分类:
2011-11-18 12:48:08
原文地址:apache 安全总结 作者:dahailinux
红色项需要做,紫色项不能做,蓝色项要根据实际情况做,黄色的我还不太懂
1、服务器禁止ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
2、 隐藏Apache版本号机敏感信息
ServerSignature Off
ServerTokens Prod
3、 Apache使用自身用户和组运行
User daemon
Group daemon
4、 减少cgi脚本风险
Options IncludesNOEXEC5、 关闭对.htaccess文件的支持
6、 关闭任何不需要的模块。
7、 禁止显示动态目录索引。
8、 Apache日志只有root可以访问
9、 禁止使用目录索引
Options -Indexes FollowSymLinks12禁止默认访问Order deny,allowAllow from all13、使用软件phpmyvisites监控apache的日志信息。对日志进行查看、分析、管理。14、安装软件防范dos攻击。
15、禁止用户重载
AllowOverride None
16、打上最新的补丁。
17、将进程权限限制在文件系统目录树中的某一子树中(让Apache运行在监牢里)
18、采用反向代理加强Apache的安全。
19、使用selinux提升Apache的安全性。
20、使用AIDE软件监视Web服务器的配置文件、数据和CGI文件是否被修改
21、使用tcp_wrappers进一步控制访问权限。
22、建立一个安全的目录结构:
ServerRoot:保存配置文件(conf子目录)、二进制文件和其他服务器配置文件。
DocumentRoot:保存Web站点的内容,包括HTML文件和图片等。
ScripAlias:保存CGI脚本。
Customlog和Errorlog:保存访问日志和错误日志。
建议设定这样一个目录结构,以上四个主要目录相互独立并且不存在父子逻辑关系。
这样的目录结构是比较安全的,因为目录之间是独立的,某个目录的权限错误不会影响到其他目录Apache安全--附件
1、使用AIDE软件监视Web服务器的配置文件、数据和CGI文件是否被修改
使用这个软件可以知道配置文件是否被黑客修改过,做了什么修改,还有网站文件,都可以查看是否被修改过。
2、 使用selinux提升Apache的安全性。
Selinux是2.6内核以后才有的概念,是linux的安全子系统,对系统安全进行加固,并且对apache等一些应用服务器进行安全加固。
其余两个黄色的基本可以不用
注意:网站文件不能有写权限