|
|
|
|
| Apache Web服务器配置技巧 |
(转载:www.idcew.com)DIY:Apache Web服务器配置技巧
Apache是要提供一个健壮的Web服务器,没有打破自己的银行DIYers完善的Web服务器。这里有八种方法让你的Apache Web服务器更安全。
Apache是在这个星球上... ...有很好的理由使用最广泛的的Web服务器之一。它不仅是令人难以置信的强大和灵活的的,它也是免费的。优厚的DIY人群,功能比例的费用,使得。
Apache是真正安全的开箱。但对于那些生活偏执的边缘,很高兴知道有办法让一个已经安全的Web服务器更安全。这里有一些提示,您可以采用快速硬化您已经运行Apache服务器。
隐藏的旗帜
阿帕奇宣布本身的横幅文件的帮助。宣布本身,这使得黑客能够更容易地目标的攻击。因此,而不是盲目地宣布什么样的软件分发内容,让我们的混淆关闭SecuritySignature。
打开一个终端窗口。
打开Apache的配置文件(这是在Ubuntu / etc/apache/apache2.conf)。
搜索包含ServerSignature线。如果找到,设置为关闭。
搜索ServerTokens。如果找到了,设置ProductOnly。
现在,重新启动Apache的命令/ etc / init.d / apache中会重新启动。 Apache是不再广播作为Web服务器本身。如果你想测试,卷曲我http://DOMAIN发出命令,其中域是域,为您的网站。
全部拒绝
最好的办法,以确保访问到Apache的一切,每个人都拒绝访问,然后在需要的地方,只允许访问。这是通过修改目录容器;具体来说,您将要启动的主要<Directory />容器,并确保它看起来像:
<Directory />
订购否认,允许
拒绝所有
</目录>现在,你需要访问的目录创建新的容器。这些可以看起来像:
<Directory "/var/www/XXX">
为了允许,拒绝
允许从所有
</目录>,其中XXX是必须访问一个特定的目录。一旦你这样做,重新启动Apache,并享受一个更强大的Web服务器。
微量的HTTP请求
跟踪HTTP请求是另一个可能出现的安全问题。这些请求回所有收到的资料,可用于诱骗打印HTTP Cookie和HTTP会话劫持的Apache。这就是所谓的跨站点脚本攻击(XSS)的。
为了禁用此功能,设置/ etc/apache/apache2.conf TraceEnable指令关闭。在更改设置和保存文件,重新启动Apache,和你应该是好去。
禁用目录索引
目录索引功能打印出目录的内容(尤其如此,那里是没有index.html或目录中的index.php文件)。 Ubuntu的服务器上,也有在/ etc /阿帕奇/ MODS启用目录启用的模块。要删除的模块有:autoindex.load和autoindex.conf。您可以用下面的命令删除这些文件:
sudo的使用rm - rf / etc/apache2/mods-enabled/autoindex.loadsudo使用rm - rf / etc/apache2/mods-enabled/autoindex.confFor其他分布在特定的目录容器中的“索引”选项删除的选项。一个目录容器启动<Directory>和结束</目录>。在这些标签,你会发现行:选项指数FollowSymLinks ...。只是删除的“索引”选项,保存文件,重新启动Apache。
禁用WebDAV
WebDAV是一种流行的协议,允许共享数据(如日历),并允许基于Web的电子邮件。如果不需要这些功能,我强烈建议禁用此协议,从你的Apache服务器。要做到这一点,请发出以下命令,然后重新启动Apache:
sudo的RM / etc/apache2/mods-enabled/dav.loadsudo的RM / etc/apache2/mods-enabled/dav_fs.confsudo RM / etc/apache2/mods-enabled/dav_fs.loadsudo RM,/ etc/apache2/mods-enabled / dav_lock.loadUse的SSL
我不会进入设置和配置SSL(我们将进入稍后),但是当你需要安全的HTTP,您必须使用SSL。
随时掌握最新
当更新为Apache发布,它往往是出于安全的目的。你的眼睛保持更新,确保Apache安装最新尽可能。这是至关重要的。
与专有的世界,开源世界往往迅速找到并修复错误,所以后不久,发现一个bug,你可以打赌,开发人员将马上修复工作。这些bug修复的软件如Apache的重要一块,将冲出的储存库比,也就是说,一块桌面软件要快得多。
观看您的日志文件
在/ var/log/apache2目录中,这些日志:access.log和error.log。这些日志,尤其是重要的手表。如果似乎有一个与Apache的问题,我想用这些日志文件中的任何一个(使用命令sudo的tail - f / var/log/apache2/access.log)tail命令看日志,事件记录。
什么是您最喜爱的的方法是什么?
这份清单可以继续下去,但这些都是我去硬化Apache Web服务器的方法。张贴的Apache更安全的讨论您最喜爱的方法添加到此列表(转载:www.idcew.com) |
|
|
