在CentOS上安全配置Apache HTTP Server涉及多个步骤,包括安装、配置、更新和打补丁、限制访问权限、启用SSL、配置防火墙等。以下是一个详细的指南:
首先,使用yum命令安装Apache:
sudo yum install httpd -y
安装完成后,启动Apache服务并设置为开机自启:
sudo systemctl start httpd
sudo systemctl enable httpd
如果系统中启用了防火墙,需要确保HTTP(端口80)和HTTPS(端口443)端口是开放的:
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload
为了增强安全性,避免使用默认端口也是一种有效的措施。编辑/etc/httpd/conf/httpd.conf文件,找到相应的Listen指令并修改其值。
在httpd.conf文件中设置ServerTokens指令,隐藏Apache的版本信息:
ServerTokens Prod
通过在配置文件中设置Options指令来禁用目录浏览:
<Directory "/var/www/html">
Options Indexes FollowSymLinks
</Directory>
为了加密客户端与服务器之间的通信,使用SSL/TLS证书。生成SSL证书和私钥,然后编辑Apache配置文件以启用SSL:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/pki/tls/private/apache-selfsigned.key -out /etc/pki/tls/certs/apache-selfsigned.crt
在/etc/httpd/conf.d/ssl.conf中添加以下内容:
<VirtualHost *:443>
DocumentRoot "/var/www/html"
ServerName www.example.com
SSLEngine on
SSLCertificateFile /etc/pki/tls/certs/apache-selfsigned.crt
SSLCertificateKeyFile /etc/pki/tls/private/apache-selfsigned.key
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:...
</VirtualHost>
使用Require指令限制特定IP地址或IP段访问服务器:
<Directory "/var/www/html">
Require all granted
Require ip 192.168.1.0/24
</Directory>
禁用不需要的模块可以减少安全风险。例如,禁用mod_php模块:
sudo a2dismod php7.x
及时安装安全补丁和更新操作系统及其组件,以修复已知的安全漏洞。
定期备份网站数据和数据库,并制定详细的应急响应计划。
通过以上步骤,可以显著提高Apache服务器的安全性。请根据实际需求和环境调整配置。