4,上传目录禁止执行
假如web应用的确需要支持文件上传功能,应在配置文件里面限制上传目录无脚本执行权限。假设上传目录绝对路径为”/var/www/html/upload”,配置示例如下:
<directory "="" var="" www="" html="" upload"=""></directory>
5,PHP解析设置
默认配置下Apache会将相似 .php.abc 扩展名的文件作为 php 脚原本解决,攻击者常利用文件上传结合这种机制来上传 WebShell 脚本。通过修改 httpd.conf 中的如下配置,可以有效避免这个问题。
修改前配置:
AddType application/x-httpd-php .php
修改后配置:
<filesmatch .php$=""></filesmatch>
6,禁用 CGI
修改 httpd.conf 配置文件,注释相关板块及配置:
#LoadModule cgi_module modules/mod_cgi.so
- 自己设置错误页面
修改 httpd.conf 配置文件,修改或者增加以下内容:
ErrorDocument 500 /errorhtml
- 关闭 Trace
修改 httpd.conf 配置文件,修改或者增加以下配置(仅适用于Apache 2.0以上版本):
TraceEnable Off
- 禁用 SSI
修改 httpd.conf 配置文件,注释相关板块及配置:
#LoadModule include_module modules/mod_include.so