儘管現在購買的雲伺服器很多都有一鍵web環境安裝包,但是如果是自己配置web環境則需要對各種安全配置十分了解,今天我們就來嘗試這做好web伺服器安全配置。這裡的配置不盡完善,若有紕漏之處還望指出。
以專用的apache使用者執行
一般情況下,apache是由root 來安裝和執行的。如果apache server程序具有root使用者特權,那麼它將給系統的安全構成很大的威脅,應確保apache server程序以最可能低的許可權使用者來執行。
user apache
group apachegroup
window系統中建立apache使用者,給予apache使用者讀取和執行(rx)所有文件和指令碼目錄(例如:htdocs 和cgi-bin)的許可權。 對apache的logs目錄具有讀/寫/刪除(rwd)的許可權。對httpd.exe二進位制檔案具有讀取和執行(rx)的許可權。
在service.msc服務中選擇aapche屬性,登入賬號改為apache即可
apache目錄禁止訪問
indexes 的作用就是當該目錄下沒有 index.html檔案時,就顯示目錄結構。
預設apache在當前目錄下沒有index.html入口就會顯示目錄。讓目錄暴露在外面是非常危險的事,如下操作禁止apache顯示目錄:
options followsymlinks
將options indexes followsymlinks中的indexes 去掉,就可以禁止 apache 顯示該目錄結構。
阻止使用者修改系統設定
在apache 伺服器的配置檔案中進行以下的設定,阻止使用者建立、修改 .htaccess檔案,防止使用者超越能定義的系統安全特性。
allowoveride none
options none
allow from all
然後再分別對特定的目錄進行適當的配置。
apache 隱藏版本資訊
serversignature off
servertokens prod
自定義錯誤頁面errordocument 400 /custom400.html
errordocument 401 /custom401.html
errordocument 403 /custom403.html
errordocument 404 /custom404.html
errordocument 405 /custom405.html
errordocument 500 /custom500.html
刪除如下apache的預設檔案刪除預設的html檔案: # apache網頁根目錄htdocs下的html檔案
刪除預設的icons檔案: # apache安裝目錄下的icons資料夾及裡面的檔案
刪除預設的的cgi指令碼: # apache安裝目錄下的cgi-bin資料夾及裡面的檔案
刪除apache說明檔案: # apache安裝目錄下的manual資料夾及裡面的檔案以及安裝目錄下的其他介紹性檔案
customlog "|bin/rotatelogs.exe logs/access.log 86400 480" combined
rotatelogs logfile [ rotationtime [ offset ]] | [ filesizem ]
logfile:它加上基準名就是日誌檔名。如果logfile中包含』%』,則它會被視為用於的strftime(3)的格式字串;否則,它會被自動加上以秒為單位的.nnnnnnnnnn字尾。這兩種格式都表示新的日誌開始使用的時間。
rotationtime:日誌檔案回卷的以秒為單位的間隔時間,86400 表示一天,即每天生成乙個新的日誌檔案。
offset:相對於utc的時差的分鐘數。如果省略,則預設為0,並使用utc時間。比如,要指定utc時差為-5小時的地區的當地時間,則此引數應為-300,北京時間為+8時間,應設定為480。這樣日誌裡的時間才會和伺服器上的時間一致,方便檢視日誌。
filesizem:指定回卷時以兆位元組為單位的字尾字母m的檔案大小,而不是指定回卷時間或時差。
將時區修改為東八區北京時間
date.timezone = "prc"
響應頭中y隱藏php版本資訊
expose_php = off
禁止相關函式
disable_functions = phpinfo, get_cfg_var
safe_mode = on //開啟安全模式,這個開了,可能會有些php功能沒辦法使用了
網路安全部落格2 Apacheweb伺服器安全加固
apache伺服器是比較流行的一款靜態頁面處理web伺服器,在企業的日常開發與維護中,需要對web伺服器進行安全加強,確保 的安全穩定。1.賬號設定 以專門的使用者帳號和組執行 apache。1 建立 apache 組 groupadd apache 2 建立 apache 使用者並加入 apach...
Apache Web伺服器惡意軟體後門威脅來臨
根據安全公司eset和sucuri的研究員介紹,最近出現了乙個針對apache web伺服器的新威脅,apache web伺服器是世界上使用最廣泛的web伺服器。這個威脅是乙個非常高階且隱秘的後門,它可以將流量重定向到有blackhole攻擊包的惡意 研究員將這個後門命名為linux cdorked...
ntp服務restrict ntp伺服器配置問題
1.配置 etc ntp.conf,內容如下 restrict default nomodify notrap restrict 127.0.0.1 mask 255.0.0.0 開放本機的任何訪問 restrict 192.168.1.0 mask 255.255.255.0 nomodify r...