centos apache安全设置怎样做

在CentOS系统上配置Apache服务器以确保其安全性是一个涉及多个方面的过程。以下是一些关键的安全设置步骤和建议：

1. 禁用非必要的超级用户

• 检测方法：使用 cat /etc/passwd 查看具有超级用户权限的账户。
• 备份方法：使用 cp -p /etc/passwd /etc/passwd_bak 备份 /etc/passwd 文件。
• 加固方法：使用 passwd -l <用户名> 锁定不必要的超级账户，使用 passwd -u <用户名> 解锁需要恢复的超级账户，或者将用户shell改为 /sbin/nologin。

2. 删除不必要的账户

• 删除所有默认的并且不必要的账号，如 adm, lp, sync, shutdown, halt, mail, operator, games, ftp 等用户和组。

3. 强化用户口令

• 设置复杂的口令，包含大写字母、小写字母、数字和特殊字符，并且长度大于10位。可以通过修改 /etc/login.defs 文件来强制执行这些要求。

4. 保护口令文件

• 使用 chattr +i 命令给 /etc/passwd, /etc/shadow, /etc/group, 和 /etc/gshadow 文件加上不可更改属性，以防止未授权访问。

5. 设置root账户自动注销时限

• 通过修改 /etc/profile 文件中的 TMOUT 参数，设置root账户的自动注销时限。

6. 限制su命令

• 通过编辑 /etc/pam.d/su 文件，限制只有特定组的用户才能使用 su 命令切换为root。

7. 禁用不必要的Apache模块

• 关闭和精简不需要的Apache模块，以减少潜在的安全风险。

8. 隐藏Apache的版本信息

• 编辑 /etc/httpd/conf/httpd.conf 文件，设置 ServerSignature Off 和 ServerTokens Prod 以隐藏服务器版本信息。

9. 配置防火墙

• 使用 firewalld 管理防火墙，开放必要的端口（如HTTP的80端口和HTTPS的443端口），并确保这些端口在防火墙规则中是永久生效的。

10. 配置SSL/TLS

• 安装 mod_ssl 模块并配置SSL证书和私钥，以启用HTTPS。可以使用自签名证书进行测试。

11. 定期更新系统和软件

• 定期更新Apache服务器和所有相关的软件包，以确保没有安全漏洞。

12. 监控和日志记录

• 配置日志记录以监控服务器的活动，并定期检查日志文件以发现异常行为。

请注意，上述步骤需要根据您的具体环境和需求进行调整。在进行任何配置更改后，建议重新启动Apache服务以使更改生效。此外，对于生产环境，还应考虑使用正式的SSL证书而非自签名证书，以及实施更严格的访问控制和审计策略。