本文概述
- 禁用跟踪HTTP请求
- 作为单独的用户和组运行
- 禁用签名
- 禁用横幅
- 限制对特定网络或IP的访问
- 仅使用TLS 1.2, 禁用SSLv2, SSLv3
- 禁用目录列表
- 删除不必要的DSO模块
- 禁用空密码和弱密码
- 保持最新
Web服务器是基于Web的应用程序的关键部分。
配置错误并保留默认配置会暴露敏感信息, 这会带来风险。
作为网站所有者或管理员, 你应该定期对你的网站执行安全扫描, 以查找在线威胁, 以便你可以在黑客之前采取措施。
让我们进行必要的配置, 以保留你的Apache网络服务器。
完成所有配置后, 将在apache实例的httpd.conf中。
注意:修改前请备份必要的配置文件, 这样在出现问题时很容易恢复。
禁用跟踪HTTP请求默认的TraceEnable on允许TRACE, 该值不允许任何请求正文伴随请求。
TraceEnable关闭会导致核心服务器和mod_proxy向客户端返回405(不允许使用方法)错误。
TraceEnable on允许跨站点跟踪问题, 并可能使黑客选择窃取你的cookie信息。
解通过在Apache Configuration中禁用TRACE HTTP方法来解决此安全问题。
你可以通过在Apache Web服务器的httpd.conf中修改/添加以下指令来实现。
TraceEnable off作为单独的用户和组运行默认情况下, Apache配置为在没有人或守护程序的情况下运行。
除非你确切知道自己在做什么以及有什么危险, 否则请勿将用户(或组)设置为root用户。
解在自己的非root帐户中运行Apache很好。在Apache Web服务器的httpd.conf中修改用户和组指令
User apacheGroup apache禁用签名默认情况下, “ 关” 设置禁止显示页脚行。
“ 打开” 设置只是在服务器虚拟机的服务器版本号和服务器名称中添加一行。
解最好禁用签名, 因为你可能不想透露正在运行的Apache版本。
ServerSignature Off禁用横幅此伪指令控制发送回客户端的服务器响应标头字段是否包括服务器通用OS类型的描述以及有关编译模块的信息。
解
ServerTokens Prod限制对特定网络或IP的访问如果希望仅通过特定的IP地址或网络查看站点, 则可以在httpd.conf中修改站点目录。
解在Allow指令中提供网络地址。
<
Directory /yourwebsite>
Options NoneAllowOverride NoneOrder deny, allowDeny from allAllow from 10.20.0.0/24<
/Directory>
在Allow指令中提供IP地址。
<
Directory /yourwebsite>
Options NoneAllowOverride NoneOrder deny, allowDeny from allAllow from 10.20.1.56<
/Directory>
仅使用TLS 1.2, 禁用SSLv2, SSLv3据报道, SSL 2.0和3.0遭受了一些加密漏洞的困扰。
在配置SSL方面需要帮助吗?请参阅本指南。
解
SSLProtocol -ALL +TLSv1.2禁用目录列表如果你的WebSite目录下没有index.html, 则客户端将看到浏览器中列出的所有文件和子目录(如ls –l输出)。
解要禁用目录浏览, 可以将Option伪指令的值设置为” None” 或” -Indexes”
<
Directory />
Options NoneOrder allow, denyAllow from all<
/Directory>
(要么)
<
Directory />
Options -IndexesOrder allow, denyAllow from all<
/Directory>
删除不必要的DSO模块验证你的配置以删除冗余DSO模块。
安装后默认情况下会激活许多模块。你可以删除不需要的内容。
禁用空密码和弱密码只允许使用强密码, 因此你可以关闭所有尝试在较低密码套件上进行握手的门。
解
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM保持最新【保护和强化Apache Web服务器的10种最佳实践】由于Apache是??活跃的开源程序, 因此提高Apache Web Server安全性的最简单方法是保留最新版本。每个版本中都添加了新的修补程序和安全补丁。
始终升级到Apache的最新稳定版本。
以上只是一些基本配置, 如果你需要深入的了解, 则可以参考我的分步安全性和强化指南。
在此处了解有关Apache HTTP的更多信息。
推荐阅读
- 使用X-FRAME-OPTIONS保护Nginx免受点击劫持
- 如何(为什么)为WordPress创建暂临时站点()
- 9个很棒的服务可以启用来自WordPress的推送通知
- 如何将Yoast Sitemap的频率更改为”每日”()
- 使用PHP-FPM 7的WordPress与5相比有多快()
- 如何将WordPress从DigitalOcean转移到Linode()
- WordPress – PHP致命错误(找不到类” Memcached”)
- 8个WordPress网站的智能菜单插件
- 如何在没有预览的情况下拍摄照片。 Android系统。 Xamarin