Chinaunix首页 | 论坛 | 博客
  • 博客访问: 213695
  • 博文数量: 70
  • 博客积分: 55
  • 博客等级: 民兵
  • 技术积分: 388
  • 用 户 组: 普通用户
  • 注册时间: 2010-12-26 23:53
文章分类

全部博文(70)

文章存档

2014年(1)

2013年(5)

2012年(42)

2011年(22)

我的朋友

分类:

2011-11-18 12:48:08

原文地址:apache 安全总结 作者:dahailinux

                外网服务器apache安全配置

 

红色项需要做,紫色项不能做,蓝色项要根据实际情况做,黄色的我还不太懂

1、服务器禁止ping

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

2、 隐藏Apache版本号机敏感信息

ServerSignature Off

ServerTokens Prod

3、 Apache使用自身用户和组运行

User daemon

Group daemon

4、 减少cgi脚本风险

Options IncludesNOEXEC

5、    关闭对.htaccess文件的支持

6、  关闭任何不需要的模块。

7、    禁止显示动态目录索引。

8、  Apache日志只有root可以访问

9、  禁止使用目录索引

Options -Indexes FollowSymLinks12禁止默认访问Order deny,allowAllow from all13、使用软件phpmyvisites监控apache的日志信息。对日志进行查看、分析、管理。

14、安装软件防范dos攻击。

15、禁止用户重载

AllowOverride None

16、打上最新的补丁。

17、将进程权限限制在文件系统目录树中的某一子树中(让Apache运行在监牢里)

18、采用反向代理加强Apache的安全。

19、使用selinux提升Apache的安全性。

20、使用AIDE软件监视Web服务器的配置文件、数据和CGI文件是否被修改

21、使用tcp_wrappers进一步控制访问权限。

22、建立一个安全的目录结构:

ServerRoot:保存配置文件(conf子目录)、二进制文件和其他服务器配置文件。
DocumentRoot
:保存Web站点的内容,包括HTML文件和图片等。
ScripAlias
:保存CGI脚本。
Customlog
Errorlog:保存访问日志和错误日志。

建议设定这样一个目录结构,以上四个主要目录相互独立并且不存在父子逻辑关系。

这样的目录结构是比较安全的,因为目录之间是独立的,某个目录的权限错误不会影响到其他目录

Apache安全--附件

 

1、使用AIDE软件监视Web服务器的配置文件、数据和CGI文件是否被修改

使用这个软件可以知道配置文件是否被黑客修改过,做了什么修改,还有网站文件,都可以查看是否被修改过。

2、  使用selinux提升Apache的安全性。

Selinux2.6内核以后才有的概念,是linux的安全子系统,对系统安全进行加固,并且对apache等一些应用服务器进行安全加固。

其余两个黄色的基本可以不用

注意:网站文件不能有写权限

权限的设置:

主目录/网站文件

对主目录:chown -R ftp.daemon 主目录

chmod -R 755 主目录

进入网站文件:

cd 网站文件

chown -R daemon.ftp 网站文件

chmod -R 755 网站文件

特殊目录写权限!!!


阅读(692) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~