在CentOS上配置Apache安全防护涉及多个步骤,以下是一个基本的指南:
首先,确保你的CentOS系统已经更新到最新版本,然后安装Apache2和其他必要的模块:
sudo yum update -y
sudo yum install httpd mod_ssl openssl -y
编辑Apache的配置文件(通常位于 /etc/httpd/conf/httpd.conf),禁用不需要的模块以减少潜在的安全风险。例如,禁用 mod_ssl 和 mod_rewrite 模块:
<IfModule mod_ssl.c>
LoadModule ssl_module modules/mod_ssl.so
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine Off
</IfModule>
为了提高网站的安全性,可以为Apache启用SSL加密。首先,生成SSL证书和私钥,可以使用OpenSSL工具:
sudo openssl req -nodes -new -x509 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt
然后在Apache配置文件中启用SSL模块,并配置虚拟主机使用HTTPS:
<VirtualHost *:443>
ServerAdmin webmaster@localhost
ServerName www.mywebsite.com
DocumentRoot /var/www/mywebsite
SSLEngine on
SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt
SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key
ErrorLog ${APACHE_LOG_DIR}/mywebsite_error.log
CustomLog ${APACHE_LOG_DIR}/mywebsite_access.log combined
</VirtualHost>
重启Apache服务以使配置生效:
sudo systemctl restart httpd
使用 firewalld 管理防火墙,允许HTTP(端口80)和HTTPS(端口443)流量:
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload
严格限制文件和目录的权限,确保只有必要的用户和进程可以访问。例如,将Apache用户设置为文件所有者,并赋予必要的权限:
sudo chown -R apache:apache /var/www/html
sudo chmod -R 755 /var/www/html
修改Apache配置文件,屏蔽版本信息,以防止攻击者利用已知漏洞:
ServerTokens Prod
ServerSignature Off
设置网页密码、错误文件、禁止列目录等,以增强安全性:
<Directory "/var/www/html">
AllowOverride All
Require all granted
</Directory>
定期更新和升级Apache服务器及其相关组件,以确保其始终保持最新状态,防止攻击者利用已知漏洞进行攻击:
sudo yum update httpd
如果计划托管多个网站或域名,可以配置Apache虚拟主机。创建新的虚拟主机配置文件,例如在 /etc/httpd/conf.d/ 目录下创建 mywebsite.conf 文件,并添加相应的配置。
如果系统支持SELinux,可以进一步配置SELinux来限制Apache的访问权限。
sudo setenforce 1
安装并配置 mod_security 以增强安全性:
<IfModule mod_security2.c>
SecRuleEngine On
IncludeOptional /etc/modsecurity/main.conf
IncludeOptional /etc/modsecurity/activated_rules/*.conf
</IfModule>