Centos系统下载大全 | Redhat系统下载大全 | Windows2012系统下载大全 | Windows2008系统下载大全| CMS教程 | 网站地图 51运维网-专注Linux/Unix系统安全运维!
当前位置:51运维网 > 安全 > Linux安全 > 正文

保证Centos Apache Web服务器安全的10个建议

时间:2016-06-26 20:37 来源:网络整理 作者:linux系统 阅读:

保证Centos Apache Web服务器安全10个建议

时间:2013-08-01 00:52来源:centos.bz 作者:感谢:“匿名”投稿 举报 点击:次

如果你是一个系统管理员,你应该按照以下的10点建议来保证Apache web服务器的安全。

1、禁用不必要的模块

如果你打算源码编译安装apache, 【linux】 ,你应该禁用以下的模块。如果你运行./configure -help,你将会看到所有可用的你可以禁用/开启的模块。

  • userdir –用户特定用户的请求映射。例如:带用户名的URL会转化成服务器的一个目录。
  • autoindex – 当没有默认首页(如index.html)时显示目录列表。
  • status –显示服务器统计
  • env – 清除或修改环境变量
  • setenvif –根据客户端请求头字段设置环境变量
  • cgi –CGI脚本
  • actions – 根据特定的媒体类型或请求方法,激活特定的CGI脚本
  • negotiation –提供内容协商支持
  • alias – 提供从文件系统的不同部分到文档树的映射和URL重定向
  • include –实现服务端包含文档(SSI)处理
  • filter –根据上下文实际情况对输出过滤器进行动态配置
  • version –提供基于版本的配置段支持
  • asis – 发送自己包含HTTP头内容的文件
  • 当你执行./configure按照下面禁用以上的所有模块。

    1

    2

    3

    4

    5

    6

    7

    8

    9

    10

    11

    12

    13

    14

    15

    16

    ./configure

    --enable-ssl

    --enable-so

    --disable-userdir

    --disable-autoindex

    --disable-status

    --disable-env

    --disable-setenvif

    --disable-cgi

    --disable-actions

    --disable-negotiation

    --disable-alias

    --disable-include

    --disable-filter

    --disable-version

    --disable-asis

    如果激活ssl且禁用mod_setenv,你将会得到以下错误。
    错误: Syntax error on line 223 of /usr/local/apache2/conf/extra/httpd-ssl.conf: Invalid command ‘BrowserMatch’, perhaps misspelled or defined by a module not included in the server configuration
    解决方案:如果你使用ssl,不要禁用setenvif模块。或者你禁用setenvif模块,可以在httpd-ssl.conf注释BrowserMatch。
    安装完成全,执行httpd -l,会列出所有已安装的模块。

    1

    2

    3

    4

    5

    6

    7

    8

    9

    10

    11

    12

    13

    14

    15

    16

    17

    # /usr/local/apache2/bin/httpd -l

    Compiledinmodules:

      core.c

      mod_authn_file.c

      mod_authn_default.c

      mod_authz_host.c

      mod_authz_groupfile.c

      mod_authz_user.c

      mod_authz_default.c

      mod_auth_basic.c

      mod_log_config.c

      mod_ssl.c

      prefork.c

      http_core.c

      mod_mime.c

      mod_dir.c

      mod_so.c

    在这个例子里,我们安装了如下apache模块:

  • core.c –Apache核心模块
  • mod_auth* –各种身份验证模块
  • mod_log_config.c –允许记录日志和定制日志文件格式
  • mod_ssl.c - SSL
  • prefork.c – 一个非线程型的、预派生的MPM
  • httpd_core.c – Apache核心模块
  • mod_mime.c – 根据文件扩展名决定应答的行为(处理器/过滤器)和内容(MIME类型/语言/字符集/编码)
  • mod_dir.c – 指定目录索引文件以及为目录提供"尾斜杠"重定向
  • mod_so.c – 允许运行时加载DSO模块
  • 2、以单独的用户和用户组运行Apache

    Apache可能默认地以nobody或daemon运行。让Apache运行在自己没有特权的帐户比较好。例如:用户apache。
    创建apache用户组和用户。

    1

    2

    groupadd apache

    useradd-d/usr/local/apache2/htdocs-g apache -s/bin/falseapache

    更改httpd.conf,正确地设置User和Group。

    1

    2

    3

    # vi httpd.conf

    User apache

    Group apache

    之后重启apache,执行ps -ef命令你会看到apache以“apache”用户运行(除了第一个都是以root运行之外)。

    1

    2

    3

    4

    5

    6

    7

    # ps -ef | grep -i http | awk '{print $1}'

    root

    apache

    apache

    apache

    apache

    apache

    3、限制访问根目录(使用Allow和Deny)

    在httpd.conf文件按如下设置来增强根目录的安全。

    1

    2

    3

    4

    5

    <Directory />

        Options None

        Order deny,allow

        Deny from all

    </Directory>

    在上面的:

  • Options None –设置这个为None,是指不激活其它可有可无的功能。
  • Order deny,allow – 这个是指定处理Deny和Allow的顺序。
  • Deny from all –阻止所有请求。Deny的后面没有Allow指令,所以没人能允许访问。
  • 4、为conf和bin目录设置适当的权限

    bin和conf目录应该只允许授权用户查看。创建一个组和把所有允许查看/修改apache配置文件的用户增加到这个组是一个不错的授权方法。
    下面我们设置这个组为:apacheadmin
    创建组:

    1

    groupadd apacheadmin

    允许这个组访问bin目录。

    1

    2

    chown-R root:apacheadmin/usr/local/apache2/bin

    chmod-R 770/usr/local/apache2/bin

    允许这个组访问conf目录。

    1

    2

    chown-R root:apacheadmin/usr/local/apache2/conf

    chmod-R 770/usr/local/apache2/conf

    增加合适的用户到这个组。

    1

    2

    # vi /etc/group

    apacheadmin:x:1121:user1,user2

    5、禁止目录浏览

    如果你不关闭目录浏览,用户就能看到你的根目录(或任何子目录)所有的文件(目录)。
    比如, 【51运维网】 ,当他们浏览{your-ip}/images/而images下没有默认首页,那么他们就会在浏览器中看到所有的images文件(就像ls -l输出)。从这里他们通过点击就能看到私人的图片文件,或点点击子目录看到里面的内容。
    为了禁止目录浏览,你可以设置Opitons指令为“None“或者是“-Indexes”。在选项名前加“-”会强制性地在该目录删除这个特性。
    Indexes选项会在浏览器显示可用文件的列表和子目录(当没有默认首页在这个目录)。所以Indexes应该禁用。

    1

    2

    3

    4

    5

    6

    7

    8

    9

    10

    11

    12

    13

    <Directory />

      Options None

      Order allow,deny

      Allow from all

    </Directory>

     

    (or)

     

    <Directory />

      Options -Indexes

      Order allow,deny

      Allow from all

    </Directory>

    6、禁用.htaccess

    在htdocs目录下的特定子目录下使用.htaccess文件,用户能覆盖默认apache指令。在一些情况下,这样不好,应该禁用这个功能。
    我们可以在配置文件中按如下设置禁用.htaccess文件来不允许覆盖apache默认配置。

    1

    2

    3

    4

    5

    6

    <Directory />

      Options None

      AllowOverride None

      Order allow,deny

      Allow from all

    </Directory>

    7、禁用其它选项

    下面是一些Options指令的可用值。

  • Options All –所有的选项被激活(除了MultiViews)。如果你不指定Options指令,这个是默认值。
  • Options ExecCGI –执行CGI脚本(使用mod_cgi)。
  • Options FollowSymLinks –如果在当前目录有符号链接,它将会被跟随。
  • Options Includes –允许服务器端包含文件(使用mod_include)。
  • Options IncludesNOEXEC –允许服务器端包含文件但不执行命令或cgi。
  • Options Indexes –允许目录列表。
  • Options MultiViews -允许内容协商多重视图(使用mod_negotiation)
  • Options SymLinksIfOwnerMatch – 跟FollowSymLinks类似。但是要当符号连接和被连接的原始目录是同一所有者是才被允许。
  • 感谢您对【51运维网 http://www.51ou.com/】的支持,我们为您免费提供《保证Centos Apache Web服务器安全的10个建议》技术文章,《保证Centos Apache Web服务器安全的10个建议》详细使用和说明,有时《保证Centos Apache Web服务器安全的10个建议》可能不完善、敬请谅解!如果《保证Centos Apache Web服务器安全的10个建议》有错误请给我们留言,我们将尽快修复文章错误,如果您觉得本站不错,请分享给周围的朋友!谢谢!

    顶一下
    (0)
    0%
    踩一下
    (0)
    0%
    发表评论
    请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
    验证码:点击我更换图片