在CentOS上配置Apache2的安全策略,可以遵循以下步骤:
首先,确保你的系统和所有软件包都是最新的:
sudo yum update -y
确保安装了必要的安全模块,例如mod_security和mod_evasive:
sudo yum install mod_security mod_evasive -y
使用firewalld配置防火墙,只允许必要的端口(如80和443):
sudo firewall-cmd --permanent --zone=public --add-service=http
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --reload
如果SELinux处于 enforcing 模式,确保它不会阻止Apache的正常运行。你可以临时将其设置为 permissive 模式来测试:
sudo setenforce 0
或者,你可以配置SELinux策略以允许Apache访问必要的文件和目录。
编辑Apache的主配置文件/etc/httpd/conf/httpd.conf或相关的虚拟主机配置文件。
确保启用了mod_security和mod_evasive:
LoadModule security2_module modules/mod_security2.so
LoadModule evasive20_module modules/mod_evasive20.so
创建或编辑/etc/httpd/conf.d/security2.conf文件,添加基本的安全规则:
SecRuleEngine On
SecRequestBodyAccess On
SecResponseBodyAccess On
SecAuditLog /var/log/httpd/security_audit.log
SecAuditLogParts ABIJDEFHZ
SecAuditLog /var/log/httpd/security_audit.log
SecDataDir /var/cache/mod_security
创建或编辑/etc/httpd/conf.d/evasive.conf文件,添加基本的防护规则:
<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
</IfModule>
为了提高安全性,建议使用SSL/TLS加密通信。你可以使用Let’s Encrypt免费获取SSL证书:
sudo yum install certbot python2-certbot-apache -y
sudo certbot --apache -d yourdomain.com -d www.yourdomain.com
定期更新你的系统和软件包,并设置监控和日志记录以检测潜在的安全问题。
定期备份Apache的配置文件,以便在出现问题时可以快速恢复:
sudo cp /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.bak
sudo cp -r /etc/httpd/conf.d /etc/httpd/conf.d.bak
通过以上步骤,你可以显著提高CentOS上Apache2的安全性。记得定期检查和更新你的安全策略,以应对新的威胁和漏洞。