Apache2在Ubuntu如何安全配置

以下是在Ubuntu上安全配置Apache2的关键步骤：

1. 系统更新与基础配置

   • 更新系统和软件包：sudo apt update && sudo apt upgrade。
   • 隐藏Apache版本信息：修改/etc/apache2/apache2.conf，设置ServerTokens Prod和ServerSignature Off。
   • 禁用目录列表：在虚拟主机配置中添加Options -Indexes。

2. 防火墙与端口管理

   • 使用UFW限制流量：sudo ufw allow 'Apache Full'，仅开放HTTP/HTTPS端口。

3. SSL/TLS加密

   • 安装SSL模块：sudo a2enmod ssl。
   • 配置证书（可使用Let’s Encrypt免费证书）：编辑/etc/apache2/sites-available/default-ssl.conf，指定证书路径。

4. 模块与权限管理

   • 禁用不必要的模块：sudo a2dismod 模块名（如autoindex）。
   • 以低权限用户运行Apache：确保/etc/apache2/envvars中APACHE_RUN_USER和APACHE_RUN_GROUP为www-data。
   • 设置文件权限：sudo chown -R www-data:www-data /var/www/html，目录权限设为755，文件设为644。

5. 安全模块与日志监控

   • 启用WAF（如mod_security）：安装并配置规则集（如OWASP CRS）。
   • 防御DDoS：安装mod_evasive，设置请求限制参数。
   • 定期审计日志：监控/var/log/apache2/error.log和access.log，及时发现异常。

6. 高级加固

   • 启用SELinux或AppArmor限制进程权限。
   • 定期备份配置文件和网站数据。

完成配置后，重启Apache服务：sudo systemctl restart apache2。

参考来源：